http://www.golem.de/news/nokia-xpress-browser-nokia-entschluesselt-https-daten-seiner-nutzer-1301-96858.html

"Nokia hat bestätigt, dass das Unternehmen alle HTTPS-Daten von Nutzern des Xpress-Browsers auf seinen Servern entschlüsselt. Die Inhalte verschlüsselter Webseiten würden aber nicht auf Nokias Servern gespeichert, verspricht das Unternehmen."

Hm, versprechen sie das also.. toll! ;)

"Schön" ist auch deren Erklärung:

“Importantly, the proxy servers do not store the content of web pages visited by our users or any information they enter into them,” the company said. “When temporary decryption of HTTPS connections is required on our proxy servers, to transform and deliver users’ content, it is done in a secure manner.

Na ja, wer´s glaubt... Ich warte mal ab, wie sich das noch entwickelt. Ich denke, es wird einen massiven Shitstorm seitens der paranoideren User geben.

Naja, um einen HTTPS Datenstrom komprimieren zu können muss ich wissen, was er für Daten enthält.
Der gröbste Fehler ist, dass das nicht offen kommuniziert wird.

Den Skandal hat doch auch Opera (wg. Opera Mini) hinter sich.
Ich meine, eine Verbindung über einen Proxy mit https ist halt keine gesicherte Verbindung, sofern man nicht dem Proxy 100% traut.

Die Frage ist aber ob HTTPS dann komprimiert werden sollte. Laut dem Golem-Text machen das Silk und Skyfire ja anders, indem sie HTTPS von der Komprimierung ausnehmen.

Die Frage ist aber ob HTTPS dann komprimiert werden sollte. Laut dem Golem-Text machen das Silk und Skyfire ja anders, indem sie HTTPS von der Komprimierung ausnehmen.
Die Frage ist doch schon längst beantwortet. Silk und Skyfire werden auch einknicken oder untergehen.
Die Nutzer wollen in erster Linie Geschwindigkeit. Erst danach kommt Sicherheit. Das kannst du auch in anderen Bereichen sehen.
Denn Geschwindigkeitsverluste spüren die Nutzer, fehlende Sicherheit erstmal nicht. ;) Die Firmen reagieren darauf. Dort gilt: Geschwindigkeit ist am wichtigsten. Wenn Sicherheit auch noch geht ohne Geschwindigkeitseinbußen, dann auch Sicherheit.

Idealismus ist schön und gut, aber die Realität sieht anders aus.

Ich halte nichts davon zu behaupten "Die Nutzer wollen".
Mal abgesehen davon, dass diese Behauptung vollkommen aus der Luft gegriffen und durch nichts belegt ist wäre selbst eine entsprechende Umfrage erst einmal unter dem Gesichtspunkt zu betrachten ob die Befragten dann überhaupt die Implikationen verstehen würden.

Und die Verwendung des Begriffes "Idealismus" mag ja rethorisch Deinem Ziel dienen, empfinde ich aber doch in seiner implizierten Verunglimpfung als deplatziert.

Ich glaube, wir missverstehen uns hier gerade. Das war nicht meine Meinung. sondern mehr so ein Fakt.

Es gibt da diesen recht wenig bekannten Dienst Google. Ebendieser Dienst hat bis vor einiger Zeit noch jeglichen Aufruf mit https auf http weitergeleitet. Warum? Weil Verschlüsslung a) Aufrufe langsamer macht und b) auf den Servern mehr Leistung zieht. (das klingt lachhaft, ist aber wirklich so)
Inzwischen ist Google endlich von dieser Politik weg und leitet https Aufrufe nicht mehr um. Das wurde als große Wende in der IT-Welt gefeiert, eine neue Ära der Sicherheit, denn https war auf einmal nicht mehr böse, sondern ein muss. Natürlich rein aus Firmensichtweise gesprochen.

Viele haben aber von dieser "Wende" (die kurioserweise Google und Facebook eingeleitet haben) nichts mitbekommen, eine Wende, die besagt, dass https toll ist, dass https unantastbar sein muss und niemand in den https Datenverkehr reinzufunken hat. Dass Geschwindigkeit nicht per se vor Sicherheit geht. Die, die diese Wende verpennt haben, verhalten sich nun immer noch so, wie es Google früher gemacht hat, Geschwindigkeit über alles.
Und ja, es war keine bewusste Entscheidung des Nutzers, aber das ist es selten.

Für den Text kannst du mich hassen, beschimpfen oder du kannst es verleugnen. Es ändert aber nichts daran, dass Google Meinungsmacher ist.

Wenn du mir das mit der Geschwindigkeit nicht abkaufst, dann schau dir die Browserschlacht an. Da wird alles! dafür getan (sogar eigene Benchmarks veröffentlicht), um zu beweisen, dass man der schnellste ist. Wieviele Nutzer fragen aber, welche Browser der sicherste ist? Nein, es kommt immer "ist der auch schnell?".

"Schön" ist auch deren Erklärung:

Na ja, wer´s glaubt... Ich warte mal ab, wie sich das noch entwickelt. Ich denke, es wird einen massiven Shitstorm seitens der paranoideren User geben.


Das Problem bei der Gesichte ist, dass der User nicht dem Zertifikat des Anbieters vertrauen kann. Wenn der Datenstrom zur Kompression durch den Proxy angenommen wird, muss dieser den Datenstrom danach neu verschlüsseln um diesen zum Kunden zu leiten. Der Kunde sieht dann bei sich nur das Zertifikat von Nokia und nicht das des Inhalteanbieters. Er hat also keine Chance zu erkennen, ob seine Seite wirklich vom Inhalte Anbieter kommt, oder von jemanden der sich nur Ausgibt dieser zu sein.

Und das ist ein richtiges Sicherheitsproblem.