Home | Save HTTP !
Save HTTP Logo

... weil manche Leute es brauchen.

0: Inhaltsverzeichnis

1: Worum geht es in diesem Text? (Einführung)

Das einfache alte HTTP Webprotokoll (der Dialog den Browser benutzen um Webpages beim Server zu holen) wird durch immer mehr Webadmins ausgerottet. Durch es blockieren, oder zumeist auf HTTPS umgeleiten. Dies ist inzwischen bei über 90% aller Websites der Fall.

Grund dafür ist, nach Aussagen diverser Admins, dass sie, aus Angst vor dem Staat, allen Webverkehr verschlüsseln wollen (was HTTPS macht). Solange sie dies nur mit ihrem eigenen Verkehr machten und es noch anderen zum freiwilligen Gebrauch anboten, war dies kein Problem.

Das ist nun nicht mehr so. Sie zwingen jetzt andere HTTPS zu benutzen. Das ergibt aber massive Probleme, weil Kryptographie schwierig zu implementieren ist und vor allem schnell zerfällt. Was Leute mit alternativer oder alter Software (oder Rechner mit solcher) zum Web herauswirft. Egal aus welchen Gründen sie solche benutzen:

Das Ziel hier ist daher, HTTP vor der Ausrottung zu bewahren. Schlicht weil viele Leute es weiter behalten wollen oder sogar brauchen. Ohne HTTP nutzbar werden sonst etwa 15 bis 50 Millionen betroffene Benutzer herausgeworfen aus über 90% vom Web!

Versuche, die Webadmins welche Zwangs-HTTPS diktieren zur Einsicht zu bringen, sind über 2 Jahre hinweg gescheitert (2017 bis 2019). Mehr als 90% der Angesprochenen haben Eingehen auf irgendwelche Argumente komplett verweigert. Dies vor allem mit der Aussage, dass die "grosse Gefahr" solche Massnahmen rechtfertigt. Beschwerden, dass weder die Gefahr gross sei noch die Massnahmen gerechtfertigt, werden abgewiesen. Ebenso erging es Beschwerden, dass "Schutz" der mehr schadet als schützt kein Schutz ist. Damit ist dieser Plan A gescheitert.

Wegen der obigen Situation wird nun diese Aufmerksamkeitskampagne geführt. Es ist an die generelle Öffentlichkeit gerichtet. Es soll Leute informieren über die Taten, welche im Verborgenen begangenen werden. Ziel ist, mit diesem Plan B genug Druck zu machen, um das Problem zu korrigieren:

Ziel der Kampagne ist, alle Interessierten zu vereinen zu einer Allianz der Offenen. Gegen die Webadmins gezielt, welche alles komplett zunageln wollen, aus Angst vor angeblicher "Gefahr". Dies egal was es unbeteiligten Benutzern an Webverlust kostet. Dieser Verlust soll von inzwischen über 90% auf zumindest unter 10% reduziert werden.

Dieser Text ist dazu bewusst als Grundlagentext geschrieben, allumfassend, um so als "Buffet" nutzbar zu sein. Womit er von anderen Texten verlinkt werden kann, damit andere Mitmachende jeweils die ihnen wichtigen Aspekte extrahieren und ausbauen können. Sie können auch kürzere Artikel verfassen, ohne dass ihre Leser Zugang zu bei ihnen weggelassenes verlieren. Deswegen ist der Text etwa 40 Seiten A4 an Umfang.

2: Wie ist die aktuelle Situation?

Zum Websurfen braucht es, neben Rechner und Internetverbindung als Basis, einen Browser, mit dessen HTTP Verbindung zum Webserver. HTTP ist einfach und implementierbar durch jeden Programmierer. Das Web konnte sich daher schnell und weit verbreiten, weil viele diverse Browser machbar waren, auf allen Sorten von Rechnern, selbst auf 1980er 8bit Rechnern.

Es hat aber eine kleine Schwäche, dass alles offen übertragen wird. Dies kann in manchen Grenzfällen problematisch sein, wie bei Kreditkartennummern oder Accounts mit Passwörtern. Dagegen wurde HTTPS entwickelt. Dieses ist aber kompliziert, weil es anspruchsvolle spezialisierte kryptographische Mathematik benutzt. Es ist daher schwierig zu implementieren. Zumeist kann es mangels verstehen gar nicht implementiert werden, durch die meisten Programmierer. Einige ältere und auch kleinere neue Browser und Systeme können daher HTTPS gar nicht anbieten.

Weit schlimmer, weil es auf Kryptographie basiert um Daten zu verstecken, zerfällt es schnell und wiederholt, selbst wo es vorhanden ist. Dies weil die benutzten kryptographischen Algorithmen immer wieder gebrochen werden, von Kryptoanalytikern. Gegen dieses Problem werden neue Routinen entwickelt, von Kryptographen. Gefolgt von diese wieder gebrochen werden, wieder neue erfordernd. All dies als Teil vom Krieg von kryptographischem verstecken und aufdecken.

Ziel dessen Vorgehens ist, gebrochene vom eigenen Gebrauch auszuscheiden, bevor der Gegner sie knackt, und ebenso dem Gegner seine zu knacken, bevor sie merken und daher diese ausscheiden. Das alles mit massiver Finanzierung dahinter, um letztere in erstere zu machen, angetrieben von den ganzen militärischen Kommandostrukturen und der Spionageagenturen aller Länder! Es hat daher einen andauernden Rüstungswettlauf im Kryptokrieg, welcher wiederholtes ersetzen nötig macht, was praktisch garantiert, dass diese Situation unverändert so bleiben wird.

(Anmerkung: Hintergrund für diejenigen, welche fragen warum die Algorithmen dauernd zerbrechen: Die grundlegende Mathematik hinter der Public Key (PK) Kryptographie, im Web benutzt, basiert auf mehrere lange Zufallszahlen erzeugen. Aus denen werden zwei Zahlen abgeleitet mit Formeln F1 und F2, öffentlicher und privater Schlüssel genannt. Für diese benutzen gilt: Daten + Formel F3 + öffentlicher Schlüssel = Gesichert, so dass Gesichert + Formel F4 + privater Schlüssel = wieder die Daten hergibt. Dafür muss aber ein Satz von vier Formeln so gebildet werden, dass der private Schlüssel nicht aus dem öffentlichen ermittelt werden kann. Und auch nicht die Zufallszahlen, welche mit Formel F2 benutzen zu dieser führen würden. Strikte ist das unmöglich, weil jede Formel eine Reverse hat, damit auch F1 ein Revers-F1! Aber es gibt Mathe, bei der keine Revers-F1 Methode bekannt ist, welche mit der heute verfügbaren Rechenleistung machbar ist. Kryptoanalytiker suchen nach neuen mathematischen Wegen um solche Reversierung doch noch mit der heutigen Rechenleistung zu schaffen. Anderseits suchen Kryptographen auch nach neuen Formelsätzen, zu welchen noch keine bekannten Revers-F1 existieren. Es gibt daher nur zwei Sorten PK Krypto: Bereits gebrochene und noch nicht gebrochene.)

HTTPS als Protokoll mag inzwischen etwa 20 Jahre alt sein, und ist seit etwa 10 bis 15 Jahren auch weit verbreitet worden. Aber die benutzten kryptographischen Algorithmen haben anscheinend eine Lebenszeit von nur etwa 5 bis 10 Jahren! Dies wird sichtbar, wenn Phones und Tabletts von 2012 und Rechner Browser von 2011 anfingen in 2018 zu versagen, nach nur 6 oder 7 Jahren. Bei manchen Websites bringen sie bereits eine "kein gemeinsamer Algorithmus" Fehlermeldung, was bedeutet dass alle damals implementierten Algorithmen inzwischen auf diesen Sites abgeschaltet worden sind! Es ist anzunehmen wegen diese gebrochen. Oder zumindest als zu schwach angeschaut. Mit einem Rechner Browser from 2003 war dies in 2015 nach 12 Jahren bei praktisch 100% aller Websites der Fall.

Selbst wo HTTPS vorhanden ist, braucht es so andauernde Softwareupdates um benutzbar zu bleiben. Nach spätestens 5 Jahre (wenn man alle HTTPS Websites benutzen können will) oder 10 Jahre (wenn man mehr als einen kleinen Bruchteil davon können will). Mit modernen Massenmarkt Browsern ist dies kein Problem. Aber viele Entwickler von kleinen Browsern oder Systemen können nicht mithalten. Ältere, nicht mehr weiterentwickelte, Browser oder Systeme haben gar keine Chance. Nur wenige grosse neue schaffen das noch.

HTTPS nutzen braucht daher aufgeben von bestehender und reduziert Auswahl an neuer Rechner und Software. Aber gerade Software erlaubt massive Auswahl, weil es von vielen schreibbar und kopierbar ist. Es ist frei von Limiten durch Massenproduktion und deren Finanzierung. Nur einmalige Entwicklung muss zustande kommen, danach ist der Rest nur kopieren. Die ganze Open Source Software (wie Linux) entstand erst so.

Diese Auswahl wird bereits durch Featurismus bedroht, weil dieser den Aufwand steigert um Software zu erstellen und so die angebotene Auswahl reduziert. Aber dies Problem betrifft nur spezifische Sites, welche neue Features derart grob nutzen, dass sie versagen ältere einfachere Browser zu unterstützen. Solches versagen ist zudem graduell, von nicht optimaler Darstellung, über Einzelfeatures versagen, bis zu der ganzen Site unbenutzbar werden.

Kryptographie und HTTPS, mit deren schwierigen Technologie und dauerndem Ersetzen, addieren massiv zu diesem Effekt, und stets mit als Resultat von totalem versagen. Das fördert den schlechten Trend massiv. Dies mit inzwischen der grossen Mehrheit von über 90% an Sites davon betroffen, nicht nur einzelne. Am Schluss verbleibt nur noch wenige Auswahl an grosser Massengeschmack Software.

Aber Kryptographie und HTTPS sind für die meisten Anwendungen gar nicht nötig. Man kann sie meiden für normalen Webgebrauch, durch weiterhin HTTP benutzen. Nur für wenige spezielle Sites, wo HTTPS notwendig ist, kann man einen Zweitbrowser oder gar einen Zweitrechner benutzen. Oder solche Sites schlicht nicht nutzen, keine Webshops mit Kreditkarte benutzen (nur solche mit auf Rechnung zahlen), keine kritischen Webdaten mit Accounts und Passwörtern haben (unkritische nur für Preferences sind bedenkenlos). Für alle anderen Sites konnte man ohnehin weiterhin mit HTTP surfen, das meiste im Web, weit über 90%.

Das ist wie es Jahrzehnte gemacht wurde. HTTPS nur von denen benutzt welche dessen speziellen Eigenschaften wollten, aber gemieden von denen welche es nicht brauchten, weil sie nur Sachen machten wo es nicht notwendig war. Jeder lebte wie er wollte und konnte und liess andere leben wie sie wollen und können. Dies war für lange Zeit für niemand ein Problem, alle konnten damit bestens zurechtkommen und das wählen was am besten ihren Anforderungen passte.

Die Situation ist nun verändert. Seit etwa 2015 erzwingen immer mehr Webadmins den Gebrauch von HTTPS. Diese Admins verlangen dass HTTP "weg muss", aller Webverkehr muss mit HTTPS sein. Sie erzwingen dies durch HTTP zumachen, damit Zugriff auf ihre Server unmöglich machend. Um unauffällig zu sein, statt eine sichtbare "Kein Server" Fehlermeldung ausgeben wenn HTTP benutzt wird, unterschieben sie zumeist einen HTTPS Redirect (automatische Umleitung). Browser welche HTTPS können folgen dieser Umleitung stillschweigend. Die Mehrheit an Benutzer, mit ausreichend neuen Massenmarkt Browsern, merken nichts von dieser Massnahme. Aber dies zwingt alle Benutzer zu bei HTTPS mitmachen, egal ob manche ihre Browser deswegen versagen, egal wie gross deren Probleme werden.

Solche Webadmins erlauben zumeist auch HTTPS nur mit den neuesten Kryptoalgorithmen. Alte werden nicht einmal als Fallback erlaubt, trotz dass HTTPS dies vorsieht, und einfach neuere vorzieht falls diese vorhanden sind! Dieses nur neueste ist so, weil die Sorte Admins, welche HTTP als eine "grosse Gefahr" zumachen, schon davor alte Algorithmen abgeschaltet haben, weil sie diese als "zu alt" ebenfalls als "Gefahr" anschauen. Womit sie Rückwärzkompatibilität maximal zerstören. Dazu Zitat eines solchen Admins: "Ich verwende nur die besten Algorithmen" (was zusammen mit seiner "neuer = besser" Denkweise auch "nur die neuesten" bedeutet). Ein weiteres Zitat danach: "Offen ist gar kein solcher". (Was nahelegt, dass die Algorithmen, welche sie nach wenigen Jahren abgeschaltet haben, möglicherweise gar nicht gebrochen wurden. Neben Zwangs-HTTPS ist dies damit auch noch Zwangs-Neuest-HTTPS, mit ersteres nur die Basis vom Problem legend, und letzteres es noch weit erschwerend.)

Das ergibt einen Druck auf jedermann zu dauernd auf neuestes HTTPS updaten. Egal ob sie deswegen Probleme bekommen könnten. Egal wie gross die Probleme. Egal ob manche wollen oder auch nur können. Egal ob für manche es bedeutet zum Web herausgeworfen werden. Kritik an diesem Verhalten wird einfach mit "update gefälligst" beantwortet, mit einem implizien "mach was wir sagen blöder Benutzer". Kritik dass dies nicht überall geht wird einfach abgewimmelt. Und wegen dem untergeschobenen Redirect merkt die Mehrheit nichts von alledem. Es bleibt eine Tat im Verborgenen, trotz inzwischen weit verbreitet sein:

Noch schlimmer, fängt dieser Trend an sich vom Web auf Mail auszudehnen, mit Zwangs-TLS dort. Mit selbigen Problemen wenn kein TLS vorhanden ist, oder es auch nur zu altes ist. Ich hörte erstmals dieses erwähnt in 2018 und begegnete selber einem ersten Fall in 2019. Mail mit Zwangs-TLS hat somit jetzt etwa selbigen Stand an Verbreitung wie das Web mit Zwangs-HTTPS in 2015 hatte.

Ebenfalls später in 2018 hörte ich erstmals von Plänen, das grundlegende Netz als solches voll zu verschlüsseln. Dies würde nicht nur die meisten Websites und zunehmend Mail killen, sondern schlicht 100% aller Netzdienste. Es wäre damit nochmals schlimmer.

Sollte es wie bisher weitergehen, wird das Resultat zum Ausschluss führen, aus dem Web und Mail, oder gar dem ganzen Netz, von allen Benutzern welche ihre Systeme nicht Upgraden wollen oder können, wie von solchen Admins verlangt. Strikte wird das World Wide (= weltweite) Web (dafür steht das WWW!), das allen offenstand, heimlich ersetzt durch ein kryptolimitiertes Web, in welchem nur noch diejenigen welche ausreichend neue Krypto benutzen Zugriff gestattet wird.

Jeder der versteht was das Netz allen gebracht habt, und wie viele sich heute darauf verlassen, erkennt wie so ein Rauswurf allen Betroffenen massiv schadet. Als Folge davon wehren die Betroffenen sich jetzt, gegen diesen Schaden zugefügt bekommen. Zumindest die welche davon wissen. Diese Kampagne existiert, um ein mehrheitlich verborgenes Problem aufzuzeigen und um es korrigiert zu bekommen.

3: Wer sind betroffen von dieser Situation?

Alles obige wäre kein Problem, wenn niemand davon betroffen wäre. Aber viele sind. Gerade weil Leute so divers sind, trifft der Kryptozwang, mit seinen limitierenden Folgen, in verschiedensten Situationen auf verschiedenste Weise für jeden davon. Die "upgrade gefälligst" Diktatur kollidiert überall wo jemand nicht upgraden will oder wegen einem Grund gar nicht kann. Das sind alle mit alter Software (oder altem Rechner mit solcher drauf), aus welchem Grund immer sie diese benutzen. In manchen speziellen Situationen können selbst neue Rechner und Software betroffen sein. Ich weiss inzwischen von einer ganzen Reihe von so betroffenen Benutzersorten, aber es gibt sicher noch mehr, welche mir unbekannt sind.

3.1: Keine Updates vorhanden

Direkt trifft es alle Benutzer, welche gar keine Updates bekommen können. Nicht jeder Hersteller existiert noch von jedem Gerät, das noch in Gebrauch ist. Oder hat, selbst wenn noch existierend, ein Interesse an Updates zum alten Produkt anzubieten, ziehen es vor ein neues zu verkaufen. Dies passiert immer häufiger, gerade bei Tabletts und Phones. Rechner bekommen eher noch Systemupgrades mit Updates dazu, sofern die Treiber noch auf älteren laufen. Es ist daher schlicht nicht möglich alles zu updaten. Nur noch Ersatz geht, auf Kosten von Verlust vom Besitzstand. Die Benutzer von solchen Geräten wollen den sicheren Verlust vom Gerät gegen den fraglichen Gewinn an Sicherheit abwägen.

(Dies ist bei mir ein wichtiger Punkt: Sowohl mein Phone und Tablett, von 2012, sind von nicht mehr existenten Herstellern. Daher gibt es keine Updates und bekomme immer mehr Mühe auf Websites mit zu neuem HTTPS.) (Nachtrag 2023: Beide sind inzwischen im Web unbenutzbar geworden, Tablett wurde komplett wertlos und verschrottet, Phone kann nur noch telephonieren und SMS.)

3.2: Finanzielle Limiten

Solcher Ersatz trifft erst recht alle Benutzer, welche sich neues schlicht nicht leisten können. Nicht jeder kann regelmässig alles an Rechner und Tablett und Phone ersetzen. Selbst wer könnte, will vielleicht unnötigen Ersatz meiden, um Geld auszugeben für etwas noch nicht gekauftes, oder aufsparen für etwas erst noch kommendes. Manche können sogar sich nur bei anderen weggeworfene gebrauchte Rechner/Tabletts/Phones leisten. Solche haben zumeist ein gewisses Alter. Manche benutzen, mangels eigene besitzen, nur Geräte welche der Öffentlichkeit zur Verfügung gestellt werden. Oft sind die Sorte Organisationen welche dies machen finanziell limitiert. Wer meint, dass Rechner heute so billig geworden sind, dass jeder problemlos neue kaufen kann, soll mal die Situation der Mehrheit aller Leute in Drittweltländer anschauen. In Afrika kann heute ein Smartphone wichtiger sein als ein Auto! Aber auch in den reichen Ländern leben manche Leute am Rande der Existenz.

Gerade für Leute mit wenig Geld ist das Internet extrem wichtig, weil sie auch sonst wenig haben. Diese Situation gilt auch hier bei uns, wenn immer mehr Sachen aus Kostenersparnis der Anbieter ins Netz kommen. Alte Papierversionen verschwinden komplett, oder werden zumindest mit immer mehr und steigenden Gebühren belastet. Zugriff aufs Web verlieren macht solche Sachen teurer oder gar ganz verloren. Ohne Rechner an den Rand der Gesellschaft bugsiert werden, oder gar ganz herausgeworfen werden, ist inzwischen als Digital Divide bekannt. Dies wird nun verschärft, auf bereits die ohne einen genug neuen Rechner. Die davon betroffenen wollen behalten was sie erreichen konnten.

3.3: Spezialausrüstung

Das Problem trifft auch alle Benutzer, welche spezielle Ausrüstung oder Browser benötigen, für beispielsweise Behinderte. Wie bei Sehbehinderten welche Sprachausgabe benutzen welche Text umwandeln kann aber bei Bildern wiedergeben versagt. Nicht jeder kann passenden Ersatz für bestehendes bekommen, oder solches ist durch Hilfsorganisationen ihre Finanzen limitiert. Für diese ist das Internet noch wichtiger, weil es ihnen erst Zugang zu vielen ansonsten unlesbaren Informationen gibt. Das gilt aber auch bei nur spezielle Benutzerinterfaces haben wollen. Wie bei manchen Autisten und Asperger, welche moderne reizüberflutete GUI Designs meiden wollen. Auch für diese ist das Internet wichtig, weil es ihnen Zeit und Ort gibt, ihre passenden Methoden zu nutzen. Noch genereller gilt Accessibility oder Barrierefreiheit für beliebige Eigenschaften. Die hier betroffenen wollen behalten was sie erlangen konnten.

(Dies ist bei mir ein wichtiger Punkt: Als schwacher Fall von Asperger ziehe ich graphisch simple alte Browser und Mailer vor.)

3.4: Gebrauch verschlechtert

Selbst ohne finanziellen oder sonstigen Limiten trift das Problem alle Benutzer, welche von Upgrades notwendig für Updates eine Verschlechterung in ihrem Gebrauch bekommen. Oder falls keine vorhanden sind, von Ersatz mit neuem eine solche bekommen. Wie bei allen Windows Benutzern, welche nicht von Seven auf 8 oder 10 gingen, weil sie das alte Styling und/oder Verhalten bevorzugen, oder gar Seven weitaus besser finden. Wenn der Support für Seven (7) endet, wie für XP (5) und Vista (6) schon geschehen, werden Browser und Mailer Updates (welche neben Bugfixes auch neuere Kryptoalgorithmen liefern können) nicht mehr erscheinen. Es ist nur noch eine Zeitfrage bis HTTPS Websites (und auch TLS zu Outgoing Mailservern sowie POP3S/IMAP4S zu Mailboxservern) anfangen nicht mehr zu funktionieren unter Seven. Dann willkommen beim Zwangsupgrade auf 10, egal wie sehr man dieses nicht mag. Oder willkommen bei der Zwangsmigration zu Linux, egal was das kostet.

Selbiges alle welche ein altes Phone mit echter Tastatur behalten wollen, weil sie damit schneller schreiben. Oder die welche auf bestehendem Rechner alte Programme haben, welche sie weiter betreiben wollen, welche aber auf einem neueren System nicht mehr laufen, weil diese auf inkompatible Art erweitert worden sind. Diese Benutzer wollen behalten was im Gebrauch besser zu ihnen passt.

3.5: Retrocomputer vorgezogen

Dies beinhaltet auch alle Benutzer, welche Retrocomputer vorziehen, oder auch nur Retrosoftware auf neueren Rechnern. Nicht jeder erachtet das neueste und modernste als das beste. Echter Fortschritt besteht nicht darin stets das neueste zu benutzen, egal was es ist. Nur neues anbieten, was Benutzern mehr Auswahl gibt, aus der jeder das ihm am besten passende wählen kann, neues oder altes, ist echter Fortschritt.

