Conversation
Notices
-
@jonaz @kuketzblog @matthiasmader
Es gibt noch einen viel wichtigeren, fundamentalen Grund warum #HTTPSEverywhere (was hast du gegen den Namen? :) ) mit Regeln arbeitet. Und wenn man den bedenkt, weiß man auch das es kein Overkill ist.
Von der Idee hat das "smart https" Addon ja was, ist aus Sicherheitssicht aber nicht sicher/zielführend. Ein Angreifer kann ja jederzeit den HTTPS-Zugriff blockieren und dann ist es auch egal, ob das Add-on installiert ist oder nicht. Es fällt auf HTTP zurück…
Bei HTTPSEVerywhere gibt es keinen Fallback auf HTTP, d.h., blockiert der Angreifer die Verbindung, gibt es eine Fehlermeldung. Der Nutzer greift so nicht auf unsichere Weise auf die Webseite zu.
Die einzige Möglichkeit, die ich für SmartHTTPS sehe, die Sinn macht, wäre, wenn es nachdem es gemerkt hat, das eine Webseite HTTPS anbietet, auch automatisch beim nächsten Mal immer umleitet – ohne auf HTTP zurück zu fallen.
Das ist dann sozusagen eine Art #HSTS -Addon.
-
@kuketzblog @matthiasmader @jonaz Nur da sieht man auch das Problem: Jeder Admin kann selbst HTTPS umleiten und HSTS aktivieren. Evt. gibt es ja bei einigen Seiten schon einen Grund warum HSTS nicht aktiviert ist. (evt. bietet eine Webseite noch kein HTTPS auf allen Servern, die die Webseite international anbieten.)
-
@jonaz @kuketzblog @matthiasmader Ja, stimme zu. (Außer HPKP, das ist es nicht und das kannst du ohne den Webadmin auhc nicht für Otto-Normal-Bürger machen; gab da mal ein Projekt/Addon aber naja…)
rugk -> ⚠️ Follow me at https://social.wiuwiu.de/@rugk
All Bobinas P4G content and data are available under the