Computerguard.de ist jetzt auch im Addon HTTPS-Everywhere mit vertreten. Was dies bringt und was HTTPS-Everywhere überhaupt ist, erkläre ich in diesem Post.
Das Problem
SSL bzw. TLS-Verschlüsselung an sich ist ein solider Schutz. Doch standardmäßig bauen Browser eine HTTP-Verbindung zu jeder Seite aus. Die Seite kann dann über eine Weiterleitungsaufforderung (302-Redirect in diesem Fall) den Browser anweisen, zu der HTTPS-Version zu wechseln. Wenn dies geschieht und der Browser dies umsetzt wird eine verschlüsselte Verbindung aufgebaut.
Problematisch ist hierbei nur ein Fakt: Die gesendete Umleitungsaufforderung wird über HTTP gesendet und kann somit abgefangen werden. Auf diese Art kann ein Angreifer die Verbindung abfangen und diesen Redirect nicht weiterleiten. Damit die Webseite jedoch normal angezeigt wird, muss der Angreifer die Webseite logischerweise abrufen - dies kann er dann ganz normal über HTTPS erledigen.
Sein Angriff besteht jedoch jetzt darin beim Erhalt der echten Webseite diese einfach unverschlüsselt (also über HTTP) weiterzuleiten. Dann verhält er sich einfach wie ein Proxy - er nimmt unverschlüsselte Daten an, analysiert, fälscht, speichert oder tut was auch immer mit Ihnen und leitet sie dann verschlüsselt weiter. Der Server bemerkt nichts da er ja eine ganz normale HTTPS-Verbindung vor sich hat und der Benutzer kann sogar mit einem gefälschten Schloss-Symbol als Favicon getäuscht werden.
HTTPS-Everywhere hilft
Dagegen hilft eigentlich nur eins: HTTPS (am Besten gleich beim ersten Aufruf der Seite) benutzen. Denn dann werden erst gar keine Daten über eine normale HTTP-Verbindung gesendet. Neben an- neben anderen Techniken, wie HSTS, welches wir hier auch benutzen - hilft dafür vor allem auch ein Addon: HTTPS-Everywhere.
Manchen mag es ein Begriff sein und die simple Aufgabe des Add-ons ist es möglichst viele Seiten die HTTPS unterstützen direkt bei der ersten Verbindung mit HTTPS aufzurufen. Dies klingt simpel und ist es auch - einmal installiert vergleicht es jede aufgerufene Webseite mit einer internen Liste und wenn die Webseite dort als HTTPS-unterstützend enthalten ist, wird die Anfrage entsprechend abgeändert.
Computerguard ist dabei
Das Add-on ist Open-Source und so kann man bei GitHub seine eigenen Umleitungsregeln einreichen. Und damit alle Besucher die Computerguard besuchen auch davon profitieren können, haben wir auch unsere Domain hinzugefügt. Die aktuelle Regel könnt ihr auf einer Webseite sehen.
Wer das Add-on downloaden möchte kann dies auf der entsprechenden Webseite tun. Es ist für Firefox, Chrome, Opera und Firefox für Android verfügbar.
Bei Computerguard.de sieht dies dann so aus: