https-Zwang sinnvoll?

Hallo MountainDreamer,

leider sehe ich deinen Beitrag erst jetzt. Das Add-on kenne ich nicht und kann daher zur Performance nichts sagen. Aber nach deiner Beschreibung und der auf der Addon-Seite halte ich es nicht für sonderlich sinnvoll. Nach meinem Wissen reicht es nicht, das http durch Anhängen eines s zu einem https zu machen, um eine echte Verschlüsselung zu etablieren. Damit das funktioniert, muss der Webseitenbetreiber einen entsprechenden Service, also eine https-Version seiner Seite, anbieten.

Ich nutze das Add-on HTTPS Everywhere der Electronic Frontier Foundation (EFF), einer renommierten Organisation, die sich für Bürgerrechte im Cyberspace einsetzt. HTTPS Everywhere bringt eine bereits vorkonfigurierte Liste von Seitenregeln mit. Die wird immer wieder geupdatet und die Regeln sind entsprechend getestet, sodass diese größtenteils funktionieren (einige sind buggy, die sind aber oft schon standardmässig in der Erweiterung deaktiviert. Einige können abhängig vom Nutzerverhalten Probleme bereiten, sodass dann eine gezielte Deaktivierung sinnvoll sein kann. Bei mir sind das zwei, drei Seiten, meist Hintergrunddienste, wie "Google APIs", die für die korrekte Darstellung anderer Seiten wie Google Maps usw. notwendig sind). Man kann auch selbst Regeln erstellen und diese sogar einreichen, das habe ich aber noch nicht gemacht. Das Add-on gibt es derzeit nicht auf addons.mozilla.org und kann von der EFF-Seite geladen/installiert werden.

Als sinnvolle Ergänzung nutze ich zusätzlich HTTPS Finder, das Webseiten automatisch auf vorhandene https-Versionen checkt und, falls vorhanden, entsprechend umleitet. Die Regeln werden dann automatisch erzeugt und können (auf Wunsch editiert und) HTTPS Everywhere zugefügt werden. Das ganze lässt sich recht gut konfigurieren. Bei meinen Einstellungen kommt im Fall einer neu entdeckten https-Seite ein Balken, mit Wahlmöglichkeiten im Stil [zur Positivliste hinzufügen] (=diese Seite nie auf https umleiten), [nicht jetzt] und [Regel zu HTTPS Everywhere hinzufügen].

Die Kombination dieser beiden Add-ons ist die beste mir bekannte Lösung, wenn man Wert auf verschlüsseltes Surfen legt.

Viele Grüße

Hallo,

ich möchte doch noch mit ein paar Worten zum Thema ergänzen bzw. meine persönliche Meinung (!) posten.
Gleich vornweg: der Beitrag von bluemule ist der beste Beitrag (nicht nur) zum Thema https, den ich hier seit langem gelesen habe! Sowohl, was die Formulierung, aber auch die Recherche/ den Inhalt betrifft. Danke!

Zur Frage von MountainDreamer:
Tippe doch einfach mal bei allen Seiten "https://" ein. Du wirst staunen, wie viele Fehlermeldungen du bekommst.
Es ist nun mal so, dass nur ein sehr geringer Prozentsatz der Webseiten eine verschlüsselte Verbindung anbietet. Das macht ja auch nur Sinn, wo Daten übertragen werden, welche nicht "offen" übertragen werden sollen. Ich nenne nur Homebanking, Onlineshopping und Webmail, wo Benutzername und Passwort oder andere sensible Daten übertragen werden. Da ist die Relevanz der Suchdaten von gg schon fast grenzwertig. Und https:// macht für die Betreiber der Server einen nicht unbeträchtlichen Aufwand. Vom teuer einzukaufenden Zertifikat bis hin zu höherer Serverlast. Und über den Ärger bzw. die Blamage beim verpennten Zertifikatswechsel ganz zu schweigen.
Selbst wenn da ein Add-on es erst mit https:// versucht und dann nach entsprechendem Fehler auf "offen" zurückschaltet, ist das ganze kontraproduktiv.

Ich nutze selbst auch schon ein Weilchen das Add-on "HTTPS Everywhere". Ich nutze es bewusst, weil auch ich ein Mensch bin, der großen Wert auf Privatsphäre legt, aber auch sehr gut zwischen Aufwand und Nutzen abschätzen kann.
Wenn ich mir die gelieferten Seitenregeln ansehe, muss ich aber feststellen, dass diese erwartungsgemäß nicht für unseren Bedarf aufgestellt sind. Ist ja auch logisch => wer bzw. wo ist die EFF ... .
Im Ergebnis dessen habe ich schon ein paar Regeln für den "dt. Bedarf" erstellt.

