Firefox 59: Neue Einstellung kennzeichnet HTTP-Seiten als unsicher
Mozilla hat eine neue Einstellung in Firefox 59 implementiert, welche eine Kennzeichnung von Webseiten als unsicher aktiviert, die nur über HTTP und nicht über HTTPS geladen werden. Optional kann diese Kennzeichnung auch nur für private Fenster aktiviert werden.
Auch wenn es sich noch nicht bis zu jedem Webseitenbetreiber rumgesprochen hat: die verschlüsselte Übertragung von Daten, erkennbar am https:// in der URL, sollte heute Pflicht für jede Webseite sein. Die Verbreitung von HTTPS nimmt derzeit auch rasant zu: waren Anfang des Jahres noch 46 Prozent aller Seitenaufrufe von Firefox-Nutzern HTTPS-Verbindungen, liegt der Wert nun schon bei 66 Prozent.
Standardmäßig stellt Firefox HTTPS-Seiten mit einem grünen Schloss in der Adresszeile dar, HTTP-Seiten erhalten keine besondere Markierung. Anders verhält es sich bei HTTP-Seiten mit Passwortfeldern. Diese markiert Firefox mit einem rot durchgestrichenen Schloss als unsicher. Ab Firefox 59 ist es möglich, über about:config den Schalter security.insecure_connection_icon.enabled per Doppelklick auf true zu schalten. Dann erhalten grundsätzlich alle HTTP-Seiten ein rot durchgestrichenes Schloss, welches eine unsichere Datenübertragung symbolisiert. Wird stattdessen der Schalter security.insecure_connection_icon.pbmode.enabled auf true geschaltet, greift diese Änderung nur in privaten Fenstern von Firefox.
Weitere aktuelle Artikel aus der Kategorie „Firefox“
- 09.10.2024Sicherheits-Update Firefox 131.0.2 veröffentlicht
- 08.10.2024Die Neuerungen von Firefox 131
- 24.09.2024Neue Sprachen für Übersetzungsfunktion von Firefox
- 23.09.2024Firefox 132: Tabs auf anderen Geräten schließen
- 22.09.2024Neue Hoffnung für Unterstützung von Bildformat JPEG-XL (JXL) in Firefox und Chrome
Blöd gefragt:
Warum sollte eine Website, auf der ich keinerlei Daten eingeben kann/muss (nicht jede Website ist eine interaktive…), unbedingt verschlüsselt mit mir kommunizieren müssen? Es ergibt Sinn für Foren und CMSe, aber doch nicht für irgendwelche Textwände, die ich mir bloß angucken will. Der Mehraufwand wird meines Erachtens mit nichts gerechtfertigt.
Was denn für ein Mehraufwand? Bei einem halbwegs vernünftigen Hoster ist das nicht mehr Aufwand als eine Checkbox anzuklicken oder einen Button zu klicken. Das macht man einmal und dann hat man normalerweise für immer Ruhe. 😉
Ich weiß nicht, woher der Mythos kommt, dass HTTPS nur relevant sei, wenn irgendwo irgendwelche Daten eingegeben werden. Das ist falsch. HTTPS ist auch wichtig, um die Integrität der Ressourcen zu gewährleisten. Das ist ein Sicherheits-Aspekt, der jede Webseite betrifft. HTTPS ist außerdem Voraussetzung für HTTP/2, was alleine aus Performance-Gründen schon sinnvoll ist. Darüber hinaus ist HTTPS ein Ranking-Signal für Suchmaschinen. Ich kenne eigentlich gar keine Webseite, die nicht gerne Besucher hat. Klar ist das nicht jedem gleich wichtig, aber es ist halt ein weiterer Punkt, der über die Annahme hinausgeht, dass die Eingabe von Daten der einzige Grund für HTTPS sei.
Du nennst eine Gruppe von Seiten, für die HTTPS deiner Meinung nach Sinn ergibt. Aber wir schreiben das Jahr 2017, fast 2018. Wir sind mittlerweile an dem Punkt, an dem man umgekehrt fragen muss, welchen Sinn es ergibt, nicht auf HTTPS zu setzen.
