Wer ein Mobiltelefon mit Android nutzt, kann seine Internetnutzung jetzt auf relativ einfache Weise sicherer machen: Die Eletronic Frontier Foundation (EFF) bietet ihre Browser-Extension HTTPS Everywhere seit kurzem in einer Beta-Version für Mozilla Firefox auf Android an.
In Zeiten, in denen auch die Geheimdienste sich für das Nutzungsverhalten von Smartphone-Besitzern interessieren ist dies zumindest ein kleiner Schritt für mehr Privatsphäre. Was man da unter anderem alles erschwert, hat Linus vor einiger Zeit hier beschrieben. Hundertprozentige Sicherheit ist damit natürlich noch nicht hergestellt, unter anderem, weil HTTPS Everywhere logischerweise auch nur dort für HTTPS-Verbindungen sorgen kann, wo diese unterstützt werden.
Das Vorgehen ist recht simpel: Einfach die neuueste Version von Firefox installieren, und den Download von HTTPS Everywhere starten.
Dürfte ich an dieser Stelle empfehlen, „certificate patrol“ gleich mit dazu zu installieren. Sonst kann man sich nämlich nicht sicher sein, das das certificate auch wirklich vom gewünschen server kommt und nicht vom NSA/BND-Proxy in der Mitte.
Wie erkenne ich das denn von welchem Server die Zertifikate kommen und wann nicht?
nun du kannst tatsächlich niemals nachvollziehen, ob das Certifikat das bei dir ankommt überhaupt dasjenige war, das der Webserver losgeschickt hat oder ob es jemand auf dem Weg ausgetauscht hat.
Certificate patrol speichert die Certificates allerdings beim ersten mal ab und vergleicht dann bei jedem weiteren Abruf, ob sich das Certificate geändert hat. Wenn das passiert, spricht das dafür, dass da grade jemand den verschlüsselten Datenverkehr (im Klartext) mitliest. Google mal „man in the middle“ attack bei Interesse
Hatte ich mal ne ganze Weile zum Testen installiert. Leider verwenden viele Domains viele unterschiedliche Zertifikate (abwechselnd), so dass eigentlich jedes mal ne kleine Warnung aufploppt. Das desensibilisiert natürlich stark. Der Tipp nur zu gucken ob die CertificateAuthority gleich bleibt, hilft auch nicht immer, weil es auch Domains gibt wo die ständig wechseln :/
Schade dass Firefox auf Android ziemlich unbenutzbar ist. Keine richtigen Tabs, Lesezeichen unsortierbar, usw… immerhin gibts Ghostery womit man die schlimmsten Webtracker abschalten kann.
HTTPS ist broken by design, daher sind alle versuche es durch Zusätze wie certpatrol abzusichern, kosmetik. Richtig und gut, aber sie lösen nicht das grundsätzliche Problem.
Das Thema ist ziemlich uferlos. Fängt bei der Länge der Root-Certificate Listen an, geht über die Vertrauhenwürdigkeit der Certificate Authorities (Kooperation mit staatlichen Stellen, IT-Sicherheit, Identitäts-Prüfung bei Ausstellung) weiter und endet bei Sachen wie „man in the middle“.
Der Standard ist mehr Problem als Lösung.