HTTPS Everywhere - Google verschlüsselt bis 30.6. Werbeangebote

Google plant seine Werbenetzwerke wie Google Display Network, AdMob, DoubleClick und Google AdWords künftig verschlüsselt auszuliefern. Die Initiative HTTPS Everywhere soll dazu beitragen, das Internet zumindest ein wenig sicherer für alle Nutzer ... mehr... Verschlüsselung, Kryptographie, Code Bildquelle: Christian Ditaputratama (CC BY-SA 2.0) Verschlüsselung, Kryptographie, Code Verschlüsselung, Kryptographie, Code Christian Ditaputratama (CC BY-SA 2.0)

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Einerseits "löblich", aber wenn man die Paranoia außen vor lässt ist es vollkommen "unnötig" Inhalte, die unabhängig vom Client sind (Bilder, Texte, etc.) via HTTPS zu übertragen. Alles unnötiger "overhead"...

Wenn ich mir einen Artikel von Winfuture abrufe, ist es mir doch vollkommen wumpe ob der Artikel nun verschlüsselt übertragen wird, oder ob ein dritter mitlesen kann...

Klar, bei sensiblen Informationen (Artikel über Krankheiten, Sexuelle Vorlieben, etc.) ist es natürlich wünschenswert, dass kein Dritter weiß, was ich mir da gerade anschaue.

Man könnte im weitesten Sinne argumentieren, dass die von Google zugeschnittene Werbung bereits persönliche Informationen über mich preisgibt... Aber dann google ich einfach 3x nach "Fahrrad" und schon seh ich nur noch Fahrrad Werbung überall :P
 
@dognose: Winfuture ist aber ein besonders gutes Beispiel: Der Login ist auch nicht verschlüsselt, somit sind deine Accountdaten generell in Gefahr. Der Grund dürfte wohl wohl die Werbung sein, wenn diese aber nun über https keine Mixedcontent Warnung mehr auslöst ist das vielleicht ein Anreiz für mehr Verschlüsselung.

Das hätte den Vorteil, dass wenn jemand eine verschlüsselte Suche von mir abfängt er erst mal nicht weiß, ob ich mit meiner Bank kommunizieren möchte, auf Youtube nach Katzenvideos sehen möchte oder auf irgendwelchen FSK18 Content zugreifen möchte.

Was den overhead angeht: Wenn ein Server eh zu 97% Ausgelastet ist wird das bischen TLS auch nicht mehr bremsen^^
 
@The_Xar: Doch, ist er.

Außerdem geht es bei HTTPs nicht hauptsächlich um Verschlüsselung, sondern um Authentifizierbarkeit: Kommt der Inhalt wirklich von Website X, oder vielleicht doch nicht? Über HTTP geht das nicht.
 
@The_Xar: Man kann die Login-Seite auch via https anbieten und da dann eben die Werbung weg-lassen.

Oder man macht es wie winfuture: Die Maske wird via http angezeigt, aber der Post erfolgt auf https://winfuture.de/login.php.

Und genau so sollte es sein. https da wo es nötig und sinnvoll ist, aber nicht einfach aus "Faulheit" überall. Es besteht absolut kein Bedarf "öffentlich" einsehbaren Inhalt zu verschlüsseln, außer die Verknüpfung von Inhalt und Client ist "sensibel" - Meine Meinung.

Deine Unterhosen legst du doch auch nicht in den Safe, auch wenn es was privates ist. - deine Krankenakte oder deinen Reisepass vielleicht schon.
 
@dognose: Ich schließe meine Wohnungstür ab - ist auch etwas ;)

Aber wenn Winfuture das so macht, dann sit das OK. Ich habe nur kürzlich eine Webseite untersucht, die den LogIn optisch ähnlich zu winfuture macht und definitiv alles im Klartext verschickt. Und wieder andere Seiten haben dann exakt den Login über irgendwas /login.php mäßiges und da sieht man explizit das https.
War wohl ein kleiner Fehlschluss von mir.
 
@dognose: Wenn du nur den Login verschlüsselt, dann setzt der Angreifer eben woanders an. Wie ich weiter unten schon schreibe, geht es ja auch nicht nur um Verschlüsselung sondern auch um Identifizierung. Ich kenne keine genauen Zahlen, aber ich vermute mal, dass der Overhead vertretbar ist.
 
