Dieser Chrome-Browser vom größten Datensammler, Reklamevermarkter und Menschenüberwacher der Welt, von Google, markiert demnächst jede nicht TLS-verschlüsselte Website als unsicher.
Gut, das kann man im Prinzip so machen. Es ist allerdings dumm, es so zu machen, wenn man nur ein wenig weiter als von der Tapete bis zur Wand denkt.
Bei den meisten Menschen wird diese »Sicherheitsmaßnahme« so ankommen, dass sie TLS-verschlüsselte Seiten (die mit dem Schlösschen bei der Adresszeile) für »sicher« halten. Dabei sind diese »nur« verschlüsselt.
Natürlich erhöht es die Sicherheit, wenn man ausschließt, dass ein Dritter auf dem Transportweg den Inhalt manipulieren kann, ganz unbestritten, und genau das leistet TLS. Aber eine kriminelle Dreckssite, von der man sich einen Trojaner herunterlädt, wird keinen Deut »sicherer«, wenn sie TLS-verschlüsselt ist. Angesichts der Tatsache, dass selbst einigermaßen brauchbare IT-Jornalistikprodukte in Sachen Kryptografie ihre Leser aufs übelste verblöden, glaube ich, dass von dieser dummen Idee Googles nur Kriminelle profitieren werden.
Und natürlich wird auch Google von diesem kleinen Hirnfick profitieren.
Denn eine Sache, die man ebenfalls als unsicher kennzeichnen müsste und die im Alltag viel gefährlicher als Manipulationen auf dem Transportweg ist, ist das Einbetten von Inhalten und Skripten aus Drittquellen in eine Webseite, wie dies etwa bei der Reklamevermarktung im Web gang und gäbe ist. Eine einzige von einem Verbrecher übernommene Drittquelle – das muss gar nicht erst durch einen »Hack« geschehen, es geht zum Beispiel auch durch den Einkauf von Online-Werbung – kann hinreichen, um etliche seriöse und selbstverständlich TLS-verschlüsselte Websites zur üblen Schadsoftware-Schleuder zu machen. Im Gegensatz zu Angriffen auf dem Transportweg ist dieser Verbreitungsweg für Schadsoftware Alltag. Dagegen schützt nicht TLS, dagegen schützt ein wirksamer Werbeblocker und ein wirksamer Skriptblocker.
Es wäre für Google eine Kleinigkeit, auch diese Gefahr im Webbrowser anzuzeigen, damit jeder Webnutzer lernt, welche Websites sicher sind und welche nicht (zurzeit macht man das am besten mit einem Addon wie NoScript).
Aber genau diese wirksame Sicherheitsmaßnahme ginge gegen das Geschäftsmodell von Google. Es zeigte an, dass die Reklamevermarktung durch eingebettete Skripten aus Drittquellen ein Sicherheitsrisiko ist. Und deshalb zeigt Google halt nur »gefühlte Sicherheit« an: Diese Website ist TLS-verschlüsselt, jede andere Website ist unsicher.
Diese Vorgehensweise wird nur die Organisierte Kriminaltität im Internet (Neusprech: Cybercrime) freuen und erhebliche Schäden verursachen. Auch weiterhin gilt: Das Geschäft mit der Online-Werbung ist der Tod der Internetsicherheit.
Pingback: Hirnfick 2.0 » Medienkritik CXII: Beschränktes Horizont.