HTTP Shaming – Can you please encrypt my traffic?!

httpshaming

Auf http://httpshaming.tumblr.com/ werden Webseiten gesammelt, die immer noch keine TLS-Verschlüsselung der übertragenen Daten unterstützen oder auch bei sensiblen Übertragungen nicht standardmäßig aktivieren. Passenderweise unterstützt tumblr selbst keine https-Verbindungen. Öffentlicher Druck ist vermutlich eines der effektivsten Mittel, Webseiten und Serverbetreiber dazu zu bringen, sichere Verbindungen zuzulassen.

Dazu wird ein tumblr nicht reichen, aber er bietet einen guten Ausgangspunkt, gezielt die dortigen Seitenbetreiber zu kontaktieren. Sehr kritische Lücken etwa bei involvierten Finanztransaktionen, werden jedoch im ersten Schritt gar nicht veröffentlicht. Der Initiator gab gegenüber Ars Technica an, dann direkt die Verantwortlichen zu kontaktieren. Deshalb fehlt auch eine „Shaming Wins“-Liste nicht, auf der diejenigen Webseiten aufgeführt haben, die nach einem „Schäm Dich“ umgestellt haben. Auf das viele folgen mögen und solche Reaktionen aussterben:

Why we (sadly) resort to public shaming

Me: Hi there! Your website collects credit card numbers insecurely. Your payment forms load and POST over unencrypted HTTP. I can’t find any email contact information for your company online, and had to dig for your phone number. Can you please fix this?

Company: Your information is safe with us! We use bank-level encryption! Do you see the lock?

Me: Yeah, I see a lock image you added right next to the credit card field… and the stock photo of the confident woman on her laptop with a credit card in hand. It’s still insecure, and your server is not even listening on port 443. Do you have someone who handles security or even general IT that you could connect me to or leave a note for?

Company: No but I assure you, we take your security very seriously. Millions of customers use us every day and we’ve never heard of a problem like this. Have you tried restarting your computer?

Me: …

Company: Well, we appreciate your feedback!

4 Ergänzungen

  1. Es kann auch helfen die Webseiten bzw. deren Eigentümer einfach selbst anzuschreiben.

    Es gibt viele Webseiten/Projekte, deren Egentümer sich nicht mit dem Thema Sicherheit/Datenschutz beschäftigen und daher auch nicht auf dem neusten Stand sind, welche Dinge mittlerweile nicht mehr sicher sind, welche neuen Angriffe es gibt oder was man aus Datenschutzsicht vermeiden sollte. Das gilt auch für Webseiten, bei denen man es eigentlich erwartet. Diese Leute sind oft froh, wenn sie auf die neusten Gefahren/Erkenntnisse hingewiesen werden

    Ich glaube ein paar persönliche Briefe von betroffenen Kunden sind besser als eine x-beliebige Webseite, welche so eine Liste führt. In der Regel hat man mit einem persönlichen Schreiben auch nichts zu verlieren (außer vlt die 10min für das Verfassen).

  2. Naja, selbst wenn die Firmenführung die Notwendigkeit von IT-Sicherheit nicht selbst begreift, sollten diese Stellen nie lange frei bleiben, sonst passiert früher oder später so was:
    Personalmanager: „Sie bewerben sich also auf eine Stelle als…?“
    Bewerber: „IT-Sicherheitschef.“
    Personalmanager: „Aber wir suchen gar keinen IT-Sicherheitschef.“
    Bewerber: „Ich weiß. Ich hab‘ den Termin selber eingetragen.“

  3. Ich habe persönliche Erfahrungen mit einem großen amerikanischen IT-Anbieter, der seine Services hauptsächlich für Geschäftskunden anbietet. Erst kürzlich habe ich einen Vertrag mit einer Summe jenseits von €1 Mio. mit diesem Anbieter ausgehandelt.

    Der Supportbereich des Anbieters verwendete ein seit langem unsicheres Verschlüsselungsverfahren. Erstaunlicherweise verwendete ein veralteter Zugang zu diesem Supportbereich ein modernes Verfahren. Allerdings wies der Anbieter darauf hin, doch bitte nur den aktuellen Zugang zu benutzen, der wie gesagt unsicher war. Schließlich send eich bei Supportanfragen unternehmenskritische Daten über diese Verbindung. Man war nicht erfreut, akzeptierte dies aber.

    Es bedurfte aber auch danach noch mehrfacher Nachfragen auf Managmentebene – zu der man als solcher Kunde halt ein wenig leichter Zugang hat als ein privater Endverbraucher – bis mir als Antwort mitgeteilt wurde, dass in einigen Monaten mit einer Aktualisierung des Supportportals zu rechnen sei, man bis dahin aber nichts ändern würde.

    Mittlerweile wird tatsächlich nicht mehr nur RC4 eingesetzt. Aber die SSL-Zugänge erhalten auf den einschlägigen SSL-Check-Seiten noch immer die Einstufung „F“ – sehr schlecht.

    Mittlerweile hat unser Unternehmen 80 % aller Verträge mit diesem namhaften großen Unternehmen gekündigt bzw. verlängert sie nicht mehr. Das bedeutet Umsatzverluste für dieses Unternehmen von mehreren Millionen Euro. Auch die restlichen 20 % der Verträge stehen zur Debatte. Dies hat vor allem Gründe, die in der Qualität der angebotenen Software liegen. Sicherheitsaspekte, die ich beschrieb, spielen aber auch eine Rolle.

    Das nur als Erläuterung, welchen „Stellenwert“ Sicherheit selbst bei vielen großen Unternehmen genießt.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.