Categories: Browser

Anmeldung ohne Passwort: Chrome 67 unterstützt WebAuthn

Google hat seinen Browser Chrome auf Version 67 aktualisiert. Das Update steht für Linux, macOS und Windows zur Verfügung. Es bietet Unterstützung für WebAuthn, enthält Patches für Sicherheitslücken und aktiviert das Feature Site Isolation für mehr Nutzer.

Von den 34 geschlossenen Sicherheitslücken stuft Google keine als kritisch ein. Immerhin werden neun Schwachstellen mit „hoch“ bewertet. An die Entdecker dieser Lücken zahlt Google zwischen 2000 und 5000 Dollar.

Verbesserter Schutz vor Spectre

Mit der aktualisierten Browser-Version aktiviert Google das Feature Site Isolation für mehr Nutzer als bisher. Die Funktion kann aber auch über chrome://flags/#strict-site-isolation eingeschaltet werden. Mit Site Isolation wollen die Chrome-Entwickler den Schutz vor den mit Spectre bezeichneten Angriffsszenarien erhöhen.

Sollten mit dieser Funktion Probleme auftauchen, kann man diese auch abschalten. Das geschieht über die Eingabe chrome://flags/#site-isolation-trial-opt-out in der Adressleiste. Dies gilt aber nicht, wenn Site Isolation manuell aktiviert wurde.

Die Chrome-Entwickler bitten außerdem um Mithilfe, wenn es zu Problemen mit Site Isolation kommt. Betroffene Anwender werden gebeten das Entwickler-Team zu kontaktieren, sodass das Feature bald für alle Anwender zur Verfügung stehen kann.

Wenn Site Isolation aktiviert ist, rendert Chrome den Inhalt einer jeden offenen Website also in einem eigenen Prozess, der von anderen Websites isoliert ist. Das soll die Ausführung von Remotecode innerhalb der Rendering-Sandbox verhindern. Die zusätzliche Schutzebene ist allerdings mit einem um 10 bis 20 Prozent höheren Speicherbedarf verbunden.

Der für die Chrome-Sicherheit zuständige Chefentwickler Justin Schuh definierte Site Isolation schon früher in diesem Jahr als entscheidenden Unterschied in Googles Herangehensweise, die eine überlegene Sicherheit im Vergleich zu Microsoft Edge bewirke. Microsoft wiederum erklärte Edge zum sichersten Browser dank Windows Defender Application Guard (WDAG). Microsoft arbeitet hierbei mit Virtualisierung und in Containern isolierten Browserfenstern. Es soll sich auch deshalb um einen Durchbruch in der Sandboxing-Technik handeln, da es vor Angriffen auf den Kernel schütze, sollte ein Angriff die Browser-Sandbox überwinden. Hier scheint sich eine neue Rivalität zwischen Google und Microsoft zu entwickeln mit verschiedenen Herangehensweisen an Sicherheitsprobleme.

Chrome 67 unterstützt WebAuthn

Außerdem hat Google in Chrome 67 die sogenannte WebAuthn-Schnittstelle integriert. Die WebAuthn-API des W3C kann in Browser und Webplattform-Infrastrukturen integriert werden und ermöglicht eine starke, eindeutige, auf öffentlichen Schlüsseln basierende Anmeldeinformationen für jede Website und eliminiert das Risiko, dass ein von einer Website gestohlenes Passwort verwendet werden kann. Anstatt sich mit einem Benutzernamen und Passwort zu registrieren, registriert der Benutzer einen Fingerabdruck, eine Netzhaut oder andere biometrische Daten, die in einem Smartphone gespeichert sind.

Als einer der ersten Webdienste unterstützt Dropbox die Technik, beschränkt sie allerdings auf die Zwei-Faktor-Authentifizierung. Vor wenigen Wochen hat Mozilla mit Firefox 60 ebenfalls die WebAuthn-API in seinen Browser integriert.

Neue Sensor-API

Eine der größte Änderung in Chrome 67 ist die Integration der Generic Sensors API. Die neue API basiert auf dem Generic Sensor W3C Standard. Sie ist in erster Linie für den mobilen Einsatz gedacht, und in der aktuellen Version können Websites die Generic Sensors API von Chrome verwenden, um auf Daten von Beschleunigungssensoren, Gyroskop, Orientierungs- und Bewegungssensoren eines Geräts zuzugreifen.

Eine weitere API, die mit Chrome 67 ausgeliefert wird, ist die WebXR Device API. Entwickler können diese API verwenden, um virtuelle und Augmented Reality-Erlebnisse auf Chrome für mobile VR-Headsets wie Google Daydream View und Samsung Gear VR sowie Desktop-Headsets wie Oculus Rift, HTC Vive und Windows Mixed Reality Headsets zu erstellen.

Last but not least können Benutzer von Chrome 67 jetzt über ein Chrome-Flag (chrome://flags/#top-chrome-md) zwischen verschiedenen Benutzeroberflächen von Chrome wechseln.

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.

HIGHLIGHT

Report: State of Digital Transformation EMEA 2019

Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!

Kai Schmerer

Kai ist seit 2000 Mitglied der ZDNet-Redaktion, wo er zunächst den Bereich TechExpert leitete und 2005 zum Stellvertretenden Chefredakteur befördert wurde. Als Chefredakteur von ZDNet.de ist er seit 2008 tätig.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago