als ich das erste mal was ueber die firefox erweiterung “https-everywhere” gehoert habe, stiegen in mir die erwartungen an dieses addon. ich hab mir sofort vorgestellt, dass dieses teil immer bei allen webseitenaufrufen ueberprueft, ob auch eine https variante existiert und dann dahin umleitet.
natuerlich ist das nicht so einfach, wie man sich das vorstellt. vor allem deswegen, weil es manche webseitenbetreiber es einfach nicht hinbekommen, dass die ssl seite die gleiche ist wie die ohne ssl. bei groesseren systemen steigt natuerlich die komplexitaet enorm. siehe facebook… ein zitat von heise.de:
“Entschärft wurde die Facebook-Regel – in der bisherigen Version waren einige Facebook-Apps aufgrund eines Zertifikatsfehlers nicht nutzbar. Wer seine Facebook-Cookies vor Diebstahl mit Tools wie Firesheep schützen will – und auf die Apps verzichten kann – muss nach der Installation des Add-ons nun den erweiterten Regelsatz Facebook+ aktivieren. Wer hingegen den Facebook-Chat nutzen will, muss bei der Seite auf sämtliche Schutzmaßnahmen verzichten und alle Facebook-Regeln deaktivieren.”
und den faq steht nochmal beschrieben, warum es nicht so einfach ist, wie ich mir das (ohne drueber nachzudenken) vorgestellt hatte:
“There are several problems with the idea of trying to automatically detect HTTPS on every site. Firstly, there is no guarantee that sites are going to give the same response via HTTPS that they give via HTTP. As of 2010, LiveJournal is a good example of this problem: compare these HTTP and HTTPS responses. Secondly, we don’t think it’s possible to test for HTTPS in real time without introducing security vulnerabilities (What should the extension do if the HTTPS connection attempt fails? Falling back to insecure HTTP isn’t safe). Lastly, in some cases, HTTPS Everywhere has to perform quite complicated transformations on URIs — for example the Wikipedia rule turns an address like http://en.wikipedia.org/wiki/World_Wide_Web into one like https://secure.wikimedia.org/wikipedia/en/wiki/World_Wide_Web.”
also ist es nun erstmal so, dass dieses addon nur die webseiten bedienen kann, die es auch von haus aus kennt. mag sein, dass da fuer viele was dabei ist, aber die seiten daraus, die ich persoenlich nutze, kann ich an einer hand abzaehlen:
wer will, kann sich eigene rulesets bauen und hinzufuegen. wie das geht steht hier geschrieben: https://www.eff.org/https-everywhere/rulesets.
fuer diese seite hier hab ichs mal gemacht und abgespeichert als sdvc.xml im verzeichnis “HTTPSEverywhereUserRules” unterhalb des firefox profile verzeichnises:
im screenshot rechts unten sieht man mein beispiel “sd.vc”. das kleine, aber feine plugin sollte aber nicht “https-everywhere” heissen sondern “https-somewhere” oder aehnlich… weil everywhere ist anders…