Wenn ich aber hier Aufwand und Nutzen gegenüberstelle, sehe ich eine gewisse Schieflage ... .

Mein Tipp für ONU:
Brain-01 => ON, und testen, ob eine bestimmte Webseite https:// anbietet. Wenn "ja" ist gut und merken bzw. Lesezeichen anpassen, wenn "nein" entscheiden, ob ich meine Daten "offen" senden will oder es lieber lasse. Und bei sehr vielen Seiten wird ja schon sehr oft beim Link auf die Eingabeseite für sensible Daten automatisch auf https:// umgeschaltet.

MfG WK

Zitat von bluemule

Ich nutze das Add-on HTTPS Everywhere der Electronic Frontier Foundation (EFF), einer renommierten Organisation, die sich für Bürgerrechte im Cyberspace einsetzt. [...] Das Add-on gibt es derzeit nicht auf addons.mozilla.org und kann von der EFF-Seite geladen/installiert werden.

Das ist mir gerade auch aufgefallen, woran liegt das eigentlich? :-??

Zitat von WismutKumpel

Gleich vornweg: der Beitrag von bluemule ist der beste Beitrag (nicht nur) zum Thema https, den ich hier seit langem gelesen habe! Sowohl, was die Formulierung, aber auch die Recherche/ den Inhalt betrifft. Danke!

Von mir auch ein großes Dankeschön an bluemule.

Zitat von WismutKumpel

Da ist die Relevanz der Suchdaten von gg schon fast grenzwertig.

Was meinst du denn mit "gg"? :-??

Zitat von WismutKumpel

Mein Tipp für ONU:
Brain-01 => ON, und testen, ob eine bestimmte Webseite https:// anbietet.

Was ist "ONU" und "Brain-01"? :-??

Mir ist gerade Folgendes aufgefallen:
Sucht man mit aktiviertem HTTPS Everywhere beispielsweise bei Google nach "Mozilla Firefox", ruft den Wikipedia-Artikel auf und kehrt anschließend zu den Suchergebnissen zurück, ist der (vermeintlich) besuchte Link nicht als besucht markiert. Dieses Verhalten ist zwar logisch, aber dennoch störend. Lässt sich da etwas machen?

gg = Google
Brain 01 → On = Gehirn einschalten und austesten...

Zitat von Boersenfeger

gg = Google
Brain 01 → On = Gehirn einschalten und austesten...

Danke.
GG ist meines Wissens keine gängige Abkürzung für Google, wenn überhaupt für Google Groups.

Zitat von h-u-g-o

Das ist mir gerade auch aufgefallen, woran liegt das eigentlich? :-??

Die Frage wird in der HTTPS Everywhere FAQ beantwortet. Ich zitiere von dort:

Zitat

Q. Why isn't HTTPS Everywhere available for download from addons.mozilla.org like most other Firefox add-ons?

A. We felt that the Mozilla privacy policy that applies to downloads from addons.mozilla.org is somewhat less protective than the privacy policies of the organizations that develop HTTPS Everywhere, and we prefer for HTTPS Everywhere users to be protected by our privacy policy. This decision could change in the future as Mozilla's privacy practices evolve or as we re-examine the details of the current Mozilla policy.

Kurz gesagt bevorzugt die EFF es, HTTPS Everywhere unter den eigenen Richtlinien anzubieten, da nach ihrem Empfinden die Nutzungsbedingungen addons.mozilla.org's (AMO) hinsichtlich Privatsphäre derzeit nicht weit genug gehen/nicht ausreichen, um die Nutzer ausreichend zu schützen. Es wird nicht ausgeschlossen, HTTPS Everywhere in Zukunft auch über AMO anzubieten, sollten sich die Nutzungsbedingungen dort entsprechend ändern.

Zitat von bluemule

Die Frage wird in der HTTPS Everywhere FAQ beantwortet. Ich zitiere von dort:

Kurz gesagt bevorzugt die EFF es, HTTPS Everywhere unter den eigenen Richtlinien anzubieten, da nach ihrem Empfinden die Nutzungsbedingungen addons.mozilla.org's (AMO) hinsichtlich Privatsphäre derzeit nicht weit genug gehen/nicht ausreichen, um die Nutzer ausreichend zu schützen. Es wird nicht ausgeschlossen, HTTPS Everywhere in Zukunft auch über AMO anzubieten, sollten sich die Nutzungsbedingungen dort entsprechend ändern.

Herzlichen Dank!