Software::Browser
Mozilla will ungesichertes HTTP zurückdrängen
Mozilla will erreichen, dass Webseiten möglichst nur noch verschlüsselt übertragen werden. Dazu müssen die Webseitenbetreiber HTTPS statt HTTP verwenden. Um Anreize zum verstärkten Einsatz zu geben, sollen manche Funktionen in Firefox nicht mehr zur Verfügung stehen, wenn sie über HTTP aufgerufen werden.
Mozilla Foundation
Laut Mozilla gibt es einen breiten Konsens darüber, dass Webseiten bevorzugt über verschlüsselte Verbindungen, also mit HTTPS, abgerufen werden sollten. Auch die für das Web relevanten Standardisierungsgremien wie IETF, IAB und W3C sowie die US-Regierung setzen sich für die allgemeine Verwendung von Verschlüsselung ein.
Auch Mozilla will Anstrengungen unternehmen, um den Einsatz von HTTPS zu fördern. Nach einer ausführlichen Diskussion in der Mozilla-Gemeinschaft will Mozilla das durch zwei allgemeine Richtlinien erreichen. Erstens sollen ab einem bestimmten Zeitpunkt neue Funktionen, worunter wohl JavaScript-Programmierschnittstellen zu verstehen sind, nur noch sicheren Webseiten zugänglich sein, also Webseiten, die über HTTPS genutzt werden. Ferner sollen nach und nach bestimmte bereits bestehende Funktionen für unsichere Webseiten abgeschaltet werden. Da dies insbesondere Funktionen betreffen soll, die die Sicherheit und Privatsphäre der Benutzer betreffen, würde dadurch die Sicherheit insgesamt erhöht.
Die Gemeinschaft von Mozilla muss sich nach Auffassung von Richard Barnes, dem Leiter des Firefox-Sicherheitsteams, der die Initiative vorgestellt hat, auf die Details dieser Richtlinien einigen, also wann die Umsetzung beginnen soll und welche Funktionen als neu anzusehen sind und entsprechend behandelt werden. Bei der Sperrung von Funktionen muss auch die Kompatibilität mit den Webseiten bedacht und ein Kompromiss gefunden werden. Dabei wird Mozilla wohl in Kauf nehmen, dass einige Webseiten mit neuen Browser-Versionen nicht mehr funktionieren, und somit deren Umstellung auf HTTPS forcieren. Eine zu große Zahl von verärgerten Benutzern kann sich Mozilla jedoch nicht leisten und muss daher die Auswirkungen sorgfältig beobachten. Auch sanftere Maßnahmen zur Erhöhung der Sicherheit sollen weiter verfolgt werden.
Barnes stellt klar, dass die Forderung nach Verschlüsselung nicht zwangsweise bedeutet, dass man kein http mehr in der URI verwenden darf. Sicherheit ist auch durch HSTS und upgrade-insecure-requests zu erreichen, womit ein http für den Browser intern zur einem https wird und dann alle Funktionen zur Verfügung stehen.
Erste konkrete Vorhaben will Mozilla demnächst in der W3C-Arbeitsgruppe WebAppSec vorstellen. Der weitere Zeitplan ist noch offen.
){kind=logo}
