Conversation

Notices

1. rugk -> ⚠️ Follow me at https://social.wiuwiu.de/@rugk (rugk@gnusocial.de)'s status on Friday, 15-Sep-2017 06:57:03 EDT rugk -> ⚠️ Follow me at https://social.wiuwiu.de/@rugk
   @jonaz @kuketzblog @matthiasmader
   Es gibt noch einen viel wichtigeren, fundamentalen Grund warum #HTTPSEverywhere (was hast du gegen den Namen? :) ) mit Regeln arbeitet. Und wenn man den bedenkt, weiß man auch das es kein Overkill ist.
   
   Von der Idee hat das "smart https" Addon ja was, ist aus Sicherheitssicht aber nicht sicher/zielführend. Ein Angreifer kann ja jederzeit den HTTPS-Zugriff blockieren und dann ist es auch egal, ob das Add-on installiert ist oder nicht. Es fällt auf HTTP zurück…
   Bei HTTPSEVerywhere gibt es keinen Fallback auf HTTP, d.h., blockiert der Angreifer die Verbindung, gibt es eine Fehlermeldung. Der Nutzer greift so nicht auf unsichere Weise auf die Webseite zu.
   
   Die einzige Möglichkeit, die ich für SmartHTTPS sehe, die Sinn macht, wäre, wenn es nachdem es gemerkt hat, das eine Webseite HTTPS anbietet, auch automatisch beim nächsten Mal immer umleitet – ohne auf HTTP zurück zu fallen.
   Das ist dann sozusagen eine Art #HSTS -Addon.
   1. rugk -> ⚠️ Follow me at https://social.wiuwiu.de/@rugk (rugk@gnusocial.de)'s status on Friday, 15-Sep-2017 06:58:59 EDT rugk -> ⚠️ Follow me at https://social.wiuwiu.de/@rugk

      in reply to
      @kuketzblog @matthiasmader @jonaz Nur da sieht man auch das Problem: Jeder Admin kann selbst HTTPS umleiten und HSTS aktivieren. Evt. gibt es ja bei einigen Seiten schon einen Grund warum HSTS nicht aktiviert ist. (evt. bietet eine Webseite noch kein HTTPS auf allen Servern, die die Webseite international anbieten.)