@dognose: Du bringst n bisschen was durcheinander.

1. Dein Fahrrad-Beispiel nennt sich Retargeting und hat mit HTTPS erstmal nicht viel zu tun. Deaktiviere Cookies, und du bist raus. Wenn du dir Sorgen um Datenschutz machst, dann ist Retargeting aber dein kleinstes Problem. Mach dir lieber mal Gedanken über die ganzen Ad-Analysten die aus deinen Cookies kombinieren, welche Werbung / Affiliate-Seite / SEM / SEA / SEO du vor deiner Conversion bei Amazon gesehen hast. Und dann kommt noch die Prediction und du bist voll drin im Strudel des gläsernen Internet-Nutzers....

2. HTTPS heißt nicht nur Verschüsselung sondern auch Authentifizierung der Gegenstelle. Du kannst also sicher sein, dass die Texte wirklich von WinFuture kommen.

Insofern ist das schon eine gute Idee.
 
Naja... gut die ist nicht alles von Google, aber schaut euch WF, oder eine x beliebige andere Seite, ohne Addblocker an. Wenn da noch andere Werbeanbieter nachziehen, 1) das produziert unnötigen Traffic aber vor allem 2)was ist wenn irgendein SSL Zertifikat abgelaufen ist, oder so? Was machen die Nutzer? Alle SSL Warnungen ganz abschalten oder ganz automatisch auf "Mir doch egal!" klicken? Und das dann eben eventuell auch auf ihrer Homebanking Seite?
 
@Lastwebpage: Die meisten SSL Warnungen sind so oder so egal...das ganze System dahinter ist kaputt und nicht ein Stück vertrauenswürdig. "Mir doch egal!" klicken ist das richtige.

*damit ist nicht die aktuelle Verschlüsselung die damit bewerkstelligt gemeint
 
@0711: Lol, also bei WF hier wäre mir die Zertifikatswarnung wahrscheinlich auch egal, aber wenn meine Onlinebankingseite das bringen würde, würde ich die Seite schließen und am nächsten Tag nochmal versuchen. Ganz ohne Grund kommen die Meldungen ja auch nicht...
 
@MrKlein: Es ist wahrscheinlicher dass du auf nicht vertrauenswürdigen Seiten keine Warnung bekommst als auf vertrauenswürdigen...die ganze Vertrauensstellung und den unüberschaubaren Ausstellungsstellen denen dein System vertraut (und damit keine Warnung anzeigt) kann getrost als kompromittiert bezeichnet werden.
 
@Lastwebpage: Es gibt keine einzelnen Werber, sondern ganze Netzwerke. Da kommt die Werbung eh von einer Handvoll überschaubarer Server - die dann halt über TLS laufen bzw. in einem Stück gepflegt werden. Bevor ein Zertifikat abläuft, erhält der SysOp, der den Server betreut, eine Meldung über seinen Watchdog, z.B. Nagios, dass das Zertifikat in 60 Tagen abläuft. Da musst du dir keine Gedanken machen.
 
@xploit: wenn ich mir jetzt schon anschaue wie oft ich am Tag irgendwo eine SSL Warnung bekommen, ahne ich schlimmeres.
 
Eigentlich ein Witz, Google ist "Sicher", die Werbung nicht.
Wie in der Vergangenheit schon mehrfach vorgekommen wird nicht die Verbindung oder Google Kompromittiert, sondern die Werbeschaltenden Agenturen, deren Sicherheitsstandart noch nie der "Größte" war.
Also liefert Google jetzt über eine für dritte "sicheren" Leitung, mittels Zertifikaten die Kompromittiert sind, unsichere Werbung aus, jep ich fühl mich so richtig .....!

Ach Adblock ,wir werden noch Jahre aneinander Freude haben.
 
@Kribs: Mir ist nicht ganz klar wieso Du Google zu unterstellen scheinst, eine Übermittlung der Werbung per HTTPS solle dafür sorgen, dass der Anwender keine Angst (mehr) vor per Werbung übertragener Schadsoftware haben brauche? Ich schaffe es irgendwie nicht, das in den Artikel hineinzuinterpretieren.