Sei das weil alte Software ihre Benutzerinterfaces zu manchen Leuten besser passen. Entweder weil diese mehr Bildschirmplatz für Daten sehen frei lassen, oder schlicht weniger mit Interfacekrempel ablenken. Oder weil manche Leute das damalige charakteristische visuelle Styling und/oder die damaligen Fonts bevorzugen. Oder weil sie die einfachere Struktur mögen, mit weniger Featuritis oder gar Missfeatures, und ohne den Leistungsbedarf für Features.

Sei das weil sie keine Software mit auf Viren anfälligen Datenformaten welche Scripte beinhalten haben wollen. Was selbst für JavaScript in Webseiten gilt, welches manche Leute deshalb abschalten. Oder weil es zu oft für nervende Effekte missbraucht wird. Weil sie lieber sichere und stabile Basisfunktionen wollen, statt marketingwirksamer aber trügerischer Dekadenz. Oder gerade nach alte robuste zuverlässige Software gekannt haben, keine moderne brüchige Bugware voller Löcher benutzen wollen. Ebenso deren Autoupdates nicht haben wollen, welche notwendig sind wegen sovielen Bugs in moderner Software, aber das System selbst inmitte eines wichtigen Einsatzes blockieren können, selbst wenn bewusst mit "jetzt nicht" gestoppt. Oder wenn, nach endlich alle Update Ausschalter gefunden, die Software bei jedem Start sich beschwert über fehlende Updates, deren Schreiber die Benutzer behandeln wie ein Kindermädchen.

Wegen solchem hat nicht jeder eine "immer das neueste" Einstellung. Manche wollen explizit besser passendes altes benutzen. Sie akzeptieren dabei technisch gegebene Limiten, von langsameren Prozessoren und Netzwerken sowie kleineren Speichern und Disks sowie fehlende Features und keine Scripte. Sie erwarten dass daher manche featurereiche Web 2.0 Platformen versagen, aber auch dass einfache Websites inklusive Wikis funktionieren sollten.

Solches verbieten wäre analog zu das Strassenverkehrsamt alle Oldtimer Autos benutzen verbieten, oder das Bauamt alle Altbauten Häuser verbieten. Alle Leute so zu Neuwagen oder Neubauten zwingen, würde allen Benutzern den bevorzugten Charakter des Alten rauben. Noch analoger zur Situation hier wäre, wenn das Strassenbauamt von Elektroauto Extremisten unterwandert würde, es nach und nach alle Zufahrten zu Tankstellen abbauen würde, als Weg um Leute zum Umstieg auf elektrisch zu zwingen. Was aber alle Oldtimer unbenutzbar macht. Gefolgt von auf Beschwerden derer Benutzer mit "upgrade gefälligst" reagieren.

Solches machen, ohne öffentliche Diskussion oder Konsens davon oder Gesetz welches dies verlangt, würde zu massiven Protesten wegen Beamtenwillkür führen. Ähnliches altes benutzen wollen ist inzwischen ansteigender Trend bei den Retrocomputer und Retrosoftware Benutzern. Dies verbieten ist genauso Adminwillkür. Diese Benutzer lehnen das ab, wollen behalten was als Stil zu ihnen passt.

(Dies ist bei mir der wichtigste Punkt: Ich bevorzuge Retrosoftware wegen einfachen Benutzerinterfaces und robusten Design. Daher kommt diese Site auch bewusst mit einem Retro Webstyling und Logo daher.)

3.6: Lerncomputer nutzen

Dazu beinhaltet auch alle Benutzer, welche Neo-Retro Lerncomputer benutzen. Das sind Neuentwicklungen, auf Retrocomputer Prinzipien aufbauend, welche Benutzer erlauben Rechner im Inneren zu erleben und verstehen, weil sie einfach strukturiert sind und somit nachvollziehbar. (Originale Retrocomputer werden auch so genutzt, aber sind, wegen nicht mehr hergestellt, in Anzahl und Zugriff auf Sammler limitiert, sind nicht verfügbar für beliebige Studenten oder sonstige Arten von Lernenden.) Solche Geräte können auch am Netz laufen, mit Ethernet Adapter (oder RS232 an SLIP/PPP Router). Internet TCP/IP sowie Web HTTP und HTML (sowie Mail SMTP und POP3) sind genug einfach um auf solchen Rechnern zu implementieren (selbst auf 8bit, innerhalb der Limiten von deren kleinen Speichern und Prozessoren). Erst so kann man wirklich verstehen wie Rechner und das Internet funktionieren. Solches Verstehen kann den heutigen Trend abbremsen, der zu immer unnachvollziehbaren aufgeblähten Systemen geht. Sowie von nur solche kennen, zu immer ignoranteren Entwicklern, welche deswegen noch schlechtere Systeme erzeugen. Während dies machen bereits gesichert ist für die eigentlichen Rechner, gilt das nur für das Internet falls dieses weiterhin mitmacht, was erst beweist, dass diese einfachen Rechner vollwertig sind. Manche Leute wollen lernen wie alles funktioniert.

3.7: Schonen der Umwelt

Dies betrifft auch alle Benutzer, welche zuerst altes aufbrauchen wollen, wegen Umweltbelastung. Volles schonen der Umwelt besteht nicht nur aus weniger Energie verbrauchen und weniger Abgas erzeugen, sondern auch aus weniger Rohstoffe verbrauchen und weniger Abfall erzeugen.

Heute mögen Strom sparen und CO2 reduzieren die modischen Themen sein, aber manche Leute erachten trotzdem Abfall reduzieren als wichtiger. Dies betrifft gerade auch Elektroschrott, beinhaltend schwere Giftstoffe in manchen Bauelementen. Zudem fallen bei deren Herstellung massive Mengen von mit Schwermetallen vergiftetes Wasser an, welches mit energieintensiven Elektrofiltern gereinigt werden muss. Man beachte hier wie lange Solarzellen brauchen, bis sie mehr Strom erzeugt haben als ihre Herstellung kostete. (Anmerkung: Bonuspunkte gehen an "Umweltschützer", welche nur um Strom zu sparen giftlose Glühbirnen verbieten, um wechseln auf quecksilberhaltige CFL Lampen oder arsenhaltige LED Lampen zu erzwingen.)

Verbrauch an Rohstoffen ist sogar noch problematischer, weil manche davon am ausgehen sind und wenn weg nicht mehr wieder kommen! Weshalb manche Leute dies reduzieren wollen. Das gerade auch nach dem hochgradig fraglichen Verbot von bleihaltigem Lötzinn und dessen Ersatz durch silberhaltigem. Womit eines der am schnellsten ausgehenden und am schwierigsten ersetzbaren Rohstoffe noch mehr verbraucht wird. (Anmerkung: Bonuspunkte gehen an weitere "Umweltschützer", welche kritische Rohstoffe derart verschwenden, nur um grammweise von an Zinn gebundenes Blei in Elektronik zu sparen, trotz den kilogrammweise reines Blei in Autobatterien.)

Selbst wenn beliebiges neues benutzen akzeptabel ist für jemandem, selbst ohne jegliche finanziellen oder technischen Problemen, ist manchen die Umwelt wichtig. Daher will nicht jeder Rechner und Tablett und Phone alle paar Jahre wegwerfen und ersetzen. Nicht jeder glaubt an das Umsatz und Profit maximierende "alle 3 bis 6 Jahre neu" Denken, egal wie sehr die Umwelt dabei vergiftet und aufgebraucht wird. Manche wissen, dass selbst 10+ Jahre alte Geräte bestens funktionieren können. Selbst wenn das schneller alternde silberhaltige Lötzinn dies reduziert. (Anmerkung: Bonuspunkte an zweite "Umweltschützer", wenn man bedenkt dass mit schneller altern mehr elektronische Bauelemente verschrottet werden, in denen weit schlimmere Gifte sind als Blei.)

Daher wollen manche ihre Geräte bis zum Ende derer Lebensdauer voll ausnutzen. Manche wollen sogar explizit bei anderen weggeworfenes auflesen und aufzubrauchen, weil solches weiterverwenden das effektivste Recycling ist und somit auch das beste. Sollte es notwendig werden, dies auch mit zusammenlegen mehrerer kaputter Geräte zu einem funktionierenden Exemplar, oder gar ausschlachten von sehr kaputten um Ersatzteile zu bekommen um andere zu reparieren. Was alles Älteres benutzen ergibt. Diese Leute wollen die Umwelt schonen statt sie mehr zu belasten.

(Dies ist bei mir ein weiterer wichtiger Punkt: Ich nutze bewusst bei anderen weggeworfenes. Daher kommt diese Site auch bewusst in einfachem auch mit allem alten lesbaren HTML daher.)

3.8: Boykott von China

Dazu kommen all die Benutzer, welche kein neues Gerät kaufen wollen, weil solche heute oft in China hergestellt werden und vom Wunsch nach boykottieren des dortigen Systemes. Wer erkennt, dass Stalinismus eigentlich Faschismus minus Kapitalismus plus Kommunismus war, dann Maoismus Stalinismus minus Sozialismus plus Konfuzianismus war, nun heutiges China Maoismus wieder plus Kapitalismus ist, so sich von Faschismus nur noch unterscheidet in Konfuzianismus statt Nationalismus, will nicht bedenkenlos ein solches Regime finanzieren.

Gerade nachdem heutiges "billig ist bestes oder gar alles" Denken die meisten Alternativen beseitigt hat, ziehen manche Leute Neukauf verweigern und bestehendes weiter benutzen vor. Oder gar bei anderen weggeworfenes auflesen und verwenden. Selbst wer kein Problem mit dem Regime hat will möglicherweise, wegen Umweltbelastung, nicht Sachen um die halbe Welt transportieren. Oder sie wollen, auch ohne Umweltinteresse, schlicht lokale Arbeitsplätze fördern statt Importe. Beides davon selbst wenn es teurer ist, mit dafür Geld aufsparen, statt für unnötigen Ersatz ausgeben. Diese Leute wollen entweder aus Boykott oder Sparen Gründen unnötig kaufen wo möglich reduzieren.

3.9: Webarchivare Datenzugriff

Nicht nur Leute mit alten Rechnern trifft es. Selbst wer einen neuen hat kann betroffen werden, je nach was er damit macht! Schliesslich gibt es Benutzer, welche ihre besuchten Webpages automatisch aufzeichnen und archivieren, um diesen Teil der Kultur zu erhalten. Wir haben heute eine Informationsgesellschaft, aber diese wird in wenigen Jahrzehnten nicht mehr nachvollziehbar sein, weil viele Daten zumeist nach Gebrauch weggeworfen werden, "man kann sie ja immer wieder holen". Aber dies geht nur nur bis sie der Anbieter löscht, egal ob dies wegen Desinteresse ist, oder Profitmangel, oder nur durch nicht mehr existieren. Selbst archiviertes wird, nur zu oft, wegen Datenträger degeneriert unlesbar, oder nur später aus Platzmangel weggeworfen. Oder, trotz vorhanden, findet ein Suchender keine Kopie, welche bei jemand anderem vorhanden wäre. Der ganze Downloadable Content (DLC) Ansatz vom Web droht somit zum informationellen Schwarzen Loch zu werden, in Zukunft genauso blank wie das Dunkle Zeitalter der ersten Hälfte vom Mittelalter es wurde.

Nicht jeder hat eine solche Wegwerfhaltung gegenüber Daten, egal ob schon bestehende oder erst kommende. Diese wissen, dass nur möglichst viele verteilt gesammelte und aufbewahrte Kopien deren Fortbestand und Verfügbarkeit halbwegs sichern können und somit dieses Problem zumindest reduzieren. Solche Kopien gezielt anlegen durch ganze Websites herunterladen, belastet diese aber massiv, und ist bei deren Betreibern hochgradig unbeliebt, bis zu diese Leute aussperren welche dies machen. Solche Kopien nach und nach anlegen, aus nur alles was man ohnehin holt, ist daher eine bessere Methode, aber aufwendig. Dies kann man aber vereinfachen mit automatisch archivieren benutzen.

Zwangs-HTTPS sabotiert dies aber, weil browserexterne Webcache Programme, welche für dies nutzbar sind, angewiesen sind den Webverkehr zu protokollieren und abspeichern als HTTP Proxy. Was die Kryptographie in HTTPS als "Spionage" verhindert. Diese Archivare wollen ihre Vergangenheit erhalten und die kommende Zukunft weiter aufzeichnen.

(Dies ist bei mir ein weiterer wichtiger Punkt: Ich benutze ein Webarchiv seit Jahrzehnten. Gewisse mir wichtige Webpages kann ich nur dank meinem Archiv immer noch lessen. Daher kommt diese Site auch bewusst in einfachem archivierbarem und sicher lesbar bleibendem HTML 3.0 daher und ist ohne jegliches JavaScript, oder gar dynamische Pages. Ebenso als eine einzelne Datei, damit es selbst ohne Webcache einfach abgespeichert werden kann.)

3.10: Webcacher Datenzugriff

Nicht nur Benutzer trifft es. Selbst andere Arten von Admins werden betroffen! Manche Netzadmins wollen allen abgeforderten Webverkehr scannen, um identische Anfragen von mehreren Benutzern nur einmal zu holen, um Bandbreite zu sparen. Gerade virale Videos erzeugen Lastspitzen welche Netze ausbremsen und auch Server überlasten. Oder nur ineffiziente Datenformate umcodieren oder komprimieren. Gerade Web 2.0 Sites haben grosse Mengen an repetitiven Code drin. Zwangs-HTTPS sabotiert dies aber, weil dessen Kryptographie auch die dazu verwendeten HTTP Proxies verhindert als "Spionage". Resultat davon ist zunehmender Bandbreitenverbrauch. Diese Netzadmins (und ihre Benutzer) wollen langsameres Netz oder höhere Kosten vermeiden.

3.11: Webscanner Datenzugriff

Manche Netzadmins wollen allen ankommenden Webverkehr scannen, im Kampf gegen Virenangriffe und Rechnereinbrüche, sowie gegen mit solchen Techniken verteilte Spams und begangene DDoS Attacken. Dazu wollen sie den Webverkehr analysieren mit einer Methode namens "Deep Packet Inspection". Zwangs-HTTPS sabotiert dies aber, weil dessen Kryptographie auch die dazu verwendeten HTTP Proxies verhindert als "Spionage". Resultat davon ist eine Sicherheitsmassnahme (gegen Spionage), welche kollidiert mit anderen Sicherheitsmassnahmen (gegen Einbruch in und Missbrauch von Systemen für Spam und Angriffe). Diese Netzadmins (und ihre Benutzer) wollen Missbräuche verhindern.

4: Wieviele sind betroffen von dieser Situation?

Die Menge an Betroffenen ist weit mehr als man erwarten würde. Auf einer etwa 100 Personen erreichende Geek Mailliste war schon ein weiterer dabei, also 2% davon. Dies trotz dass Geeks eher häufiger ihre Systeme upgraden oder ersetzen! In einer Sportgruppe von nur etwa 10 Personen war ein weiterer, er musste sein Tablett ersetzen. Also sind es eher mehr Prozent. Wenn man sieht, dass Ende 2018 immer noch etwa 10% an HTTP Webverkehr waren, trotz Zwangs-HTTPS, sind noch mehr Prozent zu erwarten. Wenn man sieht dass selbst bei HTTPS Webverkehr, Mitte 2018 immer noch 6% der Browser kein TLS1.2 konnten, sind eher mehr anzunehmen. Meine momentane Schätzung ist, dass die davon betroffen am ehesten im Bereich von 3 bis 10% aller Web Benutzer liegen. Weshalb auch die restlichen 90 bis 97% nichts davon bemerken, alles so sehr im Verborgenen bleibt!

Viele merken erst recht nicht, dass die Summe aller Betroffenen sich zu einem grossen Problem aufaddiert, wehren sich nicht. Obige 3 bis 10% (Mitte 6%) von irgendwo 300 bis 1000 Millionen Internet Benutzern (Mitte 600) sind immerhin 0.06*600=36 Millionen, also sind mit selbiger Streuung etwa 15 bis 50 Millionen Betroffene zu erwarten! (Selbst mit nur 1 bis 3% (Mitte 2%) angenommen, wären das noch 0.02*600=12 Millionen, mit Streuung 6 bis 18 Millionen.)

Schlimmer, dies ist selbst nach 20 Jahren HTTPS benutzen der Fall. Das wegen dem schnellen Zerfall der Kryptographie, mit beobachteter Algorithmen Lebenszeit von nur etwa 5 bis 10 Jahren, und komplett mangelhafter Rückwärzkompatibilität, aber mit selbst 10+ Jahre alte Geräte noch im Einsatz bleibend. Es wird, wegen diesem Widerspruch, wohl konstant bei den 3 bis 10% bleiben! Gesellschaftlich wichtige Infrastruktur kann nicht auf etwas so brüchigem aufgebaut werden, darf solches nicht voraussetzen.

Das Problem wird weiter unterschätzt wegen sehr irreführenden nichtssagenden Fehlermeldungen. Wie nur "Netzwerkfehler" oder "Protokollfehler" oder "Verbindungsaufbau fehlgeschlagen", welche keinen Hinweis beinhalten auf Kryptographie als Ursache. Oder allenfalls "Es konnte keine sichere Verbindung aufgebaut werden", oder bestenfalls "Kein gemeinsamer Algorithmus", welche zumindest auf Krypto hinweisen, aber nicht mitteilen dass all dieses nur wegen zerfallenden Algorithmen entsteht. All das oft nur mit einem "OK" Knopf vorhanden, trotz dass dies gar nicht OK ist, mit weder "Unsichere Verbindung benutzen" noch neutraleres "Abbrechen" angeboten. Das gefolgt von gar keine Page bekommen.

(Anmerkung: Kommt eine Page, welche falsch dargestellt wird, oder mit Fehlermeldungen, oder Userinterface versagt, ist dies kein Fall vom HTTPS Problem, sondern nur dass zu neues Datenformat nicht verstanden wird. Gerade auch bei Einsatz von JavaScript, ohne Fallback auf einfaches HTML, für Benutzer welche JavaScript blockieren, um Missbrauch davon zu eliminieren.)

Solches genug oft auftreten resultiert in einer "ach geht nicht mehr, Rechner/Tablett/Phone ist wohl zu alt und aufgebraucht" Haltung. Mit es dann wegwerfen, weil eine "man kann nichts anderes tun" Situation vorliegt. Das Resultat, je nach Umstände, ist ersetzen oder auch verzichten, aber sicher ein Verlust. Bonuspunkte, wenn manche Leute dadurch Zugriff auf Websites mit ihnen wichtigen Daten verloren haben, oder gar ihre eigene Website weiter editieren verloren, ersetzen mussten um dies zu verhindern. Egal was Ersatz kostete an verzichten auf anderem gewolltem besorgen. Egal ob sie gar nicht ersetzen konnten und so bleibend verloren.

Nur wenige Betroffene bemerken, dass sie Opfer von einer absichtlichen Aussperrung wurden und einer hinterrücks unterschobenen Enteignung. Hier ist grosses Entsetzen und Proteste zu erwarten, sobald das alles bekannt wird, wenn Leute merken, dass ihre Verluste nicht technisch unvermeidlich waren, sondern nur politisch motiviert ihnen zugefügt wurden.

Ansgesichts dass die "grosse Gefahr" zumeist irrelevant ist, ist solcher Rauswurf von so vielen Millionen aus dem Web total unangebracht. Jeder sollte frei über seine Situation entscheiden dürfen, wie es am besten zu ihm passt. Jeder sollte seine eigene Einschätzung vornehmen dürfen. Sowohl der Gefährdung und dem Gebrauch von HTTPS dagegen, wie auch der Verluste und den Kosten davon. Egal ob an Geräte erhalten, oder Finanzlimiten einhalten, oder Ausrüstung benutzen, oder Features behalten, oder passende Software benutzen, oder Lernchancen erhalten, oder Umwelt schonen, oder Kauf entscheiden, oder Web archivieren, oder Bandbreite sparen, oder Webverkehr scannen.

Dies gefolgt von ihre Entscheidungen und Prioritäten auch ausleben können, inklusive eine "diese Gefahr ist mir irrelevant" Einstellung haben dürfen. Mit dann das benutzen was zu ihnen passt. Keiner darf seine Ansicht anderen aufzwingen, denn das ist Bevormundung. Keiner darf andere ausschliessen, nur weil diese eine ihm wichtige "grosse Gefahr" gering einschätzen. Deswegen wurde diese Kampagne ins Leben gerufen, um diese im Verborgenen begangenen Untaten bekannt zu machen, Leute aufzubringen gegen den erzwungene Kryptographie.

5: Wer erzeugt diese Situation?

Nach der obigen Situation erkennen, mit all seinen Folgen, fragt man sich bald, wer die Webadmins hinter Zwangs-HTTPS denn eigentlich sind und wichtiger was sie antreibt.

5.1: Staatsangst

Wenn man solche Webadmins kritisiert, wie ich seit Anfangs 2017 wiederholt gemacht habe, bekommt man schnell bei vielen von ihnen die Aussage, dass sie HTTP als eine "grosse Gefahr" anschauen, weil es offen ist. Sie wissen, dass der Staat angesurfte Websites aufzeichnet. Dies ist aufmerksamen Insidern schon seit Jahrzehnten bekannt, aber vielen anderen erst seit Snowden in 2013. Dies wird gemacht in einem Versuch, Rückschlüsse aus Surfmustern zu ziehen und damit Terroristen und sonstige Verbrecher zu finden. Das um wenn möglich verdächtige Personen vor einer Tat begehen aufzudecken, oder zumeist erst nach einer Tat um daran beteiligte zu ermitteln.

Aber solche Admins haben einen Irrglauben entwickelt, wonach der Staat damit das ganze Volk unterlaufen und angreifen will. Sie haben panische Angst vor dieser Webaufzeichnung entwickelt. Diese "grosse Gefahr" ist real verschwindend klein für 99% aller normalen Leute. Der Staat hat nur limitierte Resourcen an Finanzen und Personal und richtet diese daher grossteils auf Verbrecher verfolgen. Sie bekommen von aufzeichnen lediglich Milliarden angesurfte URLs, was in einer riesigen Datenhalde resultiert. Sie können daher nur die Aufzeichnungen nach Mustern filtern, welche ein Verbrechen nahelegen könnten, weil alle durchlesen schlicht unmöglich ist.

