Black Hat Europe 2014 Sicherheitsforscher Jose Selvi präsentiert einen Angriff auf das HTTPS-Absicherungsverfahren Strict Transport Security (HSTS). Dabei schickt er das System in die Zukunft - mittels eines Angriffs auf das NTP-Protokoll.

Eine Lücke in einem uralten SSL-Protokoll gefährdet die Sicherheit von Netzverbindungen. Poodle ist jedoch auch mit modernen Browsern ausnutzbar. Dafür sorgt ein Workaround, mit dem sich alte Protokollversionen erzwingen lassen.

Eine bislang wenig beachtete HTTPS-Erweiterung mit dem Namen HTTP Public Key Pinning (HPKP) steht kurz vor ihrer Standardisierung. Durch Public Key Pinning könnten viele Probleme mit den Zertifizierungsstellen gelöst werden.

Läuft Chromium im Vollbild wie auf ChromeOS oder dem Chromecast, kann für die Hardwarebeschleunigung auf die Fenstersysteme X11 oder Wayland verzichtet werden. Dafür wird die Ozone-Zwischenschicht benötigt, wie ein Intel-Entwickler erklärt.

Linux-Nutzer können das HTML5-Streaming von Netflix nun ohne Einschränkungen mit dem Chrome-Browser nutzen. Eine Ankündigung dazu gibt es bisher nicht, die Unterstützung ist aber seit längerem in Vorbereitung.

45 Prozent aller Android-Smartphones sind noch immer von einer vor wenigen Wochen entdeckten Sicherheitslücke im Smartphone-Browser betroffen. In Deutschland liegt die Zahl sogar deutlich höher.

Mozilla hat angekündigt, dass der Firefox 37 im Frühling 2015 als 64-Bit-Version für Windows erscheinen soll. Googles Chrome und Microsofts Internet Explorer sind bereits mit 64-Bit-Technik ausgestattet.

Ericsson Research stellt ein freies Framework zur Unterstützung von WebRTC bereit. Dieses nutzt H.264 oder VP8, basiert auf Gstreamer und unterstützt auch Android und iOS. Für Letzteres steht ein ebenfalls freier Beispiel-Browser bereit.

Adobe hat eine Photoshopversion für Googles Chromebooks und den Chrome-Browser vorgestellt. Vorerst ist sie aber Bildungskunden vorbehalten und kann nicht drucken oder GPU-Funktionen nutzen. Dennoch ist das ein wichtiger Schritt für Chrome OS.

Der Marktstart von Netflix und Fire TV hat die deutsche VoD-Branche aufgescheucht. Mit Preissenkungen oder Werbung machen Amazon Instant Video, Maxdome, Sky Snap und Watchever vermehrt auf sich aufmerksam. Alle Dienste leiden aber an rechtlichen Beschränkungen, und das Angebot ist überall unterschiedlich.
Von Nico Ernst

In der NSS-Bibliothek ist eine Sicherheitslücke entdeckt worden, mit der sich RSA-Signaturen fälschen lassen. Betroffen sind die Browser Chrome und Firefox, für die bereits Updates erschienen sind. Es handelt sich um eine Variante der Bleichenbacher-Attacke von 2006.

Keine Plug-Ins, aber immerhin iOS-8-Extensions werden von der neuen Chrome-Version unterstützt, die Google für das iPhone und das iPad veröffentlicht hat.

Es fehlt wohl nur ein Bibliotheksupdate, um den HTML5-Player von Netflix auch auf Linux anbieten zu können. Das Filtern des User-Agents soll nach dem Update beendet werden, berichtet ein Mitarbeiter.

Mit Chrome 39 werden Mac-Nutzer nur noch eine 64-Bit-Version des Browsers verwenden können. 32-Bit-Plugins sowie die Macbooks und Macbook Pro der ersten Generation werden damit nicht mehr unterstützt.

Wie angekündigt lassen sich die ersten Android-Apps auf Chrome OS ausführen. Sie müssten nicht portiert werden, sagte Google dem US-Dienst Ars Technica. Dafür benutzt Google große Teile des Android-Stacks.

