Chrome markiert bald alle HTTP-Webseiten als unsicher

9.2.2018 - Ab Juli wird der Chrome-Browser alle unverschlüsselten HTTP-Webseiten deutlich als unsicher kennzeichnen. Googles Botschaft an Seitenbetreiber: Setzt endlich HTTPS ein!

Google ist sich sicher: "A secure web is here to stay", das sichere Netz ist gekommen, um zu bleiben. Seit einigen Jahren wiederholt Google immer wieder, dass Seitenbetreiber unbedingt HTTPS einsetzen sollen. Seit 2014 ist SSL sogar ein Ranking-Faktor: Eine HTTPS-Verschlüsselung verbessert die Position bei Google. Unverschlüsselte Seiten landen unter Umständen auf den hinteren Suchergebnisseiten.

Googles Hausbrowser Chrome markiert seit einer Weile HTTPS-Seiten mit einem grünen Schloss und dem Text "Sicher". Bei HTTP-Verbindungen erscheint bislang nur ein neutrales i-Symbol in der Adressleiste; erst ein Klick darauf öffnet einen Warnhinweis: "Die Verbindung zu dieser Seite ist nicht sicher". Ab Juli 2018 soll dieser Hinweis viel deutlicher ins Auge fallen, kündigte Google nun an. Neben dem i steht dann ein breites "Not secure", unsicher. Mit dem Erscheinen von Chrome 68 soll es soweit sein.

Lesen Sie weiter bei heise.de

WordPress 4.9.3 schießt automatische Update-Funktion ab

9.2.2018 - Die WordPress-Ausgabe 4.9.3 hat zwar in erster Linie Bugs gefixt, aber auch einen neuen mitgebracht: Die automatische Aktualisierung funktioniert nicht mehr. Eine neue Version löst das Problem.

Wer die automatische Update-Funktion von WordPress nutzt, sollte im Dashboard prüfen, welche Version derzeit installiert ist. Hintergrund ist, dass WordPress 4.9.3 die Funktion kaputt gemacht hat. Admins müssen in diesem Fall die Aktualisierung auf die derzeit aktuelle Ausgabe 4.9.4 manuell anstoßen. Mit dieser soll die automatische Aktualisierung wieder funktionieren, versichern die Entwickler.

Wer das nicht macht, setzt sich einem Sicherheitsrisiko aus: Schließlich bekommt die Seite neue Versionen mit Sicherheitsupdates nicht mehr automatisch und in WordPress klaffen regelmäßig kritische Lücken.

Die Hintergründe zum Abschießen der automatischen Update-Funktion beschreiben die Entwickler in einem Beitrag.

Chrome entzieht in Zukunft 10 Prozent der wichtigsten SSL-Seiten das Vertrauen

8.2.2018 - Mit Chrome 66 und 70 im April und Oktober entzieht Google gut hunderttausend der wichtigsten Domains das Vertrauen, falls diese sich keine neuen SSL-Zertifikate besorgen. Das Ganze ist eine Bestrafungsaktion gegen den Zertifikatsaussteller Symantec.

Geht alles nach Plan, macht Google am 17. April mit Chrome 66 Ernst: Ab dann werden Nutzer gewarnt, wenn der Browser auf ein Symantec-Zertifikat trifft, das vor dem 1. Juni 2016 ausgestellt wurden. Chrome beschwert sich dann, dass die Verbindung nicht sicher sei und eventuell Daten von Dritten abgefangen werden könnten. Am 23. Oktober, wenn Chrome 70 erscheinen soll, wird es noch unangenehmer für die Besitzer von Seiten mit Symantec-Zertifikaten: Ab dann stuft Googles Browser alle Verbindungen, die Symantec-Zertifikate nutzen, als nicht vertrauenswürdig ein und warnt noch lauter. Ein Sicherheitstechniker der Firma Airbnb hat sich nun die Mühe gemacht, herauszufinden, wie viele Seiten genau betroffen sind.

Das Skript, das Arkadiy Tetelman gebaut hat um eine Million der (laut Alexa-Ranking) meistbesuchten Seiten im Netz nach Symantec-Zertifikaten zu durchsuchen, lief elf Stunden und fand insgesamt 11.510 Domains, die im April Fehler produzieren werden. Weitere 91.627 Domains werden mit dem Chrome-Update im Oktober Warnmeldungen auslösen. Für Admins, die nachschauen wollen, ob die eigene Seite betroffen ist, hat Tetelman eine Textdatei zur Verfügung gestellt. Unter anderem in der Liste: Das Bundesfinanzministerium, Spiegel Online, die Uni Hildesheim, wetter.de, die Stadt Nottingham und Elon Musks Elektroautohersteller Tesla.

Betroffen sind nicht etwa nur direkt von Symantec ausgestellte Zertifikate. Alle Zertifikate, deren Vertrauenskette auf Symantec zurück geht, wird das Vertrauen entzogen. Das betrifft unter anderem CAs wie GeoTrust, RapidSSL und Thawte. Um auf Nummer Sicher zu gehen sollten Admins die Root-CA ihrer Zertifikate überprüfen.

Google nutzt den Chrome-Browser als Hebel gegen Symantec, da der Zertfikatsaussteller laut Google nachhaltig das Vertrauen in die Zuverlässigkeit seiner Infrastruktur zerstört hat. Google hatte Symantec mehrfach dabei erwischt, unberechtigterweise Zertifikate auf tausende von Domains ausgestellt zu haben. Vor allem hatte Symantec aber auch unberechtigt Zertifikate auf google.com ausgestellt – ein Fauxpas, den Google offensichtlich nicht auf sich sitzen lassen will. Google hatte Symantec danach schrittweise das Vertrauen entzogen.

Quelle: heise.de

OSI feiert 20 Jahre Open Source

3.2.2018 - Am 3. Februar 1998 fiel in einer strategischen Sitzung mit dem Erstellen der Open-Source-Definition der Startschuss für das Label "Open Source". Wenig später erfolgte die Gründung der gemeinnützigen Open Source Initiative (OSI).

Die Open Source Initiative (OSI) wurde 1998 zur Förderung von Open Source und der Zertifizierung entsprechender Lizenzen gegründet. Damit gilt sie seit nunmehr zwanzig Jahren als Hüterin der Open-Source-Lizenzen. Heute gehören der OSI über 60 nichtkommerzielle Organisationen und Projekte an – aber auch viele IT-Größen. So zählt seit Ende September 2017 auch Microsoft neben Unternehmen wie Google, IBM und Hewlett Packard Enterprise zu den Hauptgeldgebern der Initiative.

Simon Phipps, der im vergangenen Herbst wieder die Präsidentschaft der OSI von Allison Randal übernommen hatte, zeigt sich vom Erfolg der vor zwanzig Jahren gestarteten Initiative überzeugt: "Open-Source-Software kommt heute nahezu überall zum Einsatz". Sie bilde nicht nur das Fundament von Internet, World Wide Web und den damit verbundenen Netzwerken, sondern finde sich auch in jedem Computer und Mobilgerät bis hin zum Internet der Dinge.

Um das zwanzigjährige Jubiläum gebührend zu feiern, hat die OSI die "Open Source 20th Anniversary World Tour" gestartet, deren Programm sich über das ganze Jahr verteilt. Darüber hinaus steht mit OpenSource.Net eine neue Plattform zur Verfügung, die der Open-Source-Community den Austausch von praktischer Erfahrung in der Anwendung möglich macht – kombiniert mit einem Mentoren-Programm, das den Einsatz von Open Source in der nächsten Dekade gezielt fördern soll

Quelle: heise.de