 |
# taz.de -- Werkzeug "HTTPS Everywhere": Besser alles verschlüsseln |
|
|
|
> Unsichere Verbindungen zu Facebook, Google und anderen Seiten? Mit einem |
|
> kostenlosen Browser-Zusatzprogramm lässt sich das verhindern. |
|
|
 |
Bild: Auch Spiele auf Facebook sollten sicher sein. |
|
|
|
Die US-Netzbürgerrechtsorganisation Electronic Frontier Foundation (EFF) |
|
hat eine neue Software vorgestellt, mit der Nutzer im Internet sicherer |
|
unterwegs sein sollen. [1][HTTPS Everywhere] wird als kostenloses |
|
Zusatzprogramm für den Browser Firefox verteilt und sorgt dafür, dass |
|
Verbindungen im Web immer dann verschlüsselt erfolgen, wenn dies möglich |
|
ist. Bislang musste man dafür oft von Hand sorgen. |
|
|
|
Der Bedarf für ein solches Werkzeug ist groß: Wer im Web surft, surft in |
|
der Regel unsicher. Alle Daten vom PC des Nutzers zum Internet-Server |
|
werden im Klartext übertragen, egal ob man bei Google etwas sucht oder bei |
|
Facebook mit seinen Freunden spricht. |
|
|
|
Die in jedem Browser seit Jahren eingebaute Verschlüsselungstechnik SSL |
|
(erkennbar am Adressvorlauf https://) wird vor allem dann verwendet, wenn |
|
es wirklich notwendig ist: Beim Übertragen von Kreditkartendaten |
|
beispielsweise oder beim Online-Banking; manchmal auch beim Anlegen eines |
|
neuen Accounts in einem Internet-Shop oder auf einer Spielewebsite. |
|
|
|
## SSL-geschützte Verbindungen |
|
|
|
Dabei wäre es sinnvoll, möglichst viel des eigenen Datenverkehrs mit SSL zu |
|
schützen: Unterwegs können Andere die Klartextkommunikation unter Umständen |
|
mitlesen, beispielsweise in offenen WLAN-Netzen wie am Flughafen oder im |
|
Internet-Cafe. Der Datenverkehr l[2][ässt sich] [3][mit wenig Aufwand] |
|
abfangen, der Zugang zur Lieblingswebsite, zum Twitter- oder |
|
Facebook-Account ist also unsicher. |
|
|
|
Viele Websites bieten bereits eine SSL-Verschlüsselung an, darunter auch |
|
Facebook und Twitter, wo sie allerdings von Hand ausgewählt werden müssen. |
|
Hinzu kommt, dass manchmal nur Teile der Verbindung abgesichert sind. |
|
|
|
HTTPS Everywhere ("SSL überall") automatisiert den Prozess: Die Software |
|
leitet alle Eingaben im Browser und alle Seitenabrufe automatisch auf |
|
SSL-geschützte Verbindungen um, sollten diese verfügbar sein, was sich aus |
|
einer eingebauten Datenbank ergibt. So wird etwa [4][http://www.taz.de], |
|
weil es die Seite auch per SSL gibt, auf [5][https://www.taz.de/] |
|
umgeleitet (ganz geschützt geht das allerdings noch nicht, weil bestimmte |
|
Teile der Seite noch von Nicht-SSL-Servern nachgeladen werden müssen). |
|
|
|
Google kann man auf diese Weise ab sofort genauso verschlüsselt besuchen |
|
wie Facebook oder die New York Times. Selbst Seiten von Supermärkten, |
|
Unternehmen und Online-Shops werden umgeleitet, sollte es eine SSL-Version |
|
geben. |
|
|
|
## Phishing-Schutz |
|
|
|
Die Datenbank in HTTPS Everywhere wird ständig erweitert und [6][kann mit |
|
wenig Programmieraufwand] selbst ergänzt werden. Sinn des Projektes ist es |
|
nach Angaben der EFF, Nutzer wie Unternehmen darauf aufmerksam zu machen, |
|
dass es die Verschlüsselungstechnik längst gibt und sie künftig als |
|
Standard eingesetzt werden sollte. HTTPS Everywhere soll außerdem einen |
|
gewissen Druck ausüben, die Kapazitäten bestehender verschlüsselter Server |
|
zu erhöhen beziehungsweise mehr davon zu fordern. |
|
|
|
Ein Beispiel ist das Online-Lexikon Wikipedia: Dort kann man zwar geschützt |
|
auf den Seiten lesen, alle Bilder, die vom Server "uploads.wikimedia.org" |
|
stammen, werden aber nach wie vor unverschlüsselt übertragen, was |
|
Rückschlüsse auf die angesurften Seiten erlaubt.HTTPS Everywhere hilft |
|
außerdem bei Phishing-Angriffen: So werden etwa auch beim |
|
Zahlungsdienstleister PayPal stets SSL-Seiten angefordert. Sollte ein |
|
Angreifer versuchen, solche Seiten über eine unsichere Verbindung zu |
|
leiten, um das Passwort abzufangen, beißt er auf Granit: HTTPS Everywhere |
|
nutzt stets die SSL-Version. |
|
|
|
Die Datenbank des Werkzeugs enthält außerdem Hinweise auf Seiten, die noch |
|
Probleme machen. So ist etwa das Surfen im Online-Shop Amazon derzeit nur |
|
teilweise verschlüsselt möglich, während eine SSL-Übertragung vom |
|
Werbedienstleister Doubleclick dafür sorgt, dass manche Nachrichtenseiten |
|
plötzlich nicht mehr funktionieren. Für viele andere Seiten funktioniert |
|
HTTPS Everywhere aber zuverlässig. |
|
|
|
16 Aug 2011 |
|
|
|
## LINKS |
|
|
 |
[1] http://www.eff.org/https-everywhere |
|
[2] /!60490/ |
|
[3] /!60490/ |
|
[4] / |
|
[5] / |
|
[6] http://www.eff.org/https-everywhere/rulesets |
|
|
|
## AUTOREN |
|
|
|
Ben Schwan |
|
|
|
## ARTIKEL ZUM THEMA |
|
|
|
Probleme bei Google+: Verlust der digitalen Präsenz |
|
|
|
Google+-User befürchten, dass wegen eines Verstoßes gegen die |
|
Nutzungsbedingungen ihr gesamter Google-Account samt Daten flöten geht. Die |
|
Konsequenz: Kündigung. |
|
|
|
Zwist um Wikipedia: Die anonymen Wächter |
|
|
|
Mit der Arbeitsstelle "Wiki-Watch" wollten Medienrechtler für mehr |
|
Transparenz bei Wikipedia sorgen. Doch Wikipedianer verdächtigen die |
|
Verantwortlichen, ein falsches Spiel zu treiben. |