Oder habe ich Dich missverstanden?
 
@FenFire: Google unterstellt, nein da hast du mich falsch verstanden!
Unterstellen wollte ich das jemanden anderen, was mein letzter Satz eigentlich "Unmissverständlich" ausdrückt.
 
@Kribs: Naja, offenbar doch nicht so unmissverständlich, denn sonst wäre ich beim Lesen ja nicht verwirrt gewesen, was Du eigentlich sagen willst. Ich will mal schon davon ausgehen, dass Du weisst was Du sagen willst, aber manchmal klappt es halt beim Formulieren nicht so, dass dieser Inhalt auch beim Leser ankommt :)

Was genau nun Adblock (Dein letzter Satz) damit zu tun haben soll, ob die Werbung per HTTP oder HTTPS ausgeliefert wird, also mit dem Inhalt der News, sei dahingestelllt. Letztendlich sagst Du also nur "ich mag Werbung nicht bzw. befürchte über Werbung übertragene Schadsoftware, daher blocke ich sie".
 
@FenFire: Frage:
1. wofür nutzt man den Adblock?
2. wo nutzt man den Adblock?
3. welche Seite flutet ihre Besucher mit Werbung/Tracker?
4. welche Seite (Macher / Verantwortliche) verharmlosen die Gefahr von Werbung auf Ihrer Seite ständig/kontinuierlich?
5. wo Diskutieren wir gerade schreibend?
 
@Kribs: Falls Du als Antwort "Winfuture" erwartest, so mag das ja in Bezug auf den Nutzen von Adblock alles schön und gut und richtig sein :)

Dennoch bleibt der Zusammenhang zu "Google will Werbung in Zukunft per HTTPS ausliefern" zumindest für mich unklar. Google hat sich in seiner Entscheidung sicherlich nicht davon leiten lassen, ob und wie Winfuture nutzbar ist, und welche Meinung zu Werbung auf Websites dort von Betreibern sowie Nutzern vertreten wird ;)
 
@FenFire: Ok Danke, jetzt hast du mir den Vorsatz bewiesen.
 
Ich hab mir schon immer sorgen gemacht dass die Werbung nicht sicher bei mir ankommt....und nicht etwa deren Inhalt ein Sicherheitsproblem darstellt.

Immerhin umgeht Google damit diverse Filtersysteme welche keine HTTPS Verbindungen untersuchen können...aber sicher macht das Google zum wohl aller
 
@0711: Werbefinanzierte Seiten können so aber verschlüsselte Logins anbieten, ohne dass die Nutzer MixedContent-Warnungen zu sehen bekommen.
Das Problem mit den verseuchten Werbeinhalten sehe ich durchaus auch, aber das ist meiner Meinung nach eine separate Baustelle.
 
@TiKu: Die Notwendigkeit der Trennung wie sie viele Seiten deshalb betreiben (keine Werbung auf den Loginseiten) halte ich für eine gute Sache...
 
Na klasse. Für Firefox hab ich schon seit Monaten das Plugin HTTPS Everywhere im Einsatz..da wirds nun doppelt sicher ? *fg
So rein intuitiv glaube ich ja eher, das das eine Möglichkeit sein soll, egal ob nun jemand ne Webseite über http oder https ansurft, generell das Maximum an Spammerei & Addschrott aufs Userauge drücken zu können ? Oder unterliege ich da einer Fehleinschätzung, das beim ansurfen über HTTPS (bisher) wenigstens ein kleiner Teil davon sozusagen vollautomatisch wegblieb ?
 
Naja so können die die Komprimierung für den Android-Crome-Browser auch bei einem Update wieder entfernen, denn dieser basiert auf einen Proxy-Server von Google, der die Daten vorher komprimiert.

Wenn dieser wegen HTTPS nicht mehr reinschauen kann wird dieser nutzlos.
 
Clever von Google, können Proxys nicht mehr Werbung rausfiltern...
 
