Firefox 119 zeigt nicht länger https:// in Adressleiste an
Ab Firefox 119 wird Mozilla nicht länger das Protokoll zu Beginn der URL in der Adressleiste anzeigen, sofern es sich um eine verschlüsselte Verbindung via https:// handelt.
Während Firefox beim Aufruf einer Website über http:// das Protokoll in der Adressleiste versteckt, ist https:// als Protokoll immer zu sehen. Was früher Sinn ergeben hat, weil auf diese Weise eine verschlüsselte und damit sicherere Verbindung hervorgehoben worden ist, wirkt heute meist überflüssig. Immerhin finden mittlerweile weltweit über 80 Prozent aller Website-Aufrufe über https:// statt, in manchen Ländern wie den USA sind es mittlerweile sogar mehr als 90 Prozent.
Aus diesem Grund kehrt Mozilla das Verhalten mit Firefox 119 um. Damit entfällt das https:// in der Adressleiste, während http:// angezeigt wird. Die entsprechende Option (browser.urlbar.trimHttps) wird bereits kommende Woche mit Firefox 118 eingeführt, aber erst mit Firefox 119 standardmäßig aktiviert. Während das Bugzilla-Ticket zwar erst einmal nur die Nightly-Version nennt, ist der aktuelle Patch nicht auf Nightly-Versionen beschränkt.
Außerdem wird Firefox 119 neben dem durchgestrichenen Schloss-Symbol bei http://-Seiten zusätzlich den Schriftzug „Nicht sicher“ anzeigen. Die dafür verantwortlichen Optionen (security.insecure_connection_text.enabled, security.insecure_connection_text.pbmode.enabled) existieren bereits seit über fünf Jahren und werden mit Firefox 119 standardmäßig aktiviert.
Darüber hinaus werden die Optionen, um das durchgestrichene Schloss-Symbol bei http://-Seiten gegen ein neutrales Info-Icon auszutauschen (security.insecure_connection_icon.enabled, security.insecure_connection_icon.pbmode.enabled), in Firefox 119 entfernt.
Sören Hentzschel ist Webentwickler aus Salzburg. Auf soeren-hentzschel.at informiert er umfassend über Neuigkeiten zu Mozilla. Außerdem ist er Betreiber von camp-firefox.de, der ersten Anlaufstelle im deutschsprachigen Raum für Firefox-Probleme aller Art. Weitere Projekte sind firefox.agenedia.com, firefoxosdevices.org sowie sozone.de.
Klingt sinnvoll.
Nein, ich halte von solchen Versteckspielen überhaupt nichts. Es schadet dem Verständnis der Benutzer für das WWW wenn am Ende nur noch eine Domain oder Firmenname angezeigt wird.
Daher habe ich auch die beiden Optionen
browser.urlbar.formatting.enabled
browser.urlbar.trimURLs
entsprechend konfiguriert.
Was ist jetzt so furchtbar, https:// trotzdem weiterhin angezeigt zu lassen? 🤔
Du hast das Thema verfehlt. Es geht überhaupt nicht darum, dass nur noch eine Domain oder der Firmenname angezeigt wird.
Auch das ist ein komplett anderes Thema und hat mit angeblichen „Versteckspielen“ nicht das Geringste zu tun. Die Option kann genutzt werden, um die Hervorhebung der Hauptdomain zu deaktivieren. Diese Hervorhebung dient der Erschwerung von Phishing-Angriffen, also einer ernsthaften Sicherheitsbedrohung.
Das abzuschalten ist halt komplett sinnlos. Wenn eine URL nicht über https:// läuft, läuft sie über http:// und umgekehrt. Es gibt keinen Grund, beides anzuzeigen.
Wie kommst du auf „furchtbar“? Davon steht im Artikel nichts. Es ergibt aber auch schlicht und ergreifend keinen Sinn, bei jeder Seite https:// voranzustellen, wenn das im weltweiten Durchschnitt bei 80 Prozent, in einzelnen Ländern sogar bei mehr als 90 Prozent der Fälle zutreffend ist. Darin steckt null Information für den Anwender. Eine relevante Information in der Angabe des Protokolls existiert in den verbliebenen unter zehn bis 20 Prozent der Fälle, sprich in den Fällen, in denen von der Norm abgewichen wird.
Bedenke: Aktuell ist es genau umgekehrt. Ist eine Seite über http:// statt https:// erreichbar, wird das http:// ausgeblendet. Weil das vor zig Jahren die Norm war. Das Protokoll in einem von zwei Fällen auszublenden, ist also keine Neuerung. Die Änderung besteht ausschließlich darin, sich der geänderten Realität anzupassen. Und die Realität ist, dass unverschlüsseltes HTTP nicht mehr der Standard ist. Heute ist HTTPS der Standard.
[Wie kommst du auf „furchtbar“? Davon steht im Artikel nichts.]
Oh, sorry, "furchtbar" bitte nicht wörtlich nehmen. Zumindest in Norddeutschland ist das eine Metapher für "Worin besteht die Notwendigkeit, sich damit zu befassen?" Hier also seitens der Firefox-Programmierer völlig unabhängig von Deinem Text.
[Bedenke: Aktuell ist es genau umgekehrt. Ist eine Seite über http:// statt https:// erreichbar, wird das http:// ausgeblendet.]
Nicht in meinem Profil, das ist so konfiguriert, dass immer die vollständige URL angezeigt wird. Da reicht dann ein Blick, sicher zu erkennen, um welches der beiden Protokolle es sich handelt. Finde ich praktisch und falls Mozilla die Option zulässt, werde ich das auch so beibehalten.
Einen Mehrwert kann ich bei Mozillas Schritt nicht erkennen, es sei denn, jemand stört sich an der Protokollanzeige. Das hat dann aber mehr mit Design als mit Funktion zu tun.
Das mag ja sein. Aber hier geht es logischerweise um den Standard-Auslieferungszustand.
Es reicht auch ohne deine Änderung ein Blick. Es ist im Standard-Auslieferungszustand sogar einfacher, als wenn man auf den minimalen Unterschied zwischen http:// und https:// achten muss. Beides anzuzeigen erhöht den kognitiven Aufwand für den Nutzer.
Es geht hier weder um eine ausschließliche Designentscheidung noch darum, dass sich jemand daran „stören“ würde. Es geht hier um UX-Grundlagen in Zusammenhang mit Sicherheit.
Das Ziel muss es immer sein, dem Nutzer relevante Informationen anzuzeigen. Wenn etwas in 80 bis über 90 Prozent der Fälle zutrifft, ist das keine relevante Information. Im Gegenteil wäre es dann relevant, wenn eine Abweichung vom üblichen Fall vorliegt. Das trifft insbesondere zu, wenn es um Sicherheitsindikatoren geht. Je seltener die Information relevant ist, desto größer ist das Risiko, dass der Nutzer übersieht, wenn eine Situation vorliegt, die nicht im gewohnten Maß als sicher einzustufen ist.
Und mal völlig unabhängig davon: Es ist generell sinnvoll, sich an geänderte Realitäten anzupassen. Es ist eine Tatsache, dass vor 15 Jahren http:// und heute https:// Standard ist. Es ergibt schlicht und ergreifend keinen Sinn, das Standard-Verhalten immer noch danach zu richten, was damals üblich war, obwohl heute das komplette Gegenteil zutreffend ist.