(Anmerkung: Hintergrund für diejenigen, welche fragen wie solche Filter funktionieren: Möglicherweise relevante Daten sind begraben unter einem grossen Vielfachen an irrelevanten. Das ist nicht mehr Nadel im Heuhaufen suchen, was mit einem Magneten einfach machbar ist, sondern eher Nadeln mit spezifischen Rostfleck Mustern suchen in einem Haufen anderer Nadeln mit andern Mustern! Deswegen werden viele Tests auf diverse vielleicht relevante Muster benutzt, sowohl Wortkombinationen und Satzstrukturen der Daten, wie auch Zeitpunkt und Sender/Empfänger, aber auch Bezüge zu anderen Daten. Alle Tests mit einem "0..100% zutreffend" Resultat, was als "Scoring" bekannt ist. Von all diesen Tests kann jeder einzelne auch auf irrelevante Muster triggern, wie eine Suche nach beschreiben von geplantem Anschlag auch auf Reportagen zu einem begangenen Anschlag triggern. Prinzip ist, dass relevante Daten mehr Tests als positiv triggern werden und/oder diese stärker, als nur zufällig ähnliche aber irrelevante Daten. Dazu werden Durchschnittswerte und Spitzenwerte aller Tests verglichen. Dann werden ein gewisser Prozentsatz an Spitzenresultate an das Personal ausgegeben, welches sie beurteilt. Die Filtertechniken sind vergleichbar mit denen in Spamfiltern. Nur sind durchgelassene Spams bloss nervend und fälschlich gelöschte Nicht-Spams zumeist keine Katastrope. Während hier unerkannte Anschläge Leben kosten und fälschlich ausgegebene Nicht-Anschläge überlasten das Personal und verhindern so allenfalls echte Anschläge zu entdecken. Um die Filter zu verbessern werden die besten Sprachanalyse Forscher direkt von den Unis angeworben.)

Trotzdem scheitern oft sie an Verbrechen im Voraus zu entdecken, aber nachdem ein Verbrechen geschehen ist, können sie nach Spuren davon in den aufgezeichneten Daten. Zumeist werden Daten nur gesammelt für späteren Gebrauch. Siehe jeden nicht verhinderten Anschläge, aber nur Stunden danach sind die Täter ermittelt, was kein Kommissar je abklären könnte. Also waren diese Tat und die Täter bereits als Spuren in den Daten zu finden, aber sie wurden davor nicht herausgefiltert, einfach weil dies schwierig ist. Erst mit Wissen um die Tat wurden die Verbindungen erkennbar.

Keiner muss je mit negativen Folgen von dieser Aufzeichnung rechnen, ausser er ist massiv herausstechend. Normale Leute welche normale Sites surfen brauchen schlicht nichts zu verstecken, weil sie ohnehin ausgefiltert werden vom Scoring, im Staat seinen eigenem Interesse von Personal nicht mit irrelevanten Daten geflutet werden! Schwere Verbrechen begehen sticht am stärksten heraus, aber das wird anzunehmend ohnehin Folgen haben. Normale über 90% aller Leute kommen schon gar nicht erst in diese Situation, also sind sie in keiner Gefahr. Das weil alle Sorten Gesetzesbrüche ausgefiltert werden, welche auch nur von 10% aller Leute begangen werden, während von 1% begehen eher noch erkannt werden, die sichere Grenze ist wahrscheinlich um 3%.

Solche Überwachung ist seitens vieler gewollt, genau weil sie sich mit dieser sicherer fühlen, egal ob Kameras aufzeichnen oder Netz filtern. Gesetze und Budgets werden dafür erlassen, weil diese bei der Mehrheit vom Volk erwünscht sind. Das trotz dass Behörden schon längst in zuvielen Daten ertrinken und seit Jahren schon nicht noch mehr haben wollen! Aber Politiker erlassen immer mehr solche Gesetze, genau weil diese sich im Kampf um Wahlstimmen gut verkaufen.

Aber solche Webadmins erachten sich (und alle anderen Leute!) als von dieser Überwachung "massiv gefährdet". Deshalb wollen sie HTTP ausrotten als "grosse Gefahr". Sie erachten HTTPS als einzige Rettung vor dieser "Gefahr", weil es abgeschottet ist. Womit sie aber eigentlich implizieren, dass sie (und alle anderen!) extrem fragliche Websites absurfen, welche bei Verdächtige herausfiltern aufgedeckt würden, und daher sich verstecken wollen. Lediglich ein grosser Anteil sich so benehmender Admins widerlegt diesen naheliegenden Schluss als statistisch unrealistisch. Dies ist eher ein Fall von weit verbreitetem massiven Realitätsverlust. Er kommt von ihnen sich gegenseitig Ängste einreden, sich überbietend mit den neuesten Schreckvorstellungen berichten, inzwischen über Jahre laufend, damit sich aufwiegelnd, bis zur heutigen Entgleisung.

Man vergleiche diesen Effekt mit der früher weit verbreiteten massiven Angst vor Flugzeugabstürzen. Diese sind (und waren) real weniger gefährlich als die Anreise per Auto zum Flughafen. Man musste dazu nur die Tausenden Flugtoten pro Jahr mit den Millionen Stassenverkehrtoten pro Jahr vergleichen, um die Differenz zu sehen. Eine Statistik, welche selbst bei weniger Leute fliegend als fahrend immer noch letzteres weniger gefährlich machte. Aber spektakuläre Berichterstattung von Abstürzen resultierte in eine eigentlich kleine Gefahr massiv überbewerten, wegen der auftretenden einseitigen Überinformation (alle Abstürze berichtet, aber nur ein verschwindend geringer Anteil Stassenunfälle), was eine unrealistische Wahrnehmung als grössere Bedrohung erzeugte. Es ging mehrere Jahrzehnte bis eine realistischere Wahrnehmung sich durchsetzte. Selbige Überreaktion wiederholte sich beim Terrorismus. Wieder nur Tausende Tote pro Jahr, aber mit genausoviel Spektakel berichtet. Auch hier, nach anfangs riesiger Panik, kam erst nach über einem Jahrzehnt eine realistischere Ansicht auf.

Selbiges gilt nun bei Überwachung angeblich eine "grosse Gefahr" sein. Trotz dass nicht mal irgendwelche Toten vorhanden sind, so kein Spektakel davon! Hier wirkt, soweit beobachtet, statt externer Berichterstattung eine interne Gruppendynamik. Diese von einem extremistischen Teil der amerikanischen Bürgerrechtsbewegung herkommend. Diese Bewegung erachtet sich aus Prinzip als potentiell vom Staat verfolgt werdend. Sie wollen sich darauf vorbeiten, auf falls oder wann der Staat in eine Diktatur umkippt. Bei der extremistischen Fraktion geht dies bis zu glauben, dass der Staat schon heute alle verfolgt. Sie wollen ihn deswegen abwehren und bekämpfen. Dieser Teil ist selbst innerhalb der Bewegung als "lunatic fringe" bekannt (was übersetzt etwa "wahnsinnige Randgruppe" bedeutet).

Je mehr manche Webadmins von solchen Vorstellungen unterwandert wurden, umso mehr haben sie sich gegenseitig beschwatzt und so ihre Ängste bestätigt. Der Social Media Echokammer Effekt am wirken. Danach schauten immer mehr von ihnen nach Anzeichen einer Gefahr aus, haben sich so noch weiter hinaufgesteigert. Der Social Media Filterblase Effekt am wirken. Zudem haben sie andere angesteckt, wonach immer mehr umkippten und andere weitere ansteckten. Womit gleich mehrere Feedbackschleifen wirkten, in Tiefe und Breite, diese Angst als ein virales Meme vertiefend und verbreiternd, exponentiell sich in einer Angstspirale hochtreibend, eine ganze Angstsubkultur erzeugend. Resultat ist eine massiv verzerrte Wahrnehmung einer Mikrogefahr, gefolgt von komplettem Realitätsverlust, bis hin zu Verfolgungswahn entwickeln.

Das ist die Erkenntnis aus mehrere Jahre mit einigen solchen Webadmins diskutieren und beobachten wie sie untereinander argumentieren. Dies beinhaltet ihre wiederholten Beteuerungen hören, dass sie nicht wahnsinnig seien, nur "im richtigen Masse Paranoid". Was sie als etwas gutes ausgeben, es etwa mit der selbigen Wertung anschauen wie "vorsichtig sein". Bitte ignorieren, dass Paranoia schlicht das lateinische Wort für Verfolgungswahn ist. Ebenso ignorieren, dass ihr "richtiges Mass" daneben liegt in schädlichem Mass.

5.2: Überreaktion

Solche Webadmins überreagieren nun total, aus Angst vor dieser "grossen Gefahr". Dies ist vielleicht analog zu einem Immunsystem überreagierend in einer sehr sauberen Umgebung, welches zu Allergien führt. Nur hier vergleichbar, Angst überreagierend in einer sehr sicheren Umgebung, welches zu Psychose führt. Aus dieser behandeln sie diese "grosse Gefahr" als eine katastrophale Bedrohung, welche unbedingt verhindert werden muss, egal was die Folgen davon sind. Sie wollen daher Kryptographie, um sicher zu sein (während real sie ihre Ängste in den Griff zu bekommen wollen).

Wenn das nur ihren eigenen Surfverkehr betreffen würde, wäre es kein Problem. Wenn sie ihre persönlichen Sites mit Zwangs-HTTPS betreiben würden wäre das nur geringes Problem, weil nur ihre Sorte Leute als Leser betreffend. Es soll jeder mit dem leben womit er glücklich wird, jeder sollte sein Leben so gestalten können wie er will. Selbst wenn das davonschleichen und sich verstecken aus leerer Angst ist. Hier sollte der alte Spruch von "leben und leben lassen" gelten.

Inzwischen aber erzwingen und propagieren sie Zwangs-HTTPS auch auf Sites, welche von Leuten benutzt werden, welche nicht Teil ihres Kreises sind. Dies wird zum Problem, weil diese anderen Leute ausgeschlossen werden, falls sie kein HTTPS haben, oder auch nur eine zu alte Version haben, aus welchem Grund immer. Das ergibt einen Fall von einer Sicherheitsmassnahme welche weit mehr Kollateralschaden erzeugt als sie verhindert, weil sie einen totalen Verlust erzeugt, trotz für die meisten Leute nur eine unbedeutend kleine Gefahr verhindern.

Was kontraproduktiv ist, wie so viele andere Sicherheitsmassnahmen in der letzten Zeit. Zu oft wird nur der anvisierte Nutzen gesehen, die Kosten jeglicher Nebenwirkungen werden ignoriert oder zumindest unterbewertet. Das wohl weil Massnahmen welche unterlassen wurden die Zuständigen mit Vorwürfen oder gar Strafen treffen, aber Kollateralschaden trifft "nur" andere, und kann einfach als "notwendig" ausgegeben werden mit der Universalausrede von Sicherheit. Dabei ist es sogar irrelevant ob die Massnahmen überhaupt wirken, solange nur die welche sonst Vorwürfe machen würden daran glauben. Was alles keine neue Erkenntnis ist, sondern wiederholte Beobachtung bei den vielen Sicherheitspaniken der letzten Jahrzehnte.

Leute welche solche Massnahmen treffen, sollten daher vorsichtig vorgehen und aufmerksam aufpassen auf allfällige Probleme die sie erzeugen könnten. Solches Vorgehen wurde hier komplett versagt, die Verantwortlichen nicht erkenned, dass manche Leute diese "Sicherheit" nicht haben wollen, weil sie weiter HTTP benutzen vorziehen. Wozu es aber offen bleiben muss. Jeder sollte mit dem leben können womit er glücklich ist, manche versteckt, manche offen. Auch hier gilt "leben und leben lassen", auf beiden Seiten. Aber dies wird nicht mehr zugelassen von den Zwangs-HTTPS benutzenden Webadmins, ihre "wichtige" Massnahme wird allen aufgezwungen.

Solche Webadmins könnten anfangs noch aus dem Verlangen Leute zu beschützen gehandelt haben, aber mit Ignoranz der Folgen. Wobei solche Folgen mit ausreichend Vorsicht verhindert hätten werden können. Aber panische Angst erzeugt ein Gefühl von angegriffen sein. Dieses reduziert vom intelligenten aber langsamen Grosshirn auf das schneller reagierende aber beschr¨nkte Reptilienhirn, was als Regression bekannt ist. Das verhindert höheres Denken und somit auch Empathie, vernichtet Respekt vor anderen und jegliche erst davon kommende Vorsicht. Was auch bekannt ist als "Angst essen die Seele auf". Dies sieht man auch bei jedem Fall von Diskrimination, wo Angst vor einer spezifischen Gruppe Leute zu "abwehrendem" Verhalten führt, welches andere "ähnliche" aber unbeteiligte Leute schadet, und diesen Fehler erkennen genauso verhindert.

Aber solches Unwissen endete als Erklärung, spätestens als sie von den Opfern kritisiert worden sind, womit der Schaden ihnen bekannt wurde. Sie hätten darauf mit Problem einsehen reagieren müssen und wieder HTTP aufmachen. Spätestens nach auf dieses Problem mehrmals hingewiesen werden, womit von etwas Neuem erschreckt sein nicht mehr ihre Einsicht limitiert. Weil dies aber nicht gemacht wurde, wird ihr "Leute beschützen" Grund zur faulen Ausrede und nicht mehr brauchbar. Weil "Schutz" der mehr schadet als schützt ist kein solcher, und ist abzulehnen. Auch hier gilt "leben und leben lassen", für beide Seiten.

Solche Webadmins haben trotzdem dessen weiter gemacht. Aus dem Irrglauben, dass dies eine "grosse Gefahr" ist, mit der Behauptung dass dies ihren Zwang "rechtfertigt". Selbst nachdem ihnen bekannt war, dass sie andere Leute aus dem Web verbannen. Selbst nachdem was hier passiert ihnen erklärt wurde und warum das unvermeidbar so ist. Selbst nachdem sie konfrontiert wurden, dass ihre "grosse Gefahr" in real nur unbedeutende Mikrogefahr ist. Sie reagierten auf Kritik ihres Verhaltens und Schadens mit totaler Ablehnung.

5.3: Besserwisser

Aus ihren Argumenten wurde auch bald sichtbar, dass sie es "besser wissen". Schliesslich haben sie als Insider und Profis alles was sie sehen beurteilt. Sie haben davon die einzig wahre Lösung gefunden, alles andere "muss" daher "falsch" sein, und ist abzulehnen. Sie haben diese Einstellung, trotz nur eine relativ einheitliche spezifische Berufsgruppe sein, und als solche weitgehend ignorant aller anderen 7 Milliarden Leute mit weit diverseren Lebensumständen, nach denen andere Prioritäten besser sein können. Zumal sie von ihrer "besser wissen" Einstellung jegliche Aufmerksamkeit fallen lassen und so nicht zu mehr Wissen kommen. Solche Admins glauben trotzdem, dass sie alles besser wissen als die ganze restliche Welt, weil sie schliesslich Insider und Profis sind. Real wissen sie nicht mal wie wenig sie wissen.

(Anmerkung: Weshalb die Demokratie als ihre wichtigsten Elemente, zusammen mit Meinungsfreiheit und Publikationsfreiheit, auch Repräsentation für alle beinhaltet. Genau um solches diktatorisches Verhalten zu verhindern, durch ein Staat erzeugen, in welchem alle sowohl von einem ihnen passenden Leben wissen können, wie auch dieses anstreben dürfen. Das ist seit Jahrhunderten der Fall, weil dies keine neuen Erkenntnisse sind.)

Seit sie glauben, dass sie aus der "Gefahr" erkennen die totale Wahrheit erlangt haben, wissen sie alles erst recht besser. Ihre "richtige" Ansicht muss daher zwingend durchgesetzt werden. Das gerade auch gegen diejenigen "uneinsichtigen" Benutzer, welche sich "gefährden" mit HTTP benutzen. Das weil diese "Uneinsichtigen" Benutzer, mit so etwas wichtiges wie Sicherheit kritisieren, klar demonstriert haben, dass sie "offensichtlich" dumm oder wahnsinnig sind, nicht ernst zu nehmen sind. Sie sind somit zu bevormunden von den Besserwissenden, zu ihrer eigenen Sicherheit. Nur wer diese Parteilinie als wahr erkennt, und sie befolgt, wird respektiert. Real alles typisches Verhalten welches zu Verfolgungswahn passt, welches zusammen mit Besserwisserei zu Fanatismus geworden ist.

Beitragend dazu wirkt, dass viele Admins Jahrzehnte von "dümmster Benutzer an der Hotline" Geschichten lesen und herumreichen hinter sich haben. Manche von ihnen erkennen diese nicht als die 5% unteren Benutzer, und schauen sie als repräsentativ an, die 90% mittleren und 5% oberen ignorierend. Sie schauen daher sich als "besser" an als die ganzen "dummen Benutzer". Solche Ansichten sind gar nicht selten. Zumal Benutzer zumeist weniger technisches Spezialwissen haben, welches im Effekt mit dumm sein verwechselt werden kann, gerade auch wenn man unaufmerksam ist. Von glauben, dass "dumme Benutzer" der Normalfall sind, zu an "dummes Volk" als Quelle dieser "Dummheit" kommen, und daher "müssen" die "Besseren" die Benutzer bevormunden, ist es nur noch ein kleiner Rutsch die schiefe Ebene hinab.

Manche Admins benutzen sogar den Schaden kennen als Drohung, statt für Einsicht, um ihre "upgrade gefälligst" Forderung durchzudrücken. Ein Extremist ging sogar bis zu Erpressung. Er verweigerte explizit einem betroffenen Benutzer den Zugang zu Information auf seinem Kommunikationsdienst, zu wo dem Benutzer sein Kollegenkreis sich neu trifft. Trotz dass dieser dadurch Kontakt zu seinen Kollegen verliert (und diese auch Kontakt zu ihm verlieren)!

Dies ist somit nicht mehr ein Fall von Ignoranz. Es wird weitergeführt mit vollem Wissen der Folgen. Es ist eine reine Rücksichtslosigkeit, aus ihrer ideologischen Verblendung heraus. Sie meinen alle mit Kryptographie zwangsbeglücken zu müssen. Egal ob es diesen Glück bringt, oder sie an der entstehenden Ausgrenzung untergehen! All das ohne jegliche Legitimation ihres Vorgehens, oder auch nur öffentliche Diskussion dazu, geschweige denn einen Konsens davon. Dies wird einfach von ihnen diktiert, eigenwillig und eigenmächtig, scheiss auf andere ihre Meinungen. Das Verhalten von Fanatiker, welche zu Diktatoren wurden. Mit diesem Verhalten sind sie zu Feinden der freien Gesellschaft geworden.

Womit sie zu vergleichbaren Sorten von Beamten ähnlich geworden sind, nur (zumeist) privat statt staatlich bezahlt, aber ansonsten die gleiche Personensorte, das selbiges Verhalten. Absolute Macht korrumpiert absolut. Sie sind sogar schlimmer als die meisten heutigen Beamten, wegen weniger öffentlichen Einfluss von aussen auf sie, welche ihre Macht limitiert. Sie sind eher vergleichbar mit königlichen Beamten vor 100 bis 300 Jahren. Beide haben den Irrglauben, dass sie als Insider alles besser wissen als die ganze restliche Welt, daher dieser diktieren dürfen. Dies trotz real als einseitige ignorant sein. Das ist reiner Standesdünkel dieser "Besseren", trotz dass beide eigentlich weit weniger wissen als alle anderen Leute zusammen, aber sie haben eine Machtposition und nutzen sie aus.

5.4: Gegenreaktion

Wie bereits ausgesagt sind dies nicht nur einzelne Websites die von Zwangs-HTTPS befallen sind. Inzwischen sind es über 90%, eine grosse Mehrheit davon! In 2015 gab es nur die Frustration von nicht auf Wikipedia zugreifen können. In 2016 war es nur leicht mehr. Aber ab 2017 wurden es immer mehr Websites, bestehende benutzte welche nach und nach verloren gingen, auch ein zunemender Anteil an Suchresultaten die unbenutzbar gemacht wurden, mit mehr Frustration. In 2018 wurde es zu dominant, weit über die Hälfte aller Sites geht nicht mehr, mit immer mehr Frustration davon. In 2019 wurden es über 90%, was massive Frustration erzeugt hat. In 2020 wurde es unbenutzbar.

In 2017 und 2018 gaben über 90% der angesprochenen Admins obige Reaktionen auf meinen Anfragen und Kritiken! Unter 10% reagierten mit einsehen und erlaubten HTTP benutzen wieder. Der grosse Prozentsatz sich so benehmender Admins widerlegt ebenfalls den naheliegenden Schluss, dass alle an Verfolgungswahn leiden, als statistisch unrealistisch. Für diesen gültig sein, müsste das Problem sich seuchenartig verbreitet haben. Ein gewisser Anteil Admins dürfte nur gedankenlos einer "Das macht man heute so" Lehre gefolgt sein, von obigen propagiert und von manchen Fachauthoritäten kritiklos verbreitet.

(Anmerkung: Man beachte hier, dass wegen dem schnellen Wachstum der Computerei, die Mehrheit der Fachleute unter 5 Jahren an Berufserfahrung haben. Die weniger erfahrenen sehen jeden mit nur wenig mehr als Authorität an. Selbst die Fachpresse zeigt seit Jahrzehnten konsistent weit mehr Interesse an aufzeigen was neu verfügbar ist und wie man davon Gebrauch macht (inklusive was für neue Gefahren aufgekommen sind und Massnahmen wie man sie abwehrt), als an Fehlentwicklungen hinterfragen und kritisieren (inklusive die Menge an Gefahr hinterfragen und unangebrachte Massnahmen kritisieren). Was alles solche Verbreitung begünstigt.)

Die obigen 90% könnten somit ein statistischer Ausreisser sein. Meine momentane Schätzung geht von sicher über 10% aber unter 90% an Wahnsinnigen aus, mit dem Resten nur Gedankenlose. Unbestimmbar welche Sorte unter oder über 50% sind. (Dies zumal eine grosse Mehrheit der von mir Angesprochenen entweder Mitglieder von, oder zumindest Umgebung von, einem Verein namens CCC sind, der scheints der grösste Verbreitungsvektor der Panik im deutschsprachlichen Raum ist.)