Mehraufwand:
* Vom Seitenbetreiber: Selbst unter der günstigen Voraussetzung, dass die Website bei einem Klickibunti-Hoster läuft, wo man nur ein Knöpflein drücken muss: Dieser Knopf muss erst mal gedrückt werden. Mal abgesehen davon, dass zum Beispiel WordPress Wert darauf legt, dass man ihm diese Änderung auch noch separat bekannt gibt; und bei anderer Software dürfte das ähnlich aussehen.
* Vom Besucher: HTTPS ist Overhead. Jaja, wir haben heute alle Terahertzmaschinen und mindestens ein Gigabit zu Hause ;-), aber das ist eine überschaubar gute Ausrede. HTTPS lädt wegen der zusätzlichen Verifikation immer ein bisschen langsamer als andere Protokolle – ist so. Du nanntest Performance als Argument… "wir haben 2017" ist m.E. keines.
* Zum Punkt "Sicherheit": Auf einer Scamseite bin ich nicht sicherer, nur weil ein Schlösschen davor zu sehen ist – auch dann nicht, wenn ich davon ausgehen kann, dass alle Inhalte integer geladen wurden. 😉
Ich – ganz persönlich – optimiere meine Websites auch lieber für Besucher als für Suchmaschinen. Suchmaschinen interessieren meine Inhalte nicht, denen könnte ich auch einen ASCII-Mittelfinger hinmalen, so lange das SEO stimmt. Wenn ich dauernd Googles Algorithmen hinterherprogrammieren müsste, käme ich gar nicht mehr zum Bloggen… aber ich stelle auch nichts ins Web, um damit Werbegroschen zu verdienen, sondern, weil ich ohne jeden Eigennutz glaube, irgendwelche Menschen hätten vielleicht was davon, insofern bin ich vielleicht ein schlechtes Beispiel.
Dein Denken zum Thema HTTPS ist ziemlich überholt. Overhead ist kein ernsthaftes Argument und schon gar nicht in Verbindung mit HTTP/2, da überwiegt der Vorteil aber deutlich.
HTTPS schützt nicht vor Scam und du wirst auch nicht durch das grüne Schloss geschützt. Ich führte bereits die Integrität der Ressourcen als Argument an. Und nochmal: dieser Punkt betrifft potentiell alle Webseiten, nicht nur Scamseiten. Du unterschätzt die Bedeutung der Sicherheit, das ist gefährlich.
Deine Aussage, dass du lieber für Besucher als für Suchmaschinen optimierst, ist nicht mehr als ein Spruch. Das eine schließt das andere doch nicht aus. Vor allem machen deine ganzen Ausführungen zum Thema SEO klar, dass du von diesem Thema wenig bis gar nichts verstehst, was für mich eine Diskussion mit dir darüber leider sehr schwierig macht, denn ich verstehe einiges davon (ich arbeite auch im Marketing-Bereich). Wenn eine Diskussion nicht auf Augenhöhe erfolgt, kann daraus keine zielführende Diskussion entstehen, weil dann immer einer sein Halbwissen und falschen Annahmen in die Diskussion wirft und der andere nur damit beschäftigt ist, das zu korrigieren, und kein ernsthafter Austausch stattfindet. Übrigens hat das auch nicht das Geringste damit zu tun, ob man Geld mit seinen Inhalten verdient oder nicht.
Mit dem Mehraufwand hast du argumentiert. Und tut mir leid, aber einen Button zu klicken, ist kein Aufwand, das kann man drehen und wenden, wie man will. Als Argument gegen HTTPS geht das auf gar keinen Fall durch.
