Loading

Google schützt Benutzer vor unsicheren Downloads in Google Chrome

Veröffentlichungsdatum: Sep 13, 2022
Beschreibung

Google nimmt schrittweise Änderungen am Google Chrome-Browser vor, um das Rendering und Herunterladen von gemischtem Inhalt zu blockieren. Ab Januar 2021 wird der Download von HTTP-Dateien wie Bilder, Dokumente und PDFs von HTTPS-Sites standardmäßig durch Google blockiert.

Dieser Artikel konzentriert sich auf die Kernprodukte von Salesforce. Informationen zu den folgenden Produkten finden Sie in den entsprechenden Artikeln:

Für andere Clouds und Produkte erhalten Sie Informationen im Abschnitt Wie wirkt sich diese Änderung auf andere Clouds und Produkte aus? weiter unten.

 

Welche Inhalte sind betroffen?

Diese Änderung kann sich auf die Möglichkeit Ihrer Endbenutzer auswirken, auf Nicht-HTTPS-Downloads oder Bilder zuzugreifen, die auf sicheren Seiten innerhalb von Salesforce gestartet wurden.

  • Bilder

Wenn Bilder oder Videos, die auf einer nicht sicheren HTTP-Seite gehostet werden, auf einer sicheren HTTPS-Seite angezeigt werden sollen, sehen Sie stattdessen ein beschädigtes Bild. 

  • Downloads

Wenn auf einer sicheren HTTPS-Webseite auf Links oder Anhänge geklickt wird, die auf einer unsicheren HTTP- oder FTP-Site gehostet werden, tritt ein Fehler auf.

 

Welche Maßnahme können Sie ergreifen?

Überprüfen Sie Ihren benutzerdefinierten Inhalt und stellen Sie sicher, dass er über einen sicheren HTTPS-Host bereitgestellt wird. HTTPS verschlüsselt die Daten während der Übertragung (TLS), um Man-in-Middle- und andere Angriffe zu verhindern. Die Methode zum Konfigurieren von HTTPS kann sich je nach dem von Ihnen verwendeten Dienst ändern. Verwenden Sie die Service-spezifischen Links oben, um zusätzliche Hinweise zur Konfiguration von HTTPS zu erhalten. Weitere Informationen erhalten Sie im Google Chrome-Blog.
 

Wie wirkt sich diese Änderung auf andere Clouds und Produkte aus?

Das Technologie-Team von Salesforce hat ausgewertet, wie sich diese Änderung auf die Salesforce-Produkte in den Clouds auswirkt und plant, diesen Artikel zu aktualisieren, sobald weitere Informationen verfügbar sind.
 

Commerce Cloud 

Überprüfen Sie Ihre benutzerdefinierten E-Mail-Vorlagen auf gemischten Inhalt. Benutzerdefinierte E-Mail-Vorlagen, die von Kunden entwickelt werden, sind der einzige Bereich, der von dieser Änderung betroffen ist.
 

Industries Cloud

Vlocity 

Überprüfen Sie kundenspezifisch entwickelte UI- und Apex-Klassen auf mögliche Probleme mit gemischtem Inhalt. Kundenspezifisch entwickelte UI umfasst Visualforce-Seiten, Aura-Komponenten und LWC- oder HTML/CSS/JS-Inhalt, der über einen sicheren Host bereitgestellt wird. Prüfen Sie bei benutzerdefinierten Apex-Klassen, ob URL-Variablen im Code, in den Daten oder in externen APIs enthalten sind, die in die Benutzeroberfläche eingebettet und gerendert werden. Jeder eingebettete unsichere Inhalt, der über einen HTTP-URL bereitgestellt wird, kann entfernt oder durch einen sicheren HTTPS-Host ersetzt werden.
 

Experience Cloud (zuvor Community Cloud) 

Überprüfen Sie Ihre Visualforce-Seiten, Lightning-Komponenten und Community-Konfiguration, um sicherzustellen, dass sie keinen gemischten Inhalt verwenden. Stellen Sie sicher, dass alle Links, die auf herunterladbare Inhalte verweisen, die in Ihren Komponenten erstellt oder konfiguriert wurden, HTTPS verwenden.

Salesforce CMS-Inhalt
Verwenden Sie für die Erstellung von Verweisen auf externe Medien sichere URLs ("https://"), damit Ihr Inhalt seine volle Funktion beibehält. Bei Verweisen auf externe Medien mit unsicheren URLs werden Miniaturbilder und Voransichten nicht mehr nativ angezeigt.