Aber egal welche Sorte dominiert, ist der Verlust von über 90% Websites definitiv. Als Folge vom Schaden, aufsummierend von immer mehr Verlust, wehren wir Opfer uns jetzt gegen dieses falsche Verhalten von Webadmins. Wir verlangen von allen Admins, dass sie Verantwortung passend zu einer Machtposition wahrnehmen sollen. Als Teil davon sollten sie andere ihre Freiheit respektieren, und alle Benutzer entscheiden lassen was sie wollen und brauchen. Dazu gehört auch akzeptieren, dass andere ihre eigenen Meinungen haben und diese auch ausleben dürfen. Das selbst wenn sie selber diese nicht teilen. Auch hier ist "leben und leben lassen" zu befolgen.

Sie sollen daher weiterhin (oder inzwischen eher wieder) HTTP anbieten, damit das Web für alle nutzbar bleibt (oder eher wieder wird). Das sollte in einer freien Gesellschaft eigentlich selbstverständlich sein. Jeder darf was er will, solange er nicht andere hindert zu machen was sie wollen. Die Mehrheit aller befragten Webadmins sind aber zu Fanatiker geworden und versagen das zu akzeptieren. Es ist ihnen daher auch akzeptabel, anderen ihre Meinung aufzuzwingen von einer technischen Machtposition aus. Ebenso solches Verhalten an andere Admins zu propagieren. Sie weisen auch jegliche Kritik ab, weil sie "besser wissen". Dies verhinderte auch durch sie wenigstens die Gedankenlosen mit Kritik zu erreichen. Dieses Problem kann daher jetzt nur noch mit externem sozialen Druck anwenden gelöst werden. Dies machen ist das Ziel dieser Kampagne. Es soll die im Verborgenen begangenen Untaten aufzeigen, damit öffentlichen Druck aufbauend, um diese zu korrigieren.

5.5: Mailadmins

Obiges ist die Situation mit Zwangs-HTTPS im Web. Nun fängt selbiges Problem an auch Mail zu treffen, mit Zwangs-TLS. Dafür dass es hier genauso degenerieren kann, braucht man nicht mal Spekulation. Es gibt bereits einen historischen Fall. Von 2000 bis 2005 verbreitete sich unter Mailadmins eine Antispam Filtermethode namens DUL, bis zu ebenfalls über 90% aller Mailserver davon betroffen sein, und ebenso mit über 90% aller angesprochenen Admins jegliche Kritik ablehnend.

DUL basiert auf der Beobachtung, dass die meisten legitimen Mails indirekt durch einem Outgoing Mailserver mit statischer IP Adresse versandt werden (weil Microsoft ihre weit verbreiteten Mailer kein direkt versenden beherrschen und viele andere dies kopierten), aber viele Spams werden direkt vom PCs versandt deren dynamische IP Adresse nutzend (weil viele Spamware die Outgoing Mailserver benutzen meidet). Dies ist somit nur statistische Korrelation, nicht ein ursächlicher Zusammenhang!

Aber beim DUL Filter wird "dynamische IP Adresse = Spam" fest angenommen, mit dem Resultat, dass alle direkt versandten Mails als Spam bewertet und abgelehnt werden. Das oft ohne auch nur deren Inhalt zu übertragen und auf reale Spammigkeit zu testen, mit DUL als einziges Testkriterium, trotz dass es vom Design her fehlerhaft ist. Während mit Inhaltsbasierten Filtern manche legitime Mails vielleicht verloren gehen, is hier bei direkt versandten Mails systematischer Verlust garantiert! Dabei wird Kommunikation nicht nur gestört, sondern komplett verhindert, sowohl den Absender wie auch den Empfänger treffend.

Solche Verluste sind als "False Positives" bekannt. Sie treten unvermeidbar bei jeglichen Techniken auf, welche statt auf Mailinhalt bewerten, auf Netzwerk Nebeneffekte wie IP Adresse oder Hostnamen basieren, welche als "Metadaten" bekannt sind. Sie sind daher zu vermeiden, zumindest wenn man seine Benutzer ihre Kommunikation respektiert.

Aber jeder Beruf hat eine schlechteste Gruppe. In der ganzen Computerei sind dies die Mailadmins. Bestenfalls sind die Mehrheit DUL Admins so inkompetent, dass sie nicht mal erkennen wie sie False Positives erzeugen, schlimmstenfalls ist es ihnen schlicht egal. Diese Erkenntnis ebenfalls aus einigen Jahren an Diskussionen mit einigen von ihnen. Sie waren dies konsistent über 15(!) Jahre, von 2000 bis 2015, wo DUL endlich beseitigt wurde. Genau ab 2015 übernahmen die zwangs-HTTPS Webadmins diesen untersten Rang.

Dies bereitet allen welche ihre Mails direkt versenden, ohne Umweg über einen Outgoing Mailserver, nervenden Aufwand um es zu umgehen. Manche wollen direkt versenden benutzen, weil es der bessere Ansatz ist, er viel Aufwand und Probleme einspart: Das ganze System der Outgoing Server, mit Ausfällen und Missbrauch von solchen, SMTP Auth Accounts mit Passwörtern um Missbrauch zu verhindern, gefolgt von TLS um diese abzusichern. (Was alles erst überhaupt notwendig wurde wegen Microsofts mangelhaften Mailern, wo Fehlen von Direktversand mit diesem massiven technischen und administrativen Aufwand nachgeflickt werden muss.)

Bonuspunkte, dass DUL eine Variation der DNSBL Technik ist. Diese Technik, in der ursprünglichen MAPS Version, listete nur die statischen IP Adressen von Mailservern bekannter Spammer auf und blockierte so Mails von diesen. Spammer antworteten mit offene Relays missbrauchen. Das waren fehlkonfigurierte Mailserver, welche jeder als Outgoing nutzen konnte, ohne Authentizierung, was auch Spammern erlaubte diese zu missbrauchen. Mailadmins reagierten mit ORBS, MAPS erweitert auf offene Relays. Ziel von ORBS war deren Admins unter Druck zu setzen, richtig zu konfigurieren, mit blockieren von Mail von all ihren Benutzern als Kollateralschaden. Dies ist strikte eine Form von Nötigung, und damit kriminell. Nach rekonfigurieren wurden sie aus der Liste entfernt. Nur brauchte das weit länger als auf der Liste gesetzt werden durch irgendeinen Aktivisten versessen auf Rache an "Spammer ihre Helfer". Dies selbst wenn gar keine Fehlkonfiguration vorhanden war! Ein Kollege bei einem Internet Provider musste seinen Mailserver durch einen Block von 10 IP Adressen rotieren um seine Benutzer ihre Fähigkeit Mails zu senden aufrechtzuhalten. (Viel Glück wenn man nicht Microsoft hatte, und fähig war direkt zu senden, somit ORBS meidend.)

Spammer antworteten mit Computerviren benutzen um beliebige Rechner einzunehmen als Relays. Die meiste Virenentwicklugn wird von Spammern finanziert, die ganzen Kosten von Antiviren Massnahmen erzeugend. Mailadmins reagierten mit DUL, ORBS erweitert auf beliebige dynamischen IP Adressen. Es traf somit alle direkt versendenden Benutzer, egal ob korrekt konfiguriert, und ohne jegliches aus der Liste entfernen. Dies ist ein Fall von "ähnlich = schuldig" Denken, und damit strikte eine Form von Diskrimination, noch schlimmer kriminell. Dies mit der Adresse/Adresssorte des Senders als einzigem Kriterium, vergleichbar auf Direktversender wirkend wie Wohnadresse als Stellvertreter für Rasse/Religion/Lebensstil benutzen! DUL wurde bereits in 1997 verurteilt vom DNSBL Erfinder MAPS, wegen den systematischen Verlusten die es erzeugt und davon abgeraten. Trotzdem haben viele Mailadmins es in 2000 bis 2005 eingeführt, bis über 90% aller Mailserver davon befallen waren. Gefolgt von über 90% dieser Admins Kritik ablehnen. Man erkennt hier Parallelen.

(Anmerkung: Beachte hier, dieses Problem kann nur auftreten bei Spamfiltern welche auf Mailservern laufen. Alle auf dem eigenen PC laufenden Filter, in einem Mailreader oder Antivirenpaket, können niemals DUL haben, oder überhaupt DNSBL, oder irgendetwas IP Adressen basiertes, auch kein Zwangs-TLS. Solche Filter basieren ausschliesslich auf dem Mailinhalt, Worte und Kombinationen welche spamischen Inhalt nahelegen. Und sie nutzen die vorhandenen und verfügbaren Rechner/Tablett/Phone Prozessoren, statt teure Server Prozessoren zu belasten. Dies ist ohnehin der bessere Ansatz, ausser das Netz von Server zu Rechner/Tablett/Phone ist sehr langsam oder teuer. Das hällt die wenigsten Mailadmins davon ab, ihre Filter als "besser" als dem PC Admin seine zu betrachten, trotz dass sie oft DUL Unsinn benutzen um Prozessoren zu sparen. Noch mehr Parallelen.)

All dies war "lediglich" Kollateralschaden einer per Design defekten Methode, welche aus Kosteneinsparung plus Gleichgültigkeit, oder schlicht Inkompetenz benutzt wurde. Es war nicht die Folge eines Verlangens nach "nur durch Outgoing" erzwingen, daher war dies umgehen möglich. Zudem ist DUL in 2015 grossteils gestorben, zumindest in seiner schlimmsten "ohne Inhalt testen abweisen" Form, reduziert von über 90% auf unter 10% aller Mailserver. Mit Gmail als ersten der grossen schon in 2013 abweisend aufgeben, aber GMX als letzten der grossen es immer noch in abweisender Form benutzend in 2023! Teils wird es noch neben anderen Mailinhaltsbasierten Tests benutzt. Dies resultiert "nur" noch, wenn zu stark in die Wertung einfliessend, in Risiko von Fehlklassifikation und Mails im Spamordner landen, statt diese abgewiesen werden und dem manuellem Aufwand der Umgehung. Aber auch dadurch können Empfänger Mails übersehen und verlieren. Gmail ist dafür bekannt, wie in 2019 bei zwei verschiedenen Empfängern dort erlebt.

(In 2019 wird wieder eine leichte Zunahme von "ohne Inhalt testen abweisen" benutzen beobachtet. Zumindest wenn ich Mails von meinem Phone aus sende, aber nicht wenn von zuhause aus gesandt. Dies beinhaltet auch Gmail es dort wieder benutzen. Dies könnte hinweisen auf einfach eine DUL Liste ohne meinem heutigen zuhause Provider drin benutzen. Anderseits klassifizieren sie auch von zuhause teils Mails als Spam, sobald ein Link in einer ist! Was entweder eine unwahrscheinliche generelle "keine Mails mit Links" Policy braucht, oder eine Link+DUL=Spam Formel, womit mein zuhause Provider doch in ihrer DUL Liste drin sein müsste. Das aber mit weniger gewertet, daher nur in Spamordner abgelegt, im Gegensatz zu meinem Phone Provider, wo auch ohne Links sie komplett abgelehnt werden. Was auf sie zwei separate DUL Listen und Filter benutzen hinweist.)

Zwangs-TLS macht dies nun weit schlimmer. Es killt ebenfalls alle Mails ohne Inhalt zu übertragen und anschauen. Aber es verhindert wegen Kryptographie erst noch jegliche Umgehung. Was sogar der Admin bei dem ich erstmals von diesem hörte, in 2018, indirekt zugab. Nachdem er von Techniken um DUL zu umgehen gehört hatte, kommentierte er, diese seien gar nicht möglich wegen TLS! Er meinte dabei, dass Zwangs-TLS heute überall der Fall sei, trotz dass ich, als direkt versenden Benutzer, bis zu diesem Zeitpunkt weder davon gehört hatte, geschweige es gesehen. (Ich begegnete einem ersten Server in 2019, und konnte prompt dorthin keine Mail schicken, wie erwartet.)

Dies trifft gerade auch Leute welche, wegen Kryptographie und die dafür unvermeidbaren Updates meiden wollen, keine Outgoing Server benutzen, um SMTP Auth Accounts mit Passwörtern zu meiden, sowie dem deswegen notwendigen TLS. Diese wollen direkt versenden, aber Zwangs-TLS trifft sie genauso schädlich wie Zwangs-HTTPS. Daher sollte TLS-loses Mail auch weiterhin angeboten bleiben. (Nachtrag 2023: Ich bin seither keinem weiteren solchen begegnet. Was demonstriert, wie sehr obiger Admin seine Wahrnehmung von der realen Welt abweicht. Er und obiger erster Server Admin scheinen wirklich Super-Extermisten zu sein.)

(Nachtrag 2023: Leider ist die Mailsituation nicht zu harmlos zurückgekehrt. Mailadmins haben ein weiteres vom Design her fehlerhaftes IP Adresse basierten Verfahren namens SPF erfunden. Dieses scheint spezifisch darauf zu zielen jedermann zu zwingen Outgoing Server zu verwenden, und erlaubt sogar nur solche mit IP Adressen ausgewiesen durch dem DNS Admin der Domain im Benutzer seiner Mailadresse. Dies um dann ORBS-artige Blockaden dieser Server zu nutzen, mit allen Benutzern mit Mailadressen in der Domain als Kollateralschaden. Natürlich zerstört dies komplett direkt versenden um Kryptographie zu meiden, was genau so schlimm trifft wie Zwangs-HTTPS oder Zwangs-TLS. 2023 hat Gmail dieses adoptiert, mit 100% systematischen Verlust, als erste grosse Mailsite. Ihre Fehlermeldung behauptet, dass jede Mail ohne solche "Authentifizierung" angeblich "eine Gefahr für Gmail Benutzer und auch den Sender(!)" sein soll. Dies demonstriert, dass sie in ihrer Echokammer von Antispam Aktivisten vergleichbar wahnsinnig und überreagierend geworden sind wie die Zwangs-HTTPS Webadmins. Manche Aktivisten propagieren SPF als Standard den alle folgen sollten, womit eine genaue Wiederholung der Zwangs-HTTPS Situation bei Wikipedia in 2015 erzeugt wird. Diesem begegnen wurde zum Auslöser für die ganzen 2023 Nachträge.)

6: Wie realistisch sind die behaupteten Gefahren?

Solche Webadmins geben als Motiv und Rechtfertigung diverse Behauptungen von "grosser Gefahr". Aber wie realistisch sind diese eigentlich? Wieviel Gefahr droht wirklich? Hat es eine real grosse Gefahr und ihre Massnahmen daher angebracht? Oder ist es nur eine übertriebene Fehleinschätzung und ihre Massnahmen unverhältnismässig?

6.1: Angst vor Spionage

Sie befürchten, dass Spionage eine Gefahr ist, von Router anzapfen und durch diese gehenden Webverkehr aufzeichnen. Es ist erwiesen, dass dies gemacht werden kann und gemacht wird. Aber dies stellt Fragen: Was sind die Bedrohungszenarien davon? Wie oft sind diese zu erwarten? Und vor allem, ob und wann sind sie für die meisten Benutzer überhaupt relevant? Dies machen nennt man "Bedrohungsanalyse" und es ist die Basis jeglicher ernsthafter Auswahl von Sicherheitsmassnahmen.

Einerseits wird vom Staat systematisch spioniert, um Verbindungen aufzuzeichnen und zu analysieren. Aber dabei entsteht nur eine riesige Datenhalde um mögliche Gefahren herauszufiltern. Das ist für die meisten normalen Leute nicht relevant, weil sie nicht das Ziel davon sind und als solche explizit ausgefiltert werden vom Scoring. (Zudem kann der Staat spezifische Personen selektiv aufzeichnen. Er kann diese auch detailierter ausfiltern, weil weit geringere Datenmenge von ihnen anfällt. Aber das betrifft nur auffällige Minderheiten, ist also auch irrelevant für die meisten Benutzer.)

Anderseits kann von Privatpersonen spioniert werden. Üblicherweise von Cyberkriminellen um Kreditkartennummern zu bekommen, oder Saboteuren um an Account Passwörter heranzukommen. Solches wird von echten Informationssicherheit Leuten als das weitaus bedeutendere Problem angeschaut. Aber bei obigen Webadmins taucht dieses Risiko neben ihrer Staatsangst praktisch gar nicht auf! Diese Spionage kann zwar beliebige Benutzer treffen, es ist aber für die meisten normalen Websites nicht relevant. Es wird nur relevant bei speziellen Sites, wo man Kreditkarte in Webshops benutzt, oder mit einem Account und Passwort Websites editiert. Letzteres wird von Informationssicherheit Leuten als das bedeutsamere Problem eingestuft, wegen Falschdaten im Namen von jemand anderst dem vertraut wird verbreiten. (Zudem hat es noch skrupellosen Konkurrenten, welche Industriespionage machen, sollte man über das Web kommunizieren, aber auch bei Mails übertragen. Aber das betrifft wieder nur spezifische Minderheiten, also ist es für die meisten ebenso irrelevant.)

Krypto ist daher schlicht irrelevant für weit über 90% aller Leute bei über 90% von ihrem Webverkehr. Es besteht somit kein Grund, warum jeder nur noch ins Netz sollte mit dem Äquivalent eines Panzerfahrzeuges, oder gar solches auf stets neuestem militärischen Standard. Erst recht weniger Rechtfertigung, allen Benutzern solches aufzuzwingen zu ihrem "Schutz". (Weitaus grössere Gefahr kommt ohnehin von direkten Server Einbrüchen um an Daten zu kommen. Oder indirekt von Client Einbrüchen, inklusive durch Virenbefall, um an Daten oder Passwörter zu kommen. Und noch mehr Gefahr von Benutzer austricksen mit Techniken von "Social Engineering", um an beides zu kommen. Wogegen Krypto gar nicht wirken kann.)

Manche fühlen sich trotzdem davon bedroht, selbst bei beliebigem Webverkehr, wollen daher Kryptographie benutzen für alles. Trotz dass Kryptographie nur die eigentlichen Anfragen versteckt, wer welche spezifische URL holt (und allenfalls noch mitgeschickte Kreditkartennummern oder Passwörter). Es versteckt aber nicht etwa den Inhalt der Sites selber, der weiterhin offen zu holen ist (ausser bei privaten Sites mit Zugang nur mit einem Account). Es versteckt auch nicht, wer von welchem Server etwas holt oder wieviel er holt, nur was genau er dort holt. Es ist zudem teilweise möglich Rückschlüsse zu ziehen, von wieviel Daten auf was für Daten, was als "Traffic Analysis" bekannt ist. Dies ist also zumeist weder eine echte Gefahr, noch ein voller Schutz!

Trotz all dieser Limiten behandeln die Kryptofanatiker dies als ein Allheilsmittel und lehnen jegliche Kritik ab. Wohl weil ihre Ängste in Griff bekommen dies verlangt, aber auf Argumente eingehen gefährdet das, wovon sie noch mehr Angst bekommen. Daher meinen solche Webadmins, allen Benutzern bei allem Webverkehr Krypto aufzwingen zu "müssen", um sie zu beschützen vor der "grossen Gefahr", egal was der reale Schaden davon ist.

6.2: Verweigerung von "Beihilfe"

Ein Webadmin ging bis zur Aussage, dass er "nicht Beihilfe leisten will" zu Leute sich "gefährden". Wohlgemerkt, diese "Gefährdung" war im Kontext von nur-lesendem Zugriff auf einem Veranstaltungskalender, der allen Personen offen ist. Real hat dieser aber offenen Zugang aktiv zugemacht, durch nur noch HTTPS erlauben. Es offen lassen wäre daher keine Aktion seinerseits und somit könnte es keine Beihilfe sein.

Man vergleiche dieses Argument mit folgendem hypothetische Fall: Wenn Securitys, wegen der "grossen Gefahr" von Überwachungskameras, verlangen würden, dass alle mit Maske oder Schleier vermummt herumlaufen müssen. Gefolgt von den Türen verschliessen zu Geschäften, wo sie angestellt sind, dann nur die hereinlassen deren Gesicht vermummt ist, um dies zu erzwingen. Damit allen Subkulturen und Berufen ihre bevorzugte oder gar benötigte Kleidung verbietend. Solche Vorschrift ergäbe massiven Proteste. Erst recht, wenn irgendwann über 90% aller Geschäfte betroffen wären! Wenn dies gefolgt würde von denen solche Proteste ablehnen, mit obiger Ausrede von "nicht Beihilfe leisten" zu Leute sich "gefährden" mit unvermummt sein, würde es zu weit mehr Protesten führen. Sehr wahrscheinlich gefolgt von Managern welche Kündigungen gegen diese Securitys aussprechen, zumal diese alles eigenwillig getan haben, ohne Anweisung oder auch nur Genehmigung von oben, dabei die Geschäfte schädigend mit Kundenverluste.

(Man vergleiche das mit der realen Situation, wo Securitys eher Vermummungsverbote verlangen, damit ihre Kameras nicht umgangen werden. Man kontrastiere das wiederum mit wie die Zwangs-HTTPS Webadmins auf vergleichbare Kryptoverbote reagieren würden.)

6.3: Angst vor Daten sabotieren

Manche Webadmins befürchten auch, dass Sabotage eine Gefahr ist, dass eine "Data Injection" gemacht wird, damit den Webverkehr verfälschend. Was bedeutet, den geholten Daten nicht mehr vertrauen können. Das wird von manchen von ihnen als "die eigentlich grössere Gefahr" bezeichnet. Dies ist aber weit aufwendiger, weil um dies zu machen der ganze Verkehr durch einen Server des Angreifers umgeleitet und modifiziert werden müsste, statt nur eine Kopie davon abzugreifen. Dazu muss man in Router einbrechen um die Umleitung aufzusetzen. All das nur um falsche Daten zu unterschieben, um so Benutzer zu sabotieren.

Keine staatliche Massnahmen existieren welche dies machen. Ausser man ist eine politisch oder militärisch relevante Site, und daher ein Ziel von Cyberkrieg Attacken. (Und solche Attacken sind eher Server Einbrüche, oder allenfalls DDoS Attacken.)

Abgesehen von solchen Sites sind nur private Aktionen dieser Art zu erwarten. Aber solch grosser Aufwand kann nur bei den wenigsten Sites gerechtfertigt werden. Benutzer dieser sind somit auch nur eine Minderheit, welche ohnehin die speziellen Umstände solcher kritischen Sites und der Daten dort kennen müssen. Also ist ebenfalls alles komplett irrelevant für normale Websurfer. Diese "eigentlich grössere Gefahr" ist für normale Leute nochmals unbedeutender als Spionage, nur noch mehr Verfolgungswahn am Werk.

