Hallo Nils-Hero,
kannst Du mal ein bischen konkreter werden?
Nein, ich habe nur nachgesehen, ob so etwas generell geht bzw. es Software dafür gibt. Wie man den Kram einrichtet, habe ich mir mangels Bedarf nicht näher angesehen (zur generellen Funktionsweise und den Problemen scheint aber der von dir verlinkte Artikel einiges zu erklären).
Was mich auch sehr wundert, ist, wieso Du so vehement für https und Co. votierst, wenn auf der ersten Seite der von Dir empfohlenen Suche nach "SSL interception proxy" Artikel wie dieser zu finden sind. Zitat:
The fact that “SSL inspection” is a phrase that exists, should be a blazing red flag that what you think SSL is doing for you is fundamentally broken. Compounding the problem are the mistakes that SSL inspection software authors are making.
Ich verstehe das von dir zitierte Zitat (ich habe mir erlaubt, den zweiten und letzten Satz zu ergänzen) so, dass sich der Begriff „SSL inspection“ nicht mit der Idee hinter SSL (Vertraulichkeit, Integrität, Authentizität) verträgt und dass zusätzlich die dafür geschriebene Proxy-Software oft fehlerhaft ist.
In wie fern ist das ein Argument gegen HTTPS? Dass der „Endpunkt“ der Verschlüsselung nicht zwangsläufig der Browser sein muss und einige dann schlampig programmierte SSL Interception Proxies dazwischen schalten, lässt sich nicht verhindern – ohne Hinzufügen eines zusätzlichen (selbst generierten) Root-Zeritifikats zum Pool der vertrauenswürdigen Zertifikate im Betriebssystem oder Browser wird der Nutzer auch weiterhin vor Manipulationen gewarnt.
Und das auch HSTS eine tolle Methode ist, den Nutzer auszuspähen (siehe hier und hier), weißt du sicherlich auch. Und im Standard steht nichts darüber, wie das verhindert werden kann.
Es ist wohl leider auch nicht sinnvoll zu verhindern, man könnte höchstens die dafür benutzten Domains in die Filterlisten der Tracker-Blocker aufnehmen, wie es mit klassischen Tracking auch gemacht wird. Hast du auch schon JavaScript (Canvas) und Caching (E-Tag) deaktiviert (damit kann man dich auch tracken!)?
Das Problem dürfte sich allerdings durch HSTS Preload (Liste mit verschlüsselt erreichbaren Websites, die mit allen Browser ausgeliefert wird und daher auch überall gleich ist) und die zunehmende Verbreitung von HTTPS (HTTPS als Standard, vor HTTP wird gewarnt) irgendwann auflösen.
Da existieren offensichtlich Datenschutz-Löcher, die in großem Umfang von den üblichen Verdächtigen – Werbeagenturen, Geheimdienste, AV-Hersteller – nachweislich genutzt werden.
Hast du einen Beleg für den Missbrauch von HSTS als Super Cookie in der Praxis?
Also, wieso tust Du so, als ob Du meine Skepsis nicht verstehst?
Nein, ich tue nicht so. Ich werte bloß den konkreten Sicherheitsgewinn durch HTTPS höher als eine theoretische Möglichkeit, mich zu tracken. Neben Cookies geht das auch über die Inhalte bzw. aufgesuchten Sites selber.
Diese 'Schutz'-Mechanismen tun doch das genaue Gegenteil:
- Sie unterbinden meine eigenen Schutzmechanismen, aka, meine lokalen Proxies.
Dann solltest du deine lokalen Proxies anpassen oder deine Sicherheitsmechanismen und ggf. dort ansetzen, wo sowieso entschlüsselt wird (im Browser, warum ist das für dich keine Alternative?), anpassen.
- Sie erlauben mich mitzuloggen, selbst im Inkognito-Modus.
Hättest du den von dir verlinkten Artikel von golem bis zum Ende gelesen, wüsstest du, dass das zumindest auf Firefox nicht zutrifft:
„Allerdings verzichtet die neueste Firefox-Version 34.0.5 darauf, auf die Datenbank im privaten Modus zuzugreifen, so dass ein Nutzertracking dadurch nicht mehr möglich ist. "Anders als Google Chrome hat Firefox entschieden, die Privatsphäre über die Sicherheit zu stellen und nicht länger HSTS in private Fenster mitzunehmen", sagte Greenhalgh.“
Und das wird auch getan.
Quelle?
Und da kann ich nix machen, weil die Verschlüsselung ja vom Browserhersteller – unabschaltbar – erzwungen wird, obwohl es so nicht im Standard steht.
- Sie steigern die Komplexität, und machen es dadurch wiederum dem unbedarften Nutzer schwerer, einen eigenen Schutz zu implementieren.
Nochmal: Der unbedarfte Nutzer (geschätzt >95% der Nutzer des Internets) wird durch die Verschlüsselung nicht im geringsten beeinträchtigt, er hat sich auch in Zeiten von geringer Verbreitung von HTTPS keine Proxies (solche, die die eigentlichen Inhalte anfassen müssen) installiert. Für ihn stellt HTTPS eine klare Verbesserung dar.
Die Konsistenz in der Datenübertragung, die diese 'Schutz'mechanismen herstellen, ist kein Vorteil, sondern ein Nachteil.
Falls du damit meinst, dass es ein Nachteil ist, überprüfen zu können, ob die Inhalte unterwegs manipuliert wurden, dann ist das schlicht Unfug.
Etwas das fest ist, kann ich leichter kontrollieren und ich kann damit besser Geld verdienen.
Was ist denn an einer über HTTPS ausgelieferten Website unveränderlich? Du kannst immer noch mit ein paar Klicks einen ${xyz}-Blocker in deinem Browser installieren.
Gruß
Julius