wie im September angekündigt, werden unsichere Seiten mit Eingabefelder für Passwort und Kreditkarte demnächst in Chrome in der URL-Leiste als Nicht sicher gekennzeichnet.
Dieses Dokument soll Webentwicklern helfen, ihre Websites zu aktualisieren, um diese Warnung zu vermeiden.
Warnungen aktivieren
In Chrome 56, dessen Veröffentlichung im Januar 2017 geplant ist, werden Warnungen standardmäßig für alle Nutzer aktiviert.
Wenn Sie die neue Nutzererfahrung vorher testen möchten, installieren Sie den neuesten Google Chrome Canary-Build.
Um Chrome so zu konfigurieren, dass die Warnung im Januar 2017 angezeigt wird, öffnen Sie chrome://flags/#mark-non-secure-as und legen Sie die Option Mark non-secure origins as
non-secure auf Display a verbose state when password or credit card
fields are detected on an HTTP page fest. Starten Sie dann den Browser neu.
Auf dieser Seite findest du ein Beispiel für das Warnverhalten des Browsers.
Wenn der Status „Nicht sicher“ angezeigt wird, wird in der Entwicklertools-Konsole die Meldung This
page includes a password or credit card input in a non-secure context. A warning
has been added to the URL bar. angezeigt.
Warnungen beheben
Damit die Warnung „Nicht sicher“ nicht für Ihre Seiten angezeigt wird, müssen alle Formulare mit <input type=password>-Elementen und alle als Kreditkartenfelder erkannten Eingaben nur an sicheren Quellen vorhanden sein. Das bedeutet, dass die Seite der obersten Ebene HTTPS verwenden muss und wenn sich input in einem iFrame befindet, muss dieser iFrame auch über HTTPS bereitgestellt werden.
Wenn deine Website einen HTTPS-Log-in-Frame über HTTP-Seiten einblendet...
Du musst die Website so ändern, dass entweder HTTPS für die gesamte Website verwendet wird (idealerweise) oder das Browserfenster auf eine HTTPS-Seite umleitet, die das Anmeldeformular enthält:
Langfristig – überall HTTPS verwenden
In Chrome wird schließlich für alle Seiten, die über HTTP bereitgestellt werden, die Warnung „Nicht sicher“ angezeigt, unabhängig davon, ob die Seite vertrauliche Eingabefelder enthält. Auch wenn du dich für eine der oben beschriebenen Lösungen entscheidest, solltest du deine Website so migrieren, dass sie für alle Seiten HTTPS verwendet.