6.4: Angst vor Passwörter stehlen

Als Spezialfall von obigem, meinen manche gegen die Gefahr von "Edit" Links unterschieben vorgehen zu müssen. Ziel solcher Angriffe wäre mit "DNS Hijacking" (eine kleine Form von "Data Injection", nur DNS Anfragen umleitend, nicht ganzen Webverkehr) um Benutzer auf falsche Server zu schicken. Dieser Server gibt vor, die Originalsite zu sein, um Benutzer ihre Passwörter zu bekommen und dann auf ihre Accounts zugreifen. Dies ist bekannt als "Man-in-the-Middle Attacke" (MitM). Wogegen Kryptographie den falschen Server aufdecken kann per Signaturenvergleich.

(Anmerkung: Hintergrund für diejenigen, welche fragen wie Signaturen funktionieren: Der Browser erzeugt eine Zufallszahl, verschlüsselt diese mit dem Server seinem öffentlichen Schlüssel, der Server entschlüsselt mit seinem privaten Schlüssel und schickt die Zahl zurück als Beweis diesen zu haben. Umgedreht kann die selbige Signaturenvergleich Krypto auch zur Authentifizierung benutzt werden anstelle von Passwörtern, durch den Server eine Zufallszahl verschlüsseln mit dem hinterlegten öffentlichen Schlüssel des erlaubten Benutzers und der Browser entschlüsselt mit dem privaten Schlüssel und schickt die Zahl als Beweis, somit Passwörter überflüssig machend.)

Davon bekommen die Täter aber praktisch nur einzelne Benutzer-IDs, für Sabotage von diesen Benutzern und deren Leser. Dies ist also nur eine sehr geringe Gefahr, weil der Aufwand davon selten gerechtfertigt ist. Wieder sind nur einzelne exponierte Benutzer spezieller Sites von solcher Sabotage gefährdet. Alle Benutzer sollten daher ihr eigenes Risiko beurteilen dürfen und abwägen gegen die Kosten vom Schutz davor. Gerade auch wenn letzerer ihnen jeglichen Zugang kostet. Oder schlimmer beliebigen Surfen die nur lesen Zugriff kostet. (Hier ist "Social Engineering" eine grössere Gefahr, wegen weit einfacher sein, Passwörter entlocken per fingierte Mails mit getarnten Links zum Server des Angreifers, was als "Phishing" bekannt ist. Wogegen Krypto gar nicht wirken kann.)

Weiter kann dies mit korrektem Design der Site gesichert werden, mit einfach "Edit" Links selektiv anbieten. Entweder nur wer mit HTTPS liest bekommt überhaupt einen "Edit" Link zu sehen, oder noch besser bei HTTP einen deaktivierten. Selbiges gilt auch für "Login" Boxen. Dazu noch einen "Secure" Link, der zur HTTPS Version führt. (Sowie in dieser, sinnvollerweise am gleichen Ort, einen "Non-Secure" Link zurück zu HTTP.) Die Site nur lesen kann damit stets auch per HTTP offen bleiben. Selbst Kommentare addieren ohne Account kann noch per HTTP gehen.

Vergleichbares Design kann selbst auf Webshops mit Kreditkarten angewandt werden. Link zu Bestellformular nur aktiv wenn HTTPS benutzt wird. Mit der restlichen Site nur als Katalog auch per HTTP lesbar bleibend. Oder selbst Bestellungen auf Rechnung so machbar, nur Link zum Kreditkarten Formular deaktiviert.

(Anmerkung: Dies erst recht, wenn man bedenkt wie sehr Kreditkarten fundamental unsicher sind. Technisch laufen sie darauf hinaus sein Bankkonto mit einem Zahlenschloss zu versehen, dann dessen Nummer auf der Karte aufschreiben (was bei Passwörter aufschreiben als Security Verstoss gilt!), gefolgt von die Nummer jedem dem man bezahlt mitteilen (was bei Passwörtern andern mitteilen sogar als groben Security Verstoss gilt!). Es hat stets Gefahr von Missbrauch seitens des Sitebetreibers oder seiner Angestellten. Sowie falls dauerhaft auf der Site gespeichert, auch Gefahr bei Einbrüchen in den Webshop Server (dies ist der Hauptgrund für solche!). HTTPS sichert eigentlich nur noch dieses ohnehin unsichere Verfahren gegen Mithöhrer während der Übertragung.)

(Anmerkung 2: Besser wäre daher Kreditkarten benutzen zu ersetzen, mit Lieferung auf Rechnung. Eine Methode die einwandfrei funktioniert, seit über 100 Jahren, wie bei Versandfirmen mit Katalog plus Telephon benutzt. Oder zumindest mit Waren reservieren und ausliefern erst nach Bezahlung per Überweisung. Wozu ein E-Banking Spezialgerätchen ausreicht, von der eigenen Bank herausgegeben (und auf deren Kosten updatet!). Dieses kann direkt WLAN benutzen, und ist so von Rechner/Tablett/Phone unabhängig. Um es zu benutzen Kundenkarte einstecken und PIN eingeben, wie am Bankomat oder Kartenterminal. Oder man kann ohne solches Gerätchen schlicht an die eigene Bank ihre Bankomaten gehen, welche aber dafür erweitert werden müssten. Oder wenn beides nicht zusagt, auch die Bank ihre E-Banking Website, wo Zwangs-HTTPS akzeptabel ist, neben den anderen Alternativen. Alle drei Varianten sind weit sicherer als irgendetwas mit Kreditkarten!)

(Anmerkung 3: Die Banken haben scheints inzwischen genug von missbrauchten Kreditkartennummern. Immer mehr verlangen nun Bestätigung jeder Transaktion, per TAN Rückfrage in Phone App oder über SMS. Dies wandelt die Kreditkarte von "Passwort" zu nur noch "Account-ID". Dies macht HTTPS zunehmend irrelevant selbst für E-Banking und E-Commerce.)

Einen obigen "Secure" Link kann auch kombiniert werden mit einem HSTS Eintrag setzen, welches dem Browser mitteilt, dass er eine einmal mit HTTPS besuchte Site immer mit diesem besuchen soll. Selbst wenn er eine HTTP URL zu der Site bekommt und dort kein HTTPS Redirect ist. Weil mit HSTS ein passender Browser selber ein internes Redirect macht, aber solche ohne bei HTTP bleiben, das beste für beide Seiten! (Beim einem "Non-Secure" Link muss zuerst per HTTPS der HSTS Eintrag gelöscht werden, bevor es zu HTTP geht.) Womit den "Secure" Link in der HTTP Version anklicken nur einmalig nötig ist. Somit verbleibt eine identische minimale Gefahr wie es ein erstmaliger Redirect auch hat. Danach bietet die Site den selbigen Komfort, direkt zu HTTPS, ohne zuerst "Secure" anklicken. Es ist dann sogar weiterhin möglich HTTP Links zu setzten, damit HTTP Benutzer nicht dauernd auf HTTPS landen, was bei ihnen nicht funktioniert, mit immer wieder das extra "s" löschen müssen. Suchmaschinen können dann sogar zu HTTP redirected werden, damit sie immer HTTP Links ausgeben.

Der Webadmin mit dem obigen "Edit" Links unterschieben Argument ist aus der Diskussion ausgestiegen, nachdem ich dies beschrieben hatte, ohne es zu kommentieren. Wohl weil er erkannt hat, dass dies bestens wirken würde, aber die Konsequenzen davon nicht akzeptieren und zugeben wollte. Das ist typisches Verhalten solcher Fanatiker: Sobald sie merken, dass sie ihre Massnahmen nicht rechtfertigen können, nachdem ein vernünftiger Kompromiss aufgezeigt wurde, der nach andere akzeptieren verlangt, laufen sie einfach davon statt ihre Fehler einzugestehen. Sehr wahrscheinlich, weil sie versuchen eine politische motivierte "alles mit Krypto" Zielsetzung mit vorgeschobenen pseudotechnischen Argumenten zu verkaufen und zusammenbrechen sobald diese an realtechnischen Kriterien scheitern.

6.5: Missbrauch für Nebelwand

Argument eines weiteren Fanatikers war, dass wenn nur die Gefährdeten Kryptographie benutzen, dies auffallen würde und davon Gefahr für sie besteht. Dies "rechtfertigt" alle anderen zu Krypto nutzen zu bringen, damit sie sich hinter der so entstehenden Nebelwand verstecken können. Mit diesem Argument, kümmerte ihm nicht Aufwand von oder gar Schaden für andere, denen diese Nebelwand nichts bringt. Diese sollen sich einfach dafür opfern, weil er und seinesgleichen es brauchen zu ihrem "Schutz" (oder real um ihre Ängste zu reduzieren). Aber andere die Kosten aufdrücken, für einen eigenen Nutzen, erst recht ohne deren Zustimmung, ist antisoziales Verhalten.

Addiere dazu dass grossteils Volk bei E-Mail "alle müssen Krypto nutzen" verweigert hat durch es nicht machen. Schlicht weil sie den Aufwand davon nicht haben wollten. Das würde wohl auch beim Web so sein, aber der Redirect macht es einfach automatisch. Grund hinter beidem ist weil sie schlicht kein Interesse haben an etwas ihnen so unwichtiges. Was wohl auch beim Web den meisten der Fall sein würde, wenn es Aufwand bräuchte.

Offen bleibt ob manche, selbst ohne jeglichen Aufwand, Krypto benutzen explizit ablehnen würden. Dies weil sie solche Nebelwand nicht erzeugen wollen, weder in E-Mail noch auf dem Web! Insbesondere solche welche Überwachung gut finden, sich bewusst gegen eine Nebelwand aufbauen entscheiden würden. Der politische Erfolg von Überwachungsmassnahmen zeigt eher in Richtung diese wollen und dazu solche Nebelwand ablehnen. Wo es Volksabstimmungen zu solchen Gesetzen gab, gingen die Aussagen in dieser Richtung. Diese Volksmeinung wird hintergangen mit Redirects unterschieben. All das ohne Diskussion oder Konsens oder Legitimation, oder eher sogar gegen was an Diskussion und Konsens bekannt ist! Hier ist ebenfalls grosses Entsetzen und Protest zu erwarten, sobald diese Sabotage bekannt wird, wie sie mit Browser manipulieren unerkannt andere ihren Datenverkehr missbraucht haben.

6.6: Wo akzeptabel und wo nicht

Kryptographie mag sinnvoll oder gar nötig sein für Spezialfälle. Wie im Staat bei Diplomatenverkehr und Spionage und Militär. In manchen Firmen bei Geheimhaltung vor deren Konkurrenten. Bei manchen Personen welche Websites editieren. Bei Webshops falls sie Kreditkarten ohne Rückfrage bestätigen benutzen. Aber das sind nur Minderheiten oder Spezialsituationen, welche aus ihren spezifischen Prioritäten den Aufwand rechtfertigen, von häufigen Updates oder gar Upgrades oder Ersatz. Für generellen Netzgebrauch vom normalen Volk ist Kryptographie und damit auch Zwangs-HTTPS unpassend und unnötig.

Einziger Ort wo Zwangs-HTTPS akzeptabel ist, wäre wo andere Leute echt gefährdet sind. Wie bei Adminzugriff, wo die Integrität einer ganzen Site und alle dessen Benutzer betroffen werden könnten. Oder auf privaten Sites wo jeder einen Account braucht, weil sonst interne Daten durch kompromittierte Benutzerkonten herauslecken könnten.

Es wird zumeist irrelevant, wo beliebige Leute einen Account bekommen können, und nur deren eigenen Daten gefährdet sein könnten. Es wird zu total unakzeptabel wo beliebige accountlose Besucher nur eine Site lesen. (Daher ist zu vermeiden, einen Account zu verlangen nur für normales lesen. Selbiges gilt auch für Preferences setzen, zumal Cookies dafür ausreichen. Selbst bei Daten publizieren kann ein Tripcode ausreichen.)

Grenzwertig ist es bei Wikis editieren. Dies kann zu Schaden an gemeinsamen Daten führen. Aber dieser ist durch auf die alte Version zurückgehen einfach behebbar, weil Wikis einst für accountloses editieren entwickelt wurden, daher sollte solches möglich sein. Allenfalls mit Moderation von solchen Edits durch Leute mit Account (wenn dort zu oft Schaden entsteht), oder mit Edits nur mit Account (dort wo zu grosser Folgeschaden eines unkorrigierten Edits entstehen kann).

Weiterhin ist es akzeptabel bei Kreditkarten, wo Zugriff verhindern gegen teure Unfälle verhindern steht. (In diesem Fall besser wäre aber ohnehin mit einer Rechnung versenden, statt Kreditkarte zu benutzen, somit Kreditkarten und deren Fehldesign ganz beseitigend. Oder zumindest diese mit TAN Rückfrage absichern, was Banken ohnehin am erzwingen sind, und somit die Notwendigkeit von HTTPS beseitigen.)

(Selbiges gilt auch bei Zwangs-TLS bei Mails: Akzeptabel wenn Accounts absichern, damit Outgoing Mailserver nicht als Relay missbraucht werden, was zu ORBS Blockaden gegen diese führen kann, und so echter Gefahr dass Benutzer davon keine Mails mehr versenden können. Oder private Mailgruppen, wo interne Adressen herauslecken könnten. Es ist total unakzeptabel, wo beliebige accountlose Besucher nur Mails an offen bekannte Adressen auf einen Mailserver zustellen. (Besser wäre hier ohnehin direkt versenden statt Outgoing Mailserver benutzen. Somit keine Gefahr von Blockaden und kein Bedarf für Account oder Passwort oder TLS.))

Man beachte hier des weiterem alles zu Netzneutralität. Das gilt genauso für Server wie für Router. Beides Netz und Server sind Grundlagen für den Datenverkehr Benutzer - PC - Netz - Server - Netz - PC - Benutzer. Beide müssen zuverlässig sein, damit man sich auf sie verlassen kann. Daher sollen Server genauso neutral sein wie Router, Daten transferieren ohne sich einzumischen. (Das auch egal ob Webserver oder Mailserver oder sonstige Server.)

7: Wie kann man vorgehen gegen diese Situation?

Es is jetzt klar, dass Zwangs-HTTPS viele Opfer trifft. Ebenso, dass Kryptographie und HTTPS eigentlich komplett unnötig sind für die grosse Mehrheit (über 90%) normales Volk seinem generellen (über 90%) Netzgebrauch. Gebrauch erzwingen bei allen ist daher unakzeptabel. Was jetzt die Frage stellt, wie gegen die Zwangs-HTTPS benutzenden Webadmins vorzugehen?

7.1: Plan A

Zuerst gab es Plan A. Dieser bestand darin solchen Webadmins bewusst zu machen, dass sie anderen schaden und sie auffordern damit aufzuhören. Zuerst lokal erreichbare, durch sie diejenigen welche sie kennen und so weiter bis alle von ihnen vom Problem wissen und es korrigieren. Zu der Zeit war es noch offen, ob sie dies nur unwissend machten. Einige von ihnen wurden informiert zu den Problemen welche sie erzeugt hatten, etwa 2 Jahre lang, in 2017 und 2018.

über 90% der Angesprochenen lehnten jegliche Kritik ab und machten weiter wie bisher. Sie halfen auch nicht bei Information zum Problem weiter verbreiten. Sie bekamen alle ein Angebot, von zurück zu "leben und leben lassen" wie es einst war. Sie haben dieses ablehnt. Das weil die befragten Admins sich grossteils herausgestellt haben als Besserwisser und Fanatiker. Plan A ist gescheitert und ist somit als gestorben anzuschauen.

Kritik ablehnen beinhaltete obigen "upgrade gefälligst" Webadmin der Erpressung benutzte, oder verliere sonst einen Kollegenkreis. Argumente dass er Freiheit unterdrückt, hat er abgeweisen mit der Behauptung, die Kritiker seien auch keine Vertreter von Freiheit! Er lehnte unser Verlangen nach Freiheit (HTTP nutzen zu können) ab, mit der Begründung wir respektieren auch nicht seine Freiheit (auf seinem Server nur HTTPS zuzulassen, damit aber HTTP verhindernd). Dabei ignoriert er, dass es zwei Sorten Freiheit gibt:

Einerseits bedeutsame Freiheit, zu leben wie man es will. Das gilt für sie, sich verstecken mit dazu Krypto nutzen. Es gilt auch für uns, Altes nutzen und deswegen Krypto meiden. Anderseits diktatorische "Freiheit", anderen vorzugeben wie sie zu leben haben (egal ob absichtlich etwas verbieten oder nur dieses wissend verhindern). Was mit der ersten Freiheit kollidiert. Seine Vorstellung von solcher "Freiheit" wäre äquivalent zum Staat ihm Gebrauch von HTTPS verbieten, gefolgt von Kritik davon ablehnen mit das als deren "Freiheit" ausgeben. Seine Ausrede von Leute beschützen, kann vom Staat genauso genutzt werden. Wer solches Verbot ablehnt sollte auch seine faule Ausrede ablehnen. Ein Kollege der ebenfalls Admin ist, und die Wahl von HTTP oder HTTPS anbietet, hat diesem Admin seinen Standpunkt als "sehr daneben" gewertet. (Man beachte hier auch den Spruch zu "Die Freiheit seine Faust zu bewegen endet dort wo jemand anderem seine Nase anfängt". Die Freiheit seinen Server zu konfigurieren endet genauso, dort wo jemand anderem sein ganzer Lebensstil getroffen wird.)

Seine weitere Ausrede von "Es ist mein Server, ich darf dort machen was ich will" ist ebenso abzulehnen. Dabei ignoriert er, dass seit er seinen Server der Öffentlichkeit als Kommunikationsdienst anbietet, und nicht nur selber dort publiziert, er dieser ein implizites Versprechen gegeben hat, diesen so zu betreiben, dass sein Angebot erfüllt wird. Insbesondere hat er all den bei ihm publizierenden ein Versprechen gegeben, ihre Informationen an alle interessierten Leser auszuliefern. Das gilt für die ganze Öffentlichkeit, egal wer sie sind, egal was sie benutzen. (Eine Ausnahme wäre nur, wenn er explizit ein Angebot von nur an Kryptobenutzer publizieren gegeben hätte, dann wäre er nicht nur erlaubt ausschliesslich an solche auszuliefern, sondern auch dazu verpflichtet.)

Sein Kritik ablehnen beinhaltete auch obige Aussage zu nicht "Beihilfe" leisten zu Leute welche sich "gefährden". Das führte zu einem extremen Fall, von einem weiteren Webadmin seiner expliziten Aussage von "HTTP ist gefährlich, es muss daher ausgerottet werden!". Er meinte auch, dass Zwangs-HTTPS heute Standard sei, daher müsse ohnehin jeder upgraden, also bestehe kein Bedarf mehr für HTTP anbieten. Dabei ignoriert dieser, dass die Kritik genau von den Leuten kommt die nicht upgraden wollen oder gar können.

Dieser Admin unterstellte sogar, dass die Kritiker möglicherweise illegale Absichten hätten. Das trotz dass diese wiederholt mehrere der obigen legitimen Gründe vorbrachen, welche er aber ablehnte als "keine echten Gründe", und danach wegen "keine gegeben" auf illegale spekulierte! Bonuspunkte, wegen Kontrast zu sonst eher Kryptogegner den Kryptobenutzern illegale Machenschaften verstecken vorwerfen. Aber selbst solcher krass fehlerhafter Widerspruch entsteht automatisch, nachdem sie alle Argumente als "falsch" abgelehnt haben, wegen geistigem Blinden Fleck, von ihrer Angst kommend, daher das Resultat als "es hat keine" behandeln. Danach erfinden sie welche, machen aus Zwangsgegner einfach Kryptogegner. (Nach der Erstpublikation von diesem Text war eine häufige Reaktion solcher Leute, gemäss Beobachtung eines zweiten Kollegen, zu behaupten, dass "keine Argumente darin zu finden sind"! Das sagt einiges aus über die Verblendung dieser Leute.)

Vielleicht schaffen sie auch gar nicht den Unterschied zu erkennen, weil sie so sehr Angst haben, dass sie jegliche Kritik als "Angriff" wahrnehmen. Schliesslich ist das eine bekannte Eigenschaft von Verfolgungswahn, eine "für uns oder gegen uns" Mentalität zu haben, welche alle die nicht bei ihnen mitmachen als Gegner anschaut. Das ergibt unvermögen zu unterscheiden, zwischen Neutralen welche sich nur über zugefügten Kollateralschaden beschweren, und echten Gegnern welche sie verfolgen. Inklusive versagen den Satz "Krypto ist nicht notwendig" wie zu verstehen wie beabsichtigt als "Nicht jeder braucht Krypto", statt dessen es missverstehen als "Ihr sollt kein Krypto benutzen". Wie ich es mehrmals beobachtet habe.

Von bei der Diskussion zuschauen, kam ein dritter Kollege zur Erkenntnis, von "Krypto scheint eine heilige Kuh geworden zu sein, welche nicht angezweifelt werden darf". Ich kam von dies lesen zur Erkenntnis, dass diese Webadmins eigentlich Security Fundamentalisten geworden sind. Nur statt bei Religions Fundamentalisten vom Glauben an ihrer Vorstellung von Gott als Despoten, zu dogmatischer Diktatur ihrer Gesetze gehend, hier vom Glauben an ihrer Vorstellung vom Staat als eine Gefahr, zu dogmatischer Diktatur ihrer Krypto gehend. Ich kam ebenso zur Erkenntnis, dass ihr Verhalten eigentlich das typische Benehmen von Moralwächtern ist. Nur statt dort aus Angst vor Gott, eine Kein-Sex Lehre und Verlangen nach Prüderie juristisch erzwungen, hier aus Angst vor dem Staat, eine Muss-Krypto Lehre und Verlangen nach Updates technisch erzwungen.

Bonuspunkte für obigen Extremisten mit der Erpressung, der solche Morallehre per technischer Machtposition anderen aufzwingt, aber dann Gebrauch von sozialen Druck durch sich wehrende Opfer verurteilte, nachdem sie seine Taten anprangerten! Als ich diesen Widerspruch aufzeigte, verliess er einfach die Diskussion, statt seinen Fehler einzugestehen. Wieder das typische Verhalten.

Man kann nur von all diesem ableiten, dass diese Admins es genau so haben wollen wie es jetzt ist. Sie haben die Machtposition um das zu erzwingen, und meinen auf niemand anderem Rücksicht nehmen zu müssen. Also führen sie einen Ausrottungskrieg gegen HTTP Benutzer, und die unbeteiligten Opfer sind ihnen egal.

Sie glauben auch, sie können sich leisten auf Argumente eingehen zu verweigern. Sie diskutieren nur, solange sie glauben ihre Position durchsetzen zu können. Aber wenn sie eine Diskussion verlieren, steigen sie einfach aus und laufen davon. Wiederholt erlebtes Verhalten. Genau das Verhalten von Propagandisten, welche ihre Form von Diktatur rechtfertigen wollen, aber nicht konstruktiv diskutieren. Wohl weil Fanatismus keine Kompromisse erlaubt, daher auch keine solchen konstruieren mithelfen will.

