Firefox 4 forciert HTTPS

Die Mozilla-Entwickler werden Firefox 4 mit HTTP Strict Transport Security (HSTS) ausstatten. HSTS ist eine junge Internet-Spezifikation, die zu mehr sicheren HTTPS-Verbindungen im Internet führen soll. Angreifer haben es schwerer, Daten einer Internet-Verbindung abzugreifen, wenn die zwei Verbindungspartner mit HTTPS (Hypertext Transfer Protocol Secure) kommunizieren. Mit der Ausweitung von HTTPS-Verbindungen will man Man-in-the-middle-Attacken verhindern. Bei einem solchen Angriff schaltet sich ein Krimineller in eine Internet-Verbindung ein und greift die Daten ab oder manipuliert sie - potenziell also auch vertrauliche Informationen.

HSTS gibt Webseiten-Betreibern die Möglichkeit, Firefox anzuweisen, die Seite per HTTPS anzusurfen. Wie der Entwickler Paul Rouget im Mozilla-Blog berichtet, ist der Effekt nicht derselbe, wie wenn die Webseite von sich aus auf ihre HTTPS-Version umlenkt - dann haben die beiden Gegenstellen ja bereits über eine unsichere Verbindung kommuniziert. Um HTTPS zu ermöglichen, muss der Betreiber der Webseite den Strict-Transport-Security-String in den Header seiner Webseite implementieren. Dann greift Firefox 4 mit HTTPS auf die Seite zu.

Für aktuelle Firefox-Versionen übernimmt diese Aufgabe auf Wunsch das Add-On HTTPS Everywhere. Es ersetzt Anfragen, die Firefox per HTTP schickt, durch HTTPS. Firefox ruft dann - falls verfügbar - jeweils die HTTPS-Version einer Webseite auf. Firefox 4 ist für Ende des Jahres angekündigt.