Microsoft spart https im arabischen Raum (Update)

Aus bisher nicht kommunizierten Gründen hat Microsoft für den eigenen eMail-Dienst Hotmail Nutzern in arabischen Ländern einfach mal das https entzogen. Jillian C. York hat heute Morgen erste Hinweise darauf bekommen und im Laufe des Tages die Meldung verifiziert und verbloggt: Microsoft Hotmail: No HTTPS for Arab, Iranian Users.

Nutzer in Ländern wie Iran, Syrien, Bahrain, Marocco, etc. können die https-Funktion nicht nutzen, Nutzer in allen anderen Ländern wie Deutschland, USA, etc. können sicherer mailen. Man kann das auch verifizieren (sofern man einen Hotmail-Account besitzt), wenn man dort in den Einstellungen einfach mal das Land wechselt. Ein Klick in ein anderes Land und plötzlich ist etwas mehr Sicherheit da. Damit sind gerade durch den Wegfall von https genau die Länder betroffen, wo Menschen gerade erst recht https bräuchten, um ihre Leben nicht zu gefährden, wenn sie sich dort politisch engagieren und ihre Meinung frei äußern.

Jillian C. York empfiehlt deshalb auch allen Nutzern in diesen Ländern, entweder in den Einstellungen das Land oder besser gleich ganz den Service zu wechseln.

Update: Nach Angaben von Microsoft handelte es sich um einen Bug, der mittlerweile behoben ist.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

18 Ergänzungen

  1. hotmail & yahoo sind in der arabischen welt sogar weit verbreitet. dort laufen auch gerne mal die e-mails von mittelständlern drüber („große amerikanische firma“)

  2. Auch hier in Deutschland muss man erst einmal manuell einstellen, das das Web-Hotmail über https läuft (Standardmäßig wird nur das Passwort verschlüsselt übertragen).
    Hindern tut es trotzdem keinen, sich mit seinem E-Mail-Client über eine verschlüsselte Verbindung mit Hotmail zu verbinden. Das kann man ja nicht einfach bestimmten Leuten abstellen (außer über IP-Sperre).

  3. Bei aller prinzipiellen Liebe für Verschwörungstheorien. Irgend wer mal auf die Idee gekommen, daß die es einfach nicht gebacken kriegen!? UTF8, von rechts nach links, verschlüsselt im NETZWERK und es dann hinterher auch wieder lesen können…!? Das sind gleich vier Dinge für deren fehlerfreie Implementierung Micro$oft noch nie großes Talent bewiesen hat.
    Und die können ja nicht einfach openssl hernehmen, oder auch nur ein normales Zeilenendzeichen in einer Textdatei, oder den richtigen Slash in einer Pgadangabe. Ihr Geschäftsmodell zwingt Sie das Rad jedesmal wieder aufs Neue erfinden zu müssen und immer ein kleinwenig anders als alle Anderen, da schleichen sich schnell Fehler ein.

  4. Das Microsoft einfach mal so eben die Regime in der Gegend unterstützen will, glaube ich nicht.

    Ich kann mir vorstellen, dass in einigen arabischen Ländern https von vornherein gestört oder blockiert wird und Microsoft diesen Schritt unternimmt, damit Leute weiterhin überhaupt mailen können und deren Email Dienst nicht schlecht dasteht.
    Ich kann mich an einem Vortrag über Internetsperren auf einem CCC Kongress erinnern, wo https Sperren in einigen arabischen Ländern erwähnt wurden, kann also gut sein, dass Microsoft da nichts anderes übrig blieb.
    Wäre interessant zu wissen, wie es da mit anderen Email Diensten aussieht, die eine komplette Verschlüsselung über https unterstützen.

    Letzten Endes hat sich aber ja auch mit dem Problem letztens bei Comodo gezeigt, dass man sich damit in falscher Sicherheit wiegt, wer wirklich sicher mailen will, nutzt etwas wie PGP und gut ist.

  5. wenn es dort gesetze geben sollte, die ein verbot von https bewirken, könnte dies der einzige weg sein, den menschen dort https anzubieten: „staat, sie her, ich erlaube deinen bürgern nicht, gegen dein gesetz zu verstoßen, bitte schön. der trick mit dem falschen standort ist ein klarer verstoß gegen die nutzungsbedingungen, den wir verfolgen können, wenn es uns in den kram passt, aber wir sind ja schließlich nicht die polizei.“

    vielleicht halten die sich einfach nur möglichst viele möglichkeiten frei.

    offener einsatz für kommunikationsschutz und bürgerrechte sieht für mich anders aus.

    .~.

  6. Mir ist die Motivation von MS völlig unklar, sind die jetzt total gaga?
    Sie sind absolut erfahren genug um nicht so naiv zu sein zu glauben, dass das schon nicht auffällt.
    Warum es dann (ich hab jetzt nicht recherchiert) kein Pressestatement vorab oder im gleichen Moment gibt ist echt seltsam.

    Die gegeben Theorien finde ich aber alle haltbar, auch die von @Jörg Reinhardt, denn wenn nunmal die Infrastruktur gerade soundso ausgelegt ist kann es echt n Problem sein das alles zu vereinen, also Schreibrichtung, Zeichensatz (wer sagt hier utf? Vielleicht gibts sogar nen eigenen arabischen) hin und her kodieren, wenn die Struktur dahinter nicht passt ist SSL abschalten ein schnelles und einfaches Workaround bis man das Problem im Griff hat.
    Andererseits wenn das nur https betrifft… betrifft es dann nur das Webinterface? D.h. SSL/TLS über imap oder pop+smtp geht? Dann würd ich mir keine Sorgen machen ^^ Webinterfaces benutzt man doch nur wenn man gerade nicht sein eigenes Gerät benutzt.

    @Sebastian R. #10: PGP ist aber irgendwie ne andere Baustelle. Ich stimme dir zu, ich bin ein echter Fan von OpenPGP (das kommerzielle find ich dohv), aber Ende-zu-Ende ist eben was anderes, wenn https ausgeschaltet ist und ich benutze (wie auch immer) PGP in einem Webinterface, dann werden Benutzername, Passwörter und die Mail-Header im Klartext übertragen. Man muss also schlichtweg beides machen, https um Leute in der Mitte davon abzuhalten mein Passwort zu lesen und E2E-Encryption um meinen Mailprovider daran zu hindern meinen Mailinhalt zu lesen. Das Passwort kennt der eh und den Header braucht er halt :)

  7. @13 (deus figendi):

    webinterfaces benutzt man doch nur wenn man gerade nicht sein eigenes gerät benutzt

    leser dieses blogs mögen das mehrheitlich so machen. ich kenne aber durchaus auch leute, die stets das webinterface ihres mailproviders benutzen.

    und zwar, nachdem sie es bei google gesucht haben… wm(

    auf der anderen seite traue ich den menschen in den betroffenen ländern pauschal etwas mehr gefühl für die gruseligen bedürfnisse ihres gemeinwesens zu. das thema wird dort sicher von mehr menschen diskutiert, die webinterfaces von mailprovidern benutzen, als das in deutschland der fall ist.

    .~.

  8. Das ist gerade typisch für hiesige Blogs.

    Erst hupen, überholen und dann in den Graben fahren.

    Ich erwarte hier weniger Hysterie und mehr Seriösität.

    Oskar

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.