Internetfirmen: Lücken in der Verschlüsselung

Seit den Enthüllungen durch Edward Snowden haben große Internetunternehmen ihre Angebote nach und nach verschlüsselt. Noch gebe es aber Lücken, oder der Zugang zu verschlüsselten Webseiten müsse explizit ausgewählt werden, berichtet Ars Technica.

Stellenmarkt

1. Softwaretester / Testingenieur (m/w/d)
   Swarco Shared Service GmbH, Unterensingen
2. Cybersecurity Analyst (m/w/div)
   Flughafen Köln/Bonn GmbH, Köln

Detailsuche

Besitzer eines Smartphones mit Android 4.1.1, die von dort mit dem Chrome-Browser Googles Suchmaschine bemühen, übertragen ihre Suchanfragen weiterhin unverschlüsselt. Auch die Ergebnisse werden ohne Verschlüsselung zurückgesendet. Unternehmen oder Schulen können weiterhin die Suchmaschine ohne Verschlüsselung ansteuern, etwa um selbst Filter zu setzen. Dazu müssen sie in ihrem DNS-Server lediglich eine Umleitung per CNAME auf nosslsearch.google.com einrichten. Die einfache Eingabe auf nosslsearch.google.com im Browser funktioniert jedoch nicht mehr. Youtube ist zwar auch über HTTPS erreichbar, die Adresse muss aber explizit im Browser eingegeben werden.

Auch bei Yahoos Angebot muss der Anwender einige Webseiten über HTTPS ansteuern, die sonst standardmäßig nur unverschlüsselt angesteuert werden, darunter news.yahoo.com sowie die Sport- und Finanzwebseiten. Dort werden Zugangsdaten abgefragt. Die Jobsuche über Monster lässt sich weiterhin nur ohne Verschlüsselung erledigen. Yahoos Wetter-App fürs iPhone sendet ebenfalls noch unverschlüsselte Daten, darunter auch Standortdaten, hat Ars Technica festgestellt.

Bing ist ebenfalls nur optional über HTTPS erreichbar, auch dann, wenn Microsofts Suchmaschine als Standard im Internet Explorer oder Firefox definiert wird. Das API für Bing bietet ebenfalls keine Verschlüsselung, weil darüber nur Abfragen und keine Nutzerdaten versendet würden, erklärt Microsoft auf Anfrage von Ars Technica. Das sei den Entwicklern überlassen. Der digitale Assistent Cortana für Windows Phone 8.1 hingegen verschlüssele sämtliche Daten.

Golem Karrierewelt

1. IT-Sicherheit für Webentwickler: virtueller Zwei-Tage-Workshop
   27./28.09.2022, Virtuell
2. Adobe Photoshop Aufbaukurs: virtueller Zwei-Tage-Workshop
   25./26.08.2022, Virtuell

Weitere IT-Trainings

Während Facebooks Webseite nur noch standardmäßig über HTTPS angesteuert werden kann, fehlt diese Option bei Instagram weitgehend. Zwar sei der Zugang zu den Profileinstellungen in der Foto-App verschlüsselt, sämtliche Inhalte würden aber noch im Klartext übertragen.

Im vergangenen Jahr hat sich der verschlüsselte Datenverkehr weltweit verdoppelt. Das ist unter anderem auf die erweiterten Angebote der großen Internetdienstleister zurückzuführen. Die Electronic Frontier Foundation (EFF) informiert laufend über den Fortschritt großer IT-Unternehmen beim Einsatz von Verschlüsselung.