News Google Chrome: Seiten ohne HTTPS werden als unsicher markiert

[M@C]

Weil man sich einfach darauf verlassen können sollte, dass genau die Website die man eintippt auch auf dem Bildschirm erscheint. Oder anders herum, so wie du deine Website befüllst, kommt sie auch bei den Benutzern an.
Da reicht zwar auch HTTPS nicht, aber es ist ein Anfang.
Ich finde das ist ein vernünftiger Grund, du magst das gerne anders sehen.
Aber auch eine statische Seite mit falschem Content gefüllt, kann großen Schaden anrichten.

Googles Monopolstellung ist hierbei natürlich gewaltig, es stimmt schon, dass es bedenklich ist, dass ein amerikanisches Unternehmen dir Vorschriften machen kann, bei deren Nichteinhaltung du mit Problemen rechnen musst. Das ist aber eine andere Baustelle und ist nicht nur bei der HTTPS Problematik so.

 

[Snooty]

Nachdem cb es geschafft hat, komplett auf https umzustellen, stellt sich die Frage, warum es bei z.B. heise immer noch nicht umgesetzt ist.

Beim Login ist die Seite mit HTTPS gesichert - ansonsten ist es ja nicht wirklich notwendig.

 

[fuyuhasugu]

ansonsten ist es ja nicht wirklich notwendig.

Entscheidet wer? Macht sich natürlich auch gut, wenn man für "Meinungsumfragen" nicht mehr an der Haustür klingeln braucht, sondern einfach in Echtzeit mitlesen kann, wer wann wo welche Meinung vertritt. Frei nach: "wer nichts zu verbergen hat ...."

 

[crvn075]

Beim Login ist die Seite mit HTTPS gesichert - ansonsten ist es ja nicht wirklich notwendig.

Die Session lässt sich danach prima abgreifen, da braucht man das Passwort gar nicht mehr?

 

[BunkerFunker]

Kannst du das mal ausführen?

Welchen Teil davon? HTTPS kann man sehr leicht umgehen, z.B. braucht es nur eine einzige "infiltrierte CA" und schon sieht alles sicher aus für den Enduser und es kann alles mitgelesen werden. Habe ich selbst schon nachgestellt, funktioniert einwandfrei.

 

[Piktogramm]

Zertifikat muss man nicht einmal die CA infiltrieren, was mehr Arbeit bedeutet als Angriffe auf plain http.
Zudem gibt es certificate pinning, womit das fälschen von Zertifikaten nochmals erschwert wird.

Ansonsten kann es kein valides Argument in der IT sein Sicherheitsmaßnahmen nicht zu ergreifen, da diese nicht perfekt sind.

 

[BunkerFunker]

Zertifikat muss man nicht einmal die CA infiltrieren, was mehr Arbeit bedeutet als Angriffe auf plain http.
Zudem gibt es certificate pinning, womit das fälschen von Zertifikaten nochmals erschwert wird.

Welche Arbeit? Ich unterstelle, nach den Veröffentlichungen von Snowden einfach einmal, dass einige CAs mit der CIA kooperieren. Andere Staaten dürften ähnliches tun und damit ist die ganze Geschichte nur halbgar. CA Pinning erhöht die Sicherheit, prima - nur wer nutzt es schon? Ich habe nichts gegen mehr Sicherheit, aber wenn HTTPS allein die Antwort sein soll, dann gute Nacht.

 

[Piktogramm]

Die Beschränkung auf große Akteure (Staaten) ist schon ein größerer Sicherheitsgewinn im Vergleich zu unverschlüsselter Übertragung und selbst diese müssen die CA ersteinmal zum signieren des gefälschten Zertifikats bringen bzw. zur Herausgabe des Rootzertifikats. Klar aus Sicht des Datenschutzes und IT-Sicherheit ist das immer noch großer Mist, die kleineren Scheißhausfliegen sind aber halbwegs raus. Immerhin ein kleiner Gewinn.
Ein größerer Gewinn ist meiner Meinung, dass überhaupt eine Notwendigkeit zur Verwendung verschlüsselter Verbindungen erzwungen wird. Das erleichtert die Argumentation von ITlern gegenüber ihren Vorgesetzten, Infrastruktur (z.B. Webspacepakete) ohne Möglichkeit Verschlüsselte Verbindungen anzubieten werden wirtschaftlich unattraktiv etc. pp.

"[...] wer nutzt das schon"
Das spielt auf dem selben Level wie "das haben wir immer schon so gemacht".

 

[Der-Orden-Xar]

BunkerFunker spricht mit seinem "wer nutzt das schon" aber einen wichtigen Punkt an, nämlich:
WARUM nutzt das quasi niemand? Ivan Ristic schrieb unlängst Is HTTP Public Key Pinning Dead? und man muss wohl leider sagen: Ja, eine Art HPKP 2.0 muss her, das einfacher und sicherer zu händeln ist.

 

[crvn075]

Ich habe nichts gegen mehr Sicherheit, aber wenn HTTPS allein die Antwort sein soll, dann gute Nacht.

Du störst dich zurecht an der CA-Infrastruktur, HTTPS hat damit aber erst mal nicht viel zu tun. Für den unwahrscheinlichen Fall, dass wir die CAs in Zukunft begraben und Browsern eine andere Möglichkeit geben, den Schlüssel eines Server zu zertifizieren, wird HTTPS immer noch zum Einsatz kommen können.

Würdest du ohne verschlüsselten Transport heute Online-Banking betreiben oder im Internet einkaufen? Mal in Ausland WLAN-Hotspots verwendet? Wann kam in den News das letzte mal was von Phishing und Online-Betrug... kein Jahr her, oder? Du hast vielleicht keine Garantie dafür, dass CIA und Konsorten nicht den Mann in der Mitte spielen, aber du kannst ziemlich sicher sein, dass ihn sonst keiner spielt. Ist in Zeiten, in denen das Internet für alle möglichen Geschäftstätigkeiten immer mehr Verwendung findet vielleicht doch nicht so schlecht? Davon abgesehen bringt HTTP/2 aus technischer Sicht viele Vorteile, was ohne HTTPS aber im Sande verläuft.

 

[Brian McDonald]

Man in the Middle funktioniert immer ... Zumindest für den NSA (Der kopiert alle Datenströme 1 zu 1 und speichert sie über Stunden)

 

[M@C]

Und was soll das Speichern bringen? Wenn sie die Verschlüsselung nicht knacken können können sie daran ja nichts verändert.
Zusätzlich garantieren die gängigen Protokolle Freshness, weshalb genau das nicht funktioniert.

 

[fuyuhasugu]

Richtiges Signal an die "0-Bock-Hobby-Webmaster"...

So wie bei Adobe. Da läuft Anmeldung, Registrierung und selbst die Übermittlung eingespannter persönlicher Dokumente nur über Seiten mit "mixed content", wo überhaupt nicht erkennbar ist, ob und was verschlüsselt wird.