/ Security / Chrome soll vor schlampiger AV-Software warnen

Chrome soll vor schlampiger AV-Software warnen

Moritz Rosenfeld on September 11, 2017 - 2:25 pm in Security

Wenn es zu Verbindungsfehlern kommt, sucht der Anwender oft die Schuld bei der Gegenstelle, also dem angewählten Server. Doch manchmal funken auch Antiviren-Programm und Firewalls dazwischen. Chrome soll das künftig anzeigen.

Antiviren-Software und Firewalls klinken sich häufig in verschlüsselte Verbindungen ein, um den übertragenen Inhalt zu kontrollieren. Dabei kommt es durchaus vor, dass die resultierende Verbindung unsicherer ist als das, was der Browser normalerweise mit der Gegenstelle ausgehandelt hätte. Es kann sogar zu echten Sicherheitsproblemen oder Fehlern beim Verbindungsaufbau führen, die man ohne die schlampigen Sicherheitsprodukte gar nicht hätte. Vor solchen Situationen soll Google Chrome ab Version 63 mit einer speziellen Fehlermeldung warnen.

Schuldzuweisung

Dabei zeigt Chrome wenn möglich den Namen der Anwendung an, die die Fehlermeldung zu verantworten hat – im oben abgebildeten Beispiel die Software “BadSSL Antivirus”. Diese Funktion ist bereits jetzt in der Testversion von Chrome eingebaut (Canary). Sie ist dort aber noch nicht standardmäßig eingeschaltet, sondern muss mit dem Aufrufparameter --enable-features=MITMSoftwareInterstitial aktiviert werden. Mit Version 63 soll die Warnung vor einem “Man in the Middle” (MitM) Einzug in die Standardversion halten. Deren Erscheinen ist derzeit für Anfang Dezember geplant.

Wie die Entwicklerin Sasha Perigo erklärt, erzeugt der neue Code keine neuen Fehlermeldungen sondern ist lediglich dazu gedacht, den Verursacher von Verbindungsfehlern genauer zu spezifizieren. Selbstverständlich erscheint die Warnung auch, wenn sich ein bösartiger MitM in die sichere Verbindung einklinkt und dabei Fehler verursacht. Wenn der MitM jedoch keine TLS/SSL-Fehler erzeugt sondern lediglich die Qualität der Verschlüsselung heruntersetzt, etwa indem er auf die überaus wünschenswerte Forward Secrecy verzichtet, erscheint demnach keine Warnung. (ju)

Read more on: Source

Comments are disabled