Wie im September angekündigt, werden nicht sichere Seiten mit Eingabefeldern für Passwort und Kreditkarte in Chrome bald in der URL-Leiste als Nicht sicher gekennzeichnet.
Dieses Dokument soll Webentwicklern dabei helfen, ihre Websites zu aktualisieren, um diese Warnung zu vermeiden.
Warnungen aktivieren
Warnungen werden in Chrome 56 standardmäßig für alle Nutzer aktiviert. Die Veröffentlichung ist für Januar 2017 geplant.
Installieren Sie den aktuellen Build von Google Chrome Canary, um die Nutzererfahrung vorher zu testen.
Wenn Sie Chrome so konfigurieren möchten, dass die Warnung so angezeigt wird, wie sie im Januar 2017 erscheinen soll, öffnen Sie chrome://flags/#mark-non-secure-as
und legen Sie die Option Mark non-secure origins as
non-secure
auf Display a verbose state when password or credit card
fields are detected on an HTTP page
fest. Starten Sie dann den Browser neu.
Ein Beispiel für das Warnverhalten des Browsers finden Sie auf dieser Seite.
Wenn der Status „Nicht sicher“ angezeigt wird, wird in der Entwicklertools-Konsole die Meldung This
page includes a password or credit card input in a non-secure context. A warning
has been added to the URL bar.
angezeigt.
Warnungen beheben
Damit die Warnung „Nicht sicher“ nicht für deine Seiten angezeigt wird, musst du dafür sorgen, dass alle Formulare mit <input type=password>
-Elementen und alle als Kreditkartenfelder erkannten Eingaben nur an sicheren Ursprüngen vorhanden sind. Das bedeutet, dass die Seite der obersten Ebene HTTPS verwenden muss und wenn sich input
in einem iFrame befindet, muss dieser iFrame auch über HTTPS bereitgestellt werden.
Wenn für Ihre Website ein HTTPS-Log-in-Frame über HTTP-Seiten eingeblendet wird...
Du musst die Website so ändern, dass sie entweder für die gesamte Website HTTPS verwendet (idealerweise) oder das Browserfenster auf eine HTTPS-Seite mit dem Anmeldeformular umleitet:
Langfristig – HTTPS überall verwenden
In Zukunft wird in Chrome für alle Seiten, die über HTTP bereitgestellt werden, die Warnung „Nicht sicher“ angezeigt, unabhängig davon, ob die Seite vertrauliche Eingabefelder enthält. Auch wenn du eine der oben genannten Lösungen anwendest, solltest du die Migration deiner Website so planen, dass für alle Seiten HTTPS verwendet wird.