fragwürdige Sicherheit mittels EFFs HTTPS Everywhere

Sicherheit automatisiert im Browser — so jedenfalls in der Theorie. In der Praxis ist HTTPs Everywhere auf Firefox beschränkt, denn nur für diesen existiert diese Erweiterung. Ein eventuell vorhandenes SSL/TLS per se kann natürlich jeder haben, sofern unterstützt, allerdings ohne den mit dieser Erweiterung einhergehendem Automatismus. Aber ein https:// sollte von den meisten noch nachvollziehbar sein.

Tatsächliches Problem aber ist diese angestrebte Verschlüsselung. Viele, die SSL/TLS einsetzen, wissen nicht um die Tücken von SSL/TLS. Auch dem Redakteur von golem war dies wohl nicht bewußt als er schrieb: Von da an werden alle Anfragen an Wikipedia und die entsprechenden Ergebnisse zwischen dem Browser und dem Wikipedia-Server abhörsicher verschlüsselt. Denn erstens wird eben in der Regel nicht jegliche Kommunikation mit dem Server verschlüsselt und sobald man beispielsweise bei der Wikipedia Bildmaterial anwählt, verläßt man den sicheren Hafen, denn konsistent wurde SSL/TLS dort nicht umgesetzt. Es sind Kleinigkeiten, Kleinigkeiten, die jedoch bei einem Personenkreis mit einem tatsächlichen Sicherheitsbedürfnis schnell einen gewaltigen Kolateralschaden nach sich ziehen können. Somit sind beispielsweise ebenso Rückschlüsse möglich, welche Seiten man en detail besuchte — auch derart läßt sich ein Profil erstellen. Bei den Microbloggingdiensten Twitter und identi.ca schaut es nicht anders aus, Facebook wechselt mal gerne von https nach http und vice versa, etc. pp. Etwaige Werbung und Statistikmodule führen den Anspruch von SSL/TLS ohnehin gleich mal wieder ad absurdum.

Was bleibt? Nun eine verschlüsselte Suche beispielsweise bei Google, Google aber weiß was man gesucht hat und vor allem wer dies getan hat. Ebenso weiß auch Facebook, was wer wo auf deren Server treibt. Bleibt also die Frage vor wem man sich schützen möchte? Vor den Augen der größten Datenakquisiteure Google und Facebook etwa? Oder möchte man Vater Staat ausweichen? Letzterer kann natürlich auch ein Profil ob diverser Inkonsistenzen bei der Verschlüsselung erstellen oder dieser tritt einfach beispielsweise an Google heran, wie just bei Google Streetview geschehen, und verlangt Auskunft.

EFF weist natürlich auf ein Teil dieser Problematik im Zusammenhang mit SSL/TLS hin: As always, even if you’re at an HTTPS page, remember that unless Firefox displays a colored address bar and an unbroken lock icon in the bottom-right corner, the page is not completely encrypted and you may still be vulnerable to various forms of eavesdropping or hacking (in many cases, HTTPS Everywhere can’t prevent this because sites incorporate insecure third-party content). Aber selbst in den Medien, wie man anhand von Golem sieht, kam dies nicht wirklich an.

Sicherheit ist kein Plugin oder irgendeine PFW in Windows, Sicherheit ist ein Konzept. Ein Konzept, daß nie 100% Sicherheit garantieren kann, dennoch aber konsequent durchdacht sein sollte, um nicht schon die Basis nachaltig zu kompromitieren.

Last but not least, Golems Einwurf mit veralteten oder nicht korrekt erstellten Zertifikaten ist nur die halbe Miete, denn auch Firefox ist nicht allwissend und so manche Warnung entpuppte sich im Nachhinein als Fehler des Browsers. Wie schon erwähnt, ich halte von derlei Automatismen nicht viel, verführen sie doch zu dem Irrglauben omnipotente Sicherheit zu besitzen oder zumindest Sicher genug zu sein. In letzter Zeit wurde zudem vermehrt Kritik laut an der Vertrauenswürdigkeit diverser Zertifizierungsstellen.

Ich würde zur Tor raten — neben der Nutzung von SSL/TLS, man büßt zwar Komfort ein, aber man erhält ein gewaltiges Plus an Sicherheit, auch gerade gegenüber dem Server-Betreiber. SSL/TLS weckt Vertrauen, kann diesem aber in der Praxis meiner Meinung nach nur bedingt gerecht werden. Zumindest funktioniert es auch ohne Brain 1.0 nicht wirklich. Wer hingegen vermeint ein Plugin genügt kann auch gleich auf diesen verzichten, denn ein Konzept besitzt dieser keines, nur ein beruhigtes Gewissen.

Addendum: weils gerade via Mail reinflatterte: Trackmenot. Bruce Schneier schrieb ein paar Zeilen zu der Wirksamkeit dieser Erweiterung.

Yes, data mining is a signal-to-noise problem. But artificial noise like this isn’t going to help much. If I were going to improve on this idea, I would make the plugin watch the user’s search patterns. I would make it send queries only to the search engines the user does, only when he is actually online doing things. I would randomize the timing.

Bild: Bolton Castle, Wikimedia Commons, Public Domain von Immanuel Giel

, , , , , , , ,

14 Antworten zu “fragwürdige Sicherheit mittels EFFs HTTPS Everywhere”

  1. Thostra sagt:

    Ich bin ja eigentlich ein Freund offener Türen, zumindestens in Reality 1.0, trotzdem muß der Nachbar nicht alles mitkriegen. FF mit der HTTPS– funktion ist auf jeden Fall ein kleiner Fortschritt; FF bietet auch den Luxus eines TOR– Plugins, und ein Addon ‘Track me not’, das die Krake fingierten Suchanfragen beschäftigt oder torpediert, je nach Einstellung.

    Ich kann mit einem Browser– Fenster (nach gegebenen Möglichkeiten) HTTPS nutzen, gleichzeitig Google mit Suchanfragen ärgern, und, wenn ich es für nötig halte, auf TOR zugreifen. Das Ganze so handlebar, daß es ohne tiefgreifende IT– Kenntnisse benutzbar ist, im Vergleich zu GnuPG ‘Kinderkram’.

    Mein Lieblingsbrowser (Opera) bietet diese Möglichkeiten leider nicht und ich mühe mich, FF zu nutzen und mich zu gewöhnen.

    Das all dieses nicht nutzt, wenn die Warnungen deaktiviert sind, ich nicht beim geringsten unguten Gefühl einen Site– Check mache, ja, ist so; MD5, ‘ja, da war doch mal was’, aber wer kontrolliert denn heute noch Prüfsummen? Oder jagt einen Download erstmal durch einen Virenscanner? Das ist doch wie im Stau stehen und drückt die ‘effektive’ Download– Geschwindigkeit unter 56kb/s.

    Den Kopf einschalten’ heißt eben das Gegenteil von ‘Brot + Spiele’, ‘Brot + Spiele’ heißt auch: Spuren zu hinterlassen (so wissen Vater Staat und andere Kraken immer, wo ich bin und was ich treibe).

    Leider fürchte ich, keine Spuren zu hinterlassen könnte per se schon ‘verdächtig’ machen. So sind viele Seiten (z.B. BMI, BKA, …) nicht über Ixquick– Proxy (einem sehr einfachen TOR– Weg: Ich klicke nicht den Link, sondern auf ‘Proxy’) nicht zu erreichen …

  2. Dirk sagt:

    Ich hatte schon ein paar mal Tor ausprobiert, aber jedesmal nach wenigen Minuten wieder entnervt aufgegeben — Die Geschwindigkeit war wirklich unerträglich und ich rede hier von <5kb/s bei DSL 6000. Hat sich das geändert, hatte ich nur Pech/war unfähig oder ist das einfach so bei Tor? Wenn ja, muss ich nämlich sagen dass mir Schnelligkeit wichtiger als Sicherheit ist.

  3. Oliver sagt:

    >Wenn ja, muss ich nämlich sagen dass mir Schnelligkeit wichtiger als Sicherheit ist.

    Ich spreche einzig jene an, bei denen Sicherheit Priorität genießt.

  4. PhaseIV sagt:

    Ist das plugin nun Rückschritt oder geht es nur nicht weit genug?
    Wird ein neues Problem geschaffen oder mindestens die Statistik der SSL-Nutzung in die gewünschte Richtung gedrückt und ein klein wenig mehr Sicherheit verteilt?
    Geht das plugin dem DAU sinnvoll zur Hand?
    Die meisten Netznutzer haben Brain-1.0 weder voll abbezahlt noch einsatzfähig. Jede Verbesserung dieses bedingt abwehrbereiten Zustandes ist wünschenswert. Konzepte haben hierzuland ja die wenigsten. Noch mal die Wahlergebnisse anschauen…

  5. Chris sagt:

    1. Wir sind nicht die Auskunft.
    2. Was sollte der zweite Kommentar?

  6. marc sagt:

    > Ist das plugin nun Rückschritt oder geht es nur nicht weit genug?

    Es ist ein zweischneidiges Schwert. Es ist natürlich nicht verkehrt die https-Varianten diverser Webseiten zu verwenden, sofern diese angeboten werden. Insbesondere wenn man z.b. öffentliche WLANs oder dergleichen nutzt. Das Plugin bietet an dieser Stelle einfach nur etwas zusätzliche Bequemlichkeit, weil man sich das «https»-Eintippen spart, nicht mehr und nicht weniger.

    Aber ein Problem bei allen Tools die mehr Sicherheit versprechen (hauptsächlich bei diversen Schlangenöl-Angeboten wie Virenscannern etc.), ist unter anderem die Gefahr der Risiko-Kompensation, wenn sie konzept– und planlos eingesetzt werden. Sprich: Weil der User denkt er sei sicherer aufgrund toller neuer Tools, verhält er sich unvorsichtiger, denn es kann ihm ja jetzt nichts mehr passieren, und hebt somit den möglichen Sicherheitsgewinn durch blauäugiges Verhalten wieder auf.

