Zattoo und https everywhere - eine Katastrophe

Frage: Definierst du in HTTPS Everywhere eigene Regeln? Ansonsten halte ich die Erweiterung für unnötig, da Firefox seit Version 17 eine HSTS-Liste (HTTP Strict Transport Security) implementiert hat, welche mit jeder Version aktualisiert wird (die selbe, welche auch Chrome implementiert hat).

Siehe HSTS-Liste schützt Firefox ab Version 17 vor Man-in-the-Middle-Attacken

Hallo,

einige Fragen dazu: Kann man die Liste irgendwo einsehen? Ich habe hier etwas gefunden, weiß aber leider nicht, ob sie aktuell bzw. ob sie es überhaupt ist.

Können sich die in Firefox implementierte Liste und die aus HTTPS-Everywhere denn beißen bzw. letztere weitergehende Problematiken mit sich bringen? Denn die Listen von HTTPS-Everywhere werden ebenfalls ständig erweitert und auch wenn diese natürlich "aus einem anderen Topf" kommt (Kriterien für die Aufnahme der Seiten evtl. anders..), so wird HTTPS-Everywhere doch von einer seriösen und auf Internetsicherheit bedachten Organisation, der EFF, herausgegeben. Die in Firefox implementierte Liste (wenn es oben die überhaupt ist) erscheint mir recht kurz und wenn durch HTTPS-Everwhere ein Mehrwert (mehr geschützte Seiten; HTTPS-Everywhere "wirbt" immer mit "tausenden Seiten") geschaffen wird, kann ich keinen Nachteil daran sehen. Gerade auch wenn man, wie Sören es schon erwähnt hat, eigene Regeln erstellt. Aber gerade aus technischer Sicht kann ich das wohl nicht wirklich beurteilen und würde das gern genauer wissen. Vielleicht kann dazu ja nochmal jemand (Sören?) was sagen. Danke

Viele Grüße

Hallo,

ja, dabei handelt es sich um die korrekte Liste. Ich hätte auch ein paar Seiten mehr erwartet, ich hab sie mir vorher nie angesehen, aber mehr sind es dann wohl nicht. Auf der anderen Seite hängt das natürlich von den Webseiten ab. Diese müssen HSTS entsprechend implementiert haben. Dabei handelt es sich nicht einfach nur um das Erzwingen von HTTPS, das erfordert eine Konfiguration auf dem Server der Webseite, da gibt es ein ganzes RFC dazu [1]. Ob sich diese Liste und HTTPS Everywhere in irgendeiner Weise beißen, kann ich nicht abschätzen.

Ich sehe bei einer Erweiterung wie HTTPS Everywhere ein anderes Problem, welches man zumindest im Hinterkopf behalten sollte. Wenn man Webseiten dazu zwingt, die HTTPS-Variante anzusteuern, kann das auf diesen Webseiten zu Mixed Content führen. Sprich einzelne Ressourcen (Bilder, CSS, JavaScript u.a.) auf einer HTTPS-Seite, welche nur über HTTP geladen werden. Ab Firefox 23 wird Mixed Content standardmäßig blockiert. Das Ergebnis können kaputte Webseiten sein. Man sollte sich also vergewissern, dass man HTTPS nur auf Seiten erzwingt, welche keinen Mixed Content haben, oder mit Problemen rechnen. Die Webkonsole gibt einem aber Aufschluss darüber.

[1] http://tools.ietf.org/html/rfc6797

Hallo Sören,

danke für die Antwort, das war sehr aufschlussreich. Was HTTPS-Everywhere angeht, so gehe ich jetzt einfach mal davon aus, dass die "Jungs" von der Electronic Frontier Foundation "Freak & Geek" genug sind, eine Erweiterung für Firefox bereitzustellen, die sich eben nicht mit dem nativen Firefoxverhalten und dessen HSTS-Liste beißt. Die in der Eweiterung implementierten Regeln folgen wohl auch der Sache angemessenen Maßstäben (der Server muss die entsprechende Funktion bereitstellen..) und werden vor Veröffentlichung (und periodisch danach?) auf ordentliche Funktion geprüft. Die Liste ist seit Veröffentlichung von HTTPS-Everywhere allerdings rasant gewachsen und ich bin mir gerade nicht sicher, wie bzw. ob das mit den Regeluploads durch User schon läuft und wie dabei Implementierung und Prüfung funktionieren. Das müsste man ggf. auf der EFF-Seite nachlesen.

