Unter verschlüsselter Verbindung (auch „sichere Verbindung“) versteht man den Zugriff auf Wiki-Seiten mittels des „HTTPS“ Protokolls, welches auf HTTP basiert, das in TLS „eingepackt“ wird.[1]
Erkennbar ist das unter anderem daran, dass die URL (wie meist in der Browser-Adresszeile sichtbar) mit https://
beginnt.
Bis 2015 konnten Wiki-Projekte auch ungesichert aufgerufen werden.
Ein Aufruf über http://
ist weiterhin möglich. Dieser wird aber durch die Server der deutschsprachigen Wikipedia und fast alle anderen Domains der Wikimedia Foundation sofort auf https
weitergeleitet. Ein erneuter Aufruf der Wikipedia über http
wird vom Browser durch den so genannten HSTS-Header automatisch in eine TLS-gesicherte Verbindung umgewandelt.
Hinweise für die Praxis
BearbeitenUm die Sicherheit des Benutzers zu schützen, zeigen Browser dem Benutzer an, ob alle Elemente wie Bilder oder Skripte auf einer Webseite über eine TLS-gesicherte Verbindung übertragen werden. Es ist ein Sicherheitsleck, wenn innerhalb einer Seite unter https
Elemente eingefügt sind, die nicht über https
übertragen werden. Im aktuellen Firefox etwa werden solche „unsicheren“ Inhalte teilweise blockiert.[2]
Folgerung für WP-Autoren und Skripte:
- Werden Weblinks oder Belege verwendet, sollten diese nach Möglichkeit auch per
https
verlinkt werden, um die Privatsphäre unserer Leser zu schützen.[3] - Auf einer Seite unter
https
sollten alle Ressourcen-Einbindungen und WMF-Verlinkungen ebenfalls mittelshttps
erfolgen.- Die Wiki-Software sorgt dafür von sich aus, wenn aus Wikitext Seiten generiert werden; alle Komponenten im Bereich der WMF werden gesichert abgefordert.
TLS 1.2
BearbeitenIm Dezember 2019 wurde die verpflichtende Unterstützung von TLS 1.2 (seit 2008)[4] durch den Browser der Nutzer eingeführt.
- Zunächst bekam ein statistisch zufälliger Anteil der Zugriffe einen Warnbildschirm mit der Aufforderung zum Browser-Update.
- Mit Januar 2020 gibt es überhaupt keinen Zugang zu Wiki-Inhalten mehr ohne TLS 1.2, sondern nur noch eine erklärende Fehlerseite.
Somit kann auch jegliche in unseren Seiten noch vorhandene Unterstützung antiker Browser entfallen; etwa durch Browserweichen oder überflüssige HTML-Attribute oder sonstige Rücksichtnahmen.
Externe Verlinkungen aus unseren Seiten
BearbeitenSeit 2019 werden URLs auf unseren den Lesern dargestellten Seiten, die noch http://
verwenden und von deren Domain bekannt ist, dass sie ausschließliche Verwendung von HTTPS einfordern (HSTS) dahingehend umgeschrieben, dass nach der ersten Kontaktaufnahme alle weiteren nur noch mittels https://
erfolgen.[5] Damit wird ein mögliches Ausspähen durch offene Übertragung von Einzelheiten zur gewünschten Webseite vermieden, erst recht eine Zwischenschaltung böswilliger Angreifer.
Weitere Informationen
Bearbeiten- Wikipedia:Technik – Technische Einzelheiten, Hintergrundinformationen, geschichtliche Entwicklung
Anmerkungen
Bearbeiten- ↑ Einschließlich Perfect Forward Secrecy; siehe WP:Technik.
- ↑ Siehe hierzu die Erläuterungen der Symbole zur Erkennung von blockierten Inhalten in der Mozilla Knowledgebase
- ↑ Ob die Zielseite automatisch wie die Wikipedia auf
https
umleitet, hängt von der Zielseite und deren Serverkonfiguration ab. Weiterhin sei zu beachten, dass diese Weiterleitung bei der ersten Verbindung überhttp
erfolgt und somit manipuliert bzw. unterdrückt werden kann. Siehe dazu Trust on first use (englischsprachige Wikipedia). - ↑ Dierks, Rescorla: RFC – TLS 1.2 Spezifikation (Proposed Standard). August 2008 (löst ab, englisch).
- ↑ mw:Extension:SecureLinkFixer (englisch)