Chrome: Zwangsverschlüsselung für Google Mail
Google hat die Entwicklerversion von Chrome 13 um eine neue Funktion erweitert. Sie erzwingt grundsätzlich eine per TLS verschlüsselte Datenverbindung zu Google Mail, auch wenn dies in den Einstellungen des E-Mail-Diensts nicht festgelegt ist.
Im Januar 2010 hatte der Suchanbieter Google Mail auf die sichere Version des Hypertext Transfer Protocol umgestellt. HTTPS schützt davor, dass Daten, zum Beispiel an öffentlichen WLAN-Hotspots, von Dritten abgehört werden. Allerdings lässt sich die Verschlüsselung im Menü “Einstellungen” deaktivieren.
“Ab Chromium 13 erfolgen alle Verbindungen zu Google Mail über HTTPS”, schreibt Chris Evans vom Chrome Security Team in einem Blogeintrag. Das gelte auch bei Eingabe von “gmail.com” oder “mail.google.com” in die Adressleiste ohne das Präfix “https://”. Damit seien Nutzer vor sogenannten “sslstrip“-Attacken geschützt, über die es möglich sei, Browser-Sitzungen zu entführen.
Die Technologie, die die Verschlüsselung erzwingt, heißt HSTS, was für HTTP Strict Transport Security steht. Ein Browser kann damit festlegen, dass eine bestimmte Website grundsätzlich nur über eine sichere HTTP-Verbindung aufgerufen wird.
Google ist immer wieder ein Ziel von Hacker-Angriffen. Kürzlich hatten Unbekannte versucht, sich per Phishing Zugang zu Google-Mail-Konten hochrangiger US-Regierungsbeamter zu verschaffen. Um die Sicherheit des E-Mail-Diensts zu erhöhen, steht seit Februar allen Besitzern eines Google-Kontos als Option eine Zwei-Schritt-Authentifizierung zur Verfügung. Sie verlangt zusätzlich zum Passwort einen für begrenzte Zeit gültigen Zahlencode, der per SMS verschickt oder mit einer mobilen Anwendung generiert werden kann.