Marissa Mayer, CEO von Yahoo!, hat heute Post bekommen. 26 AktivistInnen und Organisationen, die sich für digitale Sicherheit, Menschen- und Bürgerrechte einsetzen, fordern Yahoo in einem Offenen Brief auf, als letzter großer kommerzieller Mailanbieter endlich HTTPS für Webmail anzubieten.
Darunter Vertreter von EFF, Global Voices, Privacy International, Cyber Arabs, Reporter ohne Grenzen, IMMI, BigBrotherAwards und und und.
Disclaimer: auch Tactical Tech, für die ich arbeite.
Dear Ms. Mayer:
As privacy, security, and human rights advocates and organizations from around the world, we are writing to you to express our deep concern with Yahoo!’s continued delay in supporting encrypted connections to its vital communications services. As individuals who engage with at-risk communities targeted for surveillance and censorship, we see on a daily basis how this negligence endangers human rights activists who fight in some of the most repressive environments to protect the basic freedoms that we take for granted. (…)
Over the last several years, Yahoo! has repeatedly been urged by security experts to adopt HTTPS, but has taken no visible steps to do so. Unfortunately, this delay puts your users at risk, which is particularly disturbing since Yahoo! Mail is widely used in many of the world’s most politically repressive states. There have been frequent reports of political activists and government critics being shown copies of their email messages as evidence during interrogation sessions, underscoring the importance of providing basic measures to protect the privacy of e-mail.
Der Brief als pdf.
HTTPS verschlüsselt die Kommunikation zwischen Browser und Webserver, verhindert also, dass alles, was z.B. in Formulare aller Art eingetragen und abgeschickt wird, mitgelesen werden kann. Das betrifft alle, die ihre E-Mail nicht per Mail-Programm, sondern direkt im Browser als Webmail lesen. Wenn Ihr das im offenen WLAN macht, können Eure Nachbarinnen und Nachbarn mitlesen, mit minimalem Aufwand – das ist weder verboten noch kosten die Programme Geld, die dafür nötig sind.
Ob Eure Mails sicher übertragen werden, erkennt ihr daran, ob in der Adresszeile des Browsers httpS://.. statt http:// steht. Das Firefox-/Chrome-Addon HTTPS Everywhere des EFF hilft schon weiter: es aktiviert diese Option automatisch bei allen Websites, die https anbieten.
Alle anderen großen (Web-)Mailanbieter bieten HTTPS an. Yahoo-Mail wird immer noch viel benutzt, gerade auch in Ländern und Regionen mit hohem Überwachungsdruck. Für sie wäre HTTPS wichtig.
Für alle, denen spontan viel Besseres als HTTPS einfällt: Klar, besser wäre, sie würden den Anbieter wechseln. Klar, es gibt viele andere Methoden, die zu viel mehr Sicherheit in der Online-Kommunikation führen. Das wissen auch alle, die den Brief unterschrieben haben.
Es ist keine Entweder-Oder-Frage. Ein Brief an Yahoo hindert niemanden daran, GPG-Mailverschlüsselung oder Tor zu propagieren. Wenn aber Yahoo das kleine bisschen zusätzliche Sicherheit für seine NutzerInnen anböte, könnte vielleicht das eine oder andere Leben gerettet werden.
Support gern auch über Twitter: #DearMarissa
Du hast es zwar indirekt schon mit dem Hinweis auf „Alternativen“ (GPG,TOR) angesprochen, aber ich möchte es explizit hier noch einmal erwähnen: Gerade für politische Aktivisten ist es relativ sinnfrei, auf eine SSL-Verbindung zum Webmail-Account zu bestehen, dort aber dann alle seine Mails unverschlüsselt zu versenden und vielleicht auch noch als imap-archiv vorrätig zu halten.
@Dominic
Eben, steht ja da. Ich persönlich würde SSL auch nicht als allein seeligmachendes Heilmittel verkaufen, aber andererseits weißt du ja auch nie, wieviel Kapazitäten diejenigen mitbringen, die mal bei dir nachschauen wollen. Und da ist jedes Mittel, das das erschwert, ein guter Schritt, würde ich sagen.
Davon abgesehen geht es aber bei dem Brief ja auch um die Leute, die sich – aus welchen Gründen auch immer – nicht in der Lage sehen, den Anbieter zu wechseln und vielleicht keinen eigenen Rechner haben. Für die ist HTTPS auf jeden Fall sinnvoll. Und für alle anderen schon auch.
Es geht ja nicht nur um den Übervater Staat. Der unliebsame Nachbar, der etwas vermutet, aber nicht so recht dahinter kommt, der Betreiber eines Internet Café, der am Router mitschreibt (und auf Malware verzichtet, damit man es nicht so leicht mitbekommt), am Flughafen, wo sicher jemand sitzt, der mitlesen kann etc. können alle unangenehme Umstände verursachen.
Solange es kein dezentrales NNTP-DHT-Twitter gibt, solange sollte man gutmöglichst dicht machen.
Andererseits könnte man yahoo als Honigtopf verwenden oder um harmlose Dinge abzusprechen.
Pingback: Open letter to Marissa Mayer: HTTPS for all Yahoo! communications services now! - Global Voices Advocacy
Pingback: Ανοιχτή επιστολή στη Marisa Mayer: HTTPS για όλες τις υπηρεσίες της Yahoo! · Global Voices στα Ελ