Wischofon des Tages: Dieses HTTPS meint doch, das die Verbindung so verschlüsselt ist, dass weder jemand mitlesen kann noch dass sich jemand anders als die Website ausgeben kann, die ich gerade bediene. Deshalb macht mein Browserchen da doch ein kleines Schloss hin, damit auch Mitmensch Kopfkäse weiß, dass das sicher ist. Einmal davon abgesehen, dass TLS im Arsch ist und sogar schon gefälschte Zertifikate von Google in der freien Wildbahn auftraten… bei Nokia-Händis… ach nee, das heißt jetzt ja smart phones, weil das Hirn zum Fon gewandert ist… also bei Nokia-Händis für die totale Orwellness voller Vertrauen gegenüber irgendwelchen zentralen Dienststellen, da stimmt nicht einmal mehr das mit der Verschlüsselung, die schicken das alles in Klartext über einen Nokia-Server. Kann bitte endlich mal jemand anfangen, diesem ganzen Pack negatives soziales Feedback zu geben!
Schlagwort HTTPS RSS
-
Nachtwächter
-
Nachtwächter
Na, glaubt immer noch jemand, dass dieses »https« als Protokollangabe – das die modernen Browser so gern noch grafisch als »sicher« hervorheben – irgendwas mit Abhörsicherheit und der Gewissheit, dass man auch wirklich seine Daten zum richtigen Gegenüber überträgt, zu tun hat? Bei Heise gibts eine Therapie gegen diesen Glauben, es sind in den letzten vier Monaten mindestens fünf CAs missbraucht worden, um ein paar falsche Zertifikate auszuzstellen. Also vergesst das mit der einfachen, bequemen Schlangenöl-Sicherheit!
-
Nachtwächter
Ach übrigens: Die Verschlüsselung bei DE-Mail (also die Übertragung einer Klartext-Mail über HTTPS zu einem Server, der die Klartext-Mail lesen kann) ist genau so sicher gegen das Mitlesen oder gegen Manipulationen wie Google Mail über HTTPS – also gar nicht, wenn signierte Zertifikate auf irgend einem Weg in der Hand eines Abhörers auf der Leitung geraten sind.
Nachtrag: NEIN, Heise, das war kein GAU. Es war kein »Unfall« oder gar höhere Gewalt. Es war gezielte, von Menschen durchgeführte Manipulation, aufgetreten in einer Stelle, der nahezu sämtliche Browser im Internet vertraut haben. Eine mutmaßlich aus niederen Motiven durchgeführte Manipulation, vielleicht aber auch aus religiösem Fanatismus – warten wirs ab, wie es duftet, wenn man im Schlamm stochert. Dass dabei die private Kommunikation von Menschen einem autoritären und bis zum Justizmord gewaltbereiten Staat ausgehändigt wird, hat die Menschen, die gezielte Manipulationen vorgenommen haben, nicht weiter gestört… was immer auch ihre Motive waren. Heise, so etwas als »Unfall« zu bezeichnen, ist schon ein bisschen zynisch.
Nachtrag Zwei: Das Zertifikat ist übrigens angeblich als Folge eines Hacks nach draußen gelangt. Und dieser Laden DigiNotar, der es offensichtlich durch Einsparung des Gehaltes eines Menschen, der sich mit IT-Sicherheit auch auskennt, ermöglicht hat, dass mit einen Angriff auf einen ständig mit dem Internet verbundenen »Opferrechner« Zertifikate generiert werden konnten, hat jedes Vertrauen verspielt. Ziemlich endgültig. Wie das wohl bei den anderen, in jedem Browser ab Haus als »vertrauenswürdig« vorgegebenen Zertifikatsausstellern aussieht?
Nachtrag Drei: Bitte diese aktuellen Screenshots betrachten und darüber nachdenken, was das für Leute sind, denen das gesamte Internet vertrauen soll.
-
Nachtwächter
Microsoft des Tages: Du lebst in der arabischen Welt und verwendest für deine Kommunikation unser Hotmail? Gut, da kannst du ruhig weitermachen. aber jetzt nicht mehr über HTTPS, schließlich soll der Geheimdienst deines unterdrückerischen Heimatstaates deine Kommunikation mitlesen können.