Google hat seine Pläne zur Abschaffung von SHA-1-Signaturen konkretisiert. Trotz langjähriger Warnungen gibt es noch Tausende Zertifikate mit SHA-1-Signaturen, die bald Probleme bekommen werden.

Google testet HTTP/2 bei seinen Login-Servern und Firefox-Nightly und -Beta-Tester können sich nicht mehr anmelden. Schuld sei eine fehlerhafte Implementierung von Google, schreibt ein Mozilla-Entwickler.

Windows-Nutzer von Chrome 37 erhalten ein besseres Font-Rendering und können eine 64-Bit-Version nutzen. Die Veröffentlichung schließt auch 50 Sicherheitslücken, darunter eine kritische, die Google 30.000 US-Dollar wert ist.

Sicherheitsexperten haben den Browser des Tor-Bundles überprüft. Sie geben mehrere Hinweise, wie der Tor-Browser zu härten ist.

Google will Zertifikate, die mit SHA-1 signiert sind, bis spätestens 2017 loswerden. Der Chrome-Browser wird bald entsprechende Warnungen anzeigen. SHA-1 gilt schon seit einigen Jahren als potentiell unsicher.

Für seinen Chrome-Browser führt Google eine Liste von Webseiten, die ausschließlich über HTTPS erreichbar sein sollen. Dort kann sich jeder Webseitenbetreiber eintragen, der die HSTS-Erweiterung nutzt.

Die aktuellen Dev-Channel-Builds des Chrome-Browsers für Mac OS X verwenden eine 64-Bit-Version, sofern möglich. Google spart sich eine Ankündigung und lässt die Version von Nutzern testen.

Um Nutzer künftig vor falschen oder entwendeten Zertifikaten zu schützen, will Mozilla eine zentrale Sperrliste pflegen. Damit folgen die Firefox-Macher den Ideen Googles für Chrome.

Google hat unter dem Codenamen Turbofan einen neuen Compiler für die Javascipt-Engine V8 veröffentlicht. Details zu dem experimentellen Code stehen aber noch aus.

Nach einer kurzen Testphase steht die 64-Bit-Version von Chrome unter Windows nun auch in einer Beta bereit. Eine stabile Veröffentlichung noch in diesem Jahr ist damit sehr wahrscheinlich.

Seit der Version 22 hat der Google-Browser Chrome unter Windows ein Problem, das nun von Google auch als Bug anerkannt wird: Das Programm weckt den Prozessor sehr oft auf, um schneller zu laufen. Das kann für kürzere Laufzeiten von Notebooks sorgen.

Mit der neuen Version 36 von Googles Browser Chrome ist das Design der Inkognito- und Gast-Sitzungen leicht verändert worden. Zudem sind 26 Sicherheitslücken behoben worden und HTML-Imports werden unterstützt.

Mitarbeiter von Google haben mehrere gefälschte Zertifikate für Domains des Konzerns gefunden. Ausgestellt wurden sie von einer Zertifizierungsstelle der indischen Regierung. Diese Zertifizierungsstelle wird nur von Windows akzeptiert.

Die Fernwartungssoftware Chrome Remote Desktop gibt es nun auch für Linux. Vorerst aber nur als Beta, da die Software nur für Ubuntu und Debian bereitgestellt wird und einige manuelle Systemeingriffe voraussetzt.

Seit drei Wochen können Windows-Nutzer Chrome-Erweiterungen nur noch über den Web-Store installieren. Die Kritik an dieser Vorgehensweise reißt nicht ab.

Ein Fehler im Futex-Code von Linux erlaubt Nutzern vollen Zugriff auf den Kernel. Damit ließe sich etwa aus der Chrome-Sandbox ausbrechen. Patches sind bereits verfügbar.

Erneut haben Sicherheitsforscher entdeckt, dass von Anwendern besuchte Links ausgelesen werden können. Dabei kommt das Javascript-API requestAnimationFrame zum Einsatz.

Mit der Erweiterung End-to-End für Chrome will Google die Verschlüsselung per PGP erleichtern. Dazu wurde eine Kryptobibliothek für Javascript umgesetzt. Jetzt soll End-to-End rigoros getestet werden.

