Sie sollten immer alle Ihre Websites mit HTTPS schützen, auch wenn sie keine vertraulichen Daten verarbeiten. HTTPS bietet nicht nur kritische Sicherheit und Datenintegrität für Ihre Websites und die personenbezogenen Daten Ihrer Nutzer, sondern ist auch eine Voraussetzung für viele neue Browserfunktionen, insbesondere für die für progressive Web-Apps.
Zusammenfassung
- Sowohl bösartige als auch harmlose Eindringlinge missbrauchen jede ungeschützte Ressource zwischen Ihren Websites und Nutzern aus.
- Viele Eindringlinge analysieren zusammengefasste Verhaltensweisen, um die Nutzer zu identifizieren.
- HTTPS blockiert nicht nur den Missbrauch Ihrer Website. Sie ist außerdem eine Voraussetzung für viele hochmoderne Funktionen und eine Zugangstechnologie für app-ähnliche Funktionen wie Service Worker.
HTTPS schützt die Integrität Ihrer Website
HTTPS verhindert, dass Eindringlinge die Kommunikation zwischen Ihren Websites und den Browsern Ihrer Nutzer manipulieren. Zu den Eindringlingen gehören absichtlich böswillige Angreifer und legitime, aber aufdringliche Unternehmen wie Internetanbieter oder Hotels, die Werbung auf Seiten einschleusen.
Eindringlinge missbrauchen ungeschützte Kommunikation, um Ihre Nutzer dazu zu verleiten, vertrauliche Informationen preiszugeben, Malware zu installieren oder eigene Werbung in Ihre Ressourcen einzufügen. Beispielsweise blenden manche Drittanbieter Werbeanzeigen in Websites ein, die die Nutzererfahrung beeinträchtigen und zu Sicherheitslücken führen können.
Eindringlinge missbrauchen jede ungeschützte Ressource, die zwischen Ihren Websites und Ihren Nutzern fließt. Bilder, Cookies, Skripts, HTML... sie können alle ausgenutzt werden. Angriffe können an jedem Punkt im Netzwerk auftreten, z. B. auf dem Gerät eines Nutzers, einem WLAN-Hotspot oder einem manipulierten Internetanbieter.
HTTPS trägt zum Datenschutz und zur Sicherheit Ihrer Nutzer bei
HTTPS verhindert, dass Eindringlinge die Kommunikation zwischen Ihren Websites und Ihren Nutzern passiv mithören.
Ein häufiger Irrtum in Bezug auf HTTPS ist, dass die einzigen Websites, die HTTPS erfordern, diejenigen sind, die vertrauliche Kommunikation verarbeiten. Jede ungeschützte HTTP-Anfrage kann möglicherweise Informationen über das Verhalten und die Identität Ihrer Nutzer preisgeben. Auch wenn ein einziger Besuch einer Ihrer ungeschützten Websites harmlos wirkt, analysieren einige Eindringlinge die zusammengefassten Browseraktivitäten Ihrer Nutzer, um Rückschlüsse auf ihr Verhalten und ihre Absichten zu ziehen und ihre Identität zu anonymisieren. Beispielsweise könnten Mitarbeiter ihre Arbeitgeber ungewollt über sensible Gesundheitszustände informieren, indem sie einfach ungeschützte medizinische Artikel lesen.
HTTPS ist die Zukunft des Webs
Leistungsstarke neue Webplattformfunktionen, wie das Aufnehmen von Bildern oder Audioaufzeichnungen mit getUserMedia(), die Offlinenutzung von Anwendungen mit Service Workern oder das Erstellen Progressive Web-Apps ermöglichen vor der Ausführung eine explizite Genehmigung des Nutzers. Viele ältere APIs werden ebenfalls aktualisiert, sodass für die Ausführung eine Berechtigung erforderlich ist, z. B. die Geolocation API. HTTPS ist eine wichtige Komponente der Berechtigungsworkflows sowohl für diese neuen Funktionen als auch für aktualisierte APIs.