piwik no script img

Werkzeug "HTTPS Everywhere"Besser alles verschlüsseln

Unsichere Verbindungen zu Facebook, Google und anderen Seiten? Mit einem kostenlosen Browser-Zusatzprogramm lässt sich das verhindern.

Auch Spiele auf Facebook sollten sicher sein. Bild: dpa

Die US-Netzbürgerrechtsorganisation Electronic Frontier Foundation (EFF) hat eine neue Software vorgestellt, mit der Nutzer im Internet sicherer unterwegs sein sollen. HTTPS Everywhere wird als kostenloses Zusatzprogramm für den Browser Firefox verteilt und sorgt dafür, dass Verbindungen im Web immer dann verschlüsselt erfolgen, wenn dies möglich ist. Bislang musste man dafür oft von Hand sorgen.

Der Bedarf für ein solches Werkzeug ist groß: Wer im Web surft, surft in der Regel unsicher. Alle Daten vom PC des Nutzers zum Internet-Server werden im Klartext übertragen, egal ob man bei Google etwas sucht oder bei Facebook mit seinen Freunden spricht.

Die in jedem Browser seit Jahren eingebaute Verschlüsselungstechnik SSL (erkennbar am Adressvorlauf https://) wird vor allem dann verwendet, wenn es wirklich notwendig ist: Beim Übertragen von Kreditkartendaten beispielsweise oder beim Online-Banking; manchmal auch beim Anlegen eines neuen Accounts in einem Internet-Shop oder auf einer Spielewebsite.

SSL-geschützte Verbindungen

Dabei wäre es sinnvoll, möglichst viel des eigenen Datenverkehrs mit SSL zu schützen: Unterwegs können Andere die Klartextkommunikation unter Umständen mitlesen, beispielsweise in offenen WLAN-Netzen wie am Flughafen oder im Internet-Cafe. Der Datenverkehr lässt sich mit wenig Aufwand abfangen, der Zugang zur Lieblingswebsite, zum Twitter- oder Facebook-Account ist also unsicher.

Viele Websites bieten bereits eine SSL-Verschlüsselung an, darunter auch Facebook und Twitter, wo sie allerdings von Hand ausgewählt werden müssen. Hinzu kommt, dass manchmal nur Teile der Verbindung abgesichert sind.

HTTPS Everywhere ("SSL überall") automatisiert den Prozess: Die Software leitet alle Eingaben im Browser und alle Seitenabrufe automatisch auf SSL-geschützte Verbindungen um, sollten diese verfügbar sein, was sich aus einer eingebauten Datenbank ergibt. So wird etwa http://www.taz.de, weil es die Seite auch per SSL gibt, auf https://www.taz.de/ umgeleitet (ganz geschützt geht das allerdings noch nicht, weil bestimmte Teile der Seite noch von Nicht-SSL-Servern nachgeladen werden müssen).

Google kann man auf diese Weise ab sofort genauso verschlüsselt besuchen wie Facebook oder die New York Times. Selbst Seiten von Supermärkten, Unternehmen und Online-Shops werden umgeleitet, sollte es eine SSL-Version geben.

Phishing-Schutz

Die Datenbank in HTTPS Everywhere wird ständig erweitert und kann mit wenig Programmieraufwand selbst ergänzt werden. Sinn des Projektes ist es nach Angaben der EFF, Nutzer wie Unternehmen darauf aufmerksam zu machen, dass es die Verschlüsselungstechnik längst gibt und sie künftig als Standard eingesetzt werden sollte. HTTPS Everywhere soll außerdem einen gewissen Druck ausüben, die Kapazitäten bestehender verschlüsselter Server zu erhöhen beziehungsweise mehr davon zu fordern.

Ein Beispiel ist das Online-Lexikon Wikipedia: Dort kann man zwar geschützt auf den Seiten lesen, alle Bilder, die vom Server "uploads.wikimedia.org" stammen, werden aber nach wie vor unverschlüsselt übertragen, was Rückschlüsse auf die angesurften Seiten erlaubt.HTTPS Everywhere hilft außerdem bei Phishing-Angriffen: So werden etwa auch beim Zahlungsdienstleister PayPal stets SSL-Seiten angefordert. Sollte ein Angreifer versuchen, solche Seiten über eine unsichere Verbindung zu leiten, um das Passwort abzufangen, beißt er auf Granit: HTTPS Everywhere nutzt stets die SSL-Version.

Die Datenbank des Werkzeugs enthält außerdem Hinweise auf Seiten, die noch Probleme machen. So ist etwa das Surfen im Online-Shop Amazon derzeit nur teilweise verschlüsselt möglich, während eine SSL-Übertragung vom Werbedienstleister Doubleclick dafür sorgt, dass manche Nachrichtenseiten plötzlich nicht mehr funktionieren. Für viele andere Seiten funktioniert HTTPS Everywhere aber zuverlässig.

taz lesen kann jede:r

Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen

Mehr zum Thema

5 Kommentare

 / 
  • W
    wespe

    @Jens Schlegel: Habe es soeben mit Opera 11.50 (MAC OS X) probiert: Ich sehe die Touchés!

  • JS
    Jens Schlegel

    Den Touche kann ich mit Opera gar nicht sehen.

  • T
    Tomatenesser

    Danke für den Hinweis, Taz. Nicht jeder ist so allwissend wie Tomate.

  • T
    Tomate

    Guten Morgen, taz, auch schon aufgestanden?

     

    1. HTTPS Everywhere gibt es schon seit über einem Jahr, und es wird auch schon seit dieser Zeit weithin im Internet beworben. Aber ist natürlich immer gut, nochmal dafür Werbung zu machen.

     

    2. @Benno: die Kollegen von der taz dürften das mit Touché auch mindestens schon genauso lang wissen, aber da wird sich wohl auch weiterhin nichts tun.

  • B
    Benno

    nur ein Hinweis: Toms Touché funktioniert leider noch nicht über ssl