Open Source im professionellen Einsatz

Mozillas Rentenpläne für HTTP

14.04.2015

Richard Barnes kümmert sich als Ingenieur bei Mozilla um die Sicherheit. Auf der Entwicklerplattform fordert er nun einen Plan, um HTTP in absehbarer Zeit durch das sichere HTTPS zu ersetzen.

305

Es gäbe einen ziemlich breiten Konsens, Verschlüsselung im Web voranzutreiben, schreibt Barnes auf der Mailingliste. Er verweist dabei auf Statements der Internet Engineering Task Force (IETF), des Internet Architecture Board (IAB), des World Wide Web Consortium (W3C) und der amerikanischen Regierung.

Der Plan, den Barnes gemeinsam mit Mozilla-Kollege Martin Thomson entworfen hat, besteht aus vier Phasen (Phase 0 bis 3). Seine Annahme würde ein sichtbares Zeichen an die Web Community senden, dass Datenübertragungen in Plaintext der Vergangenheit angehören und zugleich die unsicheren Features von HTTP allmählich ausrangieren. Er soll es weniger attraktiv machen, neue Features für HTTP zu entwickeln und zugleich den Einsatz von HTTPS belohnen.

In Phase 0 gehe es darum, sichere Umgebungen (Privileged Contexts) zu schaffen, was dank der Arbeitsgruppe Web-App-Sec bereits im Gange sei. In Phase 1 könne man ein Datum setzen, ab dem sämtliche neu entwickelten Features sichere Umgebungen voraussetzen. Hier müsse man definieren, was neue Features sind: Geht es nur um neue Web APIs oder auch um CSS-Attribute? Und man müsste über ein Datum entscheiden. Im dritten Schritt sieht der Plan vor, ein weiteres Datum festzulegen, ab dem auch existierende Features eine sichere Umgebung voraussetzen. Hier müssten die Entwickler insbesondere auf die Balance zwischen Sicherheit und Kompatibilität achten. Schließlich würde ab Phase 3 das Web nur noch HTTPS verwenden.

Für die Phasen 0 und 1 sieht Barnes keine größeren Hindernisse in der Umsetzung. Phase 2 verlange hingegen etwas mehr Fingerspitzengefühl und Konsensfindung. Er schlägt vor, die Änderungen in festen, halbjährlichen Intervallen zu veröffentlichen, um ihre Sichtbarkeit zu erhöhen. Man wolle insgesamt lieber alle Features von HTTP nach HTTPS portieren als nur spezielle Funktionen abzusichern. Findet die Idee Unterstützung in der Mozilla-Community, will man die Diskussion mit der breiteren Web-Community fortsetzen, voraussichtlich im W3C.

Ähnliche Artikel

comments powered by Disqus

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.