Anmeldung ohne Passwort: Chrome 67 unterstützt WebAuthn
Außerdem schließt Chrome 67 34 Sicherheitslücken, von denen aber keine als kritisch bewertet wird. Zudem aktiviert Google die Funktion Site Isolation zum Schutz vor Spectre-Angriffen für mehr Nutzer.
Google hat seinen Browser Chrome auf Version 67 aktualisiert. Das Update steht für Linux, macOS und Windows zur Verfügung. Es bietet Unterstützung für WebAuthn, enthält Patches für Sicherheitslücken und aktiviert das Feature Site Isolation für mehr Nutzer.
Von den 34 geschlossenen Sicherheitslücken stuft Google keine als kritisch ein. Immerhin werden neun Schwachstellen mit “hoch” bewertet. An die Entdecker dieser Lücken zahlt Google zwischen 2000 und 5000 Dollar.
Verbesserter Schutz vor Spectre
Mit der aktualisierten Browser-Version aktiviert Google das Feature Site Isolation für mehr Nutzer als bisher. Die Funktion kann aber auch über chrome://flags/#strict-site-isolation eingeschaltet werden. Mit Site Isolation wollen die Chrome-Entwickler den Schutz vor den mit Spectre bezeichneten Angriffsszenarien erhöhen.
Sollten mit dieser Funktion Probleme auftauchen, kann man diese auch abschalten. Das geschieht über die Eingabe chrome://flags/#site-isolation-trial-opt-out in der Adressleiste. Dies gilt aber nicht, wenn Site Isolation manuell aktiviert wurde.
Die Chrome-Entwickler bitten außerdem um Mithilfe, wenn es zu Problemen mit Site Isolation kommt. Betroffene Anwender werden gebeten das Entwickler-Team zu kontaktieren, sodass das Feature bald für alle Anwender zur Verfügung stehen kann.
Wenn Site Isolation aktiviert ist, rendert Chrome den Inhalt einer jeden offenen Website also in einem eigenen Prozess, der von anderen Websites isoliert ist. Das soll die Ausführung von Remotecode innerhalb der Rendering-Sandbox verhindern. Die zusätzliche Schutzebene ist allerdings mit einem um 10 bis 20 Prozent höheren Speicherbedarf verbunden.
Der für die Chrome-Sicherheit zuständige Chefentwickler Justin Schuh definierte Site Isolation schon früher in diesem Jahr als entscheidenden Unterschied in Googles Herangehensweise, die eine überlegene Sicherheit im Vergleich zu Microsoft Edge bewirke. Microsoft wiederum erklärte Edge zum sichersten Browser dank Windows Defender Application Guard (WDAG). Microsoft arbeitet hierbei mit Virtualisierung und in Containern isolierten Browserfenstern. Es soll sich auch deshalb um einen Durchbruch in der Sandboxing-Technik handeln, da es vor Angriffen auf den Kernel schütze, sollte ein Angriff die Browser-Sandbox überwinden. Hier scheint sich eine neue Rivalität zwischen Google und Microsoft zu entwickeln mit verschiedenen Herangehensweisen an Sicherheitsprobleme.
Chrome 67 unterstützt WebAuthn
Außerdem hat Google in Chrome 67 die sogenannte WebAuthn-Schnittstelle integriert. Die WebAuthn-API des W3C kann in Browser und Webplattform-Infrastrukturen integriert werden und ermöglicht eine starke, eindeutige, auf öffentlichen Schlüsseln basierende Anmeldeinformationen für jede Website und eliminiert das Risiko, dass ein von einer Website gestohlenes Passwort verwendet werden kann. Anstatt sich mit einem Benutzernamen und Passwort zu registrieren, registriert der Benutzer einen Fingerabdruck, eine Netzhaut oder andere biometrische Daten, die in einem Smartphone gespeichert sind.
Als einer der ersten Webdienste unterstützt Dropbox die Technik, beschränkt sie allerdings auf die Zwei-Faktor-Authentifizierung. Vor wenigen Wochen hat Mozilla mit Firefox 60 ebenfalls die WebAuthn-API in seinen Browser integriert.
Neue Sensor-API
Eine der größte Änderung in Chrome 67 ist die Integration der Generic Sensors API. Die neue API basiert auf dem Generic Sensor W3C Standard. Sie ist in erster Linie für den mobilen Einsatz gedacht, und in der aktuellen Version können Websites die Generic Sensors API von Chrome verwenden, um auf Daten von Beschleunigungssensoren, Gyroskop, Orientierungs- und Bewegungssensoren eines Geräts zuzugreifen.
Eine weitere API, die mit Chrome 67 ausgeliefert wird, ist die WebXR Device API. Entwickler können diese API verwenden, um virtuelle und Augmented Reality-Erlebnisse auf Chrome für mobile VR-Headsets wie Google Daydream View und Samsung Gear VR sowie Desktop-Headsets wie Oculus Rift, HTC Vive und Windows Mixed Reality Headsets zu erstellen.
Last but not least können Benutzer von Chrome 67 jetzt über ein Chrome-Flag (chrome://flags/#top-chrome-md) zwischen verschiedenen Benutzeroberflächen von Chrome wechseln.
Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.
Report: State of Digital Transformation EMEA 2019
Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!