Es ist aber auch das Verhalten von Leuten, deren Schuldgefühle geweckt wurden, welche dann sich selbst verweigern, aus Angst vor sich mit ihren Ängsten auseinandersetzen. Und ebenso das Verhalten von Feiglingen, welche sich nicht einem ehrlichen Kampf stellen, vorziehen sich zu verstecken und aus einem Hinterhalt zuzuschlagen. Was alles auch passt zu ihrer übertriebenen Angst und der Regression davon.

Ultimativ lief die ganze Auseinandersetzung auf Wertvorstellungen hinaus, welche total kollidieren. Sie "müssen" Leute beschützen, diese sich "gefährden" lassen ist unakzeptabel. Schliesslich sind sie Folger der "einzig wahren" Sicherheit von HTTPS, daher jegliche "ketzerische" Offenheit von HTTP ablehnend. Aber andere brauchen HTTP wegen dessen Offenheit, verlangen nach Toleranz davon, dies mit Zwangs-HTTPS verweigern ist unakzeptabel. Zwischen ihrer politisch "notwendigen" Geschlossenheit und anderer technisch notwendigen Offenheit ist kein Kompromiss zu finden. Weshalb dieser Konflikt nur noch lösbar sein wird durch sie unschädlich machen.

(Anmerkung: Parallelen von diesen Webadmins zu den DUL Mailadmins wurden sichtbar: Diese wurden über mehr als 10 Jahre hinweg von dessen Schaden informiert, dass wegen DUL legitime Mails systematisch als "Spams" verloren gehen. Wobei sowohl die Sender welche direkt versenden verlieren, wie auch die Empfänger auf ihren Servern. Solche Auseinandersetzungen resultierten ebenfalls über 90% in Ablehnung und Forderung, dass Benutzer "gefälligst sich anpassen sollen". Selbst nur Empfängern, welche ihren Verlust erkennen, an ihren Mailboxen solche kaputten Filter abzuschalten erlauben, wurde verweigert. "Ohne Inhalt testen abweisen" DUL gilt für alle, egal der Schaden. Genauso wie Zwangs-HTTPS für alle gilt, egal der Schaden. Vegleichbar war auch der "wir wissen es besser" Standesdünkel bei den Mailadmins. Unterschied war nur, dass DUL umgehbar war, wenn auch mit nervendem Aufwand. Weshalb das nicht in einer Kampagne wie dieser ausartete. (Was aber jetzt nachgeholt wird, diese Gelegenheit nutzend.) Weshalb auch die Ähnlichkeit bei den Webadmins schnell offensichtlich wurde, und Plan A bereits nach 2 Jahren von 2017 und 2018 aufgegeben wurde. Gefolgt von in 2019 Plan B aufbauen und ab 2020 es verbreiten.)

7.2: Plan B

Daher kommt nun Plan B. Dieser besteht darin an die Öffentlichkeit zu gehen, um anständige Leute aufzusammeln, mit dem Ziel durch viele von ihnen sozialen Druck auf die abwegigen Webadmins auszuüben. Als erster Schritt die diversen Opfer aufklären, welche oft nicht erkennen was ihnen geschieht. Als zweiten Schritt diverse Sympathisanten auflesen, aus den Leuten welche gegen Fanatismus sind. Dafür auf die grosse Masse in der Mitte zielen, welche zumeist Extremisten ablehnt. Aus diesen eine Allianz der Offenen aufbauen, zur Abwehr von Zwangs-HTTPS.

Dabei gerade auch auf Leute zielen, welche in einer Position sind um aufmachen durchzusetzen. Wie jegliche Websitebesitzer, welche solche Admins als Personal abbekommen haben, von diesen hintergangen und sabotiert werden. Man kann damit der Admins ihre technische Machtposition mit einer kommerziellen Machtposition begegnen, wo sie doch Rücksicht nehmen müssen, weil ihr Einkommen davon anhängt. Diese können dann nur noch sich reformieren oder abtreten. Egal welches davon, richten sie jedenfalls keinen Schaden mehr an, sind somit unschädlich gemacht.

Dazu Information über die im Verborgenen begangenen Untaten dieser Admins streuen. Insbesondere ihre Wirkung auf ihre Opfer beschreiben, um so zu zeigen warum das so unakzeptabel ist. Dabei gleich Argumente gegen ihre falschen Vorstellungen und Aussagen mit verbreiten. Insbesondere zeigen wie ihre Diktatur gegen Freiheit steht. Dazu gibt es diese Kampagne und Website.

Dies alles klingt in mancher Hinsicht wie ein schlechter dystopische Zukunft SciFi Film, mit einer total übertriebene Situation und Handlung. Es ist aber keine spekulative Erfindung, sondern das reale Situation vom heutigen Internet, mit realen Opfern, welche inzwischen darunter massiv leiden, weil Verfolgungswahn und Gedankenlosigkeit zugeschlagen haben. Die grösste Schwierigkeit wird sein, Leute zu überzeugen, dass sowas real geschieht, dass die Schöne neue Welt des Internets erstmals grosse Risse zeigt, was niemand erwartet, wegen keiner Sichtbarkeit. Aber hier ist eine neue Gruppe von mächtigen Bürokraten entstanden, von denen Leute inzwischen abhängig sind. Aber manchen/vielen von denen fehlt es an passender Verantwortung im Umgang mit einer Machtposition und auch an Fähigheit auf Kritik einzugehen.

Die Tests weiter unten existieren, damit man herausfinden kann wo und wieviel dies wirklich der Fall ist. Man kann auch davon ausgehen, dass zumindest der Anteil an Fanatiker sich komplett daneben benehmen werden, wenn konfrontiert mit Kritik, wie sie es schon wiederholt demonstriert haben. Dies wegen unfähig sein solche zu akzeptieren. Sie können schliesslich nichts akzeptieren, was gegen ihre Vorstellung läuft, es so nicht aufnehmen, noch die Konsequenzen davon in Betracht ziehen. Weshalb sie auch nicht erkennen wie sehr sie sich selber in den eigenen Fuss schiessen. (Die nur gedankenlosen Admins werden dagegen eher total verdutzt sein, weil sie mangels Aufmerksamkeit bisher nichts bemerkt haben.)

7.3: Grundlage

Damit geht der Befreiungskampf los. Ziel ist, wir wollen zurück zum offenen Internet, wie es bis 2015 war, bevor die Zwangs-HTTPS Webadmins aufkamen. Basis vom Internet, als weltweites Medium, kann nur Toleranz und Offenheit sein, weil nur so kann jeder weltweit teilnehmen.

Grundlegend dabei ist, dass es nur zwei Wege im Leben gibt, Freundschaft und Kooperation, oder Feindschaft und Kampf. Freundschaft meidet Verluste und Leid, ist daher wo möglich zu bevorzugen. Dies führt zum bekannten Ansatz von "leben und leben lassen", und so zu Toleranz. Daraus entsteht Zivilisation und somit ein besseres Leben als in Barbarei. Dies führt zur Evolution von Kooperation, und das zu Respekt vor anderen. Zentrale Regel der Zivilisation ist "behandle andere so wie du von ihnen behandelt werden willst". Selbst ausreichend intelligente Egoisten erkennen, dass solches Verhalten in ihrem eigenen langfristigen Interesse ist, weil es mehr an vermiedenen Verlusten einspart, als es an verzichteten Profiten kostet.

Dies benötigt aber, dass beide Seiten mitmachen, beide diese Voraussetzung einsehen und einander respektieren. Wo eine Seite nicht mitmacht, muss die zweite Seite auch darauf verzichten. Sonst verbleiben ihnen nur Kosten vom Verzicht und trotz diesen auch noch Verluste durch den anderen, bis zu vernichtet werden. Das wollen sie verhindern. Was zur weitherum bekannten Einstellung führt von "sei tolerant mit allem ausser mit Intoleranz". Daraus folgt selektiv vorgehen. Zentrale Regel gegen Barbaren ist "behandle diese so wie sie dich behandelt haben". Nur unzureichend intelligente Egoisten versagen die Folgen zu erkennen, zerstören rücksichtslos und werden zerstört. Dies gilt auch für all die, welche geistig erblindet von panischer Angst selektiv verdummt geworden sind.

Wenn nur eine Seite so ausschert, entsteht Konflikt und Feindschaft, was hier jetzt geschehen ist. Die Angegriffenen können nur wählen zwischen aufgeben oder sich wehren, welches zu geringerem Verlust führt. Ohne Kampf entsteht hier garantiert untergehen. Die Angegriffenen wollen dies nicht, brauchen offenes Internet, aber bekommen solches nicht von den Diktatoren. Deren Fanatismus zerstört, weil es nicht tolerant sein kann. Also muss es ausgemerzt werden, wie jegliche andere Barbarei. Es offeriert kein Erbarmen, also verdient es auch keines. Widerstand ist somit unvermeidlich, Befreiungskampf um die Störung zu stoppen, wonach Friede erst wieder möglich sein wird.

Dazu kann der Widerstand nur benutzen was nutzbar verbleiben ist. Weitere Limite kann noch davon kommen, wie weit man zu gehen bereit ist um sein Ziel zu erreichen. Manche sind nicht bereit zu käpfen, weil Gewalt benutzen "böse" ist, aber solches führt zu Untergang. Manche kippen auf die andere Seite und werden dann unlimitiert aggressiv, was auch schadet. Und letztere schrecken erstere ab, verschlimmern es noch weiter. Strategie sollte daher selektiv vorgehen sein, mit Gewalt gegen Angreifer, aber keine gegen andere.

Obiges Freundschaft und Kooperation oder Feindschaft und Kampf ausweiten, von binäres "entweder/oder" auf analoges "so weit wie der Angreifer ging", erlaubt einiges. Mit Angreifern welche bis zu garantiertem Webrauswurf gingen, inklusive an den Rand der Gesellschaft bugsieren, ausser man kann und will updaten, erlaubt dies Abwehr bis zu angedrohtem Jobrauswurf gehen, ausser sie erkennen und akzeptieren Toleranz.

Wie bei jedem Kampf wird dies Verluste kosten, auf beiden Seiten, aber das ist bei den Angegriffenen weniger schlimm als ohne Abwehrkampf untergehen. Darum ist Barbarei schlecht, weil es nur schlecht oder noch schlechter als Auswahl lässt. Man sollte deshalb meiden leichtfertig einen Kampf anzuzetteln. Aber wenn man es mit Fanatikern welche angreifen zu tun hat, hat man keine andere Wahl als das geringere Übel zu nehmen. Nur deshalb gibt es immer noch Krieg, trotz dass die Mehrheit ihn nicht mehr haben will, weil dumme Gewalttäter versagen dies einzusehen. (Weshalb die umgehbaren DUL Mailadmins keine Kampagne wie diese auslösten, erst die erzwungenen HTTPS Webadmins solches nötig machten.)

Wir organisieren daher nun eine Allianz, um öffentlichen Druck auf die fehlbaren Webadmins aufzubauen. Dies durch ihre Arbeitgeber aufklären, diesen ihre Verluste an Leser und potentielle Kunden zeigen. (Zudem bei DUL Mailadmins ihre Verluste an Sender und potentiellen Kunden.) Wonach diese, aus ihrem eigenen Interesse, uns helfen werden gegen gemeinsames Ziel. Damit können wir beide Fanatiker und Gedankenlose unschädlich machen, egal ob durch zweitere informieren, oder erstere reformieren oder schlicht ausscheiden.

7.4: Ziele

Nicht alle Webadmins sind schlecht geworden. Manche sind offen. Aber die grosse Mehrheit an Websites ist inzwischen geschlossen gegen HTTP. Wenn man genauer hinschaut, sind vor allem diverse persönliche Sites eher offen, mit ihren vielen kleineren Admins, aber grosse Web 2.0 Platformen sind fast komplett zu, mit ihren professionellen Admins. Damit sind wohl 10 bis 30% der Webadmins gut, aber weit über 90% der Profis sind befallen, sind entweder fanatisch geworden oder nur gedankenlos gefolgt. Wir wollen die Guten als Freunde respektieren, nur gegen die Schlechten als Feinde vorgehen. Die Tests weiter unten können auch genutzt werden um zu erkennen wer Freund oder Feind ist.

Ziel ist nicht die Feinde vernichten, sondern nur sie unschädlich machen. Ziel ist nicht Rache, sondern Abwehr um ihren Angriff zu beenden. Dazu muss man nur den Verfolgungswahn oder die Irrlehre vernichten, welche sie ergriffen hat, somit sie von diesen befreien.

Um das zu erreichen, kann man manche durch Wissen streuen zu Einsicht und Umkehr bringen. Dies wirkt gerade auch bei denen, welche nur gedankenlos handelten, einer "Das macht man heute so" Lehre folgten, aber nun deren Fehlbarkeit erkennen. Vielleicht sogar manche, welche daran glaubten, aber nach den angerichteten Schäden sehen erkennen und umkehren. Weshalb wir alle informieren, um sie wo möglich zu reformieren.

Nur die welche zu verdorben sind und davon erkennen verweigern, sollen dann entfernt werden. Allenfalls wird Konfrontation mit Entlassung einen Teil von ihnen zur Besinnung bringen. Sei das erst nach eine Wiederholung erleben an neuer Stelle. Oder sogar mehrmals. Oder gar, nachdem das Problem weitherum bekannt wird, bereits bei Stellensuche scheitern. Oder gar dies auch mehrmals.

Ein Bodensatz an unrettbar kaputten Fanatikern ist zu erwarten. Die welche selbst nach keine Arbeit mehr finden, nicht aufgeben wollen, trotz sich selber vernichten. Manche extreme Fanatiker werden sich als zu unrecht verfolgte "heilige" Retter der Welt anschauen, welche niemals kapitulieren werden vor der "bösen" Offenheit, lieber sich im Kampf dagegen aufopfern, bis sie zerstört am Boden liegen.

Egal welches geschieht, reformieren oder ausscheiden, letzteres temporär oder permanent, oder was auch immer sie spezifisch brauchen, kann das angestrebte Ziel auf jeden Fall erreichen werden, dass das Web wieder für alle benutzbar wird, egal was diese dazu benutzen können oder wollen.

Vorgehen ist somit selektiv, gegen alle welche auf ihren Sites einen Zwangs-HTTPS Redirect einsetzen. Ihnen wird aber verzeihen werden, sobald sie einsehen, reuig werden und aufmachen mit HTTP wieder zulassen. Dies als dauerndes Angebot zu Frieden, offen für alle welche umkehren, ihren Angriff beenden, mit dann wieder in Freundschaft als besseren Zustand leben möglich werden, statt weiter in Feindschaft. Auch hier gilt zurück zu "leben und leben lassen", besser spät als gar nicht. Damit offerieren wir allen einen Ausweg vom Konflikt, sobald sie nicht mehr angreifen. Die Tests weiter unten können auch genutzt werden um zu erkennen kann wer Seite gewechselt hat, oder schlicht ersetzt wurde.

Das Ziel ist erreicht, wenn die Situation reversiert ist, Zwangs-HTTPS von über 90% wieder auf unter 10% gefallen ist. (So wie bei DUL in 2015 geschehen.) Als Mass dabei gilt, wenn eine durchschnittliche Suchmaschinenanfrage diese Anteile an HTTP Links bringt, welche auch als solche funktionieren, gemäss dem Telnet Test weiter unten.

7.5: Methoden

Entscheidend hier ist den Gegner kennen! Kenne und meide ihre Stärken sonst verliert man. Kenne und nutze ihre Schwächen aus sonst versagt man. Dabei ist wichtig, dass die Fanatiker vor allem massiv verängstigt sind. Damit haben sie sich selber selektiv verdummt, haben nun Panik, haben keine Abwehr von Angst, nahmen immer mehr davon auf. Davon getrieben streuten sie Angst unter einander, sich gegenseitig hineinsteigernd. Dazu haben sie generelle "böser Staat" Sentimente ausgenutzt, und konnten so etwas Sympathie aufsammeln, selbst wenn sie nur ein Haufen Wahnsinnige sind. Zu diesen kommen all die kritiklosen Fachauthoritäten und die gedankenlos ihnen Folgenden.

Von dieser unrealistischen Angst kam ihr Angriff gegen komplett unbeteiligte Web Benutzer. Diese, zu Opfer geworden, wehren sich jetzt und wollen diese Situation umzukehren. Wir können dazu die Fanatiker als die realen "bösen Angreifer" aufzeigen und die gedankenlosen Folger als Ignoranten. Das wird jegliche existierende Sympathie für sie beenden. Damit werden die Kryptofanatiker fallen, von etwas Sympathie haben zu ihre Opfer viel mehr davon bekommen, die Situation wird reversiert.

Dazu können wir ausnutzen, dass sie in ihrer Gruppe vor allem sich gegenseitig verängstigt haben. Die externe Welt hat wenig davon mitbekommen, wurde nicht von ihren Ängsten infisziert, wurde nicht davon voreingenommen, ist nur unwissend. Daher können wir jetzt auf externe informieren zielen, so Widerstand aufbauen auf neutralem Boden. Diese Kampagne ist daher bewusst an allgemeines Volk gerichtet, nicht an Fachpersonen, von denen viele versagt haben. Die fehlbaren Webadmins werden dabei diskreditiert werden, wenn ihr Verhalten und Aussagen offengelegt werden, gefolgt von bestätigt werden in Kollisionen mit dem fanatischen Teil von ihnen.

Gegen dieses Vorgehen haben sie keine Verteidigung. Als Bewegung haben sie keinerlei Kohärenz, können nicht ihre Fehler erkennen und revidieren. Dies weil sie letztlich die selbige Vorgehen haben wie eine Horde Zombies, nur dass sie einfach von Ängsten statt Bissen infisziert sind. Sie haben keine Fähigkeit Kritik aufzunehmen, wo sie auf solche stossen. Dies kombiniert mit davonlaufen, sobald Diskussion verloren, führt zu keiner Meldung in ihre Echokammer. Das hindert sie daran, in ihrem eigenen Interesse, andere auf der eigenen Seite zu warnen. Sie haben davon keine Kontingenzplanung, können jetzt keinen geordneten Rückzug machen, weder taktischen, noch empfehlenswerten strategischen.

Deshalb ist wohl auch Plan A gescheitert, wegen den Fanatikern ihrer Unfähigkeit zu kommunizieren, sowohl extern wie auch intern! So verblieb nur ihre Propaganda, seit Jahren aufgebaut, während die Beschwerden der Opfer ungehört verhallten. So wurden die Gedankenlosen auch nicht gewarnt, was die Situation teilweise entschärft hätte. Daher kommt nun Plan B, mit all dessen Folgen für sie.

Der Widerstand wird jetzt geplant und organisiert vorgehen. Er muss nur sie aufholen. Für Erfolg dabei, muss er nur die grosse Masse an anständigen aber unwissenden Leuten informieren, so sie zu gegen die fehlbaren Webadmins vorgehen bringen. Dies inklusive die zumeist ebenso anständigen Webinhalteersteller informieren, da diese auch zu den Verlieren gehören. Von denen manche direkt oder indirekt die Webadmins einstellen und bezahlen, dafür voll funktionierende Server erwarten. Diese Anstellung kann nun genutzt werden, um die Admins zu reformieren oder schlicht sie zu eliminieren.

Ohne Kohärenz haben sie keine Chance einen eigenen Plan B zu entwickeln. Weshalb es nur eine Frage der Zeit ist, bis wir sie aufgeholt und überwältigt haben werden. Für dies ablaufen erwarte ich, ansgesichts der verfahrenen Situation, welche etwa 5 Jahre an Entwicklung hinter sich hat, vergleichbare 5 Jahre. Genauer folgend in 2013 ihrem Auslöser Snowden, von in 2015 erste grosse Websites betroffen, bis 2018 bei 90% ankommen, erwarte ich hier in 2020 meinen Auslöser, von in 2022 erste grosse Erfolge, bis 2025 bei 90% ankommen.

(Nachtrag 2023: Aber dann, genau als ich bereit war um in 2020 mit verbreiten loszulegen, kam Corona dazwischen und dominierte Gesellschaft und Presse jahrelang. Nachdem das vorbei war, waren Rest 2022 und frühes 2023 mit persönlichen Problemen voll. Mitte 2023 schlägt die SPF Sicherheitsüberreaktion von Mailadmins zu, idealer Zeitpunkt um dies wieder aufzunehmen, zumal beide vom gleichen Admin Fehldenken kommen.)

8: Wie testet man auf betroffene Sites?

Jetzt wo das Vorgehen bekannt ist, selektiv gegen manche versagten Webadmins gezielt. Viele werden wissen wollen, welche Websites genau betroffenen sind, mit welche Webadmins dahinter, und daher anzuzielen sind. Insbesondere herausfinden ob die eigene Site betroffen ist, und ob der eigene Admin anzuzielen ist! Es hat verschiedene Methoden, welche benutzt werden können, um herauszufinden ob eine spezifische Site Zwangs-HTTPS verwendet. Diese Methoden rangieren von einfach aber ungenau bis exakt aber aufwendig. Hier sind sie sortiert nach Aufwand um sie zu benutzen.

8.1: Browser

Am einfachsten aber auch am problematischsten ist explizit eine HTTP URL in einen beliebigen Browser eintippen, oder eine vorhandene URL von https:// auf http:// ändern. Falls dann eine Seite kommt und HTTP bleibt angezeigt, womit kein Redirect auf wieder HTTPS stattfand, ist die Site erwiesen offen. Ende Test.

Aber das Umgekehrte kann irreführend sein! Selbst ohne einem Redirect kann der Browser selber zu HTTPS zurückgehen, wegen einem HSTS Eintrag gesetzt, gerade auch bei von https:// auf http:// ändern. Gegen diesen Effekt kann man nur einen garantiert unbenutzten Browser nehmen, oder zumindest einen der garantiert auf dieser spezifischen Site nie benutzt wurde, insbesondere auch nicht durch https:// auf http:// ändern! Dies ist einfach zu machen, aber bleibt unsicher, darin ob das mit dem unbenutzt auch wirklich stimmt.

8.2: Telnet

Nur der Telnet Test ist wirklich sicher. Daher gilt er um zu bestimmen ob das Ziel von Zwangs-HTTPS Websites unter 10% bringen erreicht ist. Aber er ist auch mit Abstand am aufwendigsten, sowohl um ihn zu verstehen wie auch anzuwenden. Allenfalls wird man dabei um Hilfe fragen müssen, von einem Rechnerkenner dem man vertraut und der folgendes hoffentlich versteht.

