taz.de

       # taz.de -- Werkzeug "HTTPS Everywhere": Besser alles verschlüsseln
       
       > Unsichere Verbindungen zu Facebook, Google und anderen Seiten? Mit einem
       > kostenlosen Browser-Zusatzprogramm lässt sich das verhindern.
       
 (IMG) Bild: Auch Spiele auf Facebook sollten sicher sein.
       
       Die US-Netzbürgerrechtsorganisation Electronic Frontier Foundation (EFF)
       hat eine neue Software vorgestellt, mit der Nutzer im Internet sicherer
       unterwegs sein sollen. [1][HTTPS Everywhere] wird als kostenloses
       Zusatzprogramm für den Browser Firefox verteilt und sorgt dafür, dass
       Verbindungen im Web immer dann verschlüsselt erfolgen, wenn dies möglich
       ist. Bislang musste man dafür oft von Hand sorgen.
       
       Der Bedarf für ein solches Werkzeug ist groß: Wer im Web surft, surft in
       der Regel unsicher. Alle Daten vom PC des Nutzers zum Internet-Server
       werden im Klartext übertragen, egal ob man bei Google etwas sucht oder bei
       Facebook mit seinen Freunden spricht.
       
       Die in jedem Browser seit Jahren eingebaute Verschlüsselungstechnik SSL
       (erkennbar am Adressvorlauf https://) wird vor allem dann verwendet, wenn
       es wirklich notwendig ist: Beim Übertragen von Kreditkartendaten
       beispielsweise oder beim Online-Banking; manchmal auch beim Anlegen eines
       neuen Accounts in einem Internet-Shop oder auf einer Spielewebsite.
       
       ## SSL-geschützte Verbindungen
       
       Dabei wäre es sinnvoll, möglichst viel des eigenen Datenverkehrs mit SSL zu
       schützen: Unterwegs können Andere die Klartextkommunikation unter Umständen
       mitlesen, beispielsweise in offenen WLAN-Netzen wie am Flughafen oder im
       Internet-Cafe. Der Datenverkehr l[2][ässt sich] [3][mit wenig Aufwand]
       abfangen, der Zugang zur Lieblingswebsite, zum Twitter- oder
       Facebook-Account ist also unsicher.
       
       Viele Websites bieten bereits eine SSL-Verschlüsselung an, darunter auch
       Facebook und Twitter, wo sie allerdings von Hand ausgewählt werden müssen.
       Hinzu kommt, dass manchmal nur Teile der Verbindung abgesichert sind.
       
       HTTPS Everywhere ("SSL überall") automatisiert den Prozess: Die Software
       leitet alle Eingaben im Browser und alle Seitenabrufe automatisch auf
       SSL-geschützte Verbindungen um, sollten diese verfügbar sein, was sich aus
       einer eingebauten Datenbank ergibt. So wird etwa [4][http://www.taz.de],
       weil es die Seite auch per SSL gibt, auf [5][https://www.taz.de/]
       umgeleitet (ganz geschützt geht das allerdings noch nicht, weil bestimmte
       Teile der Seite noch von Nicht-SSL-Servern nachgeladen werden müssen).
       
       Google kann man auf diese Weise ab sofort genauso verschlüsselt besuchen
       wie Facebook oder die New York Times. Selbst Seiten von Supermärkten,
       Unternehmen und Online-Shops werden umgeleitet, sollte es eine SSL-Version
       geben.
       
       ## Phishing-Schutz
       
       Die Datenbank in HTTPS Everywhere wird ständig erweitert und [6][kann mit
       wenig Programmieraufwand] selbst ergänzt werden. Sinn des Projektes ist es
       nach Angaben der EFF, Nutzer wie Unternehmen darauf aufmerksam zu machen,
       dass es die Verschlüsselungstechnik längst gibt und sie künftig als
       Standard eingesetzt werden sollte. HTTPS Everywhere soll außerdem einen
       gewissen Druck ausüben, die Kapazitäten bestehender verschlüsselter Server
       zu erhöhen beziehungsweise mehr davon zu fordern.
       
       Ein Beispiel ist das Online-Lexikon Wikipedia: Dort kann man zwar geschützt
       auf den Seiten lesen, alle Bilder, die vom Server "uploads.wikimedia.org"
       stammen, werden aber nach wie vor unverschlüsselt übertragen, was
       Rückschlüsse auf die angesurften Seiten erlaubt.HTTPS Everywhere hilft
       außerdem bei Phishing-Angriffen: So werden etwa auch beim
       Zahlungsdienstleister PayPal stets SSL-Seiten angefordert. Sollte ein
       Angreifer versuchen, solche Seiten über eine unsichere Verbindung zu
       leiten, um das Passwort abzufangen, beißt er auf Granit: HTTPS Everywhere
       nutzt stets die SSL-Version.
       
       Die Datenbank des Werkzeugs enthält außerdem Hinweise auf Seiten, die noch
       Probleme machen. So ist etwa das Surfen im Online-Shop Amazon derzeit nur
       teilweise verschlüsselt möglich, während eine SSL-Übertragung vom
       Werbedienstleister Doubleclick dafür sorgt, dass manche Nachrichtenseiten
       plötzlich nicht mehr funktionieren. Für viele andere Seiten funktioniert
       HTTPS Everywhere aber zuverlässig.
       
       16 Aug 2011
       
       ## LINKS
       
 (DIR) [1] http://www.eff.org/https-everywhere
 (DIR) [2] /!60490/
 (DIR) [3] /!60490/
 (DIR) [4] /
 (DIR) [5] /
 (DIR) [6] http://www.eff.org/https-everywhere/rulesets
       
       ## AUTOREN
       
 (DIR) Ben Schwan
       
       ## ARTIKEL ZUM THEMA
       
 (DIR) Probleme bei Google+: Verlust der digitalen Präsenz
       
       Google+-User befürchten, dass wegen eines Verstoßes gegen die
       Nutzungsbedingungen ihr gesamter Google-Account samt Daten flöten geht. Die
       Konsequenz: Kündigung.
       
 (DIR) Zwist um Wikipedia: Die anonymen Wächter
       
       Mit der Arbeitsstelle "Wiki-Watch" wollten Medienrechtler für mehr
       Transparenz bei Wikipedia sorgen. Doch Wikipedianer verdächtigen die
       Verantwortlichen, ein falsches Spiel zu treiben.