SSL Observatory nicht mehr in HTTPS Everywhere?

Hier finden sich Anwendungen rund um das Thema Internet
[the place to find internet applications]
Antworten
schlitzer

SSL Observatory nicht mehr in HTTPS Everywhere?

Beitrag von schlitzer » 02 Jul 2018, 18:44

Hallo zusammen!

Ich habe letztens bemerkt, dass in den neuen Versionen von HTTPS Evereywhere die Checkbox "SSL Observatory" in den Einstellungen nicht mehr da ist. Was hat das auf sich? Ist SSL Observatory nicht mehr Bestandteil von HTTPS Everywhere oder ist sie jetzt so fest integriert, dass eine Deaktivierung von SSL Observatory nicht mehr möglich ist, also das man HTTPS Everywhere nicht mehr ohne SSL Observatory nutzen kann?

Vielleicht kann mir ja jemand eine Antwort drauf geben. Danke sehr!

Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 33792
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

Re: SSL Observatory nicht mehr in HTTPS Everywhere?

Beitrag von doelf » 03 Jul 2018, 11:18

Ich kann das bestätigen, habe im Changelog aber nichts dazu gefunden. Es kam auch kein Pop-Up, welches die Aktivierung des SSL Observatory empfiehlt. Generell halte ich wenig von HTTPS Everywhere und gar nichts vom SSL Observatory. Nur eine weitere Angriffsmöglichkeit, da alle Zertifikate an die EFF geschickt werden.

Gruß

Michael
. Tails . Linux . USB . CD . Secure Desktop . IRC . Truecrypt . Tor .

schlitzer

Re: SSL Observatory nicht mehr in HTTPS Everywhere?

Beitrag von schlitzer » 03 Jul 2018, 15:10

Mit der EFF hast du natürlich recht. Wäre jetzt interessant zu wissen, welche Funktionen ohne SSL Observatory funktionieren würden. So weit ich weiß ist es nur problematisch, wenn man SSL Observatory laufen hat. Es geht eigentlich ja auch ganz ohne, ist halt nur etwas aufwendiger.
Was man natürlich machen könnte ist ein Add-on zu Programmieren, welches einfach versucht mit HTTPS zu übertragen. z.B. wenn ich versuche eine unverschlüsselte Seite aufzurufen mit http korrigiert das Add-on automatisch das http mit https.
wenn das scheitert, wenn https nicht unterstützt wird passiert halt nichts oder es erscheint nur die Info "Konnte nicht verbunden werden, da nicht verschlüsselt" o.ä. Somit muss man keine Daten irgendwo weiterleiten um die HTTPS-Verbindung zu überprüfen. Meiner Meinung nach reicht das aus. Leider kenne ich mich mit der Add-on-Programmierung nicht aus. In welcher Programmiersprache werden z.B. Firefox-Add-ons eigentlich programmiert?

Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 33792
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

Re: SSL Observatory nicht mehr in HTTPS Everywhere?

Beitrag von doelf » 03 Jul 2018, 16:09

Die Add-ons basieren inzwischen auf der WebExtensions API.

Smart HTTPS sollte diese Aufgabe erfüllen:
https://addons.mozilla.org/de/firefox/a ... s-revived/

oder HTTPS by default:
https://addons.mozilla.org/de/firefox/a ... y-default/

Das Problem mit HTTPS Evereywhere: Hier kommt eine Whitelist zum Einsatz, statt die Verfügbarkeit von HTTPS zu prüfen.
Ich verstehe aber auch die Webmaster nicht. Ein kleiner Eintrag in .htaccess und schon werden alle HTTP-Zugriffe auf eine Webseite automatisch in HTTPS umgewandelt.

Gruß

Michael
. Tails . Linux . USB . CD . Secure Desktop . IRC . Truecrypt . Tor .

schlitzer

Re: SSL Observatory nicht mehr in HTTPS Everywhere?

Beitrag von schlitzer » 03 Jul 2018, 17:08

doelf, danke für deine hilfreiche Antwort.

Welches Add-on würdest du eher empfehlen?
Smart HTTPS oder HTTPS by default?

Wichtig ist für mich das nichts weitergeleitet wird. Das Add-on sollte also am besten komplett offline arbeiten.

Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 33792
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

Re: SSL Observatory nicht mehr in HTTPS Everywhere?

Beitrag von doelf » 05 Jul 2018, 08:26

"Smart HTTPS" wandelt HTTP in HTTPS und - falls ein Fehler auftreten sollte - wieder zurück. Als Berechtigungen werden Zugriff auf die Browser-Tabs und alle Daten von Webseiten benötigt, was nachvollziehbar ist. Die Daten werden offenbar nicht an Dritte übertragen. Das funktioniert soweit ganz gut.

"HTTPS by default" will zusätzlich Zugriff auf die Browser-Aktivität während der Seitenwechsel zugreifen. Dafür kann man hier den Quellcode einsehen => https://github.com/Rob--W/https-by-default

In meinen Augen sind beide eine gute Wahl.

Gruß

Michael
. Tails . Linux . USB . CD . Secure Desktop . IRC . Truecrypt . Tor .

schlitzer

Re: SSL Observatory nicht mehr in HTTPS Everywhere?

Beitrag von schlitzer » 05 Jul 2018, 22:04

doelf, danke für deine Antwort!

Worin ist denn der Unterschied zwischen den beiden?:
"Smart HTTPS" Version 0.2.5
"Smart HTTPS (add-on SDK)" Version 0.1.8

für mich sehen beide gleich aus. Lediglich die Version und die Berechtigungen unterscheiden sich. "Smart HTTPS (add-on SDK)" Version 0.1.8 scheint keine Berechtigungen zu brauchen?

Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 33792
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

Re: SSL Observatory nicht mehr in HTTPS Everywhere?

Beitrag von doelf » 06 Jul 2018, 11:44

Die neue Version nutzt die Programmierschnittstelle WebExtensions. Der aktuelle Firefox unterstützt nur noch solche Erweiterungen, da man bei diesen die Rechte steuern und den Browser besser vor bösartigen Erweiterungen schützen kann.

Der alte Standard für Erweiterungen war extrem mächtig und konnte alle Funktionen des Firefox übernehmen, verändern und manipulieren. Anders formuliert: Diese Erweiterungen hatten immer Vollzugriff und das ist zu gefährlich. Zudem konnten instabile Erweiterungen den Firefox abstürzen lassen.

Gruß

Michael
. Tails . Linux . USB . CD . Secure Desktop . IRC . Truecrypt . Tor .

schlitzer

Re: SSL Observatory nicht mehr in HTTPS Everywhere?

Beitrag von schlitzer » 06 Jul 2018, 15:47

Alles klar, dann weiß ich jetzt bescheid. Danke nochmal für den tollen Support! ;)

Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 33792
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

Re: SSL Observatory nicht mehr in HTTPS Everywhere?

Beitrag von doelf » 06 Jul 2018, 16:08

Dafür sind wir ja da :-)
. Tails . Linux . USB . CD . Secure Desktop . IRC . Truecrypt . Tor .

Antworten