Browser: Wenn möglich immer SSL benutzen
lima-city → Forum → Die eigene Homepage → Sicherheit im Internet
anfrage
angreifer
aufruf
dank
datei
eintrag
finder
helfen
http
liste
machen
nutzen
problem
projekt
regeln
stelle
umleitung
url
weiterleitung
zertifikat
-
Hallo!
Kennt jemand eine Möglichkeit Websites wenn möglich immer mit https aufzurufen? Z.B. will ich wenn ich jetzt http://www.google.at aufrufe automatisch zu https://www.google.at weitergeleitet werden wenn es möglich ist (in diesem Fall wäre es das ja).
Es würde an sich auch schon reichen wenn ich diese Umleitungen für bestimmte Websites einfach selbst anlegen könnte. Aber ich hab keine Ahnung wie. Ich stelle mir das so ungefähr wie ein Eintrag in der Hosts Datei vor (nur ist das ja schon allein nicht möglich weil oft verschiedene IPs verwendet werden).
Danke im Voraus! -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
-
Hallo yorecords,
mit der hosts Datei wirst du nicht viel Erfolg haben, da dieser nur einen alternativen, von Hand konfigurierten DNS Service darstellt.
Was du brauchst, ist eine Browsererweiterung, für Firefox (und Chrome, Beta!) wäre das HTTPS Everywhere
Grüße
Mator -
mator-kaleen schrieb:
Hallo yorecords,
mit der hosts Datei wirst du nicht viel Erfolg haben, da dieser nur einen alternativen, von Hand konfigurierten DNS Service darstellt.
Was du brauchst, ist eine Browsererweiterung, für Firefox (und Chrome, Beta!) wäre das HTTPS Everywhere
Grüße
Mator
Danke für deine Antwort! Ich werde es gleich mal testen.
Wäre super wenn es sowas für IE auch geben würde.. -
yorecords schrieb:
Hallo!
Kennt jemand eine Möglichkeit Websites wenn möglich immer mit https aufzurufen? Z.B. will ich wenn ich jetzt http://www.google.at aufrufe automatisch zu https://www.google.at weitergeleitet werden wenn es möglich ist (in diesem Fall wäre es das ja).
Es würde an sich auch schon reichen wenn ich diese Umleitungen für bestimmte Websites einfach selbst anlegen könnte. Aber ich hab keine Ahnung wie. Ich stelle mir das so ungefähr wie ein Eintrag in der Hosts Datei vor (nur ist das ja schon allein nicht möglich weil oft verschiedene IPs verwendet werden).
Danke im Voraus!
Google bietet eine verschlüsselte Variante (nur die Suchfunktion) unter https://encrypted.google.com/ an. Von da aus scheinen Seiten, die SSL unterstützen auch immer als https:// aufgerufen zu werden.
Vielleicht hilft dir das weiter?
Ansonsten hilft vermutlich nur ein eine eigene, verschlüsselte Verbindung via VPN Tunnel oder ähnlichem.
Beitrag zuletzt geändert: 27.3.2013 11:29:49 von cayce -
Vielen Dank für die informativen Antworten!
Mein eigentliches Problem war ja, dass ich den sicheren Modus auf YouTube sowie den SafeSearch-Modus von Google nur deaktivieren bzw deaktiviert nutzen konnte, wenn ich die Seite über SSL aufgerufen habe.
Es hat sich aber raus gestellt, dass auch dieses (wie mein letztes) Problem an Kaspersky lag.
Dennoch kann ich und sicher auch einige anderen diese Informationen sicher noch einmal gut gebrauchen. -
Ah, Kaspersky.
Das wäre ein guter Hinweis gewesen, genau das ist mir auch mal passiert (ich hatte noch den Bonus, das sich manche Seiten überhaupt nicht mehr öffnen liesen (egal ob mit SSL oder ohne), weil Kaspersky deren Zertifikate nicht kannte.... -
Das ist, was Du haben möchtest: https://www.eff.org/https-everywhere
-
Wenn die Seite ein SSL Zertifikat hat und einsetzt, sollte man so klug sein und eine Weiterleitung einreichen. Google macht das schon von Haus aus wenn es verfügbar ist.
-
Hallo,
@pwnicorn:
Cool, danke. Das schaut interessant aus.
@taos:
Manche Seiten machen das. Aber nur wenige (Bank, ...). Google zählt da aber jedenfalls nicht dazu.Oder warum sollte SSL nicht immer verfügbar sein? Entweder man hat ein Zertifikat, oder nicht. -
Hallo
https://code.google.com/p/https-finder
^ das funktioniert am besten. (findet SSL automatisch, HTTPS Everywhere tut das nicht) Ist nur für Firefox.
mfg
-
voloya schrieb:
Am besten ist es wohl, beide Addons gemeinsam zu nutzen.
https://code.google.com/p/https-finder
Auf jeden Fall vielen Dank für den Link! Ich werde mal schaun, ob ich das für Chrome und Opera Next portieren kann.