Was die Änderung bzgl. Mixed Content ab Fx 23 angeht, sehe ich es so: HTTPS-Everywhere ist jetzt schon eine Erweiterung ähnlich wie NoScript u.ä. D.h., sie ist nicht wirklich für den absoluten Laien geeignet, da sie im Grunde nicht wartungsfrei benutzbar ist. Wenngleich sich die Wartung hier auch in Grenzen hält, muss man schon Spaß an der Fehlersuche haben und darf kein Problem damit haben, immer wieder mal in den Einstellungen rumspielen zu müssen :mrgreen: So werden dann wohl nach der Einführung des Mixed Content Feature weitere gezielte Eingriffe des Nutzers nötig werden, es sei denn, die Listen in HTTPS-Everywhere werden entsprechend angepasst (es gibt jetzt schon einige Seitenregeln, die mit dem Zusatz "partial" gekennzeichnet sind, vielleicht ist das dann ähnlich). Jedenfalls ist es gut zu wissen, was uns mit Fx 23 erwartet, deswegen nochmal danke für den Hinweis deswegen.

Das gesagt, werde ich HTTPS-Everywhere erstmal treu bleiben. Als passende Ergänzung nutze ich zum Erstellen eigener Regeln noch HTTPS Finder.

Viele Grüße

Zitat von bluemule

Jedenfalls ist es gut zu wissen, was uns mit Fx 23 erwartet, deswegen nochmal danke für den Hinweis deswegen.

Darum werf ich gleich noch einen Link hinterher, welcher die Neuerung genauer beschreibt und was geblockt wird und was nicht, und wie man das neue Sicherheits-Feature noch schärfer schalten oder abschalten kann:

Firefox 23 kommt mit aktiviertem Mixed Content Blocker

Dankeschön Ich lese deine Beiträge zu den Änderungen in Firefox immer sehr aufmerksam. Du bist die einzige mir bekannte Quelle, die diese Informationen für den deutschen Leser gezielt zusammenträgt und detailliert aufbereitet. Wenn du das nicht tun würdest, würde ich vermutlich nur die Hälfte der Neuerungen mitbekommen. Deswegen muss ich an dieser Stelle mal Dank und Lob aussprechen :klasse:

Viele Grüße

Dankeschön. Lob motiviert immer zum Weiterschreiben.

Ich nutze die Erweiterung auch nicht, weil ich generell nicht so weit in meinen Sicherheits-Bemühungen gehe und stattdessen auf den Schutz vertraue, welchen Mozilla standardmäßig liefert. Allerdings ist das doch jetzt auch eine sehr merkwürdige Argumentation. Wenn der Browser HTTPS anzeigen würde, obwohl die Verbindung nicht über HTTPS läuft, dann hätte aber der Browser grundlegende Probleme, die Erweiterung wäre dann wohl das geringste Problem. Was q.e.d. hier meint, weiß ich nicht, denn ich sehe nichts bewiesen.

Bernd.: Spielst du hier auf Mixed Content an?

Sollte Bernd. auf Mixed Content anspielen, würde die Argumentation in jedem Fall nicht funktionieren, da Firefox ohne Blockierung und ohne Erweiterung bei HTTPS-Seiten ja von ganz alleine das Laden von HTTP-Ressourcen zulässt. Da trägt die Erweiterung also meiner Meinung nach nicht negativ zu irgendetwas bei.

Hallo Bernd.,

danke für die Ausführung. Ich glaube nachwievor, dass HTTPS-Everywhere mir einen Mehrwert an Sicherheit bietet, auch wenn man sich bewusst sein muss, dass es nicht automatisch mehr Sicherheit und Anonymität bedeutet, wenn nur https davorsteht. Anders gesagt: Ohne hätte ich immer nur http und mit wenigstens einige gesicherte Verbindungen mehr. Was das Vertrauen angeht, entscheide ich mich persönlich an dieser Stelle dafür.

Ich weiß aber auch, dass man sich gründlich informieren und bei dem, was man tut, aufmerksam sein sollte. Es gibt sicher viel, in das ich mich noch tiefer einlesen könnte und ich bin auch bereit, mein Tun einer neuen Erkenntnis anzupassen.

Viele Grüße