Ich gehe davon aus, dass in einiger Zeit diese derzeit optionale Funktionalität defaultmäßig aktiviert sein wird. Und irgendwann wird nur noch HTTPS gehen.
Diese Aussage erscheint mir nicht logisch nachvollziehbar. Ohne Sicherheitsbedarf kann man die Sicherheit auch nicht erhöhen.
Das erscheint mir ungefähr so wie um einen öffentlichen Park einen Stacheldrahtzaun zu bauen, weil das die Sicherheit in der Stadt irgendwie erhöht.
Abgesehen davon:
https verursacht Arbeit für Besorgen, Installieren und regelmäßiges Update der Zertifikate oder Kosten wenn es der Provider erledigt
es verlangsamt die Verbindung spürbar, insbesondere Optimierungen durch mehrere parallele Verbindungen verkehren sich ins Gegenteil, weil die Schlüssel mehrfach augehandelt werden. Deshalb liefert mein Kartenserver die Kartenkacheln sowohl per https für die Websites die das erzwingen (was genau kann man an freien, öffentlichen Kartentiles durch Verschlüsselung nochmal sichern?) und per http was 2-3 mal schneller aufbaut.
Auslöser waren die Enthüllungen von E. Snowden bzgl. der Möglichkeiten und Aktivitäten der NSA in den USA. Als Schlussfolgerung daraus wird vorgeschlagen, jede elektronische Kommunikation zu verschlüsseln, um die Hürden einer Belauschung möglichst hoch zu machen.
Gute Provider haben das im Basispaket drin. So wie “mein” Hoster https://heliohost.org. (*)
Klaro, alles hat seinen Preis.
Und wie ich schon klarstellte,werden langfristig die Browser “entscheiden”, was noch toleriert werden wird.
Gruss
walter
*) Ich habe heliohost.org deshalb ausgewählt, da das Basispaket kostenfrei ist und u.a. Java ("richtiges Java, Javascript kann jeder) und Postgresql beinhaltet. Kosten- und wartungsfreies SSL war ein gutes Addon.
Die Daten selbst mögen frei, öffentlich und nicht relevant sein. Die Abfragen aber sehr wohl, und zudem höchst-persönlich.
Ist die Verbindung verschlüsselt, können Dritte nicht sehen für welche Orte die Kartentiles abgefragt wurden. Es liegt nahe, dass der Ort für den die Kartentiles heruntergeladen werden, insbesondere wenn dies von einem Smartphone aus getätigt wurde, der Ort ist an dem sich der Nutzer gerade befindet.
Es sollte auch relativ einfach sein, durch Analyse der Patterns in denen die Tiles heruntergeladen werden, herauszufinden um welche Art der Aktivität es sich handelt. Eine per Machine Learning trainierte KI sollte diese Patterns recht einfach erkennen können, allein schon weil sich die gleichzeitigen Abfragen die für Tiles getätigt werden bei Desktop und Smartphones aufgrund der Bildschirmgröße unterscheiden.
Insgesamt können Dritte also folgende Daten über die Nutzer von unverschlüsselten Tileservern herausfinden:
(auch wenn verschlüsselt, aber weniger gut:) Bildschirmgröße, also ob mobil oder nicht
Ort
Bewegungsrichtung und Geschwindigkeit
ergo: Bewegungshistorie
gepaart mit Straßendaten kann eine noch genauere Position geschätzt werden
durch Abgleich mit identifizierenden unverschlüsselten Header-Daten (Browser-Version, Betriebssystem, Accept-Language Headern usw.) sowie welche Abfragen der Nutzer mit dieser IP noch so macht (verschlüsselt oder unverschlüsselt) kann versucht werden, die Abfragen zeitlich getrennter Sessions (fuzzy) zu einem Bewegungsprofil zu vereinen. Wenn jemand eine Navigations-App nutzt, haben nämlich (fast) alle seine Bewegungen den gleichen Start oder Endpunkt (Arbeitsplatz oder Heim)
ergo: bei Vielnutzung ggf. wo der Nutzer wohnt, wo er arbeitet, wo er sonst so regelmäßig hinfährt oder geht
daraus kann man ggf. direkt die Identität des Nutzers bestimmen, aber wahrscheinlich nicht automatisch, zumindest nicht für nicht-staatliche Angreifer ohne Zugriff auf Melderegister
Dass (unverschlüsselter) Internet-Traffic an Knotenpunkten des Internets abgeschnorchelt wird, ist ja schon lange kein Geheimnis / Verschwörungstheorie mehr sondern gängige Praxis. Dies sind (zumeist?) staatliche Stellen/Geheimdienste, aber da diese Daten sehr wertvoll sind, ist natürlich auch das Interesse da irgendwie anderweitig heranzukommen groß.
Ein naher Zukunft werden alle Browser keine http Seite mehr anzeigen, zu Beginn wird man das sicherlich durch einen zusätzlich Klick umgehen können, aber sicher nicht für immer.
