Mozilla-Büro in San Francisco (Bild: James Martin / CNET)
Mozillas Sicherheitsteam schlägt vor, verschlüsselte Verbindungen zu einer unabdingbaren Voraussetzung für die Nutzung neuer Web-Techniken zu machen. Dieser Schritt soll dazu beitragen, die Standardversion des Hypertext Transfer Protocol (HTTP) ohne Sicherheitsmerkmale „auszumustern“. Google scheint einer solchen Herangehensweise ebenfalls nicht abgeneigt zu sein.
Richard Barnes, Leiter der Sicherheitsentwicklung für Mozillas Webbrowser Firefox, unterbreitete den Vorschlag am Montag und berief sich dabei auf einen breiten Konsens darüber, dass HTTPS die Zukunft des Web bestimmten sollte. Diesbezügliche Erklärungen gebe es von der Internet Engineering Task Force (IETF), dem Internet Architecture Board (IAB) und sogar von der US-Regierung.
HTTPS, also verschlüsseltes HTTP, kommt heute bei Google-Diensten wie Gmail ebenso zum Einsatz wie in den Social Networks Facebook und Twitter oder bei Yahoo Mail. Bei reinen Inhalte-Angeboten, die zudem kein Log-in erfordern, scheint es zunächst überflüssig, schränkt aber Usertracking ein und kann vereiteln, dass die Webverbindung etwa durch Man-in-the-Middle-Angriffe entführt wird.
Mozillas Plan für die Umstellung auf HTTPS sieht phasenweise Schritte zur Motivierung der Webentwickler vor. Beginnen soll es mit der Einschränkung neuer Features auf sichere und verschlüsselte Umgebungen. Danach sollen auch bereits vorhandene Funktionen allmählich nur noch mit einer verschlüsselten Verbindung nutzbar sein.
„Ein umfassendes Programm für die Ausmusterung von HTTP bedeutet eine klare Botschaft an die Web-Community, das die Ära von Klartext vorbei ist“, argumentiert Barnes. „Es sagt der Welt, dass das neue Web HTTPS einsetzt. Wer die neuen Dinge nutzen will, muss also für Sicherheit sorgen.“
Nach einer 2014 durchgeführten Analyse setzen nur 45 Prozent der weltweit reichweitenstärksten Websites Verschlüsselung ein. Die Browserhersteller jedoch verfügen über erheblichen Einfluss und könnten etwas an diesem Zustand ändern. Google stellte im Februar eine ähnliche Idee in den Raum und schlug vor, Verschlüsselung unabdingbar zu machen bei der Übertragung kopiergeschützter Videos an einen Browser oder der Nutzung einer Kamera in PC beziehungsweise Smartphone durch eine Web-App. In der Canary-Version des Browsers Chrome führte es außerdem eine Warnung vor jeglichen unverschlüsselten Websites ein.
[mit Material von Stephen Shankland, News.com]
Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.
Weitere schwerwiegende Fehler stecken in Android 12 und 13. Insgesamt bringt der Mai-Patchday 29 Fixes.
IT-Sicherheit - Erkennen und Abwehren von digitalen Angriffen
Das iPhone 15 Pro Max ist das meistverkaufte Smartphone im ersten Quartal. Das Galaxy S24…
Die Passwort-Alternative Passkeys überholt Einmalpasswörter bei der Zwei-Faktor-Authentifizierung. Auch Microsoft setzt sich aktiv für die…
Der Anteil steigt seit 2020 um 34 Prozentpunkte. Allein 2023 erfasst Kaspersky rund 10 Millionen…
Salesforce forciert den Ausbau seiner Industry Clouds. Mit ihrem Prozesswissen könnten deutsche IT-Dienstleister davon profitieren.