Die Verwendung von HTTPS hat klare Vorteile, diese Vorteile sind Fakten. Reale Nachteile konntest du keine benennen. Übrigens hat meine Aussage "wir haben 2017" sehr wohl eine Bedeutung. Wer eine Webseite betreibt, sollte in der Lage sein, Entscheidungen zu begründen. Und die Welt sieht 2017 nun einmal anders aus als 1997. Heute kosten Zertifikate kein Geld, heute ist die Einrichtung bei vernünftigen Hoster kinderleicht, heute ist HTTP/2 + HTTPS deutlich performanter als HTTP/1.1 ohne HTTPS, heute sind leider auch die Gefahren des Internets noch größer und Sicherheit wichtiger denn je. Vor einigen Jahren war HTTPS wirklich noch ein schwieriges Thema, aber im Jahr 2017 ist das nicht mehr wahr.
Ja, ein Overhead von ein paar Kilobyte. Ein Gigabit-Anschluss ist dafür definitiv nicht nötig. Messbar, aber nicht spürbar. Sogar mit DSL 1.000 ist das in weniger als 0,05 s erledigt. Auch sind Terahertzmaschinen dafür nicht nötig, weil die meisten Prozessoren mittlerweile Hardwarebeschleuniger eingebaut haben (kann man sehr schön an Mozillas-Hardwarereport nachvollziehen). Mal eine Frage: würdest du sagen, Google oder dieser Blog hier sind spürbar langsamer geworden seit sie auf HTTPS umgestellt haben?
Das stimmt. Aber ohne HTTPS muss man immer davon ausgehen dass es sich um Scam handelt, auch auf deiner Seite, weil beispielsweise auf Smartphones ( im selben WLAN) Apps installiert sind, vielleicht lauschen und den gesendeten Inhalt verändern, den ich auf dem Notebook anschaue. Könnte man sich vorstellen dass solche Apps die Webseite um Werbung erweitern (oder eben bestehende Werbung durch eigene ersetzen) um Einnahmen zu generieren. Auch ein JS-Kryptominer ist denkbar. Das Szenario wird natürlich deutlich gefährlicher wenn man ein öffentliches WLAN benutzt, weil man nicht weis wer so alles da drin ist ob eventuell Inhalte verändert. Schadware einzuschleusen wird dadurch zumindest stark vereinfacht. Zusammengefasst schützt HTTPS den Besucher der Webseite.
Du hast natürlich recht, auf einer Scamseite macht es keinen Unterschied, nur bei allen anderen Seiten macht es einen.
Finde ich gut die Änderung, die HTTP-Seiten sind ein Relikt von damals. Irgendwann kommt womöglich noch die Kennzeichnung von Nicht-HTTP/2-Seiten — "irgendwann" und "vielleicht", darauf liegt die Betonung. Wobei HTTP/2 ja SSL/TLS voraussetzt, wie ich meine.
Firefox ist hier auf einem richtigen Weg.
Ash ja, sorry für den Doppelpost: pcwelt.de und heise.de als große Sites sind schon auf HTTPS gewechselt, es ist – mit Aufwand – also möglich. Im Torbrowser ist dank HTTPS Everywhere sogar eine Non-HTTPS-Speree drin: Im Add-on lässt sich einstellen, dass nur noch HTTPS-verschlüsselnde Sites laden können. Finde diesen Ansatz sehr spannend und Mozilla tut hier ähnlich dem Tor-Projekt einiges für die Sicherheit.
Ich will HTTPS allein schon aus dem Grund überall sehen, um bei den Geheimdiensten die Kosten explodieren zu lassen und den Aufwand in die Höhe zu treiben.
Ein anderer ganz realer Grund wurde schon angesprochen. Sobald man in einem fremden Netzwerk ist, kann einem über eine unverschlüsselte Seiten falsche Inhalte untergejubelt werden. Man in the middle Angriff als Stichwort.
Um das etwas zu ergänzen:
Wenn man das ganze Spieltheoretisch betrachtet, dann würde der Grundsatz "https nur wo ich es für nötig halte" für jemanden, der alles Mitschneidet (NSA oder auch nur ein kleines Kind im offenen WLAN) durch so genanntes Screening "wichtigen" (Login-Daten, Kreditkartennummer?) von "unwichtigen" (Katzenbilder?) unterscheiden, da ja nur das wichtige verschlüsselt wird.
