Allgemeines > Pressemeldungen Juli 2018

ARD | Tagesschau: Einmal mit (HTTPS-)Profis arbeiten

(1/1)

ChrisLPZ:
Kuketz IT-Security (Blog), 27.07.2018

ARD | Tagesschau: Einmal mit (HTTPS-)Profis arbeiten


--- Zitat ---Besucht mal die Webseite der ARD über HTTPS:
https://www.ard.de
So und jetzt klickt mal auf einen Beitrag unter »Nachrichten«. Ihr landet dann auf der Webseite der Tagesschau. Was fällt dabei auf? Na? Richtig: Ihr landet auf der unverschlüsselten Variante des Artikels.
[…]
Da hat man schon gültige TLS-Zertifikate und nutzt sie dann nicht richtig…

--- Ende Zitat ---

Weiterlesen auf:
https://www.kuketz-blog.de/ard-tagesschau-einmal-mit-https-profis-arbeiten/

drboe:
Das kann ich nicht bestätigen. Ruft man die HTTS-Seite der ARD auf und klickt

a) im Menü auf "Nachrichten", so landet man sofort auf der HTTPS-Seite der Tagesschau
b) auf eine Nachricht und nach Anzeige des Teasers auf "mehr"' so landet man auf der zugehörigen HTTPS-Seite der Tagesschau.

Es mag sein, dass dies im Juli noch anders war, zumindest derzeit sehe ich keinen Fehler.

Zudem ist die Auslieferung einer Webseite per HTTP eigentlich kein Fehler und m. E. auch kein gravierendes Security-Problem. Die weitaus meisten Webseiten werden bis heute per HTTP ausgeliefert. Da der Inhalt einer Webseite sich nicht ändert, ob man ihn nun per HTTP oder per HTTPS ausliefert, zudem weiterhin allgemein zugänglich und damit kein Geheimnis ist, ist das kaum kritisch. Zu bedenken ist auch, das vor nicht allzu langer Zeit die Anmeldung an diesem Forum per HTTP erfolgte. Dabei wurden die Nutzerdaten unverschlüsselt übertragen. DAS ist bzw. war ein Problem. Dagegen ist der Aufruf einer Tagesschauseite per HTTP, die man auch per HTTPS abrufen könnte, Pillepalle.

M. Boettcher

drone:
Er hat wohl bedingt recht.

Auf der heutigen Startseite
https://www.ard.de/home/ard/ARD_Startseite/21920/index.html
gibt es bspw. einen Beitrag "Sachsen: Hochburg des Rechtsextremismus, 28.08.2018", der bei mir als
http://faktenfinder.tagesschau.de/inland/rechtsextremismus-sachsen-101.html
verlinkt erscheint, und nicht automatisch redirected oder umgeleitet wird.

Allerdings ist die Seite auch über TLS als
https://faktenfinder.tagesschau.de/inland/rechtsextremismus-sachsen-101.html
erreichbar.

(Das kleine "s", das den Unterschied macht...)

observer:
Ich sehe nichts, bei mir landet vom örR alles nach /dev/null ;-)

Das Datum des Artikels lässt darauf schließen, dass der IT Experte eventuell durch Google Chrome auf die unverschlüsselte Verlinkung aufmerksam wurde. Google Chrome kennzeichnet http Verbindungen seit 24.07.2018 generell als unsicher. Da geht es hauptsächlich darum https als Standard anzusehen und http als veraltet und in vielen Fällen auch unsicher.

Möglicherweise ist das sogar Absicht, dass http noch aktiv ist, da irgendeine App oder Webcrawler von den Spezialisten noch kein https beherrscht. Oder der Sysadmin hat wirklich gepennt und dann ist er sein Geld nicht wert.


Edit DumbTV:
Es handelt sich hier um ein Technikthema welches nicht speziell mit den sog. "Rundfunkbeitrag" in Verbindung steht.
Aus Kapazitätsgründen sowie aus Gründen der Übersicht ist dieser Thread geschlossen. Vertiefende inhaltliche / technische Diskussionen dieser Art kann das Forum aufgrund der Vielzahl akuter Probleme mit dem sog. "Rundfunkbeitrag" nicht leisten.

Navigation

[0] Themen-Index