Beitrag zuletzt geändert: 5.8.2013 14:11:58 von pwnicorn -
Weil HTTPS Finder Regeln für HTTPS Everywhere erstellen kann und man dadurch dem Projekt helfen kann. Außerdem stellt HTTPS Everywhere sicher, daß nur Seiten, die über HTTPS einwandfrei funktionieren über HTTPS besucht werden. Leider ist es nicht so, daß eine Seite über HTTPS keine Probleme macht, nur weil der Server es eigentlich unterstützt.
Steht aber alles auf den jeweiligen Seiten zu den beiden Addons. -
Hallo
pwnicorn schrieb:
Weil HTTPS Finder Regeln für HTTPS Everywhere erstellen kann und man dadurch dem Projekt helfen kann. Außerdem stellt HTTPS Everywhere sicher, daß nur Seiten, die über HTTPS einwandfrei funktionieren über HTTPS besucht werden. Leider ist es nicht so, daß eine Seite über HTTPS keine Probleme macht, nur weil der Server es eigentlich unterstützt.
Steht aber alles auf den jeweiligen Seiten zu den beiden Addons.
Versteh ich nicht. Wieso einem Projekt helfen, das unnütz ist, weil es eine bessere Alternative gibt? HTTPS ja -> Weiterleitung. HTTPS nein -> keine Weiterleitung. Wenn eine Seite mit HTTPS nicht korrekt funktioniert (serversupportforum.de), einfach mit einem Klick auf die Whitelist und fertig. HTTPS Everywhere braucht man nicht.
mfg
-
Und genau da ist das Problem... Eine WEITERLEITUNG hat bereits eine Anfrage vorhergeschaltet. Heißt eine Anfrage wurde bereits gesendet.
HTTPS-Finder geht so vor, dass paralell zur Anfrage auf HTTP eine Anfrage auf HTTPS gesendet wird, unbemerkt. Kommt hier positives Feedback und das Zertifikat ist valide wird WEITERGELEITET auf HTTPS, somit sind die Sessioncookies usw aber schon übertragen worden. Dannach ist die Sitzung vorerst SSL verschlüsselt, das ja, aber auch erst dannach. Ein Angreifer hat trotzdem schon alles was er braucht. Wie man unter Gamern sagen würde: GG (Good Game), denn der Angriff war erfolgreich.
HTTPS Everywhere hingegen STOPPT deine Anfrage (jede einzelne), und prüft die URL auf ein Muster welches in der Liste (ständig geupdated) enthalten ist. Die Liste enthält mitlerweile mehrere Tausende defaulteinträge, und es sind sehr viele große Seiten bereits eingeschlossen. Lima-city übrigens nicht. Wenn ein Eintrag übereinstimmt, wird die URL auf HTTPS umgeschrieben. Dies kann einfach sein (http durch https ersetzen) oder auch kompliziert (www.google.de zu encrypted.google.com, damals), und DANNACH wird die Anfrage gesendet. Hiermit ist der Angreifer also von forn herein nicht in der Lage mitzulesen (doch ist er, SSL ist angreifbar. Nennt sich Breach die Methode und ist ein Exploit auf SSL Verschlüsselte Übertragungen), und du bist sicher.
HTTPS-Finder ist ein ZUSATZTOOL für HTTPS Everywhere, es ist nicht als StandAlone gedacht. Könnte man aber auch lesen:
SECURITY NOTE:
HTTPS Finder begins looking for an SSL connection as soon as you click a link or start navigating to a new HTTP page. Because an HTTP connection is established first, your session cookie can still be sent unencrypted before going to SSL. This may not fully protect you against Firesheep or other man-in-the-middle attacks, but it minimizes the chances of it happening.
[...]
HTTPS Finder is most powerful when used side-by-side with HTTPS Everywhere to create rule sets tailored to your browsing habits. [...]
https://addons.mozilla.org/de/firefox/addon/https-finder/
Liebe Grüße -
Hallo
ggamee schrieb:
blablablablablablaweiterleitungblablablabla
Beim ersten Besuch einer Seite habe ich keine (nennenswerten) Session cookies. Danach gelange ich immer direkt auf die https-Seite. Wenn ich also "li+Enter" eingebe, oder "y+Enter" eingebe, bin ich sofort auf https://lima-city.de oder https://youtube.de, FF das schon so als bereits besuchte Seite registriert hat. Ohne HTTPS Everywhere. Deswegen brauche ich es auch nicht.
Ja ja gut, falls ich mal den Verlauf lösche, aber nicht die Cookies, dann kann die NSA...
mfg
-
Ja, wenn halt die Leute lesen würden. Macht doch was ihr wollt, ich verwende beide Addons zusammen, so wie es gedacht ist.
-
Hallo
pwnicorn schrieb:
Ja, wenn halt die Leute lesen würden. Macht doch was ihr wollt, ich verwende beide Addons zusammen, so wie es gedacht ist.
Herzlichen Glückwunsch.
Mir ist der gleiche Effekt mit weniger Ballast lieber.
mfg
-
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