Für Windows stehen in den Entwicklerzweigen von Chrome nun auch 64-Bit-Versionen des Browsers bereit. Dieser soll dadurch schneller, sicherer und stabiler werden.

Das auf Websockets und Node.js aufbauende Socket.io steht in Version 1.0 bereit. Die Software hat eine neue ausgelagerte Engine und erlaubt das Senden von Binärdaten.

Nach Chromebooks kommt jetzt die Chromebox: Wir haben uns den kleinen NUC-ähnlichen Rechner von Asus genauer angeschaut. Uns hat interessiert, ob sich ChromeOS als Desktop und die Chromebox als Multimediagerät eignen.

Der in Chrome integrierte PDF-Renderer steht als Open Source bereit. Der Code könnte in Chromium aufgenommen werden und stammt zum Teil von Foxit-Software.

Mit der Veröffentlichung von Chrome 35 nutzt der Browser nun Aura statt GTK+. Die Umsetzung des UI-Frameworks verzögerte sich um Monate.

Entwicklerversionen von Googles Chrome erlauben es, die lange Version einer URL zu verstecken. Phishing-Versuche werden dadurch offensichtlicher, aber auch die Google-Suche wird prominenter platziert.

Mit dem Google-Chrome-Plugin Naptha können Texte aus Bilddateien kopiert werden. Das erspart mitunter viel Tipparbeit und funktioniert erstaunlich gut, wie ein Test von Golem.de zeigte. Der Text kann dabei sogar aus dem Bild entfernt werden.

Die Fernwartungssoftware Chrome Remote Desktop funktioniert bereits seit langem auf Desktop-PCs. Nun hat Google auch eine Android-App veröffentlicht.

Im Zuge von Heartbleed sollen Serverbetreiber ihre Zertifikate erneuern und die alten zurückziehen. Das Problem dabei: Das bringt fast nichts, denn kein einziger Browser prüft die Gültigkeit der Zertifikate auf sichere Weise.

In der neuen Version von Googles Browser gibt es ein überarbeitetes Web-Audio-API. Außerdem lässt sie den Import betreuter Nutzer zu und verändert das Aussehen in der Kacheloberfläche von Windows 8.

Google bietet beim Kauf von Chromebooks bis zu 145 Euro Rabatt pro Gerät an. Die Aktion gilt bis zum Sommer 2014, allerdings nur für Unternehmen.

Erneut ist ein Fehler entdeckt worden, der das unbemerkte Mithören über das Speech-API in Chrome ermöglicht. Genutzt wird dazu eine längst überholte Version des APIs, die es erlaubt, das Element zu verstecken.

Mit Hilfe von fehlerhaften X.509-Zertifikaten haben Forscher zahlreiche zum Teil sicherheitskritische Bugs in TLS-Bibliotheken gefunden. Erneut wurde dabei eine gravierende Sicherheitslücke in GnuTLS entdeckt.

Über ein API sollen sich SIMD-Anweisungen in Javascript einbinden lassen, um rechenintensive Anwendungen zu beschleunigen. Das API ist im Firefox integriert, Chrome soll ebenso folgen wie die Standardisierung in ECMAScript Version 7.

Google Now wird nun ganz regulär in die Desktopversionen von Chrome integriert. Damit werden die Informationskarten, die bislang nur auf den mobilen Betriebssystemen verfügbar waren, auch auf PCs und Macs angezeigt.

Ein kurzer Schlüsselaustausch bringt Chrome zum Absturz, andere Browser akzeptieren völlig unsinnige Parameter für einen Diffie-Hellman-Schlüsselaustausch. Im Zusammenhang mit den jüngst gefundenen TLS-Problemen könnte das ein Sicherheitsrisiko sein.

Der Chromium-Code zur Hardwarebeschleunigung des Video-Decoders solle verschoben werden, was die experimentelle Nutzung vereinfachen könnte. Beteiligte protestieren aber mit Verweis auf den schlechten Linux-Code und den Grafik-Stack, der sehr viele Optionen zulasse.