49240Um Eure Lieblings-Webseite zu besuchen müsst Ihr Eurem Browser eine Adresse geben, die er aufrufen soll. In vielen Fällen gebt Ihr dazu nur die Domain, zum Beispiel “blog.botfrei.de” ein und schon wird die Webseite aufgerufen. Das ist aber gar nicht die Vollständige Adresse. Euer Browser vervollständigt die Eingabe die Ihr macht zu einer kompletten Adresse. Im Falle von “blog.botfrei.de” macht der Browser dann “https://blog.botfrei.de/” daraus. Das könnt Ihr im Google Chrome sehr gut nachvollziehen indem  Ihr die Adresse, nachdem die Webseite geladen ist, einmal kopiert und in ein Textdokument einfügt.
Wir beschäftigen uns in dem Artikel heute nur mit dem ersten Teil der Adresse, nämlich dem Protokoll, also in dem Beispiel “http”. Die Abkürzung HTTP steht für HypterText Transfer Protocol und das wird hauptsächlich zum senden von Webseiten durch Netzwerke verwendet. Wenn Ihr also eine Webseite aufruft, dann spricht der Browser HTTP mit dem Server und erhält daraufhin eine Antwort die er euch anzeigt.

Von HTTP zu HTTPS

Sicher kennt Ihr aber auch Adressen, die neben der Adressleiste durch ein Schloss oder eine andere Hervorhebung besonders dargestellt werden. Das ist zum Beispiel der Fall, wenn Ihr ‘google.de’ in Euren Browser eingebt. Kopiert Ihr die Adresse nachdem Euer Browser die Seite aufgerufen habt in ein Textdokument wird daraus ‘https://www.google.de/. Die Webseite wurde also mit dem HTTPS (HyperText Transfer Protocol Secure) Protokoll aufgerufen. Das Protokoll ist im Prinzip das gleiche wie HTTP nur, dass sich hier um Eure Daten noch eine Schicht befindet, nämlich die Verschlüsselung der Daten. Per SSL oder heutzutage eher TLS werden die Daten des HTTP-Protokoll verschlüsselt und so an den Server gesendet. Und der schickt auch die Antwort wieder verschlüsselt zurück.
Das ergibt an vielen Stellen auch direkten Sinn. Wenn Ihr auf einer Webseite zum Beispiel ein Anmeldeformular ausfüllt, dann werden alle Daten die Ihr dort eingebt per HTTP versendet. Jemand der diese Daten empfängt kann diese einsehen. Für die Anmeldung auf Facebook wäre das natürlich Fatal. Stellt euch einfach vor, Ihr sitzt in einem Hotel, nutzt das dort bereitgestellte WLAN und meldet euch dann auf Facebook an. Eurer Benutzername und Euer Passwort würden mit HTTP einfach unverschlüsselt durch das Netz gesendet und jemand der im gleichen WLAN sitzt könnte diese dann einfach lesen und missbrauchen.
Genau dafür gibt es HTTPS. Der Bösewicht, der jetzt im gleichen Netzwerk sitzt und Euren Datenverkehr mit liest sieht dann nämlich nur noch unverständlichen Buchstabensalat. Die verschlüsselte Version Eurer Anmelde-Daten. Ihr solltet also auf Webseiten mit einem Login immer darauf achten, dass Eure Daten auch mit HTTPS und eben nicht unverschlüsselt mit HTTP durch das Netzwerk gejagt werden.

Das ist noch nicht alles

Das reine Auslesen der Daten ist aber noch nicht alles. Denn auch auf Webseiten auf denen es vermeintlich nicht wichtig ist HTTPS zu verwenden ist es nicht ganz ungefährlich ohne eben dieses “S” zu surfen. Jemand der sich im gleichen Netz befindet, kann nämlich Eure Daten nicht nur lesen, sondern auch verändern. So könnte ein Angreifer die Antwort des Servers von ‘heise.de’ zum Beispiel so manipulieren, dass euch zusammen mit der Nachricht dir Ihr gerade lesen wolltet auch noch ein Virus präsentiert wird. Auch hier hilft HTTPS, denn verschlüsselte Daten lassen sich nicht nur nicht mehr schlechter lesen sondern auch nicht mehr manipulieren.
Wie einfach das geht zeigt SemperVideo in seinem Video ‘MITM: Spaß mit Trafficmanipulationen’.

YouTube

By loading the video, you agree to YouTube's privacy policy.
Learn more

Load video

Was kann man tun?

Screenshot from 2015-10-14 09:19:33Dagegen hilft nur eins. HTTPS wo immer es geht. Daran müsst Ihr aber nicht selbst denken, denn dadurch verliert Ihr auch den Komfort einfach nur ‘google.de’ anstelle von ‘https://www.google.de/’ in die Adresszeile einzugeben. Dafür gibt es das Plugin HTTPS Everywhere da. Das Plugin denkt für euch an das HTTPS und sorgt dafür das Webseiten die HTTPS anbieten auch darüber aufgerufen werden. Und zwar nicht nur die Webseiten selbst sondern auch alle Inhalte die in der Webseite geladen werden. Ein Muss für Euren Weg durch das Internet.
Das Plugin kann aber noch mehr. Wenn man sein Surfverhalten so reguliert, dass Ihr für verschieden Webseiten verschiedene Browser verwendet, dann kann Euch HTTPS Everywhere dabei helfen. Meist wird einer dieser Browser nur dafür verwendet sich an wichtigen Accounts anzumelden, wie zum Beispiel bei Eurer Bank oder Eurem E-Mail-Konto. Mit HTTPS Everywhere könnt Ihr einfach allen HTTP-Traffic komplett sperren, so das Webseiten, die kein HTTPS verwenden gar nicht mehr aufgerufen werden können.
Bild: eff.org