Dazu muss man ein Program haben, welches das Telnet Protokoll benutzen kann (ein altes Remote Login Verfahren). Ein solches Program hat vielleicht den Namen "Terminal" oder eine Variante davon. In diese Programm muss man als Host oder Server den Namen der Website einzugeben (das was in der URL nach dem http:// aber vor dem dritten / ist). Als Port ist 80 einzugeben (HTTP Webverkehr). Falls das Program eine Option hat auf automatisch schliessen oder offen bleiben nach Verbindungsabbruch, ist letzteres auszuwählen.

Nach verbunden sein gibt es keine Ausgabe vom Server (aber das Telnet Programm kann welche von sich ausgeben). Man kann dann manuell HTTP Protokoll tippen (den Dialog den Browser benutzen um spezifische Seiten von Webservern zu bestellen). Darin einfach die Zeile "GET / HTTP/1.0" eingeben (alles zwischen den "", aber ohne diese, es hat Leerzeichen vor und nach dem ersten /, aber nicht vor und nach dem zweiten) mit danach Return. Gefolgt von der Zeile "Host: <WebsiteNamen>" (wieder ohne die "" und mit <WebsiteNamen> ersetzt durch selbigen Namen wie oben bei Host, mit Leerzeichen nach dem : aber nicht davor) mit danach zweites Return. Dies gefolgt von einer Leerzeile, durch nur einem dritten Return. Den Website Namen braucht es so zweimal, das erstere sagt dem Telnet zu welchem Server gehen, das zweite sagt dem Server welche Website man von ihm haben will. (Ein Browser macht beides automatisch, aber Telnet macht keine derartigen Annahmen.)

Was nach dieser Eingabe folgt ist dem Server seine Ausgabe, etwas was ziemlich lange Zeit vorbeiscrollen kann bei einer grösseren Homepage. Diese wird gefolgt von automatisch die Verbindung abbrechen, daher falls möglich obige offen bleibend Option auswählen. Nach wieder zuoberst von dieser Ausgabe hinauf scrollen, kann man dessen Anfang auswerten. Genauer den ersten Block Zeilen auswerten, die vor der ersten Leerzeile, diese sind dem Server seine Antwort (mit allem was nach der Leerzeile kommt den eigentlichen Pageinhalt sein). Hat es als erste Zeile ein "HTTP/1.1 200 OK" (oder mit 1.0 statt 1.1) ist dies ein erwiesen offener Server, welcher soeben eine gültige Page gegeben hat (das möglicherweise grosse Durcheinander an Daten nach der Leerzeile).

Sollte es "HTTP/1.1 301 Moved Permanently" haben, muss man den zumeist kurzen Rest des ersten (und einzigen) Blockes weiter auswerten. Entscheidend ist dabei die Zeile welche mit "Location: " anfängt. Hat diese, trotz mit Port benutzen 80 HTTP bestellen, eine https:// URL zum selbigen Server darin, ist der Server erwiesenermassen geschlossen. Weil das ist das untergeschobene Redirect des Zwangs-HTTPS, zwecks umleiten auf HTTPS!

8.3: Mailtest

Die Telnet Methode kann auch adaptiert werden, um zu sehen ob ein Mailserver Zwangs-TLS hat. Dies ist aber nochmals etwas komplizierter. Als grösste Hürde muss man zuerst den Servernamen herausfinden, der nicht identisch ist mit dem Maildomainnamen hinter dem @! Dies machen braucht den MX Record auflösen, was zu aufwendig ist um hier zu erklären, weil es sehr variabel ist, je nach dem benutzten System. Hier wird man wohl sicherlich um Hilfe fragen müssen, von einen Rechnerkenner seines Vertrauens. Der einfachste Weg dies zu erreichen ist durch den Mailheader einer angekommenen Mail analysieren, den Block Zeilen oben, welche alle mit Wort-Wort-Wort: anfangen, wo der Name in einem der Received: Zeilen drin steht (diese sind die "Poststempel" von allen Servern durch welche die Mail ging). Selbst dazu wird an Laie sicherlich Hilfe benötigen, erst recht falls ihr Mailer diese Zeilen nur teilweise anzeigt.

Wenn man den Servernamen hat, kann man ähnlich bei einer Website testen. Nur mit Port 25 (SMTP Mailverkehr) statt 80 und SMTP Protokoll statt HTTP Protokoll manuell tippen (den Dialog den Mailer benutzen um zum Mailserver spezifische Mails zu senden). Dazu ist es am besten sich selber eine Testmail senden, statt einer Homepage herunterladen.

Im Telnet die Zeile "HELO <Mailserver>" (wieder alles zwischen den "", aber ohne diese, nach dem HELO ein Leerzeichen und mit als <Mailserver> den Hostnamen des eigenen(!) Rechners, oder falls es keinen hat am schlicht den des Mailservers). Dann "MAIL FROM: <Mailadresse>" (ohne "" und bei <Mailadresse> die eigene benutzen, da man am senden ist). Die < und > der Mailadresse sind gemäss den Standards nicht nötig, sie sind nur dazu da allfällige Namen von der Adresse abzutrennen, was der versendende Mailer eigentlich machen sollte. Die meisten Mailserver trennen zur Sicherheit auch. Abermanche fehlkonfigurierte versagen sogar ohne diese! Dann "RCPT TO: <Mailadresse>" (diesmal die Zieladresse, bei seinem eigenen Server testen auch die eigene Mailadresse).

Nach verbunden sein und nach jeder Eingabe, sollte der Server mit einer oder wenigen Zeilen antworten. Die letzte davon sollte erstmals nach verbinden "220 MailserverName und so weiter" sein und danach jeweils "250 irgend etwas Ok" sein. Aber generell sind alle 200er Nummern am Anfang akzeptabel. Kommt man bis zu einem OK nach dem RCPT TO: ist der Server erwiesen offen, man kann dann "QUIT" schicken um abzubrechen, ohne wirklich eine Mail zu senden. Aber sieht man ein "550 A TLS connection is required" oder vergleichbares, ist der Server erwiesenermassen geschlossen. Weil das ist die Forderung vom Zwangs-TLS blockierend.

(Sieht man eine 500er Nummer, oft 554, mit einer Mitteilung der Sorte "Service not available" oder "No SMTP service" oder "Not authorised" oder vergleichbar, trotz dass es ein erwiesen funktionierender Mailserver ist, ist das ein guter Hinweis, dass man einen der verbleibenden Mailserver mit DUL in der "ohne Inhalt testen abweisen" Form hat. Selbiges gilt mit einer URL in der Fehlermeldung, was ein sicheres Zeichen ist, weil das bei DUL häufig gemacht wird aus "Rechtfertigung" des absichtlichen Versagens, aber sehr selten ist bei echten techischen Fehlern wie unbekannter Benutzer oder Disk voll.)

9: Wie kann man mitmachen bei diesem Vorgehen?

Dieses Problem ist eine grosse Angelegenheit, es berichtigen verlangt nach vielen Mitstreitern. Alleine kann man nicht viel anrichten, das Problem lösen braucht eine grosse Anzahl Web Benutzer aktivieren. Nachdem das Problem bekannt ist und wie dagegen Vorgehen und auch welche Ziele zum anvisieren, werden manche Leute bei der Kampagne mitmachen wollen. Um dies zu machen gibt es einige Möglichkeiten.

Wer eine eigene Website hat, kann offensichtlich diese von Zwangs-HTTPS befreien, sollte sie eine der vielen davon betroffenen sein. Damit tut man schon nicht mehr Schaden an den Opfern beitragen, ist nur noch neutral, oder besser gar helfend.

Egal ob obiges der Fall ist, kann man Links setzen auf seiner Site und so Wissen um das Problem verbreiten. Damit kann man andere informieren, welche ihre Sites aufmachen können und ebenso die Information weiter verbreiten. Selbst wenn man nichts ausser Information verbreiten kann, hilft dies andere zu erreichen, welche dann mehr anrichten können. Daher ist Information streuen das allerwichtigste, weil je weiter das Problem bekannt wird umso besser. Nur so können wir dem viralen Meme der Angstmache begegnen mit einem passenden viralen Meme der Aufklärung. Der grösste strategische Fehler ist aufzugeben, weil das garantiert keine Chance zu haben und somit verlieren, während versuchen stets eine Chance hat egal wie klein diese sein mag.

Das gilt selbst wenn die eigene Webpräsenz nur eine Social Media Site auf einer Web 2.0 Platform ist. Eine Site welche sehr wahrscheinlich von Zwangs-HTTPS betroffen sein wird. (Bonuspunkte, wenn man die Betreiber der Site erreicht und korrigiert.)

Wer gerne Icons/Buttons hat für Links zu Aktionssites, kann hier eines herunterladen:

SAVE HTTP Button

(Für die welche keine PNG Bitmap Icons/Buttons mögen und ihre eigenen erzeugen wollen: Die offizielle Definition ist: 2 Zeilen Text "SAVE" und "HTTP", alles in Grossbuchstaben, Farbe Grün auf Schwarz, Font beliebiges Monospace (also alle Zeichen gleich breit), doppelt so hoch wie breit (hier 8x16 Pixel, die 4x2 Zeichen ergeben so 32x32). Für das eigentliche Icon addiere links und rechts 1 Leer, sowie oben und unten ein halbes (ergibt dann 48x48). Für den Button addiere gleichviel in Grau 2/3 hell (#A0A0A0) (ergibt 64x64), mit aussen 1/4 davon (hier 2 Pixel) an abgeschrägtem Rand (links und oben weiss, rechts und unten Grau 1/3 (#505050)).)

Zusätzlich kann man seine eigenen Texte schreiben. Diese mit den eigenen Argumenten. Oder auch nur Meinungen oder Beurteilungen zu anderen Texten welche sie gelesen haben. Was alles mehr Relevanz addiert, durch zeigen dass dies mehr als nur eine einzelne Person interessiert.

Solche Texte können auch bewusst nur Teilaspekte vom Problem aufzeigen und erweitern, welche dem Schreiber bedeutsam sind. Alternativ schlicht einen Artikel kürzen, auf was der Schreiber für wichtig erachtet. Oder neue Aspekte addieren welche mir unbekannt sind. Oder andere Medien als Text benutzen, alle Protestformen anwendend, welche verwendet werden im Kampf gegen Rechtsextremisten oder Linksextremisten oder Religionsextremisten, weil hier gegen vergleichbare Kryptoextremisten.

Dieser grundlegender Text is bewusst allumfassend geschrieben, um ein "Buffet" von allem zu liefern. Es ist damit ideal für andere zum verlinken, für alles was sie weggelassen wollen, diese Basis dann weiterführendes Material zur Vertiefung liefernd. Das gilt auch mit die anderen als alternative Intros wirkend, oder gar Empfehlungen spezifischer Punkte mit alternativer Lesefolge.

Selbst wer keine Website hat, kann Wissen um das Problem verbreiten. Dazu E-Mail verwenden, oder was auch immer man zur Kommunikation benutzt. In diesen kann dieser Text verlinkt werden. Wieder ist Information streuen der wichtigste Aspekt.

Sogar ausserhalb vom Netz kann man noch helfen, in der Form eines druckbaren Flyers, direkt an andere abgegeben oder um an Veranstaltungen aufzulegen. Ein Flyer ist hier verfügbar, in HTML oder PostScript oder PDF Formate. Oder man könnte sogar seinen eigenen Flyer machen. (Die Erstpublikation von diesem Text war mit obigem Flyer auflegend an einem Retrocomputing Event spät in 2019.)

10: Wer kann etwas erreichen in diesem Vorgehen?

Nur beschweren funktioniert selten. Gerade auch nachdem sich diese Webadmins als derart verstockt erwiesen haben. Um zu funktionieren muss diese Kampagne Leute erreichen, welche Einfluss auf die Webadmins haben und damit etwas ändern können. Zum Glück gibt es einige solche Leute! Neben den Surfenden, welche zum Web herausgeworfen werden, trifft Zwangs-HTTPS auch die Inhalteersteller. Diese werden ebenfalls betroffen, von den Webadmins dazwischen sabotiert. Sie verlieren einiges an Leser und potentielle Kunden! (Dies gilt auch bei DUL, von den Mailadmins sabotiert, womit sie Sender und potentielle Kunden verlieren.)

Alle diese Mitbetroffenem haben auch ein Interesse gegen dieses Problem vorzugehen, wenn sie es wüssten. Manche haben auch eine Position in der sie Druck gegen die Admins ausüben können. Im Gegensatz zu den Surfenden, welche zumeist wehrlos sind gegen ihren Verlust. Arbeitgeber sind daher die Hauptziele von obigem Wissen um und Korrektur für das Problem verbreiten.

10.1: Staat und Ämter

Der Staat hat Vorschriften gegen Diskrimination. Aber diese werden von solchen Webadmins unterlaufen. Dies wird sogar zu einem Fall von ein Amt seinen Zweck verfehlen, falls das Zielpublikum nicht mehr Zugriff hat. Das gerade auch wo Ämter wie Sozialdienste nicht mehr erreicht werden können durch die anvisierten ärmeren Bürger. Das Resultat ist, dass das Digital Divide noch mehr zum Rauswurf aus der Gesellschaft wird. Alle staatlichen Ämter können per Vorschrift von oben erreichen, dass ihre Sites offen sein sollen.

10.2: Wirtschaft und Firmen

Die Wirtschaft will Umsatz und Profit machen. Firmen leisten sich grossen Aufwand, um auch nur wenige Prozente mehr Kunden zu ergattern. Kontrastiere dies mit ihren Webadmins, welche einfach einige Prozente an Verlust von Lesern und potentiellen Kunden akzeptieren. Das ist effektiv Sabotage an den Firmeninteressen, nur um ihre eigenen politischen Ziele zu verfolgen. All das ohne Erlaubnis dazu eingeholt zu haben. Firmen können per Vorschrift von oben erreichen, dass ihre Sites offen sind, oder sollte es notwendig werden durch Rauswurf falls Admins verweigern.

10.3: Organisationen und Universitäten

Organisationen können ungewollt zu einem Widerspruch zu ihren Zielen kommen. Gerade auch bei Sozial oder Umwelt fokusierten. Einerseits haben solche oft Aktivisten als Personal, und damit wahrscheinlich auch unter ihren Webadmins. Sie sind damit sogar stärker betroffen, wie bei oben erwähntem Wikipedia als grossen Vorreiter. Anderseits haben sie auch Aktivisten im Resten ihrer Leute. Damit sind diese eher bereit vorzugehen gegen solche Admin Sabotage. Gerade auch wo ihre Admins welche Benutzer herauswerfen ihren Ruf treffen kann, der bei vielen Organisationen welche Forderungen nach Gerechtigkeit stellen für ihre Glaubwürdigkeit wichtig ist. Erst recht nachdem all dies bekannter wird, und solche Admins weitermachen zulassen als Einverständnis angeschaut werden kann. Umweltorganisationen haben zudem ein spezifischeres Interesse an nicht unnötig Elektroschrott vermehren, was ebenfalls ihre Glaubwürdigkeit treffen tut. Organisationen können per Vorschrift von oben erreichen, dass ihre Sites offen sind, oder durch Rauswurf.

10.4: Presse

Es hat viele Nachrichten heute. Vieles davon ist aber immer wieder das Selbige, nur endlos wiederholt, nur mit leichten Variationen davon. Hier kommt eine total neue Thematik welche komplett unbekannt ist, und der erste grosse Skandal des Internets. Die Presse als Beruf existiert gerade auch um fehlbare Leute zu kritisieren. Hier mit der fanatischen Zwangs-HTTPS Admins erscheint ein neuer Typ an Fehlbaren.

Deren Schaden trifft diverse breit gestreute Opfer. Dieses Problem spricht somit alle an, egal ob rechtsgerichtete Presse, welche traditionell gegen linke Bürokraten ihren Machtmissbrauch kritisiert, oder ob linksgerichtete Presse, welche traditionell gegen rechte Bürokraten ihre Geldgierde kritisiert. Hier sind es Webadmins, welche als Bürokraten eine technische Machtposition missbrauchen, statt einer juristischen oder finanziellen. Davon abgesehen sind sie genauso wie beide obigen Gruppen. Diese Admins machen das erst noch von sich aus, ohne jeglichen Auftrag von Politik oder Management darüber. Es ist damit egal ob in Staat oder Wirtschaft, weil sie es als eigenwillige und eigenmächtige Aktion begehen. So ist diese Thematik von Interesse für beides rechte und linke Presse.

(Die Webadmins selber streuen auch von Rechts nach Links, was ihnen keinen Bonus von einer Seite verschaffen kann. Wenn etwas diese auszeichnet, dann ist es laute antiauthoritäre Rhetorik, aber mit widersprechendem schwer authoritärem Verhalten kombiniert, was ebenfalls ihnen keinen Bonus von einer Seite geben kann.)

Dazu kommt, dass ein Journalist kaum sowas neues ignorieren will. Das ist die Sorte grosse Story von der jeder Journalist träumt, das er einmal eine aufdecken kann. Aber dies anprangern, während allenfalls ihre eigene Website es macht, wäre ein Selbstwiderspruch, der direkt ihre Glaubwürdigkeit tangiert. Sie werden so ein Interesse haben, abzuklären ob ihre Publikationen von diesem Problem betroffen sind. Falls ja, werden sie dies korrigieren wollen, und werden dabei sehr wahrscheinlich kollidieren mit solchen Admins. Dabei werden sie ihre eigenen persönlichen Erfahrungen mit deren Reaktionen machen, teils fanatische, teils einfach gedankenlose. Dieses Fehlverhalten sichtbar so nahe bei ihnen selbst einschlagend, wird sie zu dagegen vorgehen bringen.

Auch die Redaktion und Verleger hinter ihnen werden den Verlust an Umsatz und Profit nicht mögen, gleich wie die restliche Wirtschaft. Dazu kommt, dass dies nicht nur ihr Marketing sondern ihr Produkt selber trifft. Und sie stehen unter Druck, so etwas neues als erste bringen zu wollen, statt nur als Nachzügler, was schnelle Beseitigung von blockierenden Admins verlangt. Die Presse kann daher nicht nur ihre Sites aufmachen, sondern auch mit Überzeugung Bekanntschaft vom Problem streuen.

10.5: Blogger

Blogger wollen Leute erreichen. Sie verlieren den angezielten Nutzen, wenn Leser von Zwangs-HTTPS herausgeworfen werden. Alles von oben gilt bei Sozial oder Umwelt thematisierten Blogs. Aber es gilt ebenso bei allen Liberal oder Libertarier thematisierten, wegen Ablehung von Diktatur. Selbiges bei allen Konservativen thematisierten, gegen unnötige Veränderungen aufgezwungen bekommen. Alle Seiten wird dieses Fehlverhalten von Admins anstacheln, wo es bei ihnen einschlägt.

Der Widerspruch wird ebenso zutreffen, solches Verhalten ablehnen, aber ihre Site macht es. Die Besitzer von Blogging Platformen werden es auch nicht mögen, da deren Einnahmen von Pageviews genausoviel reduziert werden, durch Leser herauswerfen. Hier wieder, können sie beides ihre Sites aufmachen und auch Bekanntschaft streuen. Blogging Sites waren eher noch lange offen als viele andere, aber inzwischen sind auch fast alle von ihnen betroffen. (Das Selbige gilt auch für Wikis, bei Pageeditoren wie auch Platformanbietern, auch fast alle betroffen.) (Ebenso gilt für Webcomics, bei Zeichnern und Lesern, auch fast alle betroffen.)

10.6: Andere Webadmins

Neben den Admins ihren Arbeitgebern sind ihre Arbeitskollegen auch betroffen. Über 90% der angesprochenen Webadmins sind dem Verfolgungswahn verfallen, aber ein unbekannter Anteil anderer Admins sind es nicht. Alle werden aber, wegen diesem schlechten Verhalten, Schaden am Berufsimage abbekommen. Sie alle riskieren einen schlechten Ruf zu bekommen, wie Beamte vor 100 bis 300 Jahren hatten, und teils bis heute behalten haben. Die anständigen Admins können sich klar vom Problem distanzieren, mit zeigen dass sie und ihre Sites offen sind. Das wird aber, wegen ihrem geringeren Anteil, nur limitiert wirken. Es wird besser sein, wenn sie sich einsetzen um die Wahnsinnigen in ihrem Beruf zu bekehren. Je schneller das Problem gelöst wird, umso weniger wird der Ruf aller leiden, ihrer inklusive.

Aber das wird wohl noch am wenigsten wirken, ansgesichts vom demonstrierten mangelnden Mitleid für andere Leute seitens der Fanatiker. Zumal manche von ihnen schon Bereitschaft erwiesen haben, ihren eigenen Ruf zu opfern, oder gar ihre Freunde zu verlieren, für so etwas "wichtiges". Dies könnte aber, nach dem Problem weit herum bekannt werden, manchen der fehlbaren Admins doch zu viel werden. Bisher konnten sie es unter den Tisch wischen als ein Minderheitenproblem, aber weniger so wenn ein grösserer Teil der Öffentlichkeit sich gegen sie stellt.

Zumindest kann dieser Effekt all die Webadmins erreichen die nur gedankenlos handelten, einer "Das macht man heute so" Lehre gefolgt sind, aber nun deren Fehler erkennend umdrehen. Manche welche daran glaubten und überzeugt mitmachten, werden vielleicht Seite wechseln, nach die von ihnen angerichteten Schäden sehen und verstehen. Selbiges gilt für manche Fachauthoritäten, welche kritiklos den Fanatikern ihre Lehren verbreitet und diese als "best practise" empfohlen haben. Selbiges gilt für Websoftware Designer, welche solche Konfigurationen den Admins empfohlen hatten, oder gar ihnen ungefragt unterschoben haben. Ebenso für Sicherheitsabteilungen, welche solche vorgeschrieben haben.

10.7: Andere Kryptobenutzer

Neben Arbeitgebern und Arbeitskollegen sind auch andere Kryptobenutzer betroffen. Über 90% der angesprochenen Webadmins sind dem Verfolgungswahn verfallen, aber ein unbekannter Anteil anderer Kryptobenutzer nicht. Teils von ihnen werden fürchten, dass dem Ruf von Kryptographie generell geschadet werden wird. Sie wissen sehr wohl, dass sie schon mit Krypto verbreiten dem Staat seine Überwachung bedroht haben. Ein Teil von ihnen hat nun sogar diese sabotiert, durch den Grossteil Webverkehr verstecken mit HTTPS unterschieben. Manche fürchten jetzt schon, dass der Staat verärgert ist und diese Entwicklung reversieren will. Erste Ansätze werden bereits in 2019 gesichtet, Krypto als Versteck von Verbrechern zu verunglimpfen und dies darzustellen als etwas was nicht sein darf, um Massnahmen dagegen zu rechtfertigen. (Nachtrag 2023: Die Corona Nachrichtenflut von 2020 scheint auch dies weggeschwemmt zu haben.)

