Hallo Martin,

Das halte ich für keine gute Lösung, denn dann würden die User nicht darüber nachdenken müssen ob sie ihren Webspace nicht auf SSL migrieren wollen. Und im Sinne unseres Bildungsauftrags halte ich das für wünschenswert – siehst du das anders?

Ja. Ich bin eher ein Gegner der Anwendung von Verschlüsselung auf breiter Front.

Es geht ja nicht darum den User dazu zu zwingen auf HTTPS umzusteigen, sondern ihn dazu bringen darüber nachzudenken. Selbst wenn er dann zu dem Ergebnis kommt, dass er das nicht will, ist das doch ein Erfolg.

Ich selbst würde Verschlüsselung nur da einsetzen, wo sie unbedingt nötig ist - auch wenn ich den Ansatz, möglichst alles zu verschlüsseln, um noch ein kleines bisschen security by obscurity oben draufzupacken, vom Prinzip her verstehe.

Es geht nicht um obscurity, sondern um coverability. Die Unterscheidung ist wichtig, denn das ist vom Konzept her etwas völlig anderes. Bei obscurity geht es darum, Sicherheit durch das verkomplizieren und verschleiern zu erlangen. Dass das nicht möglich ist, wurde hinreichend bewiesen. Bei coverability geht es darum, dass Sender und Empfänger von Nachrichten sich (in der Menge/Masse) verstecken können. Ausserdem treibt es die Kosten der Totalüberwachung in die Höhe. Bruce Schneier hat dazu einen guten Artikel geschrieben.

LG,
CK