Nonsecure Collection of Passwords will trigger warnings in Chrome 56 for http://www.yourdomain.de/
Eingetragen von DrupalFan (1646)am 23.01.2017 - 00:12 Uhr in
Google verschickt seit Dezember folgende Warnung an Domain-Inhaber:
Nonsecure Collection of Passwords will trigger warnings in Chrome 56 for http://www.yourdomain.de/
To: owner of http://www.yourdomain.de/
Beginning in January 2017, Chrome (version 56 and later) will mark pages that collect passwords or credit card details as “Not Secure” unless the pages are served over HTTPS.
The following URLs include input fields for passwords or credit card details that will trigger the new Chrome warning. Review these examples to see where these warnings will appear, and so you can take action to help protect users’ data. The list is not exhaustive.
http://www.yourdomain.de/path
...
The new warning is the first stage of a long-term plan to mark all pages served over the non-encrypted HTTP protocol as “Not Secure”.
Here’s how to fix this problem:
Use HTTPS pages to collect sensitive information
To prevent the “Not Secure” notification from appearing when Chrome users visit your site, move collection of password and credit card input fields to pages served using the HTTPS protocol.
Es geht hier gar nicht um Kreditkarten, sondern auch um ganz einfache Login-Boxen wie hier auf drupalcenter.de: Ist man auf drupalcenter.de ausgeloggt, befindet sich links oben der Block "Benutzeranmeldung" mit den Feldern Benutzername und Passwort.
Und genau wegen dieses Passwort-Feldes und weil die Seite kein sicheres https Übertragungsprotokoll verwendet, wird in Kürze in Chrome eine Sicherheitswarnung angezeigt (und die Seite vielleicht gar nicht geladen?), wenn man http://www.drupalcenter.de/ im Browser öffnet.
Nun macht es bestimmt Sinn, alle Seiten, also auch Seiten wie das Drupalcenter, wo keine Kreditkartendaten und keine anderen wichtigen Daten gespeichert werden, auf das sichere https-Protokoll umzustellen.
Aber was ist, wenn dies beim Provider nicht kostenlos oder nicht zu einem sinnvollen Preis erhältlich ist?
Wie geht ihr vor? Bietet euer Provider https kostenlos an? Es gibt kostenlose Alternativen, habt ihr damit Erfahrung?
Kann Drupal Abhilfe schaffen bei diesem Problem?
- Anmelden oder Registrieren um Kommentare zu schreiben
Der Einsatz von https
am 23.01.2017 - 13:16 Uhr
Der Einsatz von https erfordert ein Zertifikat. Let'sEncrypt-Zertifikate gibt es kostenlos und die lassen sich bereits bei vielen Providern problemlos benutzen. Es gibt ohnehin die Bestrebung htpps zu pushen und die Suchmaschinen strafen bereits ab, wenn es nicht eingesetzt wird. Wenn ein Provider das nicht entsprechend unterstützen will, sollte man ihn darauf hinweisen und gegebenen Falls wechseln.
Genau.
am 23.01.2017 - 14:28 Uhr
Genau.
Wann wird drupalcenter.de sicher?
am 23.01.2017 - 14:33 Uhr
Wann wird drupalcenter.de sicher?
Ist doch schon lange per
am 23.01.2017 - 15:42 Uhr
Ist doch schon lange per https erreichbar: https://www.drupalcenter.de
Seite heute https bei drupalcenter, das ging aber schnell
am 23.01.2017 - 16:29 Uhr
Gestern ging es noch nicht per https, habe ich getestet!
Und: Das Let's Encrypt Certifikat wurde heute früh um 09:52 Uhr eingerichtet, schön, dass hier so schnell auf meine Beiträge reagiert wird :-)
Übrigens: Die Startseite ist nicht vollständig sicher, lässt sich bestimmt auch noch beheben.
Und außerdem: Die Umleitung von http://www.drupalcenter.de/ auf https://www.drupalcenter.de/ fehlt noch.
:-) :-) :-)