Electronic Frontier Foundation: So verschlüsseln Webdienste (oder auch nicht)
Der Encrypt the Web Report der Electronic Frontier Foundation gibt Auskunft darüber, welche Internetdienste auf welche Weise Daten verschlüsseln. Dazu wurden die Unternehmen befragt und einige haben bereits die wichtigsten Maßnhamen getroffen, um die Daten der Nutzer so gut wie möglich zu schützen. Allen voran Dropbox, Google, SpiderOak und Sonic.net, die die 5 wichtigsten Verschlüsselungstechniken einsetzen.
Erfreut zeigt sich die EFF auch über die Bemühungen von Yahoo und Twitter, die bestätigt haben, dass weitere Verschlüsselungsmaßnahmen eingerichtet werden sollen. Durch die Maßnahmen zur Verschlüsselung soll verhindert werden, dass Daten von Nutzern von Glasfaserkabeln abgezapft werden können. Dazu muss die Verschlüsselung allerdings Service-übergreifend implementiert sein.
Facebook und Microsoft sind gerade dabei, alle Verschlüsselungsformen aufzurüsten. Amazon, Apple, AT&T, Comcast, Verizon und WordPress geben anscheinend nicht viel auf Verschlüsselung oder geben keine Auskunft darüber, wie man der Grafik entnehmen kann.
Die EFF sieht in den Verschlüsselungsmaßnahmen zumindest eine Möglichkeit, unberechtigtes Abfangen der Kommunikation zu erschweren, wenn nicht gar zu unterbinden. Ob dies tatsächlich gegen Eingriffe hilft, wie sie von der NSA und Co vorgenommen werden, bleibt allerdings fraglich.
Wird geladen ...
Wenn man überlegt wie klein der Technische Aufwand ist, ist das schon bemerkenswert wie vielen Firmen die Sicherheit am Arsch vorbei geht.
Ja, vor allem dass Apple so auf die Sicherheitsbedürfnisse ihrer Kunden pfeift ist schon bezeichnend.
naja wenn man anschaut wie lange firmen z.T brauchen bis die gewisse verfahren einsetzen könnte es evtl. doch komplizierter sein als man vielleicht meint.
Kleiner technischer Aufwand?! Junge Junge….
Ich habe damals nur für mich persönlich mal Postfix mit SSL verschlüsselung einrichten wollen und SQL Datenbank nebst WebMail. Hat mich über ein Jahr meiner Zeit gekostet (natürlich nicht tagtäglich…) und dann hab ichs aus Zeitmangel aufgegeben…
Aber es wäre natürlich wirklich SEHR interessant, was der Aufwand so ist. Gerade hier für die Leser dieses Blogs.
Nicht mehr nur noch mehr oder weniger technisch interessante aber hintergrundarme Infos massenhaft rausgehauen zu lesen, sondern mal schön tiefes hintergrundwissen zu verteilen (muss ja nicht allzutechnisch sein, aber so, das „jeder“ abschätzen kann, was dies nun an Aufwand in seiner Zeit bedeutet und ob man sich nun doch ans selbermachen macht, oder lieber auf die hier allzuoft gepriesenen Dienste verlässt.)
10 cent 32
Wobei es z.B. bei Facebook fast unerheblich ist, daß dort alles grün ist, schließlich sitzt der „Feind“ mit dem größten Datenhunger im Innern – siehe die Analyse nicht abgeschickter Postings (oder wie auch immer die Userbeiträge in Facebook-Sprech heißen), die vor ein paar Tagen offenbar wurde.
@Namenlos, weil Cookies gelöscht…
wir reden hier nicht von – das mache ich mal in der Kaffee Pause, das dauert schon ein Weilchen. Aber da Arbeiten mehr als genug Menschen bei den Firmen und z.B. HTTPs gibt es nicht erst seit Gestern. Im Anbetracht der anderen Leistungen die sie erbringen ist die Verschlüsselung wirklich nicht das Problem.
„Ich habe damals nur für mich persönlich mal Postfix mit SSL verschlüsselung einrichten wollen und SQL Datenbank nebst WebMail. “
Sry aber das sind „einfache“ Sachen die in einer Stunde erledigt sind, wenn man Ahnung hat. Und ich glaube nicht das z.B. die IT Admins bei Apple aus lauter Hobby dort arbeiten.
