EFF: HTTPS Everywhere wird nicht mehr gebraucht

Das Browserplugin HTTPS Everywhere wird nicht weiterentwickelt, stattdessen sollen Nutzer die browsereigenen HTTPS-Only-Modi verwenden.

Artikel veröffentlicht am ,
Eingestellt wegen Erfolg: Das HTTPS-Everywhere-Plugin wird nicht weiterentwickelt.
Eingestellt wegen Erfolg: Das HTTPS-Everywhere-Plugin wird nicht weiterentwickelt. (Bild: EFF)

Die Electronic Frontier Foundation (EFF) hat angekündigt, die Entwicklung des HTTPS-Everywhere-Plugins bald einzustellen. Ab 2022 werde das Plugin nur noch im Wartungsmodus angeboten, was bedeutet, dass es keine Weiterentwicklung gibt.

Stellenmarkt
  1. Senior Learning Experience Designer/in (m/w/d)
    Haufe Group, Freiburg
  2. Softwareentwickler (m/w/d) Frontend / Backend / Fullstack
    AUSY Technologies Germany AG, verschiedene Standorte
Detailsuche

Der Grund für den Schritt ist allerdings nicht, dass die EFF die Funktionalität des Plugins für überflüssig hält, sondern dass die wichtigen Browser inzwischen ähnliche Funktionalitäten anbieten, die sogar einen besseren Schutz bieten. Möglich ist das, da heute der Großteil des Webs über HTTPS erreichbar ist.

Das HTTPS-Everywhere-Plugin, das für zahlreiche Browser angeboten wird, sorgt dafür, dass Verbindungen mit Webseiten, die sowohl über HTTP als auch über HTTPS erreicht werden können, immer über HTTPS aufgerufen werden. Dafür liefert das Plugin eine Liste an Hosts mit, die HTTPS unterstützen.

Plugin arbeitete mit voreingestellter Liste von Webseiten

In der Vergangenheit war das nötig, um eine solche Funktion praktikabel zu machen. Allerdings hat es einen offensichtlichen Nachteil: Für Seiten, die nicht in der voreingestellten und manuell gepflegten Liste enthalten sind, gibt es keinen Schutz.

Golem Akademie
  1. Penetration Testing Fundamentals
    17.-18. Januar 2022, online
  2. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, online
  3. Linux-Systeme absichern und härten
    8.-10. November 2021, online
Weitere IT-Trainings

Sowohl Firefox als auch Chrome und Edge haben seit einiger Zeit einen HTTPS-Only-Modus, der anders funktioniert. Hier werden Seiten schlicht standardmäßig über HTTPS aufgerufen; wenn das nicht möglich ist, wird dem Nutzer eine Warnung angezeigt.

Nur nach einer expliziten Bestätigung kann dann eine Seite über unverschlüsseltes HTTP aufgerufen werden. Praktikabel ist eine solche Funktion nur deshalb, weil es heute kaum noch Webseiten gibt, die nicht über HTTPS erreichbar sind. Die EFF empfiehlt Nutzern, künftig diese HTTPS-Only-Modes in Browsern zu aktivieren.

Ein Spezialfall ist Safari. Hier schreibt die EFF, dass bereits standardmäßig Verbindungen über HTTPS genutzt werden, wenn dies verfügbar ist. Das schützt allerdings nicht vor aktiven Angriffen, die ein Upgrade auf HTTPS blockieren. Allerdings: Für Safari gab es das HTTPS-Everywhere-Plugin sowieso nicht.

Wer mit den HTTPS-Only-Settings der Browser unterwegs ist, stößt gelegentlich auch auf Seiten, die eigentlich über HTTPS erreichbar sind, auf Warnungen. Dies liegt meistens an falsch konfigurierten Weiterleitungen. So leiten manche Seiten in bestimmten Fällen erst auf HTTP und dann wieder auf HTTPS um. Das tritt etwa bei manchen Seiten auf, die beim Fehlen eines Slashes am Ende des Pfades dies korrigieren und dabei über den Umweg HTTP umleiten.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Ebenso gibt es gelegentlich Webseiten, die Direktzugriffe auf die www-Subdomain weiterleiten, aber unter der Stammdomain nicht über HTTPS erreichbar sind. Auch das kann zu unerwarteten Warnungen im HTTPS-Only-Modus führen.

Neben dieser clientseitigen Funktionalität gibt es auch für Webseitenbetreiber die Möglichkeit, unverschlüsselte Verbindungen zu unterbinden. Dafür gibt es den Header HTTP Strict Transport Security (HSTS). Mit HSTS kann auch Browsern, die nicht in einem speziellen HTTPS-Only-Modus laufen, signalisiert werden, dass eine Domain nie unverschlüsselt aufgerufen werden soll.

Browser bemühen sich um "HTTPS überall"

Die Browserhersteller bemühen sich seit Jahren, HTTPS zum Standard zu machen. Dafür spricht einiges. HTTPS sorgt nicht nur dafür, dass Daten verschlüsselt übertragen werden, sondern auch dafür, dass die Korrektheit der übertragenen Daten gewährleistet wird und diese nicht unterwegs manipuliert werden können.

Auch die Performance ist kein Argument gegen HTTPS. Überraschenderweise sind verschlüsselte Verbindungen häufig sogar schneller, da dort moderne Features wie HTTP/2 und neuere Kompressionsverfahren zum Einsatz kommen, die in der unverschlüsselten Variante nicht unterstützt werden. Im Vergleich dazu sind die geringen Performancekosten der Verschlüsselung vernachlässigbar.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
SUV mit Elektroantrieb
Tesla liefert neues Model X mit eckigem Lenkrad aus

Tesla hat die ersten Model X mit dem neuen Lenkrad, quer eingebautem Display und Falcon-Wings-Türen ausgeliefert.

SUV mit Elektroantrieb: Tesla liefert neues Model X mit eckigem Lenkrad aus
Artikel
  1. Sicherheitslücke: Twitch wurde bereits 2014 komplett gehackt
    Sicherheitslücke
    Twitch wurde bereits 2014 komplett gehackt

    Ehemalige Twitch-Angestellte berichten von einem Hack, dessen Umfang bisher unbekannt war. Auch im aktuellen Datenleck finden sich noch Spuren.

  2. Internet im Van: Mein perfekt funktionierendes Wald-Office
    Internet im Van
    Mein perfekt funktionierendes Wald-Office

    In meinem Büro auf Rädern gibt es sechs Internetverbindungen. Sieben, wenn Starlink dazukommt. Habe ich damit das beste Internet Australiens?
    Eine Anleitung von Geoffrey Huntley

  3. Zwischenfall: Schon wieder ungeplante Drehung der ISS
    Zwischenfall
    Schon wieder ungeplante Drehung der ISS

    Die ISS wurde erneut ungeplant durch russische Triebwerke gedreht. Nach 30 Minuten war die Station wieder unter Kontrolle.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Week: Bis zu 360€ auf Gaming-Monitore & bis zu 22% auf Be Quiet • LG-TVs & Monitore zu Bestpreisen (u. a. Ultragear 34" Curved FHD 144Hz 359€) • Bosch-Werkzeug günstiger • Dell-Monitore günstiger • Mehrwertsteuer-Aktion bei MM: 19% auf viele Produkte [Werbung]
    •  /