 

Warum nimmt Google diese Änderung vor?

Unsichere Downloads stellen ein Risiko für die Sicherheit und den Datenschutz von Benutzern dar. Beispielsweise können unsichere Downloads von Angreifern gegen Malware ausgetauscht werden. Unsicher heruntergeladene Kontoauszüge von Benutzern können von Lauschangreifern gelesen werden. Damit diese Risiken vermieden werden, plant Google, die Unterstützung für unsichere Downloads in Chrome letztendlich zu entfernen. Google hat angekündigt, dass in Chrome nach und nach sichergestellt wird, dass von sicheren (HTTPS-) Seiten nur noch sichere Dateien heruntergeladen werden. Mit einer Reihe von Schritten, die im Abschnitt mit der Zeitachse angegeben sind, beginnt Chrome mit dem Blockieren von Downloads mit gemischtem Inhalt, d. h. Nicht-HTTPS-Downloads, die auf sicheren Seiten gestartet wurden. Diese Umstellung folgt einem letztes Jahr von Google angekündigten Plan, alle unsicheren Unterressourcen auf sicheren Seiten zu blockieren. Zunächst konzentriert sich Google auf unsichere Downloads, die auf sicheren Seiten gestartet wurden. Diese Fälle sind besorgniserregend, da Chrome die Benutzer jetzt nicht mehr darauf hinweist, dass ihre Privatsphäre und Sicherheit gefährdet sind.

 

Wo erhalte ich weitere Informationen?

Ausführliche Informationen von Google und zum erwarteten Zeitrahmen finden Sie im Google Chrome-Blog.

Lösung

Häufig gestellte Fragen:

Was ist gemischter Inhalt?

Webseiten werden von Browsern auf der Grundlage von zwei Protokollen angezeigt: HTTP und HTTPS. Eine Website, die dem HTTPS-Protokoll folgt, ist viel sicherer als eine, die HTTP verwendet. HTTPS-fähige Sites sind verschlüsselt, wodurch die Authentifizierung, Datenintegrität und Geheimhaltung sichergestellt sind. Einige Websites zeigen HTTPS- und HTTP-Inhalt auf derselben Seite an. Dies wird als gemischter Inhalt bezeichnet. Die meisten Websites, bei denen Probleme mit gemischtem Inhalt auftreten, enthalten externe Ressourcen wie Bilder, Videos, Formatvorlagen und Skripts, die über die HTTP-Domäne geladen werden. Auch wenn die ursprüngliche Anforderung für HTTPS erfolgt, wird die Site beim Rendern des gemischten Inhalts im Browser Google Chrome als unsicher angezeigt, da es sein kann, dass die HTTP-Ressourcen Benutzern schaden. 

 

Wie sieht der zeitliche Ablauf für die Änderung aus?

Die geplante Einführung der Änderung bei Google Chrome beginnt mit einer Browserwarnung und wird dann mit dem Blockieren von Downloads mit gemischtem Inhalt fortgesetzt. Für die Einführung der Änderung bei Google Chrome ist folgender Zeitplan vorgesehen. 

Inhaltstyp

Dateibeispiele

Browserwarnung

Blockierung

Ausführbare Dateien

EXE, APK

Chrome 84 (Aug.)

Chrome 85 (Sept.)

Archive

ZIP, ISO

Chrome 85 (Sept.)

Chrome 86 (Okt.)

Dokumente

PDF, DOCX

Chrome 86 (Okt.)

Chrome 87 (Nov.)

Multimedia-Dateien

PNG, MP3

Chrome 87 (Nov.)

Chrome 89 (Jan. '21)

 

Was ist nicht enthalten?

1. Reine HTTP-Sites/-URLs

Die Änderung scheint sich nur auf nicht sicheren Inhalt auszuwirken, der auf sicheren Seiten angezeigt wird. Eine reine HTTP-Seite, die nur HTTP-Inhalt anzeigt, führt wahrscheinlich nicht zu Fehlern.

2. Laden von HTTP-Seiten

Durch die Änderung wird das Laden einer reinen HTTP-Site oder das Rendern einer E-Mail in einem E-Client ohne TLS (Transport Layer Security) nicht blockiert. Das bedeutet, dass reine HTTP-Seiten, die kein HTTPS enthalten, weiterhin funktionieren.

Nummer des Knowledge-Artikels

000389288

 
Laden
Salesforce Help | Article