HTTPS in Google Chrome: 2 Seiten einer Medaille

Andy Greenberg berichtet im Wired-Magazine über das Google Chrome-Sicherheitsteam und dessen Mission, verschlüsselte Verbindungen zwischen Client (Browser) und Server (Website) unter Zuhilfenahme der Popularität des Chrome-Browsers endgültig durchzusetzen. Der Beitrag zeigt gut auf, mit welchen Schwierigkeiten Programmier- und Designteams zu kämpfen haben, wenn es um die Durchsetzung eines ohnehin überfälligen Standards geht.

HTTPS Everywhere: Verschlüsselt übertragen, wo’s geht

Für gewöhnlich werden Websites im Klartext, also unverschlüsselt, vom Server zum Client übertragen. Und das, obwohl viele Services die verschlüsselte Übermittlung ohnehin unterstützen würden. Die von der Electronic Frontier Foundation entwickelte Browsererweiterung „HTTPS Everywhere“ erzwingt, wo möglich, die Verwendung einer verschlüsselten Verbindung.

Download HTTPS Everywhere.

firefox-https-everywhere-observatory

Ich habe, aber das ist Geschmackssache, das SSL Observatory aktiviert. Das SSL Observatory behält Kopien aller Sicherheitszertifikate von damit ausgestatteten Websites, um gegebenenfalls Man-in-the-Middle-Attacken feststellen und den Benutzer warnen zu können.

Die Normalverteilung von Datenpaketen verrät viel; trotz HTTPS.

Herausfinden, was sich jemand angesehen hat, obwohl die Verbindung zwischen Client und Server mittels HTTPS geschützt ist? Ja, geht; mittels Analyse der Normalverteilung von Datenmustern.

We present a traffic analysis attack against over 6000 webpages spanning the HTTPS deployments of 10 widely used, industry-leading websites in areas such as healthcare, finance, legal services and streaming video.

Das eigene Haus in Ordnung bringen: https

Im Schriftstück IP/14/70 28/01/2014 der Europäischen Kommission wird ein Satz aus Viviane Redings Rede anlässlich des heutigen Tags des Datenschutzes betont zitiert: „Die EU kann mit ihren Bemühungen zur Wiederherstellung des Vertrauens nur dann glaubwürdig und Vorbild für andere Kontinente sein, wenn sie das eigene Haus in Ordnung bringt.“

Stichwort „das eigene Haus in Ordnung bringen“. Ab sofort wird mkln.org per https ausgeliefert.

mklnorg-per-https

Wer irgendwo noch den einen oder anderen Fehler findet, möge mich bitte darüber informieren!#

Bullrun#

Scheinbar ist es der NSA gelungen, SSL bzw. HTTPS-Verbindungen zu knacken, internationale Verschlüsselungsstandards zu beeinflussen und die Zusammenarbeit mit Technologiekonzernen auszubauen. Der Name dieses Angriffs auf die dem Internet zugrundeliegenden Verschlüsselungstechnologien: Bullrun.

Some of the agency’s most intensive efforts have focused on the encryption in universal use in the United States, including Secure Sockets Layer, or SSL; virtual private networks, or VPNs; and the protection used on fourth-generation, or 4G, smartphones.

Datenschutz: nicht mehr existent. Sicherheit: nicht mehr existent. Am besten, jemand verlinkt den Artikel nun auf Facebook. Oh, wait.

Die ersten 220 Millisekunden einer HTTPS-Verbindung#

Wie ist es möglich, dass Browser und Server sichere Verbindungen miteinander aufbauen? Jeff Moser beantwortet diese Frage in einem ausführlich kommentierten Ablaufprotokoll über die ersten 220 Millisekunden einer HTTPS-Verbindung.

In just 220 milliseconds, two endpoints on the Internet came together, provided enough credentials to trust each other, set up encryption algorithms, and started to send encrypted traffic.

Nicht abschrecken lassen, der Artikel ist verständlich!

Wer sieht was, wenn ich Tor oder/und HTTPS verwende?

Auf der Website der EFF gibt es eine Grafik, die zeigt, wie sich die von Dritten abrufbaren Daten verändern, sobald man das Anonymisierungsnetzwerk Tor verwendet und/oder HTTPS-verschlüsselte Seiten aufruft.

Als mögliche auszuspionierende Daten werden die URL, Benutzername und Passwort, die übertragenen Daten, die IP-Adresse und Daten über die Verwendung von Tor genannt; als Spione Hacker, Anwälte, Systemadministratoren, die Polizei, Sicherheitsbehörden (NSA) und Betreiber von Tor-Relays.