@Dreadlord: Wenn man den Proxy umkonfiguriert, so geht es wieder.
1. Zertifikat erstellen.
2. Zertifikat auf den Proxy einrichten und das Zertifikat zu den Vertrauten Zertifikaten des Browsers hinzufügen.

Ist der gleiche Trick, den die Superfisch-Adware verwendet hatte.
 
@Dreadlord: Naja, anhand der URL geht es doch nach wie vor. Und lokale Blocker wie z.B. Adblock arbeiten i.d.R. URL-basiert - warum sollten Proxys sich unbedingt die Mühe machen, eine Inhaltsanalyse durchzuführen (an welchem Inhalt erkennt man dann eigentlich Werbung?), wenn's URL-basiert gut funktioniert?
 
@FenFire: Ein Vorteil der Proxy-Variante ist, dass die Filterung zentral erfolgt und so von der IT-Abteilung einer Firma gesteuert wird und nicht von jedem Arbeitsplatz abhängig ist. Eine Inhaltsanalyse kann zudem in Webseiten eingebetteten Schadcode erkennen (über die Erkennungsraten kann man sicherlich streiten). Dann kann es der IT-Abteilung im Grunde egal sein, welchen Browser der Anwender nutzt und welche Addons er hat oder eben nicht hat.
 
@Runaway-Fan: Aber auch ein Firmen-Proxy kann URL-basiert wie Adblock arbeiten. Dass ein Schadcode-Scanner des Proxies auf verschlüsselten Inhalten nicht mehr funktioniert, ist natürlich ein Nachteil. Aber das gilt letztendlich für alle verschlüsselt übertragenen Inhalte. Wenn jeder nach End-to-end-Verschlüsselung ruft und diese eingeführt wird, dann lässt sich das nicht vermeiden.
 
btw gibt es Browser-Addons von HTTPS Everywhere:
https://www.eff.org/https-everywhere
 
@Druidialkonsulvenz: An das Add-On habe ich bei dem Titel auch erst gedacht. Glaube aber nicht, dass das viel mit der Google-Intiative zu tun hat, oder?
 
Wie wäre es damit, diese Dinger abzuschalten statt zu verschlüsseln?
Wollen doch 90% der Nutzer eh nicht.
Aber ist ja immer so, was die Mehrheit nicht will wird gemacht.
 
@cptdark: Und wer bezahlt dann die Google Dienste?
 
@Stefan1200: Vielleicht hat er das mit dem Abschalten etwas weiter gefasst gemeint, im Sinne von "wie wäre es damit, Werbung incl. aller werbefinanzierten Dienste abzuschalten?" :D
 
@Stefan1200: Und es geht ja auch nicht nur um die Google-Dienste. Unzählige andere Webseiten versuchen sich durch Werbung, die von Google verteilt wird, zu finanzieren.
 
@Stefan1200: Das ist mir eigentlich schnuppe, weil wirklich benutzen muss ich die nicht. Nein, es stört mich die Masse an Werbung. Hier oder da ein Hinweis - ok . aber nicht das was hier abgeht.
 
@cptdark: Hier ist doch nicht alles Werbung von Google, oder? Habe das aber jetzt nicht kontrolliert. Wobei die Platzierung ja immer noch vom Web Master vorgenommen wird, wenn wir jetzt nicht gerade von LayerAds reden (die Dinger gehören eh verboten).
 
@Stefan1200: Vielleicht sollte ich mich besser ausdrücken ;) ... Mit "hier" mein ich das ganze Netz, nicht nur WinFuture. Und welche Werbung genau via Google ausgeliefert wird weiss ich natürlich nicht, ich sehe aber oft genug das er auf einer Seite die nix mit Google zu tun hat, auf irgendetwas einer Google-seite wartet.
 
@cptdark: Naja, auf seriösen Seiten ist Google Ads wohl das beliebteste Werbenetzwerk, da es umfangreiche Statistiken für den Webseiten Betreiber mitbringt. Google Ads sind immerhin keine Layer Werbung, was ich schonmal sehr gut finde. Kann aber sein, das die anderen oben in der Newsmeldung genannten Layer Werbung haben.

Ich würde wahrscheinlich gar kein Werbeblocker installieren, wenn Sound, Popup und Layer Werbung nicht genutzt werden würden.
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles