Skip to content

Instantly share code, notes, and snippets.

Embed
What would you like to do?
State of HTTPS Everywhere, Ausgabe 1 (29.01.2016)

Hallo ressourcenmangel,

Als Beauftragter für „Euch wegen fehlenden SSL in den Hintern treten“ ein paar Updates zu HTTPS Everywhere:

Ab April: Geolocation API in Chrome nur noch über HTTPS

Wie bereits bei WebRTC (Chrome 47) [0] wird nun auch die Geolocation API für Non-HTTPS-Requests blockiert [1]. Die API funktioniert, liefert aber keine Daten mehr zurück. Die Änderung gilt ab Chrome 50, welcher für den 19. April erwartet wird [2]. Auch die neue Brotli-Encoding-Algorthymus (findet Verwendung in WOFF 2.0) gibt es nur per SSL bald [3]. Weitere Features folgen, der Standard dafür heißt: Privileged Contexts (Powerful features) [4].

[0] https://melavi.de/chrome-47-webrtc-and-ssl

[1] https://mobiforge.com/news-comment/no-https-then-bye-bye-geolocation-in-chrome-50

[2] http://www.chromium.org/developers/calendar

[3] https://groups.google.com/a/chromium.org/forum/#!searchin/blink-dev/brotli/blink-dev/JufzX024oy0/WEOGbN43AwAJ

[4] https://www.w3.org/TR/powerful-features

Warum überhaupt HTTPS? Wir haben doch keine Nutzer_innendaten!

HTTPS ist nicht nur wichtig Nutzer_inneninformationen (wie Logins) verschlüsselt zu übertragen. Es gibt weitere viele Gründe für HTTPS Everywhere, auch für Webseiten die keine Nutzer_innendaten übertragen. Bei certsimple.com gibt es alle [0]. Gut fürs Kunden überzeugen.

[0] https://certsimple.com/blog/ssl-why-do-i-need-it

Firefox Developer Edition: type=„password“ und kein SSL? Unsicher!

In der Firefox Developer Edition werden nun Seiten, die ein Login-Formular enthalten (mindestes ein Input vom type „password“), die nicht über HTTPS ausgeliefert werden, mit dem „Unsicher“-Icon (Ein Schloss mit rotem X) gekennzeichnet [0]. Noch gibt es die Funktion nicht im Stable-Release von Firefox, aber wird noch für dieses Jahr erwartet.

[0] https://hacks.mozilla.org/2016/01/login-forms-over-https-please

Eigentlich lautet es TLS statt SSL

Und zum Abschluss bisschen Geschichte. Wenn wir von SSL (Secure Sockets Layer) reden, meinen wir eigentlich TLS (Transport Layer Security). SSL ist veraltet und ist dank zahlreicher Sicherheitslücken mehr als tot [0] (Leider aber oft noch im Einsatz: Wie los werden? disablessl3.com hilft! [1]). Warum sagen wir dann eigentlich immer noch SSL? certsimple.com klärt auf! [2]

[0] https://blog.mozilla.org/security/2014/10/14/the-poodle-attack-and-the-end-of-ssl-3-0

[1] http://disablessl3.com

[2] https://certsimple.com/blog/ssl-or-tls

Vielen Dank fürs Lesen. Ich hoffe bald mehr HTTPS only Seiten aus dem Hause ressourcenmangel zu sehen :)

Schönes Wochenende,

Dennis

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment