HTTPS in Google Chrome: 2 Seiten einer Medaille

Andy Greenberg berichtet im Wired-Magazine über das Google Chrome-Sicherheitsteam und dessen Mission, verschlüsselte Verbindungen zwischen Client (Browser) und Server (Website) unter Zuhilfenahme der Popularität des Chrome-Browsers endgültig durchzusetzen. Der Beitrag zeigt gut auf, mit welchen Schwierigkeiten Programmier- und Designteams zu kämpfen haben, wenn es um die Durchsetzung eines ohnehin überfälligen Standards geht. Weiterlesen

HTTPS Everywhere: Verschlüsselt übertragen, wo’s geht

Für gewöhnlich werden Websites im Klartext, also unverschlüsselt, vom Server zum Client übertragen. Und das, obwohl viele Services die verschlüsselte Übermittlung ohnehin unterstützen würden. Die von der Electronic Frontier Foundation entwickelte Browsererweiterung „HTTPS Everywhere“ erzwingt, wo möglich, die Verwendung einer verschlüsselten Verbindung. Weiterlesen

Die Normalverteilung von Datenpaketen verrät viel; trotz HTTPS.

Herausfinden, was sich jemand angesehen hat, obwohl die Verbindung zwischen Client und Server mittels HTTPS geschützt ist? Ja, geht; mittels Analyse der Normalverteilung von Datenmustern.

We present a traffic analysis attack against over 6000 webpages spanning the HTTPS deployments of 10 widely used, industry-leading websites in areas such as healthcare, finance, legal services and streaming video.

Weiterlesen

Bullrun

Scheinbar ist es der NSA gelungen, SSL bzw. HTTPS-Verbindungen zu knacken, internationale Verschlüsselungsstandards zu beeinflussen und die Zusammenarbeit mit Technologiekonzernen auszubauen. Der Name dieses Angriffs auf die dem Internet zugrundeliegenden Verschlüsselungstechnologien: Bullrun.

Some of the agency’s most intensive efforts have focused on the encryption in universal use in the United States, including Secure Sockets Layer, or SSL; virtual private networks, or VPNs; and the protection used on fourth-generation, or 4G, smartphones.

Weiterlesen

Die ersten 220 Millisekunden einer HTTPS-Verbindung

Wie ist es möglich, dass Browser und Server sichere Verbindungen miteinander aufbauen? Jeff Moser beantwortet diese Frage in einem ausführlich kommentierten Ablaufprotokoll über die ersten 220 Millisekunden einer HTTPS-Verbindung.

In just 220 milliseconds, two endpoints on the Internet came together, provided enough credentials to trust each other, set up encryption algorithms, and started to send encrypted traffic.

Weiterlesen

Wer sieht was, wenn ich Tor oder/und HTTPS verwende?

Auf der Website der EFF gibt es eine Grafik, die zeigt, wie sich die von Dritten abrufbaren Daten verändern, sobald man das Anonymisierungsnetzwerk Tor verwendet und/oder HTTPS-verschlüsselte Seiten aufruft.

Als mögliche auszuspionierende Daten werden die URL, Benutzername und Passwort, die übertragenen Daten, die IP-Adresse und Daten über die Verwendung von Tor genannt; als Spione Hacker, Anwälte, Systemadministratoren, die Polizei, Sicherheitsbehörden (NSA) und Betreiber von Tor-Relays. Weiterlesen