21.07.2013

“HTTPS Everywhere” zwingt zum Verschlüsseln


Mit einem kostenlosen Browser-Zusatzprogramm lässt sich sicherstellen, dass Verbindungen zu Facebook, Google und vielen anderen Seiten stets geschützt aufgenommen werden.

Die Netzbürgerrechtsorganisation Electronic Frontier Foundation (EFF) hat eine Software im Angebot, mit der Nutzer im Internet sicherer unterwegs sind. HTTPS Everywhere wird als kostenloses Zusatzprogramm für die Browser Firefox und Chrome verteilt und sorgt dafür, dass Verbindungen im Web immer dann verschlüsselt erfolgen, wenn dies möglich ist. Bislang musste man dafür oft von Hand sorgen.

HTTPS Everywhere unter Linux

 

Der Bedarf für ein solches Werkzeug ist groß: Wer im Web surft, tut das normalerweise ähnlich sicher wie es der Versand einer Postkarte ist. Alle Daten hin und zurück vom PC des Nutzers zum Internet-Server werden im Klartext übertragen, egal ob man bei Google etwas sucht oder bei Facebook mit seinen Freunden spricht. Die in jedem Browser seit Jahren eingebaute Verschlüsselungstechnik SSL (erkennbar am Adressvorlauf “https://”) wird hingegen vor allem dann verwendet, wenn es wirklich notwendig ist: Beim Übertragen von Kreditkartendaten beispielsweise oder beim Online-Banking; manchmal auch beim Anlegen eines neuen Accounts bei einem Internet-Shop oder einer Spielewebsite.

Dabei wäre es höchst sinnvoll, möglichst viel des eigenen Datenverkehrs mit SSL zu schützen: Unterwegs lässt sich die Klartextkommunikation nämlich unter Umständen abhören. Besonders schlimm ist das beispielsweise in offenen WLAN-Netzen wie am Flughafen oder im Internet-Cafe.

Oft bieten viele Websites bereits eine SSL-Verschlüsselung an. Allerdings landet man nicht standardmäßig auf der sicheren Seite, sondern muss sie von Hand auswählen. Hinzu kommt, dass manchmal nur Teile der Verbindung wirklich abgesichert sind.

HTTPS Everywhere (“SSL überall”) automatisiert den Prozess: Die Software leitet alle Eingaben im Browser und alle Seitenabrufe automatisch auf SSL-geschützte Verbindungen um, sollten diese verfügbar sein, was sich aus einer eingebauten Datenbank ergibt. So wird etwa “http://www.nytimes.com”, weil es die Seite auch per SSL gibt, auf “https://www.nytimes.com/” umgeleitet (ganz geschützt geht das allerdings noch nicht, weil bestimmte Teile der Seite noch von Nicht-SSL-Servern nachgeladen werden müssen).

 

Kommentieren

Deine E-Mail-Adresse wird nicht veröffentlicht.