Kleiner WhatsApp Exkurs
WhatsApp wurde unter anderem für das Fehlen einer Ende-zu-Ende-Verschlüsselung und für seine allgemeinen Geschäftsbedingungen (AGB) kritisiert, die dem Unternehmen erlauben, Medien der Nutzer zu kommerziellen Zwecken zu verwenden. Im November 2014 hat der in Kalifornien gegründete plattformübergreifende Instant-Messaging-Dienst bekannt gegeben, dass die App mit den nächsten Updates eine Ende-zu-Ende-Verschlüsselung erhalten soll, wodurch ein Mitlesen der Nachrichten praktisch unmöglich werde.
Mittlerweile werden Nachrichten der Android-Version verschlüsselt, bald sollen Medien, sowie Standorte und auch betriebssystemübergreifend verschlüsselt werden. Zwar nicht für Gruppen-Chats, aber zumindest für Einzel-Chats. Falls Sie allerdings eines Ihrer auf WhatsApp geteilten Bilder plötzlich in einer Ihnen unbekannten Facebook-Kampagne wieder erkennen sollten, wissen Sie jetzt, dass Sie WhatsApp dazu die Erlaubnis erteilt haben. Es steht nämlich in den AGB.
Besorgte Pädagogen und IT-Sicherheitsbeauftragte weisen deshalb schon seit längerem auf sicherere Alternativen wie z.B. das in der Schweiz entwickelte Threema hin. Besonnenere Zeitgenossen werden sich von solchen Argumenten teilweise überzeugen lassen, der aktuellen WhatsApp-Generation ist das aber relativ egal, da die weite Verbreitung und somit die Erreichbarkeit aller wichtigen Freunde wichtiger ist als die Privatsphäre und Sicherheit. Was einen dennoch nicht davon abhalten sollte, die nächste Generation über Sicherheitsthemen zu informieren.
20 Jahre HTTPS
Das eigentliche Thema dieses Artikels ist aber die Privatsphäre und Sicherheit in Online Shops, welche hoffentlich nicht durch Bequemlichkeit zu kurz kommt. In diesem Zusammenhang bzw. zum Thema HTTPS im Allgemeinen erschien neulich ein Artikel im OPEN Blog, in welchem die New York Times Entwickler über Open Source, APIs und die Technologie hinter ihren neusten Produkten berichten.
Obwohl es HTTPS bereits seit 20 Jahren gibt, haben die meisten Webseiten traditionellerweise Ihren Besucherstrom über den unsicheren HTTP-Kanal bedient. In den frühen Tagen des Web waren Server und Netzwerk-Performance oft einschränkende Faktoren, ob eine Seite HTTPS benutzte. Der Server musste genug Pferdestärken haben, um die Verschlüsselung und Entschlüsselung der Daten zu bewältigen, sowie das Netzwerk die zusätzliche Aktivität.
Viele dieser Performance-Bedenken sind heute nicht mehr relevant und die Kosten für die Adaption sind tief genug, um HTTPS überall ausnahmslos einzusetzen. Der Artikel im New York Times Blog führt insgesamt 9 Vorteile von HTTPS auf wovon ich die mir 4 wichtigsten aufgreifen möchte, damit auch Sie als Online Shop Besitzer oder Webshop Entwickler HTTPS umarmen.
1. Privatsphäre
Genau wie eine WhatsApp-Nachricht, die unverschlüsselt zwischen Server und Client versendet wird auf ihrer Reise durch’s Netz von anderen gelesen werden kann, kann z.B. auch eine Produktsuche in einem Shop mitgelesen werden. Somit sollte eigentlich jede Seite des Shops über HTTPS ausgeliefert werden, wenn man seinen Besuchern die bestmögliche Privatsphäre gewähren möchte.
Spätestens wenn Adressdaten eingegeben werden oder ein Login ins Kundenkonto statt findet, sollte der Shop aber auf HTTPS wechseln, denn sonst wird das Passwort im Klartext über das Netz übermittelt. Das wäre quasi so als würde man seine E-Mail Zugangsdaten auf eine Postkarte schreiben und dabei darauf vertrauen, dass der Pöstler ehrlich genug ist, diese nicht zu verwenden, um sich in Ihr Postfach einzuloggen und Ihre Mails zu lesen. Die meisten Pöstler würden das wohl nicht tun, solche Informationen sollte aber zumindest in einem verschlossenen Brief versendet werden.
2. Sicherheit
Um sog. Man-in-the-Middle-Angriffen vorzubeugen ist die Verwendung von HTTPS eine sehr effiziente Methode. Der Angreifer steht dabei entweder physikalisch oder – heute meist – logisch zwischen den beiden Kommunikationspartnern, hat dabei mit seinem System vollständige Kontrolle über den Datenverkehr zwischen zwei oder mehreren Netzwerkteilnehmern und kann die Informationen nach Belieben einsehen und sogar manipulieren. Der Angreifer täuscht den Kommunikationspartnern vor, das jeweilige Gegenüber zu sein.
3. Positionierung in Suchmaschinen
Bereits im August kündigte Google an, dass HTTPS auch einen Einfluss auf die Positionierung in den Suchergebnissen hat. Der Artikel im Google Online Security Blog listet auch grundlegende Tipps auf, die bei der Implementierung von HTTPS beachtet werden sollten:
- Welcher Zertifikatstyp wird benötigt: Single, Multi-Domain oder Wildcard Zertifikat
- 2048-Bit Key Zertifikate verwenden
- Relative URLs verwenden für Ressourcen, die sich auf der gleichen sicheren Domain befinden
- Protokoll-spezifische URLs für alle anderen Domains verwenden
- den Artikel Websiteverschiebung mit URL-Änderungen in der Google Webmaster Hilfe anschauen
- Ihre HTTPS Seite nicht aus Versehen über die robots.txt von der Indexierung ausschliessen
- Indexierung von Suchmaschinen erlauben wo immer möglich, d.h. das noindex robots meta tag meiden
4. Besucherstatistiken
Die sog. Website Referrer werden entfernt, wenn ein Benutzer von HTTP auf HTTPS wechselt. Dies gilt auch für eine Suche auf Google mit HTTPS. Man sieht dies in Google Analytics oberhalb der Keywords als «not set». Wenn ein Benutzer bei Google eingeloggt ist, wird allerdings der Referrer auch entfernt. Dennoch optimiert man seine Analytics Daten beträchtlich, wenn man auf seinem Shop überall HTTPS verwendet.
Fazit
Natürlich gibt es auch Möglichkeiten HTTPS zu umgehen oder auszutricksen, doch die Hürde für böswillige Hacker ist deutlich höher und diese werden tendentiell eher diejenigen Seiten ausbeuten, welche nur HTTP verwenden. Lassen Sie sich deshalb beraten wie Sie auch Ihr Shop System auf HTTPS umstellen können. Mit Magento und WooCommerce ist das technisch kein Problem, wenngleich man in Bezug auf die Indexierung bei Suchmaschinen vorsichtig und überlegt vorgehen sollte, um sicher zu stellen, dass die bestehenden Positionierungen nicht verloren gehen.
Beachten Sie, dass die Sichtbarkeit Ihrer Inhalte in der Websuche während der Verschiebung vorübergehend schwanken kann. Das ist normal und das Ranking der Website reguliert sich nach einer Weile wieder. Längerfristig werden Sie durch die Umstellung auf HTTPS Ihre Positionierung verbessern.
Pingback: SWITCH Security Report – Openstream