    Und dieses Verhalten ist auch bei SSL zu beobachten, wenn man sieht wieviel Prozent aller Netznutzer die Browserwarnungen bei nicht verifizierten Zertifikaten ignorieren. Das Vertrauen in SSL ist definitiv überschätzt.
    Es gibt frei verfügbare Werkzeuge mit denen man eine Man-in-the-Middle Attacke mit ein paar Mausklicks fahren und auch SSL-verschlüsselte Inhalte mitschneiden kann, unter der Vorraussetzung, daß der User die Warnungen ignoriert und wegklickt…

    Fazit: Das Plugin ist nicht schlecht, wenn man sich bewußt macht, was es leisten kann und was nicht.

  7. Oliver sagt:

    Exakt, es ging nicht darum dieses Plugin per se zu verdammen, sondern die Haltung die durch solcherlei Tools provoziert wird und auch allgemein zu beobachten ist näher zu beleuchten. Ratsam ist es auch den einzelnen Links zu folgen, diese bieten weiterführende Informationen, die die angesprochene Situation in puncto Sicherheit anschaulich verdeutlichen.

  8. Chris sagt:

    Danke. Das wieder und wieder zu erklären, da fehlt mir heute die Disziplin zu…

  9. allo sagt:

    Ich würde nicht so vorbehaltslos zu Tor raten, weil Tor bietet Anonymität, das Plugin verschlüsslung. Zusammen sind sie stark, aber bei Tor alleine lesen die Exit Nodes mit. Sie wissen zwar (meist) nicht, wessen daten sie lesen, aber die Daten an sich sind ja oft interessant genug (und enthalten manchmal identifizierende informationen)

  10. Oliver sagt:

    >Ich würde nicht so vorbehaltslos zu Tor raten

    Ich schrieb:

    >Ich würde zur Tor raten — neben der Nutzung von SSL/TLS, man büßt zwar Komfort ein, aber man erhält ein gewaltiges Plus an Sicherheit.

    Zum Rest bieten wir hier auf dieser Publikation unzählige Artikel und da wir keine Tageszeitung sind setzen wir auch voraus, daß der Leser hier zumindest selbst die Suche in die Hand nimmt. Denn viele der hier geschriebenen Artikel bauen aufeinander auf. Wir stellten damals unsere Plattform .get privacy ein, weil wir einsahen, daß wir nicht zum Grundschulerklärbären taugen.

  11. Dirk sagt:

    Ich finds ja immer total klasse, wenn man Zitate aus dem Zusammenhang reißt und dann so antworten kann, wie es einem passt. Ich meine, wie wichtig muss einem Sicherheit sein, um mit 5kb/s zufrieden zu sein? Ich denke für alles außer Geheimagenten und wichtige geheime Staatsdokumente/Firmenunterlagen ist das doch ein bisschen zu viel des guten. Auch für einen Betreiber eines solchen Blogs, der wohl kaum jeden Tag klassifizierte Dokumente in den Händen hält. Also warum sollte jemand Tor ernsthaft einsetzen, der zwar gerne Anonymität im Internet hätte, aber auch gleichzeitig ein Internet nicht im Schneckentempo? Das ist nun einmal das, was der Otto-Normal-Nutzer will, mit dieser Realität sollte man sich auch auseinandersetzen.

  12. Alex sagt:

    Ich suche nach einer Möglichkeit, bei einer https-Verbindung nicht-verschlüsselte Inhalte blockieren zu können. Hat hier jemand eine Lösung oder einen Vorschlag?

  13. Oliver sagt:

    >Ich meine, wie wichtig muss einem Sicherheit sein, um mit 5kb/s zufrieden zu sein?

    Ich habe im Schnitt mehr als 5kb/s. Ich besitze zudem Intelligenz, weiß also wo Sicherheit für meine Zwecke angebracht ist und wo ich dies, z.B. im Netz, u.U. vernachlässigen kann.

    >Das ist nun einmal das, was der Otto-Normal-Nutzer will, mit dieser Realität sollte man sich auch auseinandersetzen.

    Ich muß mich mit dem Otto-Normal-Nutzer überhaupt nicht auseinandersetzen, die können sich auf irgendeinem Forum austauschen, kaufen Apple … whatever, jedenfalls ist dies nicht unsere Klientel, wie man anhand aller Themen hier leichtens beobachten kann.

    Another one bites the dust, kommt mir beim $otto immer in den Sinn. Dieser ist in der Regel der letzte der etwas tut und der erste, der unter etwaigen Kolateralschäden zu leiden hat.

    Ich habe nichts zu verbergen.

    >Ich denke für alles außer Geheimagenten und wichtige geheime Staatsdokumente/Firmenunterlagen

    Ignoranz ist eben kein Argument. Mir fällt es schwer Zeitgenossen als blöde zu bezeichnen, denn in der Regel ist dies nur ein temporärer Zustand und diesem kann zu jeder Zeit abgeholfen werden.

  14. […] Etwas auseinander genommen wird die Erweiterung F!XMBR. […]

RSS-Feed abonnieren