HTTPS-Everywhere Alternativen für Chrome, Firefox und Opera

Leider gibt es HTTPS-Everywhere ja immernoch nicht für Chrome. Eine Alternative, gefunden bei Netzpolitik, ist KB SSL Entforcer. Da ich selbst keinen Chrome habe, kann ich das nicht testen, aber laut Darkcloud funktioniert es.

In den Kommentaren bei Netzpolitik gibt es auch Empfehlungen für entsprechende Opera Addons: Swiss Knife und Redirect to HTTPS. Auch die habe ich nicht getestet, ich gebe die Empfehlung aber mal weiter.

Dann nochmal eine Alternative für Firefox, die vom Lästerschwein kam: HTTPS Finder. Finde ich persönlich nicht besser als HTTPS-Everywhere, da HTTPS Finder erst nach der HTTP-Verbindung nach SSL sucht und dort auch ausdrücklich der Warnhinweis steht, dass Session-Cookies unverschlüsselt übertragen werden. HTTPS-Everywhere hingegen greift schon beim HTTP-Verbindungsaufbau ein und lenkt auf HTTPS um, daher auch die endloslange Liste mit den Seiten, bei denen dann direkt HTTPS statt HTTP geladen wird.

Natürlich kann jeder selbst entscheiden, was er nutzt und für sicher hält, daher führe ich das mal mit auf. Man kann sich ohnehin nie 100%tig auf die Plugins verlassen, denn wenn man angegriffen wird, können auch diese Plugins nur wenig helfen. Auch HTTPS hat Schwachstellen. ;-)

HTTPS-Everywhere 1.0 veröffentlicht [UPDATE]

Kaum schreibe ich über HTTPS und lobe mal wieder das HTTPS-Everywhere-Firefox-Addon, saust mir auf Twitter die Nachricht entgegen, dass EFF das Addon nun in Version 1.0 veröffentlicht hat.

Und das erste Major-Release hat es in sich: Waren die Einstellungen zuletzt noch überschaubar, ist jetzt eine nahezu endloslange Liste zustande gekommen:

Auch aus Deutschland sind etliche Seiten auf der Liste, zum Beispiel Alice, Kabel Deutschland und ALDI. Auch aus der Netzpolitik-Szene ist einiges dabei: Der AK Vorrat ist daruf, sogar Fefe hat es auf die Liste geschafft. Auch der CCC ist darauf, allerdings standardmäßig deaktiviert, da der CCC ein CAcert.org-Zertifikat verwendet. Warum das ein Grund für das Ausschließen ist, weiß ich nicht, zumal der AK Vorrat und Fefe auch CAcert.org-Zertifikate nutzten. Auf der Liste sind aber einige Seiten mit der Begründung CAcert.org-Zertifikat standartmäßig deaktiviert.

Auch die VZ-Netzwerke sind jetzt drauf, ich wusste bislang gar nicht dass die HTTPS haben. Allerdings funktioniert das wohl nur studiVZ, bei meinVZ und schülerVZ steht, dass die Zertifikate Warnungen aussprechen. Super.

Ab nach drüben und installieren, falls ihr das noch nicht habt. (Übrigens, an einer Version für Chrome, Opera und Co. wird laut FAQ noch gearbeitet.)

UPDATE: Herrje, glatt übersehen. Ab dieser Version gibt es auch (standartmäßig) einen kleinen Button in der Leiste, mit dem man die Verbindungen der aktuellen Seite auch manuell aktivieren/deaktivieren kann. Bei dem Gewinnspiel hier sieht das dann so aus:

Alle diese Verbindungen stammen von eingebetteten Sachen, also scheint das Plugin wirklich komplett zu verschlüsseln. Das gefällt mir. :-)

NEU: chriszim.com jetzt auch Smartphone-optimiert

Wieder etwas neues: Falls jemand von euch mit dem Smartphone von unterwegs hierher will, kriegt er nun ein Mobile-Theme. Das sollte den mobilen Zugang zum Blog deutlich vereinfachen.

Für Firefox gibt es übrigens das wunderbare Addon “User Agent Switcher”, mit dem man einen anderen User-Agent vortäuschen kann. So kam ich auch zu obrigem Screenshot, denn ich persönlich habe (noch) kein Smartphone. ;-)

HTTPS Everywhere 0.9.4 und Alternative

Ich habe ja schonmal über HTTPS Everywhere geschrieben, einem Firefox-Addon von der Electronic Frontier Foundation (EFF). Seit heute gibt es Version 0.9.4:

Wie man im Vergleich zu dem Screenshot von vor über einem halben Jahr sieht, ist da mittlerweile einiges hinzugekommen – im Juni waren es noch 19 Seiten, jetzt sind es 35. Außerdem sieht das ganze jetzt geordneter aus. Amazon, “Facebook+” und Cisco scheinen aber wohl noch nicht richtig zu funktionieren.

Alternative

Einige Seiten sind in dem Plugin aber (noch) nicht drin. Deswegen habe ich mal nach einer Alternative gesucht und sie gefunden: Mit einem Greasemonkey-Script kann man auch https erzwingen (sofern https vorhanden ist).

Es gibt mehrere Greasemonkey-Scripts zu https. Ich habe diesen Code genommen und für eigene Zwecke modifiziert, denn da sind u.a. auch Seiten drin, die schon bei HTTPS Everywhere drin sind und umgekehrt fehlen Seiten, die ich hinzugefügt habe. Falls ihr das auch machen wollt legt es am Besten als neues Script mit anderem Namen an, sonst ist bei einem eventuellen Update des Scripts alles weg.

Firefox-Plugin: HTTPS Everywhere

Mit HTTPS wird die Verbindung zwischen Nutzer und Website verschlüsselt. Dies ist vorallem bei sicheren Vorgängen wie Bestellungen eine wichtige Sache. Mit dieser Verschlüsselung kann man nämlich verhindern, das sich ein Dritter zwischen Website und Nutzer reinhängt und somit Daten abfängt oder ggf. auch verändert.

Die Electronic Frontier Foundation (EFF) hat dazu ein sehr interessantes Firefox-Plugin mit dem Namen “HTTPS Everywhere” programmiert. Einmal installiert kann man einstellen, welche Seiten automatisch verschlüsselt aufgerufen werden sollen:

Tippt man dann z.B. www.google.com ein, wird direkt auf die HTTPS-Seite weitergeleitet. Auch wenn man de.wikipedia.org in die Adresszweile tippt, wird man direkt zu der HTTPS-Seite von Wikipedia weitergeleitet.

Ein sehr nützliches Plugin, bei dem aber noch eine Menge Seiten fehlen – zum Beispiel Emailanbieter. Dies wird aber vielleicht bald noch kommen, denn die EFF hat für Programmierer die “Rulesets” aufgelistet, wie man eigens Regeln für diese Weiterleitungen anlegen kann. Wenn diese nach dem Testen funktionieren, kann man den Code an eine Emailadresse der EFF schicken und dann werden diese neuen Regeln in der nächsten Version aufgenommen.

Shortlink zu diesem Artikel: http://guck.li/13