Springe zum Inhalt

Wie vielleicht einigen Lesern aufgefallen sein dürfte, erzwinge ich seit Längerem einen verschlüsselten Abruf der Webseiteninhalte auf meinem Blog mit HTTPS. Warum eigentlich? In diesem Blog werden keine persönlichen Daten oder gar Kreditkartennummern übertragen. Einen Schutz mit Verschlüsselung braucht es also eigentlich gar nicht, oder?

Doch, meine ich. Denn jeder, der Zugang zum Übertragungsweg zwischen einer aufgerufenen Webseite und Eurem Browser hat kann ohne Verschlüsselung mitlesen, welchen Artikel Ihr gerade aufruft, was Ihr lest, wo Ihr kommentiert. Mit diesen Daten lassen sich Interessenprofile erstellen, an denen nicht nur Firmen interessiert sind.

HTTPS verhindert, dass Seitenaufrufe durch andere protokolliert werden können. Ein Mitleser würde nur erkennen können, dass Ihr dieses Blog besucht, nicht aber, was gelesen wird. Es ist also nicht nur eine technische Spielerei, sondern in gewisser Weise auch ein Schutz für Euch.

(Grafik von Yuri Samoilov)

Nach der Umstellung von Apache auf Nginx, der Installation von HHVM und dem Anpassen der HTTPS-Parameter läuft das Blog hier jetzt mehr als flott und die Sicherheit wird mit dem besten Ranking bewertet. Yeah ;)

Mit Nginx kann ich endlich auch die SSL-Parameter so anpassen, dass PFS unterstützt wird (was mit dem in Debian 7 mitgelieferten Apache 2.2 bisher nicht möglich war).  Das Ergebnis zeigt die sehr gute Bewertung durch Qualys SSL Labs:

Qualys SSL Labs Test

Leider habe ich damit auch alle Internet-Explorer-Benutzer, die noch Windows-XP einsetzen, ausgeschlossen. Der IE unter Windows-XP kann kein Perfect Forward Secrecy (PFS). PFS bedeutet, dass nach dem Entschlüsseln einer Nachricht und damit dem Bekanntwerden eines geheimen Schlüssels, nicht automatisch alle anderen mitgeschnittenen Nachrichten entschlüsselt werden können.

Sofern ihr eine Webseite betreibt, die per HTTPS erreichbar ist, dann könnt ihr auf den Seiten von Qualys selbst testen, was evtl. noch verbesserungswürdig an der verschlüsselten Übertragung eurer Webseite ist.

3

Liebe Kommentar-Spammer,

bitte kommt in ausreichender Anzahl, möglichst bei jedem Artikel dieses Blogs vorbei und hinterlasst dort euren Müll. Das absolut geniale WordPress-Plugin Antispam Bee kümmert sich um euch. Und als sehr schöner Nebeneffekt tragt ihr dazu bei, dass nach einem Leeren des Seitencaches der Cache schnell wieder aufgebaut wird und die Seiten wieder schnell an die eigentlichen Leser ausgeliefert werden können.

Für eure fleißige Arbeit habt ihr euch ein Dankeschön verdient.

Euer Webmaster

1

Ein nettes Feature für die Kommentare zu Blog-Posts sind Avatarbilder. Durch diese kleinen Bilder, die neben dem Kommentar angezeigt werden, kann in einer Kommentarkette schnell erkannt werden, wer wem geantwortet hat. Auch sind mehrere Kommentare des gleichen Nutzers schnell zu erkennen.

Damit nun nicht der Kommentator auf jedem Blog, in dem er kommentiert, immer wieder das gleiche Bild hochladen muß, gibt es einen Dienst, bei dem das eigene Avatarbild hinterlegt werden kann und dieser Dienst dann von anderen Blogs (anhand der im Kommentar verwendeten E-Mail-Adresse) nach dem Bild befragt werden kann: Gravatar. WordPress unterstützt Avatarbilder und verlinkt das Avatarbild (falls eines vorhanden ist) mit dem Bild, welches auf Gravatar gespeichert ist. Dadurch wird in allen kommentierten Blogs immer das gleiche Avatarbild zu einer eingegebenen E-Mail-Adresse angezeigt.

Alles ganz harmlos und ein nützliches Feature, könnte man meinen. Was aber nun, wenn der Kommentator auf Gravatar ein urheberechtlich geschütztes Bild als sein Avatarbild hochgeladen hat? Damit wird in allen Blogs, in denen er kommentiert hat und dieses Feature angeschaltet wurde, ein geschütztes Bild in den Kommtaren angezeigt. Es werden also Bilder angezeigt, die nicht vom Blogbetreiber veröffentlicht wurden.

Jetzt ist ein Fall bekannt geworden, in dem der Rechteinhaber eines Bildes einen Blogbetreiber abgemahnt hat, weil ein Kommentator ein geschütztes Bild als Avatarbild verwendet hat. Der Blogger sollte 1.076,25 € zahlen und eine Unterlassungserklärung abgeben. Erst mit anwaltlicher Hilfe konnte der Fall wohl um einiges günstiger geregelt und dem Rechteinhaber erst einmal erklärt werden, dass der Blogbetreiber erst bei Kenntnis des von Anderen eingestellten geschützten Materials tätig werden muss. Der Rechteinhaber hat das meiner Meinung nach aber sicher schon gewußt, hat aber trotzdem probiert, den Blogger abzumahnen. Einige werden auf so ein Vorgehen sicher auch hereinfallen und vorschnell zahlen.