HTTPS

Es gibt derzeit - meines Wissens - weder seitens Mozilla noch Google Pläne, HTTP-Seiten grundsätzlich als unsicher zu markieren. Wohl aber ist das ein Thema in Abhängigkeit von Webseiten-Funktionen. Beispielsweise sind wir ja aktuell bei Chrome 49. Ab der nächsten Version wird es nicht mehr möglich sein, die Geolocation-API in einem unsicheren Kontext zu benutzen. Ich formuliere das so, weil es nicht nur HTTP und HTTPS gibt, das ist das Gleiche mit unverschlüsselten vs. verschlüsselten WebSocket-Verbindungen (ws:// vs. wss://), lokale Ressourcen (localhost oder file://) werden ebenfalls als sicherer Kontext erachtet. Anderes Beispiel Firefox: Firefox kennzeichnet bereits Webseiten als unsicher, welche ein Passwort-Feld auf einer HTTP-Webseite bereitstellen. Allerdings bisher nur in der Nightly Version und Developer Edition, nicht in Beta und Stable. Das ist abhängig vom Release-Kanal und nicht von der Firefox-Version. Mir sind keine Pläne bekannt, das auf andere Release-Kanäle auszuweiten. Kann aber alles irgendwann kommen. Gerade seit Let's Encrypt nimmt die Verbreitung von HTTPS stark zu und das Ziel ist definitiv, Verschlüsselung aggressiv voranzutreiben. Übrigens kann auch HTTPS noch nicht ausreichend sein: ab Firefox 47 kennzeichnet Firefox auch HTTPS-Seiten als unsicher, wenn der Nutzer eine Sicherheitsausnahme dafür hinzugefügt hat. Das galt bisher von der Darstellung im Browser her als sicher.