Microsoft Edge und das dümmste Feature der Welt
Living on the Edge - Microsofts Windows-10-Browserchen Edge rockt. Der absolute Wahnsinn. Niemand braucht jemals wieder einen anderen Browser. NIEMALS. Edge ist schnell. Edge kann alles. Edge revolutioniert das Internet. Edge revolutioniert alles. Sogar die Albernheit. Wooooaaaaas?!? Yep - Edge hat ein Feature, das alle anderen Features in den Schatten stellt. Drag&Drop? Cut&Paste? Kindergeburtstag!
Seid Ihr auf HTTPS unterwegs?
Neulich hat Euch Christian ein wenig über die Aufrüstung von Tutonaut.de für verschlüsselte Verbindungen via TLS/HTTPS erzählt. Und da Ihr gerade hier seid, schaut mal oben in die Adresszeile. Da sollte etwas Grünes zu sehen sein, und ein Schloss. Wenn Ihr mit Firefox unterwegs seid, klickt einfach mal drauf, dann auf den Pfeil und dann auf "Weitere Informationen". Hier seht Ihr jetzt die Details zur sicheren TLS-Verbindung. Für die meisten von Euch ist vermutlich nur relevant, ob es eine TLS-Verbindung ist oder nicht.
Verschlüsselung ist nicht gleich Verschlüsselung
Aber spätestens, wenn das Symbol nicht grün, sondern gelb oder rot ist, sind die Details schon interessant. Ist die Verbindung nicht als sicher gekennzeichnet, weil das Zertifikat falsch ist? Oder weil es abgelaufen ist? Auf eine falsche URL ausgestellt? Welche Verschlüsselung wird überhaupt genau genutzt? Es gibt durchaus auch "grüne" Verbindungen, die nicht höchsten Sicherheitsansprüchen genügen, zum Beispiel weil zu schwach verschlüsselt wird.
Bei neueren Chromes ist es ein wenig umständlicher: Ruft die Entwickler-Tools mit F12 auf und wechselt zu dem Security-Tab - et voilà, Details. Früher gabs den Link dahin mal direkt unterhalb des Schlosssymbols, aber warum soll man es den Menschen auch einfach machen.
Der alberne, alberne Edge
Aber bei Edge ist alles besser. Edge macht Euch das Leben einfach. Und zeigt schlicht und ergreifend keine Details an. Ihr gebt Kreditkartendaten, Euren Gesundheitszustand und Eure Steuererklärung also auf einer Website ein und habt keine Chance, Euch zu vergewissern, dass die Verbindung tatsächlich sicher ist und niemand zwischen drin sitzt und lauscht. Mmmmhhh, Moment. Das wäre ja schlecht. Edge ist aber super.
Und hier kommt eines der albernsten Features der Software-Geschichte zum Einsatz: Öffnet das Optionen-Menü und staunt! Eure Augen erblicken folgenden Eintrag: Öffne mit Internet Explorer. Wow. [20 Minuten wundern und staunen - maulaffenfeil] Wenn Ihr Euch wieder gefasst habt: Im Internet Explorer macht Ihr einen Rechtsklick auf der Website, ruft die Eigenschaften auf und seht wieder die TLS-Details.
Nochmal zum Mitschreiben
Microsofts toller neuer Browser, frisch für Windows 10 aus der Taufe gehoben, hat ein eingebautes Feature, um Webseiten in seinem Vorgänger anzuzeigen. Das muss man einfach mal sacken lassen.
Aber es ist nicht einfach zu entscheiden, was alberner ist: Der integrierte IE-Fallback oder die Tatsache, dass man sich keine TLS-/SSL-Details anschauen kann - was meint Ihr?
Naja, „dumm“ ist relativ. Der IE-Fallback ist wohl in erster Linie deshalb drin, weil es immer noch irgendwelche archaischen Webseiten gibt, die für den klassischen IE gebaut wurden – inklusive Behördenseiten etc…
Und was die TLS-Infos angeht: Es ist zwar in der Tat schwach, dass MS bislang keine vollwertige Funktion zur Anzeige der Zertifikate integriert hat. Allerdings zeigt Edge nur dann ein Schloss-Symbol an, wenn die Verbindung durch die Bank verschlüsselt ist. Bei HTTPS-Seiten mit unsicheren Inhalten (z.B. falsch gesetzte VG-Wort-Tags) ist kein Schloss zu sehen.
Wie gesagt: Dass es keine vollwertigen Zertifikatsinfos gibt, ist schwach, für 98 Prozent aller Menschen (bzw. den 2,1 Prozent davon, die Edge für was anderes als den Download von Chrome oder Firefox nutzen ^^) dürfte das Schloss aber an Sicherheit genügen. Und für alle anderen jibbet ja den hypersicheren IE :-p
Laufen wirklich Seiten im aktuellen IE, aber nicht in Edge? Hmm, für mich noch ein Grund, dass Edge überflüssig ist. Link doch mal ein Beispiel.
So oder so bleibt am Ende, dass Microsoft einen Browser verbaut hat, von dem sie glauben, dass er alleine schlicht nicht brauchbar ist. Vielleicht will ich gar keine zwei MS-Browser haben. Vielleicht nicht mal einen – kann man den IE mittlerweile eigentlich deinstallieren in Win 10? Lass mich raten …
Behördenseiten sind übrigens in aller Regel mit dem (gruseligen) Government Site Builder gebaut und haben kein Problem mit irgendeinem bestimmen Browser. Sollten sie zumindest ;) Zumal da massiv drauf geachtet wird, keine Bürger auszusperren.
TLS
Die haben nicht keine vollwertige Anzeige des Zertifikats, sie haben gar keine! Gut, wenn Nicht-TLS-Content mitgeladen wird ist die Seite nicht sicher – kein Symbol schadet dann nicht. Wenn aber nur das Zertifikat seit zwei Tagen abgelaufen ist? Dann könnt man je nachdem worum es geht, vielleicht doch einen Blick auf die Seite werfen. Noch schlimmer: Immer wieder sind TLS-Zertifikate auf beispielsweise example.org ausgestellt, nicht aber auf http://www.example.org (das https:// gehört da nicht hin, das macht fucking WordPress automatisch … Das passiert, wenn Entwickler Menschen das Denken abnehmen wollen, Stichwort Ribbon, ne?!) – dann kann technisch alles sauber laufen, aber es gibt trotzdem kein grünes Häkchen. Fairerweise: Edge sagt beim Laden, dass das Zertifikat nicht zur Seite passt – auf wen es ausgestellt ist, aber schon wieder nicht.
Vielleicht könnte man sich darauf einigen: Wenn alle Webseitenanbieter TLS absolut perfekt implementieren und es nur noch grün oder für wirklich unsichere Seiten rot gibt, und gelb aus der Welt verschwindet, dann könnte die Edge-Variante genügen.
Man kann es ja meinetwegen machen wie Chrome und solche Infos in den Entwickler-Tools verstecken, um den armen, unmündigen User nicht mit bösen zu tiefschürfenden Infos zu belästigen.