{"id":145796,"date":"2014-08-19T22:02:15","date_gmt":"2014-08-19T20:02:15","guid":{"rendered":"http:\/\/www.hier-luebeck.de\/?p=145796"},"modified":"2014-08-19T22:02:15","modified_gmt":"2014-08-19T20:02:15","slug":"webseite-prangert-unsichere-dienste-an","status":"publish","type":"post","link":"https:\/\/hier-luebeck.de\/index.php\/webseite-prangert-unsichere-dienste-an\/","title":{"rendered":"Webseite prangert unsichere Dienste an"},"content":{"rendered":"

Um gegen Apps und Webseiten anzuk\u00e4mpfen, die Daten unverschl\u00fcsselt und somit gerade in offenen WLAN-Netzen unsicher \u00fcbertragen, stellt sie der Softwareentwickler Tony Webster an den virtuellen Pranger. Auf „HTTP Shaming“ http:\/\/httpshaming.tumblr.com<\/a> zeigt er die unsichere Kommunikation teils verbreitet genutzter Dienste wie Scribd auf.
\n„Aus meiner Sicht gibt es keinen Grund, warum nicht alle Webseiten und mobile Apps HTTPS verwenden sollten“, betont Webster gegen\u00fcber Ars Technica. Aus Experten-Sicht wirkt die Aktion durchaus sinnvoll. „Ich denke, das ist gut f\u00fcr die allgemeine Awareness“, meint J\u00fcrgen Eckel, Entwicklungsleiter von IKARUS Security Software http:\/\/ikarussecurity.com<\/a> , im Gespr\u00e4ch mit pressetext. Zudem steigt der Druck auf Unternehmen, etwaige Probleme zu beheben. „Solch \u00f6ffentlichkeitswirksame Aktionen k\u00f6nnen zum Kippen der User-Meinung f\u00fchren“, erkl\u00e4rt der Experte. Einen dadurch bedingten Nutzerschwund werden Anbieter eher nicht riskieren.Verschl\u00fcsselungs-Mangel<\/span><\/p>\n

Wenn Daten unverschl\u00fcsselt \u00fcbertragen werden, sind sie gerade in offenen WLANs f\u00fcr Dritte leicht mitlesbar. Dennoch ist SSL-Verschl\u00fcsselung auch 2014 l\u00e4ngst nicht universell im Einsatz. So hat ein Test von 40 Banking-Apps durch IOActive http:\/\/ioactive.com<\/a> Anfang des Jahres ergeben, dass 90 Prozent teilweise unverschl\u00fcsselte Links nutzen. Auch Webseiten verzichten nach wie vor oft auf HTTPS. So kritisiert Webster auf HTTP Shaming, dass der Dokument-Sharing-Dienst Scribd http:\/\/de.scribd.com<\/a> standardm\u00e4\u00dfig nur unverschl\u00fcsselte Links nutzt. Der Reiseplaner TripIt http:\/\/tripit.com<\/a> wiederum synchronisiert \u00fcber unverschl\u00fcsselte Verbindungen mit Kalendern.<\/p>\n

Der virtuelle Pranger ist erst am Wochenende gestartet, dennoch gibt es schon Berichte \u00fcber Sicherheitsm\u00e4ngel, die andere User an Webster herangetragen haben. Dieser betont, dass er in eher kritischeren F\u00e4llen die Informationen nicht ver\u00f6ffentlicht, sondern erst damit an das jeweilige Unternehmen herantritt. „Das kann ich nur begr\u00fc\u00dfen. Das ist wie beim Ethical Hacking“, meint dazu Eckel. Dort ist es \u00fcblich, dass Experten zun\u00e4chst nur betroffene Unternehmen auf gefundene Sicherheitsl\u00fccken aufmerksam machen und ihnen so die Chance geben, diese zu l\u00f6sen. Denn eine breite Ver\u00f6ffentlichung w\u00e4re unverantwortlich, da sie Angriffe provozieren k\u00f6nnte.<\/p>\n

Transparenz zeigt Wirkung<\/span><\/p>\n

F\u00fcr den IKARUS-Sicherheitsexperten ist klar, dass eine aktionistische Webseite wie HTTP Shaming durchaus etwas bewirken kann. „Je transparenter Probleme gemacht werden, umso mehr Druck auf Unternehmen besteht“, erl\u00e4utert er. Denn Datensicherheit ist f\u00fcr User letztlich auch ein Kriterium, welche Angebote sie nutzen. Anbieter, die auf Bedenken nicht eingehen, m\u00fcssen also bef\u00fcrchten, dass sie Nutzer an die Konkurrenz verlieren.<\/p>\n

Tats\u00e4chlich scheint der virtuelle Pranger zu wirken. Denn Webster zufolge hat er TripIt schon im November 2013 bez\u00fcglich seiner Bedenken kontaktiert, aber nie eine Antwort erhalten. Nach dem Start von HTTP Shaming ging es dann doch. Gegen\u00fcber Ars Technica gab ein Sprecher des Reiseplaner-Dienstes an, dass man eifrig daran arbeite, die Kalender-Feeds auf HTTPS umzustellen und das m\u00f6glichst ohne St\u00f6rungen f\u00fcr Nutzer.<\/p>\n","protected":false},"excerpt":{"rendered":"

Um gegen Apps und Webseiten anzuk\u00e4mpfen, die Daten unverschl\u00fcsselt und somit gerade in offenen WLAN-Netzen unsicher \u00fcbertragen, stellt sie der<\/p>\n","protected":false},"author":3,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[20],"tags":[14438],"class_list":["post-145796","post","type-post","status-publish","format-standard","hentry","category-besondere-neuigkeiten","tag-webseite-prangert-unsichere-dienste-an"],"_links":{"self":[{"href":"https:\/\/hier-luebeck.de\/index.php\/wp-json\/wp\/v2\/posts\/145796","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/hier-luebeck.de\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/hier-luebeck.de\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/hier-luebeck.de\/index.php\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/hier-luebeck.de\/index.php\/wp-json\/wp\/v2\/comments?post=145796"}],"version-history":[{"count":1,"href":"https:\/\/hier-luebeck.de\/index.php\/wp-json\/wp\/v2\/posts\/145796\/revisions"}],"predecessor-version":[{"id":145797,"href":"https:\/\/hier-luebeck.de\/index.php\/wp-json\/wp\/v2\/posts\/145796\/revisions\/145797"}],"wp:attachment":[{"href":"https:\/\/hier-luebeck.de\/index.php\/wp-json\/wp\/v2\/media?parent=145796"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/hier-luebeck.de\/index.php\/wp-json\/wp\/v2\/categories?post=145796"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/hier-luebeck.de\/index.php\/wp-json\/wp\/v2\/tags?post=145796"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}