HTTPS Everywhere

aus Wikipedia, der freien Enzyklopädie
Wechseln zu: Navigation, Suche
HTTPS Everywhere
HTTPS Everywhere icon.svg
Entwickler Electronic Frontier Foundation
Aktuelle Version 5.2.13[1]
(17. März 2017)
Programmier­sprache JavaScript[2], Python[3]
Kategorie Browser-Plug-in
Lizenz GPL v3
deutschsprachig Ja
www.eff.org/https-everywhere

HTTPS Everywhere ist ein Browser-Plug-in für die Webbrowser Mozilla Firefox und seit 2012 auch für Google Chrome,[4] mit dem Ziel, die Verbindungen zu Webseiten automatisch verschlüsselt anzufordern. Es wird als freie Software von der Electronic Frontier Foundation (EFF) in Zusammenarbeit mit dem Tor Project entwickelt.[5]

Funktionsweise[Bearbeiten | Quelltext bearbeiten]

Standardmäßig werden Verbindungen zu den meisten Webseiten über das unverschlüsselte HTTP-Protokoll aufgebaut. Das erlaubt es Angreifern, den Netzwerkverkehr abzuhören oder sogar zu manipulieren. Um dem entgegenzuwirken, bieten viele Website-Betreiber auch eine verschlüsselte Verbindung über HTTPS an. In den Fällen, in denen die Verwendung der verschlüsselten Verbindung optional ist, bleibt es dem Benutzer überlassen, darauf zu achten, dass die angeforderte Website per HTTPS übertragen wird.

An dieser Stelle nimmt HTTPS Everywhere dem Benutzer die Arbeit ab und ersetzt HTTP-Anfragen durch HTTPS-Anfragen, sofern der Server dies unterstützt. Das funktioniert mit den Seiten, die von der EFF auf HTTPS-Tauglichkeit überprüft und der internen Liste des Add-ons hinzugefügt wurden. In diesen Listen können mit Hilfe regulärer Ausdrücke auch komplexere Umleitungen definiert werden.

Solche Regeln für einzelne Websites lassen sich in den Einstellungen aktivieren oder deaktivieren. Es ist möglich, eigene Regeln (englisch rulesets) für bestimmte Webseiten zu definieren. Möchte man seine selbst erstellten Regeln für die anderen Nutzer veröffentlichen, besteht die Möglichkeit, diese mittels eines pull request auf GitHub zur Verfügung zu stellen oder an eine speziell dafür eingerichtete E-Mail-Adresse zu senden.[6]

In der Version 4.0.2 wurde ein Modus implementiert, dessen Aktivierung ungesicherte Verbindungen über HTTP komplett unterbindet.[7]

SSL Observatory[Bearbeiten | Quelltext bearbeiten]

Ab Version 2.0 enthält das Add-on das SSL Observatory. Ist die Funktion aktiviert, überprüft das Add-on beim Aufruf einer Webseite das SSL-Zertifikat mit einer auf dem EFF-Server bereitgestellten Liste.

So kann überprüft werden, ob es sich bei dem ausgelieferten Zertifikat um das bekanntlich zu einer Website gehörige handelt oder möglicherweise ein Man-in-the-Middle-Angriff stattfindet. Außerdem wird der Benutzer gewarnt, wenn unsichere kryptografische Verfahren verwendet werden.

Die EFF gibt an, eintreffende Anfragen möglichst anonym zu behandeln.

Kritik[Bearbeiten | Quelltext bearbeiten]

Durch das Prüfen der Zertifikate mittels des SSL Observatory werden die aufgerufenen Webadressen an die EFF übertragen.[8] Diese Funktion ist daher datenschutzrechtlich bedenklich, sie muss jedoch auch explizit vom Nutzer aktiviert werden.

Es werden nicht alle Webseiten auf eine sichere Verbindung (https) umgestellt, wie der Name es suggeriert (englisch: HTTPS Everywhere, deutsch: HTTPS überall), sondern nur bestimmte Webseiten, die in der sogenannten HTTPS Everywhere Atlas-Datenbank eingetragen sind.[9]

Weblinks[Bearbeiten | Quelltext bearbeiten]

Einzelnachweise[Bearbeiten | Quelltext bearbeiten]

  1. https://github.com/EFForg/https-everywhere/releases
  2. openhub.net. (abgerufen am 17. November 2015).
  3. openhub.net. (abgerufen am 17. November 2015).
  4. HTTPS Everywhere jetzt auch für Chrome. In: heise Security. 2. März 2012, abgerufen am 12. Juli 2016 (deutsch).
  5. Automatische Webverschlüsselung für (fast) überall. In: heise Security. 18. Juni 2010, abgerufen am 12. Juli 2016 (deutsch).
  6. HTTPS Everywhere Rulesets: Testing and Submitting. In: eff.org. Abgerufen am 28. Februar 2016 (englisch).
  7. HTTPS Everywhere Changelog (englisch)
  8. The EFF SSL Observatory - Electronic Frontier Foundation. In: eff.org. Abgerufen am 15. Februar 2016 (englisch).
  9. HTTPS Everywhere Atlas. In: eff.org. Abgerufen am 15. Februar 2016 (englisch).