Das Firefox-Plugin HTTPS Everywhere wurde von der Electronic Frontier Foundation in der Version 1.0 veröffentlicht. Neu dabei sind u.a. die Aufnahme von mehr als 1000 neuen Quellen, zu denen automatisiert im Hintergrund beim surfen eine SSL-Verbindung aufgebaut wird. Damit wird z.B. das Auslesen von Passwörtern in öffentlichen Netzen erschwert und auch sonst gibt es in der Regel etwas mehr Privatsphäre als wenn man keine SSL-Verbindung nutzt.
Wer Firefox nutzt (Mehr als 50% unserer Leser), sollte daher aus Gründen der digitalen Selbstverteidigung auch das Plugin installieren oder updaten. Kostet auch nichts!
(Update: Für Chrome-Nutzer gibt es wohl KB SSL Enforcer)
20 Kommentare
Nun, als ich vor wenigen Wochen das letzte Mal nachgesehen habe, hatte HTTPSE noch nen ernsthaften Bug: Wenn die aufgerufene Website – aus welchem Grund auch immer – von HTTPS auf HTTP umschaltet und sich auch trotz mehreren Versuchen durch HTTPS Everywhere nicht davon überzeugen lässt, HTTPS zu verwenden, gibt HTTPS Everywhere auf und benutzt eine unverschlüsselte Verbindung. Mit dem Effekt, dass der Browser die schönen Zugangsdaten unverschlüsselt über’s Netz bläst.
Für mich ist das Ding damit ansatzweise unbrauchbar geworden, aber wenn jemand meint, sich damit sicherer zu fühlen, bittesehr.
(Technische Details: User requestet HTTPS, Site macht ein „Location:“ auf HTTP, HTTPSE rewrited auf HTTPS, requested dort, Site macht wieder ein „Location:“ und so weiter. Irgendwann springt die Endlosschleifenerkennung von HTTPSE an und verhindert ein weiteres Umschreiben auf HTTPS.)
Nur weil du nen Virenscanner hast machst du ja auch nicht einfach jeden Mailanhang einfach so auf oder?
Der Vergleich hinkt: Einen Anhang aufmachen setzt voraus, dass ich etwas aktiv tue; mit HTTPSE auf die Nase fallen kann man schon, wenn die aufgerufene Website es verbockt.
und in wiefern ist man dann ohne HTTPS Everwhere besser dran?
Weil man, wenn man sich nicht über die Schwächen im Klaren ist, vielleicht ausschließlich HTTPSE benutzt und „kompliziertere“, aber die Sicherheit stärker verbessernde Alternativen wie z.B. SSH-Tunnel oder VPNs gar nicht mehr in Betracht zieht.
Normalfall (BS-Bingo “default policy”). Ohne https-Everywhere o.ä. kannst Du fest davon ausgehen, in der Regel un verschlüsselt zu arbeiten; Du gewöhnst Dir an, auf https (oder die “Vorhängeschloß”-Ikone) bewußt zu achten.
Mit https-Everywhere gehst Du von sicherer Verbindung aus, so daß Du nicht bemerkst, wenn die Verbindung unsicher ist. PEBKAC-Problem.
Bei mir ist es genau umgekehrt. Ich hab teilweise große Probleme in diversen Blogs und Twitter, weil alles auf https geswitscht wird. Besser wäre es, wenn bestimmte URLs einfach umgeschrieben werden. Da wäre zwar der Warungsaufwand höher, aber man käme nicht auf die Idee den Kram abzuschalten, weil er eine Seite unbrauchbar macht.
Dafür gibt es den Einstellungsdialog des Addons, in dem man genau auswählen kann, für welche Seiten man es nutzen möchte.
Habe das Addon schon installiert, aber da ichs nur von der eff seite hab hätte ich das update verpasst, danke für die info!
Noch’n Workaround für Nutzer exotischerer Browser: die (nebenbei sehr gute) Suchmachine https://duckduckgo.com/ wirft auf Wunsch HTTPS-Links statt HTTP-Links aus.
Guter Tip, TNX.
Der bei Version 3 schon hohe Speicherverbrauch hat sich in Version 4/5 nochmal vervielfacht, seitdem ist es m.E. Zeit zu gehen (momentan teste ich Opera). Wäre schön, wenn die EFF HTTPS-Everywhere nach und nach auch für andere Browser rausbringen würde.
Für Opera gibt es die Erweiterung “Swiss Knife”
https://addons.opera.com/addons/extensions/details/swiss-knife/2.11/
bzw
Redirect to HTTPS (vom gleichen Autor)
https://addons.opera.com/addons/extensions/details/redirect-to-https/2.11/?display=en
Wird von der Erweiterungsverwaltung in FF 5.0 nicht gefunden und steht somit nicht auf einer vertrauenswürdigen Seite zur Verfügung. :(
Vielleicht hätte Markus mit der Nachricht warten sollen, bis die Erweiterung bei Mozilla überprüft und eingepflegt wurde.
Erweiterungen aus Drittquellen lassen sich bekanntlich nicht in FF installieren.
http://www.chip.de/downloads/HTTPS-Everywhere-fuer-Firefox_43521096.html
EFF nicht vertrauenswürdig? Warum würde man dann eine Erweiterung von denen haben wollen?
Den Grund für die Nichtauffindbarkeit bei Mozilla gibt es übrigens hier: https://www.eff.org/https-everywhere/faq/#amo
Und das Installieren geht auf allen Websites, es braucht lediglich einen einzigen Klick mehr.
Dann ist das Plugin Perspectives, – sicherlich praktisch dazu…
https://addons.mozilla.org/de/firefox/addon/perspectives/
Hier ein Auszug aus der Hilfedatei…
What is Perspectives?
Perspectives helps prevent “Man-in-the-Middle” attacks against HTTPS communication by verifying the authenticity of the server’s SSL public key. This is particularly important when you connect to websites that have “self-signed”, mismatched, or expired certificates, which cause Security Errors and prevent you from connecting to some HTTPS websites.
Und das heißt auf Deutsch ???
Das heißt auf Deutsch, daß die Erweiterung hilft MITM-Angriffe abzuwehren, bei denen dir ein Angreifer ein gefälschtes Zertifikat unterschiebt. Normalerweise merkt der Brwoser das selber, aber da viele Seiten selbst-signierte Zertifikate nutzen oder welche, die schon abgelaufen sind und die meisten Nutzer das System eh nicht verstehen, klicken sie die Warnungen einfach weg. Perspectives kuckt sich jetzt an welche Zertifikate dieser Server an mehrere “vertrauenswürdige Stellen” ausliefert. Wenn alle das gleiche bekommen, das er dir liefert, ist es vermutlich koscher.
Klingt nach einer überaus nützlichen Erweiterung. Fehlt nur noch die Eindeutschung. Ich entferne das Teil daher erstmal wieder.
Also ich hab auch Firefox 5 und es lässt sich ohne Probleme installieren und funktioniert auch wunderbar. Danke für die Info!
2 Trackbacks
[...] für Firefox und Safari gibt es die Erweiterung WOT (World of Trust) & für Firefox bzw. Chrome Erweiterungen zum Surfen via [...]
[...] lernen: In Zeiten, in denen sich HTTPS noch immer nicht ganz durchgesetzt hat, können wir es uns eigentlich schon wieder von der Backe putzen. Genau, wie es uns schon erklärt [...]