Wird dagegen alles verschlüsselt, kann man nicht mehr unterscheiden, welcher Content jetzt die Katzenbilder und welches die Login-Daten sind, man gibt als weniger Informationen preis.
Also bei den Geheimdiensten wirds nicht viel bringen, wenn die sich dazwischen schalten (Man in the middle Attacke).
Ansonsten finde ich die Begriffe "sicher" und "unsicher" irreführend. Das suggeriert, dass eine Seite sicher wäre, nur weil sie https anbieten.
Viele Phishingseiten verwenden daher bereits Zertifikate, da dann bei deren Seiten auch "sicher" steht.
Ich sehe https auch als keine Notwendigkeit, wenn man weder Logins hat, noch http2 verwenden möchte. Allerdings spricht bei einer kleineren Webseite kaum etwas dagegen es trotzdem zu aktivieren. Bei sehr viel Traffic steigt ja erst der Mehraufwand bei der Rechenzeit durch die Verschlüsselung seitens des Servers.
Ich würde sagen, dass umgekehrt ein Schuh draus wird: je größer die Webseite ist, desto größer ist auch die Verantwortung, dass man seinen Nutzern Sicherheit bietet. Als Nutzer erwarte ich genau das auch.
"wenn man weder Logins hat" ist eine falsche Annahme, wie ich schon in einem anderen Kommentar schrieb. Es geht bei HTTPS eben nicht nur um die Sicherheit bei der Übertragung von Passwörtern.
Die Frage ist: Wie groß ist der Mehraufwand?
http/2 kann dem durch https verursachten Mehraufwand entgegenwirken.
Noch offizieller Aussage im Forum von computerbase hat dort der wechsle von "https+http/2 für einige wenige zahlende Nutzer" auf "https+http/2 für alle" die Durchschnittliche Serverlast (sofern ich die Zahlen noch richtig weiß) von 0,64 auf 0,65 erhöht. Das nenne ich eine normale Schwankung, wie sie schonmal von einer Woche auf die andere passieren kann bei einer solch großen Seite.
Barristan schrieb:
Mag sein dass Geheimdienste es mit HTTPS per Man in the Middle auch noch können, aber mit HTTP kann es nunmal auch das Scriptkiddie von nebenan. Sprich: mit HTTP kann dir jeder Schadcode unterjubeln, auch deine Mitbewohner (oder eventuell ne App auf deinem Smartphone die deinen Internettraffik manipuliert). Siehe dazu bitte mein Kommentar oben.
Ich muss noch eins ergänzen: Auf Golem gibt es momentan einen Artikel "Traffic von Google, Facebook & Co. über Russland umgeleitet" (ich hoffe die Referenz ist gestattet).
Anscheinend hat ein Provider es geschafft Traffic über Russland umzuleiten. Dann hoffe ich mal ihr habt in der Zeit keine Webseiten mit unsicheren HTTP aufgerufen, sonst droht natürlich auch hier: jeder normalo Sysadmin kann Schadcode in Traffic einschleusen.
Kurz als Nebenbemerkung: Soll natürlich kein Russland-Bashing sein, die Gefahr geht von jedem anderen Land genau so aus. Aber das Beispiel passt hier natürlich sehr gut rein. Auch wenn es nur große Webseiten betroffen waren, ist sowas auch mit jeder anderen Denkbar.
habe leider unter about:config weder security.insecure_connection_icon.enabled noch
security.insecure_connection_icon.pbmode.enabled gefunden
Ab Firefox 59 ist es möglich, über about:config den Schalter security.insecure_connection_icon.enabled per Doppelklick auf true zu schalten. Dann erhalten grundsätzlich alle HTTP-Seiten ein rot durchgestrichenes Schloss, welches eine unsichere Datenübertragung symbolisiert. Wird stattdessen der Schalter security.insecure_connection_icon.pbmode.enabled auf true geschaltet, greift diese Änderung nur in privaten Fenstern von Firefox.
Dann nutzt du keine aktuelle Nightly-Version von Firefox 59, ansonsten gibt es das auch.