Auf http://httpshaming.tumblr.com/ werden Webseiten gesammelt, die immer noch keine TLS-Verschlüsselung der übertragenen Daten unterstützen oder auch bei sensiblen Übertragungen nicht standardmäßig aktivieren. Passenderweise unterstützt tumblr selbst keine https-Verbindungen. Öffentlicher Druck ist vermutlich eines der effektivsten Mittel, Webseiten und Serverbetreiber dazu zu bringen, sichere Verbindungen zuzulassen.
Dazu wird ein tumblr nicht reichen, aber er bietet einen guten Ausgangspunkt, gezielt die dortigen Seitenbetreiber zu kontaktieren. Sehr kritische Lücken etwa bei involvierten Finanztransaktionen, werden jedoch im ersten Schritt gar nicht veröffentlicht. Der Initiator gab gegenüber Ars Technica an, dann direkt die Verantwortlichen zu kontaktieren. Deshalb fehlt auch eine „Shaming Wins“-Liste nicht, auf der diejenigen Webseiten aufgeführt haben, die nach einem „Schäm Dich“ umgestellt haben. Auf das viele folgen mögen und solche Reaktionen aussterben:
Why we (sadly) resort to public shaming
Me: Hi there! Your website collects credit card numbers insecurely. Your payment forms load and POST over unencrypted HTTP. I can’t find any email contact information for your company online, and had to dig for your phone number. Can you please fix this?
Company: Your information is safe with us! We use bank-level encryption! Do you see the lock?
Me: Yeah, I see a lock image you added right next to the credit card field… and the stock photo of the confident woman on her laptop with a credit card in hand. It’s still insecure, and your server is not even listening on port 443. Do you have someone who handles security or even general IT that you could connect me to or leave a note for?
Company: No but I assure you, we take your security very seriously. Millions of customers use us every day and we’ve never heard of a problem like this. Have you tried restarting your computer?
Me: …
Company: Well, we appreciate your feedback!