Aufgrund eines Issues bei mir im Unternehmen und doch schon einige Reddits etc, eine Info betreffs der aktuellen Releases von Edge/Chrome und Firefox. Es muss nicht zutreffen, aber kann.
Seit Version 124 von Edge und Chrome kann es zu Blockaden kommen wenn man einen Download von einer Seite, die mit http aufgerufen wird, startet. Dies passiert hauptsÀchlich bei internen Sites die kein SSL haben, zumindest stellt es das Fehlerbild bei dem wenigen was man dazu im Netz findet dar. Es scheint wohl in erster Linie pdf, Office-Dokumente und Àhnliches zu betreffen. Firefox will in Version 125 nachziehen.
Das ist kein Bug, das ist Absicht, dahinter steht eine Kampagne von Chromium http komplett zu verbannen. Jetzt sind es erst die Downloads, potenziell Exporte etc.
Ich habs im HA mit Edge getestet, das csv funktionierte.
Man kann in den Einstellungen (noch) die jeweiligen Domain oder Hosts manuell in eine Ausnahme-Liste packen, ein generelles Freischalten von âUnsecured mixed Contentâ per Flag ist nicht mehr möglich.
Grund ist warum das schreibe: Wir haben ja alle ziemlich viel IoT im Haus und meistens haben die GerĂ€te einen Webserver, der in den wenigstens FĂ€llen ein Zertifikat besitzt. (Ich stell mir grad vor jeden Shelly mit einem Zerti auszustatten, gut das ich wenigstens eine PKI habe und nicht mit LetsEncrypt rumwerkeln mĂŒsste.)
Zu bedenken ist, es steht seitens Chromium und auch Mozilla im Raume den Aufruf von Seiten via HTTP irgendwann komplett zu unterbinden. Stell ich mir spannend vor. Auf der anderen Seite, es wurde auch schon seit ĂŒber 3 Jahren angekĂŒndigt. VerdrĂ€ngt man nur gern.
Abgesehen davon, dass ich grundsĂ€tzlich der Meinung bin, dass es online seit Jahren keinen Grund mehr fĂŒr eine unverschlĂŒsselte Verbindung gibt, gibt es festgelegte, private IP Bereiche.
Und da auch die Entwickler von Browser Engines (wobei es da ja nicht mehr all zu viel Auswahl gibtâŠ) sicher schon mal was von Standards gehört haben, werden auch denen private IP Bereiche und deren Eigenschaften ein Begriff sein. Ebenso dĂŒrften Menschen, die sich mit Kryptographie beschĂ€ftigen klar sein, dass die Erstellung von Zertifikaten fĂŒr private IP Adressen grundsĂ€tzlich schwieriger zu bewerkstelligen ist als online. Und, dass dies auch nicht immer notwendig ist.
Ein Zertifikat auf 127.0.0.1 auszustellen wÀre sicher möglich aber irgendwie auch seltsam.
Auf Grund dessen bin ich guter Dinge, dass fĂŒr private IP Adressen nicht die selben EinschrĂ€nkungen gelten werden wie fĂŒr Ăffentliche.
AuĂerdem⊠Was wĂ€re die Alternative? Den Browser ab sofort nicht mehr updaten?
Einen Grund fĂŒr unverschlĂŒsselte Verbindungen wĂŒrde ich anerkennen, dass ungefĂ€hr ein ganzes Kraftwerk fĂŒr das ganze SSL-Gerassel arbeitet. Was der Stand vor der Streaming-Katastrophe war.
Der HTML-Code incl. Viren wird an jeden ausgeliefert, da gibt es keinen Unterschied durch VerschlĂŒsselung. Und mal ehrlich, kann man nun mit Zertifikat deep HTTPS-Links wie diesen irgendwie mehr trauen: https://salfuer.s3.eu-central-1.amazonaws.comâŠ
Seit gestern kann ich bei Edge und Chrome keine Backups mehr runterladen ohne ein Viertel Dutzend BestÀtigungen.
Ich habe jetzt mal danach gesucht und verstehe langsam, wieso ich dazu kaum Infos gefunden habe⊠Weil es in Chrome scheinbar schon seit 2020 Standard ist.
Nicht ganz, sie haben es mit Version 124 erst verschÀrft. Es hat bei uns im Unternehmen mit beidem Browsern genau am selben Tag angefangen, als Chrome und Edge auf 124 gesprungen sind.
Aber mittlerweile findet man einige Reddits etc die in die Richtung gehen das da wohl was schief gelaufen ist.
Das was schon lÀnger aktiv ist wenn du einen HTTP Download von einer HTTPS Seite machst (Mixed Content), der Block eines HTTP Downloads von einer HTTP Seite ist neu.
