Vielleicht ist es euch schon aufgefallen, aber diebin.at gibt’s jetzt nur mehr über HTTPS. Grund dafür ist, dass wir uns mittlerweile den Luxus eines CA-zertifizierten SSL-Zertifikates leisten, um diese dämliche Browser-Warnung zu umgehen, welche die Idee hinter SSL-Zertifizierung ein bisschen konterkariert. Wenn aus Usability-Gründen, entweder eh jedes selbstausgestellte Zertifikat angenommen wird, oder die entsprechende Seite halt gemieden wird, so hat das ja keinen Zweck. Mit einem von bestimmten Autoritäten (CAs) ausgestellten Zertifikat, wird diese Fehlermeldung nicht angezeigt.
Warum überhaupt HTTPS? Weil über HTTP alles unverschlüsselt gesendet wird. Wenn du ein Passwort eingibst, das nicht oder höchstens base64-encoded gesendet wird, dann kann im Grunde jede_r dein Passwort sehen. Bei Cookies ist es ähnlich, da kann auch fast jede_r deine schon eingeloggte Identität annehmen, was vor ein paar Jahren die Firesheep-Extension ganz schön gezeigt hat. Diese Schwachstellen waren Sicherheitsexpert_innen seit Jahrzehnten bekannt, aber erst seit wenigen Jahren haben auch die ganz großen Fische (Google, Facebook, …) reagiert und fast ganz auf HTTPS umgestellt.
[Update nach Hinweis: Aber natürlich sind nicht nur das unverschlüsselte Senden von Passwort und Cookies problematisch, und die damit verbundene Möglichkeit des Identitätsdiebstahls – es geht ja prinzipiell auch darum, dass keine_r – gleich Mensch oder Maschine – mitlesen kann, wenn er_sie die Verbindung abhört. Weder die stalkende Netzwerkadministration noch unser geliebter Staat, der ja eh nur unser Bestes will, wenn er deine oder meine Privatsphäre verletzt…]
Ein Problem, welches sich aber auch durch die Nutzung einer CA nicht ganz lösen lässt, sind sogenannte Man-in-the-Middle (MITM) Angriffe. Zwar hilft es schon, wenn ein Server von einer CA zertifiziert wurde (insofern es das vorhin beschriebene Usability-Problem löst und das Abfangen von SSL-Zertifikaten zumindest ein bisschen erschwert), aber dieses blinde Vertrauen in die Autorität ist ein potenzielles Risiko, welches dir als Benutzer_in des Webs bewusst sein sollte. Das Perspectives Project, versucht dieses potenzielle Problem zu lösen, indem es sich nicht auf das verlässt, was dein Browser sagt, sondern die Entscheidung, ob ein Zertifikat jetzt gültig sein sollte, ein bisschen demokratisiert.