@Namenloser Cookiekiller
Hier stimme ich namerp zu: Jemand der zurecht irgendwo einen Cloudservice administriert hat sowas ruck zuck erledigt. Das Problem mit SSL (vorallem mit sicherem SSL) ist, dass es deutlich rechenintensiver als klassisches HTTP ist. Hast du zehntausende Anfragen in der Minute, kann die Frage ‚HTTPS – ja oder nein‘ uU auch ‚Zweites Rechenzentrum – ja oder nein‘ heißen.
Was das selbermachen betrifft: SSL kann nur mit dem Serverbetreiber funktionieren – auf die entsprechenden Dienste pfeifen heißt selber machen, was definitiv monatlich Cash für den benötigten Virtual Server braucht. Für manche Anwendung gibt’s halbwegs fertige OpenSource-Angebote, die jedes durchschnittlich begabte Skriptkiddie an einem Wochenende zum laufen kriegt (mehr können == weniger Zeitaufwand). Für vieles gibt’s kein OpenSource, dann heißt’s entweder: ‚Ran an den Editor – selbermachen‘, wofür aber deutlich mehr Zeit und einschlägiges Vorwissen benötigt wird, oder ‚Ran an’s Freelancer-Portal – machen lassen‘ – kostet zwar nur 30min Zeit, dafür aber ungleich mehr Geld.
@gast
Sicherlich ist das ganze bei Apple nicht so einfach, wie mal fix OpenSSL anwerfen und ein Schlüsselpaar anfordern. Dafür gibt’s bei Apple aber auch Leute (hoffe ich zumindest), die den ganzen Tag nix anderes machen als Bösewichte am (digitalen) Einbruch zu hindern.
@all
Wirklich wichtig ist weniger SSL, sondern eher ob wie hartnäckig der Server auf RC4 (praktisch durchführbare Angriffe sind mittlerweile öffentlich bekannt) besteht – Google ist bspw nur von RC4 abzubringen indem man die dazugehörige Fähigkeit im Browsercode deaktiviert (oder durch auf Ethernet- und/oder IP-Ebene arbeitende Patches – derartiger Code arbeitet prinzipbedingt ähnlich wie Rootkits, und ist – so nicht selbst geschrieben – ein extremes Sicherheitsrisiko). Bei der Gelegenheit ist gleich Microsoft zu loben – dort hält man sich an die Präferenzen des anfragenden Browsers und nimmt den ersten Verschlüsselungsalgorithmus, den man selbst verwendet.
HTTPS & Co. sind ohnehin total überbewertet – dort wo keine empfindliche Daten fließen, ist es einfach auch unnötig. Bei Amazon ist der wichtigste Teil, nämlich die Bestellung abgesichert. Das surfen im Shop selber ist total irrelevant, ob verschlüsselt oder nicht, da dass schlicht keine Daten sind, die man unbedingt vor Außen schützen muss. Finde es schon amüsant, wenn ich so einige private Blogs mit SSL-Zertifikat sehe. Da fragt man sich WOFÜR?
Nur weil es andere machen – oder auch Große (siehe Google inzwischen) – heißt das noch lange nicht, dass es zwingend ist. Wobei man bei Google halt inzwischen permanent auch mit seinem Profil verknüpft ist und permanent auch Daten fließen, die etwas empfindlicher sind…
@Benny
Wenn Teile einer Website unverschlüsselt übertragen werden, wird der verschlüsselte Teil potenziell angreifbar – es gibt genug Angriffe die so funktionieren.
@namerp
Grundlegend eine Verschlüsselung einrichten ist erstmal nicht so schwer.
Allerdings sind es Feinheiten die einem den letzten Nerv rauben wie z.B. Forward Secrecy.
Da darfst du die mit den angebotenen Ciphers rumschlagen und das kann ziemlich nervig sein.
Ich habe z.B. mal versucht grundsätzliche eine hohe Verschlüsselung (mindestens 128 Bit) + Forward Secrecy einzurichten und dabei kein CBC zu verwenden wegen BEAST.
Entweder wurden einige alte Browserversionen nicht mehr unterstützt oder aber ich musste doch auf CBC zurückgreifen.
@Benny: Ich betreibe einen dieser privaten Blogs via SSL. Warum?
Weil ichs kann 😉