Schlagwort ‘SSL/TLS‘

fragwürdige Sicherheit mittels EFFs HTTPS Everywhere

Sicherheit automatisiert im Browser — so jedenfalls in der Theorie. In der Praxis ist HTTPs Everywhere auf Firefox beschränkt, denn nur für diesen existiert diese Erweiterung. Ein eventuell vorhandenes SSL/TLS per se kann natürlich jeder haben, sofern unterstützt, allerdings ohne den mit dieser Erweiterung einhergehendem Automatismus. Aber ein https:// sollte von den meisten noch nachvollziehbar sein.

Tatsächliches Problem aber ist diese angestrebte Verschlüsselung. Viele, die SSL/TLS einsetzen, wissen nicht um die Tücken von SSL/TLS. Auch dem Redakteur von golem war dies wohl nicht bewußt als er schrieb: Von da an werden alle Anfragen an Wikipedia und die entsprechenden Ergebnisse zwischen dem Browser und dem Wikipedia-Server abhörsicher verschlüsselt. Denn erstens wird eben in der Regel nicht jegliche Kommunikation mit dem Server verschlüsselt und sobald man beispielsweise bei der Wikipedia Bildmaterial anwählt, verläßt man den sicheren Hafen, denn konsistent wurde SSL/TLS dort nicht umgesetzt. Es sind Kleinigkeiten, Kleinigkeiten, die jedoch bei einem Personenkreis mit einem tatsächlichen Sicherheitsbedürfnis schnell einen gewaltigen Kolateralschaden nach sich ziehen können. Somit sind beispielsweise ebenso Rückschlüsse möglich, welche Seiten man en detail besuchte — auch derart läßt sich ein Profil erstellen. Bei den Microbloggingdiensten Twitter und identi.ca schaut es nicht anders aus, Facebook wechselt mal gerne von https nach http und vice versa, etc. pp. Etwaige Werbung und Statistikmodule führen den Anspruch von SSL/TLS ohnehin gleich mal wieder ad absurdum.

Weiterlesen: »fragwürdige Sicherheit mittels EFFs HTTPS Everywhere«

, , , , , , , ,

RSS-Feed abonnieren