X

Oblivious HTTP:
Das steckt in Google Chromes verbesserter Sicherheit

Google hat für den Webbrowser Chrome vor Kurzem eine umfassende Überarbeitung angekündigt. Neben einem neuen, moderneren Design, will Google auch endlich das "Safe Browsing"-Feature, das so seit 2020 besteht, grundlegend verbessern.
10.09.2023  09:42 Uhr

"Sicheres Browsen" ist Standard

"Safe Browsing" oder "Sicheres Browsen" wurde dabei bereits 2007 für Chrome eingeführt um Nutzer vor bösartigen Websites zu schützen, die Malware verbreiten oder Phishing betreiben. Jetzt gibt es neue Informationen dazu, was für den Chrome-Browser geplant ist. So viel vorab: Google plant den Start der verbesserten Sicherheitsfunktionen nicht in Kürze, wie zunächst angenommen. Es wird noch Monate dauern, bis die Tests für Nutzer starten werden. In diesem Jahr wird es auf jeden Fall noch weiterführende Informationen dazu geben, mehr aber vermutlich erst im Jahr 2024. Google Chrome Design Gegenüber dem Online-Magazin Bleeping Computer hat Google nun etwas mehr Details zur neuen Sicherheitsverbesserung erläutert. Die Standardfunktion "Sicheres Browsen" soll durch die Aktivierung eines veränderten Echtzeit-Phishing-Schutzes für noch sicherer gemacht werden.

So funktioniert es

Beim Surfen im Internet prüft Chrome, ob eine besuchte Webseite in einer lokalen Liste bösartiger URLs enthalten ist, und wenn dies der Fall ist, wird die Seite gesperrt und eine Warnung angezeigt. Da die Liste der schädlichen URLs lokal gehostet wird, kann sie nicht vor neuen Websites schützen, die seit der letzten Aktualisierung der Liste entdeckt wurden.

Um die Sicherheit zu verbessern, hat Google 2020 eine erweiterte Safe-Browsing-Funktion (Enhanced Safe Browsing) eingeführt, die in Echtzeit in der Cloud-Datenbank von Google geprüft, ob eine Website bösartig ist und blockiert werden sollte.

Diese Funktion geht jedoch zulasten des Datenschutzes, da Google Chrome URLs sowie Downloads, die auf dem Nutzer-PC geöffnet werden, an die Google-Server zurücksendet, um zu prüfen, ob sie bösartig sind. Schließlich werden die übertragenen Daten vorübergehend mit einem Google-Konto verknüpft (wenn man angemeldet ist), um zu erkennen, ob ein Angriff auf den Browser oder das Konto gerichtet ist.

Während die Funktion "erweitertes sicheres Browsen" unverändert bleiben soll, fügt Google jetzt auch einen Echtzeitschutz zur Standardfunktion "Sicheres Browsen" hinzu, um die Sicherheit zu erhöhen.


Echtzeitschutz für alle

Der Browser-Entwickler begründet dies damit, dass die lokal gehostete Safe-Browsing-Liste nur alle 30 bis 60 Minuten aktualisiert werden kann, aber 60 Prozent aller Phishing-Domänen im Schnitt nur 10 Minuten lang aktiv bleiben. Dadurch entsteht eine beträchtliche Zeitlücke, die die Nutzer vor neuen bösartigen URLs ungeschützt lässt.

"Um diese gefährlichen Websites in dem Moment zu blockieren, in dem sie auftauchen, aktualisieren wir Safe Browsing, sodass es nun Websites in Echtzeit mit den bekannten bösartigen Websites von Google abgleicht", sagt Google.

"Durch die Verkürzung der Zeitspanne zwischen Identifizierung und Abwehr von Bedrohungen erwarten wir einen um 25 Prozent verbesserten Schutz vor Malware und Phishing-Bedrohungen", so Google.

Google erklärte gegenüber BleepingComputer, dass die Opt-in-Funktion Enhanced Safe Browsing direkt mit dem Safe-Browsing-Protokoll kommuniziert und zusätzliche Daten sendet. Sie bietet zwar weniger Datenschutz, dafür aber den besten Schutz, da sie bösartige URLs erkennen kann, bevor Google sie in die Datenbank übernimmt.

Fastly Oblivious HTTP Relays

Da Safe Browsing die Standardoption ist, erklärte Jasika Bawa, Produktmanagerin für Google Chrome, dass man einen Echtzeitschutz einführen, der die Privatsphäre besser schützt, und zwar über Fastly Oblivious HTTP Relays.

Das Oblivious-Protokoll leitet die teilweise gehashten URLs der Nutzer an die Safe Browsing-Engine von Google weiter, ohne die privaten Informationen der Nutzer, wie IP-Adressen und Anfrage-Header, preiszugeben. Diese daten­schutz­freund­liche Echtzeit-Standardfunktion von Safe Browsing hat jedoch einen Nachteil.

Da nicht so viele Metadaten an die Engine gesendet werden, ist sie nicht in der Lage, heuristisch zu bestimmen, ob eine URL bösartig ist, ohne dass sie zuvor von Google gekennzeichnet wurde. Google verpflichtet sich außerdem, die an Google gesendeten Daten nicht für andere Funktionen verwendet werden, auch nicht für die Bereitstellung von Werbung.

Fazit

Dennoch ist es - verglichen mit der potenziellen Sicherheitserhöhung - vermutlich immer noch eine empfehlenswerte Methode. Man wird aber bis zur Veröffentlichung warten müssen, um die Option besser einschätzen zu können.

Zusammenfassung
  • Chrome-Browser erhält Design-Update basierend auf Material You
  • Verbesserung der Lesbarkeit, Icon-Aktualisierungen und Farbpaletten
  • Menü-Überarbeitung für leichteren Zugriff auf Erweiterungen und Dienste
  • Neue Sicherheitsfeatures, Fokus auf Prüfung von Erweiterungen
  • Einbeziehung von Drittanbieter-Tools für Risikobewertung
  • Update für Google Safe Browsing
  • Echtzeit-Abgleich mit aktuellen Gefahrenlisten
Verwandte Themen
Chrome
☀ Tag- / 🌙 Nacht-Modus
Desktop-Version anzeigen
Impressum
Datenschutz
Cookies
© 2024 WinFuture