HTTPS Everywhere

Momentan macht „Firesheep“ ein Firefox Addon von sich reden, mit welchem es komfortabel möglich ist beispielsweise in offenen WLANs (an der Uni, etc.) die Sitzungen bei vielen häufig genutzen Webdiensten (u.a. Facebook, Twitter, Flickr, Amazon, Windows Live und auch Google) zu klauen. Dies funktioniert, weil viele Dienste zwar den Login Vorgang selbst per SSL verschlüsseln, danach aber meist wieder auf unverschlüsseltes „http“ umsteigen. Firesheep übernimmt Sitzungen – beispielsweise eine Einkauftour auf Amazon – durch die Übernahme des unverschlüsselt durch das Netz gehenden Cookies, so ist es dann zum Beispiel möglich ganz ohne Diebstahl des Passworts unter deinem Namen einzukaufen.

Der Autor des Plugins möchte damit auf die Sicherheitsprobleme der Dienste hinweisen, allerdings dauert deren Reaktion erwartungsgemäß immer ein bisschen. Eine simple Möglichkeit seine Sitzungen zu schützen stellt das Firefox Addon „HTTPS Everywhere“ dar. Das Plugin sorgt dafür, dass die rein technisch bei vielen Diensten vorhandene SSL Verschlüsselung auch automatisch genutzt wird. Momentan werden Google Search, Wikipedia, Twitter, Facebook, most of Amazon, GMX, WordPress.com blogs, The New York Times, The Washington Post, Paypal, EFF, Tor und Ixquick unterstützt.

Wie das so ist bei technischen Sicherheitsthemen ist, gibt es auch zu SSL-Verschlüsselung kritisches anzumerken, wen es interessiert, dem empfehle ich einen Artikel von Fefes Blog. Selbstverständlich ist das kein Grund die Möglichkeit der SSL-Verschlüsselung nicht zu nutzen…nur die Grenzen der Sicherheit, welche SSL bietet, sollten bekannt sein.

Update Netzpolitik.org berichtet über eine Aktion von „Accessnow“ um die Top 100 Websiten der Welt (wer auch immer die wie nominiert hat) zu überzeugen konsequent „https“ einzusetzten.

Update [24.11.10] HTTPS Everywhere gibt es jetzt in der Version 0.9.0, auf Heise.de gibt es einen kurzen Artikel zu den Neuerungen.

Schreibe einen Kommentar

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s