Werbung
Einige mobile Browser, wie der Opera Mini, Skyire, Amazons Silk und auch der Xpress von Nokia bedienen sich einer Methode, um den mobilen Datenverkehr zu reduzieren. Dazu werden die Browser-Daten über eigene Proxy-Server geschickt, auf denen sie komprimiert werden, um sie dann an das mobile Gerät auszuliefern. Besonders bei Bildern kann die Dateigröße dabei deutlich reduziert werden. Dies spart Nutzern von kleinen Datentarifen teilweise erheblich Traffic und somit Kosten.
Bisher galt aber, HTTPS-Datenverkehr bleibt unangetastet, denn bei einer sicheren Verbindung ist es weder vom Nutzer, noch vom Zielserver (z.B. der Bank für das Homebanking) erwünscht, dass ein Dritter an die übertragenen Daten gelangt. Daher schließen Opera Mini, Skyfire und Amazons Silk HTTPS-Datenverkehr für die Optimierung aus. Wie Gaurang Pandya von Unisys Global Services in Indien nun aber auf seinem Blog herausstellt, werden HTTPS-Daten bei Benutzung des Xpress Browsers auf den Asha- und Lumia-Geräten wohl doch über die Nokia-Server geleitet. Theoretisch ist Nokia also in der Lage sämtliche per HTTPS übertragene Daten auszulesen. Nokia schließt eine Sammlung von Daten in den Nutzungsbedingungen zunächst einmal aus.
Nokia Nutzungsbedingungen für Xpress:
We do not collect any usernames or passwords or any related information on your purchase transactions, such as your credit card number during your browsing sessions.
Natürlich hat dies dennoch gehörig Staub aufgewirbelt und Nokia sah sich gezwungen darauf zu reagieren. Noch einmal wird betont, dass keinerlei Daten gespeichert werden. HTTPS-Daten werden laut Nokia nur temporär entschlüsselt, da dies zur Übertragung der Daten über den Proxy-Server notwendig ist.
Nokia-Sprecher:
Importantly, the proxy servers do not store the content of web pages visited by our users or any information they enter into them. When temporary decryption of HTTPS connections is required on our proxy servers, to transform and deliver users’ content, it is done in a secure manner. Nokia has implemented appropriate organizational and technical measures to prevent access to private information. Claims that we would access complete unencrypted information are inaccurate.
Kurz zusammengefasst heißt dies: Ja, wir decodieren HTTPS-Verbindungen, es ist uns aber nicht möglich an persönliche Daten zu gelangen.
Auch der Opera Mini, Amazons Silk und Skyfire können, falls vom Nutzer gewünscht, den HTTPS-Datenverkehr über einen Proxy-Server leiten. Allerdings muss dies vom Nutzer exklizit aktiviert werden. Nokia hingegen tut dies bereits mit den Standard-Einstellungen. Diesem Umstand ist man sich bei Nokia auch bewusst und will sich für die Zukunft eine andere Lösung überlegen. Der Xpress-Browser ist auf Asha-Geräten bereits vorinstalliert, für die Lumia-Geräte gilt dies nicht.
Nokia-Sprecher:
We aim to be completely transparent on privacy practices. As part of our policy of continuous improvement we will review the information provided in the mobile client in case this can be improved.
Wer nicht möchte, dass der eigene HTTPS-Datenverkehr über die Proxy-Server von Nokia geleitet wird, der sollte sich nach einem alternativen Browser umschauen.