Manche werden nun fürchten, dass der Staat diese Gelegenheit nutzen könnte zu einem Gegenschlag, sobald genug vom Volk Krypto vor allem assoziiert mit "Schutz" vor angeblichen "Gefahren" und nicht mit Schutz vor realen Verbrechen. Oder gar schlimmer, statt es lediglich als uninteressant erachten, es neu als fanatisch oder zumindest diktatorisch anschauen. Wonach Kryptogegner im Staat sich organisieren könnten, um die Situation auszunutzen, dabei nicht nur auch-offen fordernd, sondern nur-offen erzwingend.

Egal ob dies volle Kryptoverbote wären. Was aber eigentlich nicht zu erwarten ist, weil Verschlüsselung auch legitime Anwendungen hat, wie kritische Passwörter und Kreditkartennummern sichern. Oder ob dies nur eine vorgeschriebene systematische MitM Massnahme wäre um Krypto zu unterlaufen. Was auch eher unwahrscheinlich ist, weil Signaturenvergleich um Server zu verifizieren ebenso legitime Anwendung hat, wie MitM Attacken erkennen, welche Krypto unterlaufen versuchen.

Eine wahrscheinlichere Massnahme wäre wohl, Serverbetreiber dazu zu zwingen dem Staat "Hintertüren" aufzumachen, ihm Zugriff auf die transferierten Daten erlauben. Was Schutz von Kreditkartennummern und Passwörtern nicht verhindert (diese können selektiv durch XXXX ersetzt werden, wie auf Belegen), aber trotzdem dem Staat gibt was er haben will. Die Kryptofanatiker würden aber dabei verlieren was sie haben wollen.

Dies könnte gemacht werden, mit Krypto wegen Sabotage zu zumeist illegal erklären, mit anbieten nur gesetzlich zulässig falls Server mit Hintertüren betrieben werden. (Was anzunehmend nur bei Krypto für Verschlüsselung gelten wird, welche der Staat loswerden will, nicht bei Krypto nur für Signaturenvergleich oder Authentifizierung, was ihm nicht stört, eher sogar hilft.) Dies gefolgt von dabei mitmachen durch Netzsperren erzwingen. Wonach alle profitorientierten Web 2.0 Massenanbieter sofort mitmachen werden. Weniger kritische Sites werden vielleicht sogar einfach HTTPS ganz eliminieren, um den Aufwand für und Risiko von Hintertüren zu meiden. (Nicht vergessen zuerst allfälliges HSTS löschen vor auf HTTP umleiten, sonst werden Benutzer ausgesperrt.)

Nur kleine Aktivisten Anbieter werden sich solchem Gesetz widersetzen, was aber weit weniger Nebelwand erzeugt. Diese Anbieter werden somit erkennbar und verfolgbar, kurzzeitig aktiv aber sobald genug bekannt wieder weg. Normale Leute werden solche unzuverlässige Sites nicht benutzen, was die Nebelwand noch weiter reduzieren wird. Am ehesten überleben dann unauffällige Sites für kleine geschlossene Gruppen. Normale Leute werden solche versteckten Sites nicht finden oder nutzen, nur Aktivistenzellen oder Verbrecherbanden machen sich solche Mühe. Das wird genau den Staat auf sie beide fokusieren, und normale Leute weiter von ihnen distanzieren.

Die obigen Verunglimpfungen zielen vermutlich bereits auf eine Basis legen, um ein solches Gesetz zu legitimieren. Der Staat könnte nun diese Gelegenheit ausnutzen, um eine solche nicht versteckbare Massnahme akzeptabel zu machen bei einer Mehrheit vom Volk, sobald genug normale Leute die Kryptobefürworter nicht nur neutral als Eigenartige ansehen, sondern sie ablehnen als Saboteure oder gar Fanatiker.

Dazu kommt noch teils Volk, welches angepisst sein wird. Sich ausgenutzt fühlen, wegen der ungefragten Unterschiebung vom Redirect um ihren Datenverkehr zu missbrauchen für die Nebelwand aufbauen. Dies entgegen jeglicher bekannter Volksmeinung. Für Politiker macht dies erlassen von Gesetzen dagegen einfach.

All dieses geschehen ist weit wahrscheinlicher, als die Mikrogefahr durch Spionage falls man HTTP benutzt. Und letztere reicht bereits aus, um viele Kryptofanatiker in den Wahnsinn zu treiben. Wonach Kryptobenutzer anfangen können zu fürchten vor Verlust dessen was sie auf sicher zu haben glaubten. Dies genau wegen den beteiligten Leuten ihren massiv übertrieben angstbasierten Denkweisen! Dies wird gerade auch die fanatischen Webabmins voll treffen, da ihnen Krypto so sehr wichtig ist aus Angst, dass sie es allen aufzwingen wollen.

Von dieser Bedrohung es zu verlieren kann neue Angst kommen, und manche zu umkehren und ihre Sites aufmachen bringen. Gefolgt von streben, andere zu selbigem zu bringen, um das Ziel von Zwangs-HTTPS Websites unter 10% zu bringen schnell zu erreichen, um bekannt werden vom Problem zu verringern, und so den drohenden Verlust abzuwehren. Ein Umkehr der Zweifel streuen wird, die Bewegung entzweien wird, die bisher solide interne Gruppendynamik bricht von einander gegenseitig bestätigen. Je mehr diese Gefahr erkennen und umkehren, umso mehr von ihnen werden streuen. Damit entsteht eine reverse Feedbackschleife, welche immer mehr trifft, als eine genaue Reversierung der internen Gruppendynamik, welche den Wahnsinn verbreitet hat. Angst Meme direkt gegen Angst Meme. Dies kann so sehr wirksam werden. (Nachtrag 2023: Kryptobenutzer haben komplett versagt diesen Text ernst zu nehmen und unter sich zu verbreiten, haben so diese Chance vertan, trotz Corona ihnen mehr Zeit geben.)

10.8: Regulation verhindern

Was auch geschehen könnte, wäre dass die Gesetzmacher von diesem Verhalten angepisst sind. Egal ob es demokratische Politiker stört, dass eine Gruppe von selbsternannten Diktatoren ohne jegliche Legitimation agiert. Oder ob es nichtdemokratische Herrscher stört, dass jemand Macht an sich reisst ohne ihre Genehmigung. Beides könnte in Gesetze dagegen erlassen wollen resultieren.

Dazu kommt auch hier Volk, welches teilweise angepisst sein wird. Sei das sich betrogen fühlen, wegen der hinterrücks Enteignung. Oder wegen dem Missbrauch als Nebelwand gegen von ihnen gewollte Massnahmen. Oder nur genug haben von Sicherheitsmassnahmen, welche zu oft unnötig mehr schaden als die "Gefahren" welcher sie verhindern/vermindern solten. Oder schlicht dies als Anlass nehmen, um ihrem Unbehagen Ausdruck geben, wegen immer mehr abhängig sein von unsichtbaren Leuten, auf die sie wenig bis gar keinen Einfluss haben, und deren Verhalten sich zu oft nicht mit den Benutzern ihren Interessen deckt. Für Politiker macht dies erlassen von Gesetzen dagegen attraktiv, im Kampf um Wahlstimmen.

Dabei könnte Zwangs-HTTPS anerkannt werden als Diskrimination gegen die Lebensstile diverser Sorten von HTTP Benutzer. Gefolgt von obige Kriterien wo Zwangs-HTTPS unakzeptabel ist mit offiziellem Verbot belegen. Oder gar Verlangen nach Netzneutralität ausdehnen auf Server, Daten transferieren ohne sich einzumischen. Mit daher Verbot von jeglichen erzwungenen Anforderungen welche über minimale technische Funktionsnotwendigkeit oder Systemintergrität hinausgehen. Dies ist normalerweise der Fall bei aller anderer Infrastruktur und kann auch hier sein. Freiwillig sichern darf angeboten werden, aber nur wenn der Benutzer dies durch eine explizite Handlung verlangt (wie auf einen "Secure" Link klicken), und nur wenn er es wieder abbestellen kann (mit "Unsecure" Link).

(Selbiges könnte auch geschehen bei Zwangs-TLS, mit Verbot belegen wo es unakzeptabel ist. Oder auch wegen verhindern von direkt versenden Verbot ausdehnen bis auf die "ohne Inhalt testen abweisen" Form von DUL benutzen. Oder gar, wegen verhindern von Mailverlusten, weiter bis auf jegliche IP Adressen oder Hostnamen oder sonstige Metadaten basierten Techniken, inklusive SPF. Oder gar ebenfalls Netzneutralität von Server verlangen, mit daher Verbot von jeglicher erzwungenen Spamfilterung sich einmischen. Freiwillig filtern darf angeboten werden, aber nur wenn der Benutzer dies explizit bestellt, nach ehrlich die Verlustrisiken angebotener Varianten beschrieben bekommen, und er es wieder abbestellen kann.)

Die welche sich beschweren, falls dies passiert, dass wieder mal Freiheit durch Regulationen reduziert worden ist, und dann behaupten dass Eigenverantwortung besser sei, haben zwar einen Punkt. Aber sie sollten auch beachten, dass solchen grossen Worten passende Taten folgen sollten, diese Verantwortung auch wahrnehmen, sonst entsteht nur Verantwortungslosigkeit. Insbesondere solten sie solche nicht nur als Ausrede benutzen um Egoismus zu verstecken! Diese können jetzt nur noch sich bei all denen beschweren gehen, welche wieder mal eine grandiose Demonstration abgeliefert haben, wie sehr Eigenverantwortung versagt hat, zumindest bei ihnen. Womit sie all denen in die Hände gearbeitet haben, welche etwas gesellschaftlich wichtiges wie das Internet regulieren wollen. Dieser erster grosse Skandal des Internets könnte einfach zu dessen Fall Titanic werden.

Die welche das nicht wollen, können vielleicht noch versuchen es zu verhindern. Dies bräuchte eine Gegendemonstration von doch noch rechtzeitig das Problem einsehen und wieder aufmachen. Dies könnte helfen, manche Webadmins umzudrehen (und allenfalls auch Mailadmins), welche nicht unter solchen Regulationen arbeiten wollen. Weiter zudem diese dazu bringen, sich anzustrengen um andere umzudrehen.

11: Was ist zu erwarten an Reaktionen?

Die Angezielten werden natürlich dem Vorgehen gegen sie nicht tatenlos zuschauen. Gerade auch Versuche alle Vorwürfe abzuleugnen sind zu erwarten, wenn sich deren Ego blockiert gegen aufgebrochen werden. Erst recht weil sie, von diesem verblendet, ihren Angriff nicht als solchen erkennen, und daher von jeglicher Kritik komplett vor dem Kopf gestossen sein werden. Das ist nun mal normales Verhalten von Leuten welche von Realitätsverlust befallen sind, oder nur gedankenlos solchen folgen, dass sie mangels Aufmerksamkeit sämtliche Gefahrenanzeichen übersehen.

11.1: Ausflüchte

Wer solchen Admins begegnet und sie kritisiert, kann eine Menge an Ausflüchte erwarten. Es folgen diverse Beispiele solcher welche bereits gesichtet wurden, zusammen mit passenden Antworten dazu.

Erste Ausflucht wird sicher sein, dass sie alles richtig gemacht haben, so wie es "sein soll". Das ist eine Standardmethode von solchen Leuten, das woran sie glauben als einzigen richtigen Weg anzuschauen, daher alles was diesem widerspricht zu falsch umdefinieren. Hier gilt auch das Universalverhalten von "Guten", welche nur solche sind gemäss externen Regeln befolgen, statt aus echter innerer Güte. Daher fallen sie schnell ins Böse, sobald ihre Regeln es erlauben oder gar fordern. Aber schauen sich weiterhin als Gute an, weil sie ja ihren Regeln folgen. Daher wird auch jede Kritik als "ungerechtfertigt" abgewiesen, gemäss deren Regeln. Auch das eine Standardmethode von versagten Bürokraten. Da kann man antworten, sie hätten erkennen sollen, dass Andere anderes als richtig anschauen.

Dann kommt sicher, dass sie nur das Netz sicherer machen wollten für alle, um Leute zu schützen. Auch das ist eine Standardmethode, von schlechter Wirkung ablenken mit guter Absicht, egal was die realen Folgen für andere sind. Dies geht bis zum altbekannten "Der Zweck heiligt die Mittel" als ihre extremste Ausrede. Gerade politisch motiviertes Verhalten ist sehr anfällig auf dies. Es geschieht so oft, dass "Der Weg zur Hölle ist gepflastert mit guten Vorsätzen" in der Form von "Er hatte gute Absichten" zu einer Standardkritik in Form von falschem Lob geworden ist. Da kann man antworten, jemand rauswerfen ist weit schädlicher als die drohende Mikrogefahr, "Schutz" der mehr schadet als schützt ist kein solcher.

Dann kommt ebenso sicher, dass sie nicht gewusst hätten, dass sie damit Schaden anrichten. Da kann man antworten, dass unwissen anfangs akzeptabel war. Niemand kann alles wissen, das ist biologisch gegeben. Es folgt daraus aber, dass niemand wissen kann ob er Schaden anrichtet! Dementsprechend sollte man mit Vorsicht vorgehen, als Teil davon überlegen ob etwas Schaden anrichten kann, wie es oft geschieht bei Sicherheitsmassnahmen. Daher sollte man insbesondere auf Beschwerden achten, dass etwas Schaden anrichtet. Auf solche reagieren mit Ablehnung ist schlicht unakzeptabel. Spätestens nach so verwarnt liegt Schuld vor, und sie werden zu Täter und die betroffenen zu Opfer. Solches ablehnen, statt akzeptieren, entlarvt den "Schutz" als faule Ausrede.

Weitere Ausrede kommt sicher, dass dies heutiger Stand der Technik sei, das macht man so, oder gar das werde so erwartet. Auch das ist eine Standardmethode, abzulenken von Detailwirkungen mit Allgemeinplätzen. Bis zum altbekannten "Genau nach Vorschrift gemacht", was aber komplett gewissenlos ist. Da kann man antworten, dass Technologie den Benutzern dienen soll, wie diese es wollen oder gar brauchen, und nicht ihnen schaden. Dies wird vielleicht gefolgt von sie aussagen, dass dies empfohlenes Vorgehen ist. Dann kann man antworten, sie sollten nicht mehr Fachauthoritäten ernstnehmen, welche unaufmerksam eine Lehre aufgenommen und diese kritiklos verbreitet haben, welche Benutzer derart schadet. (Diese Authoritäten werden entweder ihre Fehler einsehen und sich davon distanzieren wollen, so Umkehr bewirken, oder unglaubwürdig werden, so diese zumindest nicht mehr verbreiten.)

Weitere zu erwartene Ausrede ist, dass HTTPS notwendig sei, um Unfälle zu verhindern welche geschehen würden wenn es auch ohne geht. Auch das ist eine Standardmethode, ablenken von einem Schaden anrichten, mit anderem Schaden verhindern wollen, und letzteren als wichtiger hinstellen trotz dass er geringer ist. Da kann man antworten, solche Unfälle seien auch mit weniger drastischen Methoden verhinderbar. Einfach ohne HTTPS keine funktionskritischen Edit Links oder Kreditkarten Links haben reicht dazu, plus HSTS anbieten für direkt zu HTTPS wo es gewollt ist. Vielleicht kommt danach weitere Ausrede, dass dies Aufwand brauchen würde, die Website Software umzubauen und zu erweitern. Da kann man antworten, dies sei nur ein geringer Aufwand, und Faulheit ist kein akzeptabler Grund um manche Leute ganz aus dem Web auszuschliessen.

Ebenso kommt sicher, dass dies "essentielle" Sicherheit sei, daher "muss es so sein", trotz irrelevant sein für weit über 90% aller Leute bei über 90% von ihrem Webverkehr. Diese Aussage kommt direkt aus ihrer Angst, weshalb sie es als absolut wichtig anschauen. Schliesslich ist Krypto genau deswegen bei ihnen zur heiligen Kuh geworden. Da kann man antworten, dass es den Benutzern ihre Entscheidung sei, wieviel und welche Art Sicherheit sie haben wollen und welchen Preis diese ihnen wert ist. Wenn sie diese als ihnen unwichtig oder zu teuer einstufen, sollen sie auch ohne leben dürfen. Das ist essentielle Freiheit. Ihnen dies verweigern, statt ihren Willen akzeptieren, entlarvt solchen "Schutz" als Fanatismus.

Sicher werden sie oft wiederholen, dass wir "gefälligst upgraden" sollen, gefolgt von Aussagen, dass dann alles kein Problem sei, nur dagegen "verstossende" haben solche. Zumal dies schon wiederholt während Plan A vorgebracht wurde. Auch das ist eine Standardmethode, ihre Morallehre predigen, als einen Fall vom altbekannten "es trifft nur Sünder, also ist es kein Problem". Da kann man Antworten, keiner darf von anderen verlangen, dass sie nach jemand anderem seinen Moralvorstellung zu leben haben. Jeder soll respektieren, dass andere auch Freiheiten haben und sie auch entsprechend leben dürfen.

Ebenfalls sicher werden sie wiederholen, wonach wir Kryptogegner sein sollen. Wieder wurde dies oft während Plan A benutzt. Auch das ist eine Standardmethode, von Kritik ablenken mit einem Strohmann abschiessen. Da kann man antworten, dass wir nicht Kryptographie oder HTTPS als solches ablehnen, da diese berechtigte Anwendung haben. Wir lehnen nur Zwangs-HTTPS ab, weil das unser Leben leben verhindert. Wir wollen weder alles-Krypto noch nichts-Krypto, wir wollen wählen können welches zu benutzen. Sie dürfen Krypto haben, und wir dürfen ohne sein. Wir sind keine Kryptogegner, sondern Kryptomeider. Sie sind nicht bloss Kryptobefürworter, sondern auch Kryptofanatiker.

Sie gehen manchmal auf eine noch tiefere Ebene und verschmähen uns einfach als dumm und/oder ignorant. Dies wurde auch oft während Plan A benutzt. Auch das ist eine Standardmethode, von Kritik ablenken durch Kritiker nicht ernst nehmen, bis hin zu diese sogar verspotten. Da kann man antworten, dass solche Angriffe auf eine Person deutlich aufzeigen, wie sehr es ihnen an wirksamen Argumenten fehlt. (Nach der Erstpublikation von diesem Text war eine häufige Reaktion, gemäss der Beschreibung eines Kollegen, dies alles zu behandeln als eine "Lachnummer eines zurückgebliebenen Schweizers voll ohne Ahnung". Vielleicht sollten diese Spötter sich errinnern, dass Schweizer eine lange Tradition haben in für Freiheit kämpfen, mit dabei aufgeblasene Herrschaften von ihrem hohen Ross stürzen.)

Erst recht sicher kommt dies als "Angriff" beschimpfen, spätestens wenn sie anfangen von Jobverlusten getroffen zu werden. Auch das ist eine Standardmethode, die Opfer beschuldigen nachdem diese sich wehren. Das ist die Denkweise von jedem Herrscher, der die Rebellion als schuldig anschaut, ebenso jedem System das zur Diktatur degenerierte, welches die Resistance als schuldig anschaut. Dies gerade auch weil sie ihren eigenen Aktionen nicht als Angriff wahrnehmen, und so den Opfern ihre Gegengewalt als die erste sehen. Da kann man antworten, dass sie hätten nicht einen Generalangriff machen sollen auf 15 bis 50 Millionen von Leute. Oder hätten zumindest, nach angreifen ohne es zu merken, auf Kritik eingehen und ihren Angriff abbrechen sollen, statt Plan A zu vereiteln. Womit erst Plan B nötig wurde, um einen Ende ihres Angriffes aus externem Druck zu erreichen. Addiere dazu, dass ihr Vorgehen den Opfern wenige Möglichkeiten offengelassen haben, und dass ihr Kollateralschaden an ihren Arbeitgebern diesen Plan B erst ermöglichte. Was der Grund ist, weshalb wir Resistance jetzt damit zurückschlagen. Dies ist kein Angriff, sondern Abwehr mit Gegenschlag, in Form vom Kollateralschaden den sie angerichtet haben aufzeigen. Die Opfer beschuldigen ist somit nur ein Fall von Überbringer einer Nachricht bestrafen. Dies doppelt so wenn sie, nachdem ihr Verhalten aufgedeckt ist, aufgefordert werden von ihren Arbeitgebern, mit Schaden aufzuhören. Aber dann entweder dies verweigern und dafür entlassen werden, oder sie als Verweigerung dieser Aufforderung kündigen.

11.2: Risiko

Allenfalls wird es Vorwürfe von unbeteiligten Kryptobenutzern geben, falls sie um Rufschaden an der Krypto von dieser Aktion fürchten, oder gar solcher Rufschaden ausgenutzt wird für Aktionen gegen sie. Wonach sie sich beschweren, dass sie mit getroffen werden als Kollateralschaden, oder zumindest das Risiko davon abbekommen. Da kann man antworten, dies sei bedauerlich, dass sie mitgetroffen werden. Aber der Ruf einer Bewegung leidet am Schaden den deren sichtbarsten Extremisten anrichten. Viele Bewegungen sind daran gescheitert. Sie hätten die Fanatiker in ihrer Bewegung erkennen und ablehnen sollen. Aber sie haben nichts getan, haben diese einfach ihre Ansichten und Verhalten unkritisiert verbreiten lassen.

Selbst während der Plan A Phase, half keiner von ihnen die Fanatiker zu kritisieren, was vielleicht noch bei teils beteiligten Admins Zweifel aufkommen lassen hätte, Plan A vielleicht doch noch gerettet hätte. Das geschah aber nicht, vielleicht weil manche zu sehr überrascht waren vom Verhalten der Fanatiker. Weshalb nun Plan B gestartet worden ist. Trotz etwas Risiko, dass sie als Auswirkung davon Kollateralschaden abbekommen.

Das weil dieser Ansatz unvermeidbar ist, zumal die Webadmins durch ihre Zwangsmassnahmen uns keine andere Wahl lassen. Für uns als komplett unbeteiligte Benutzer ist sonst Totalverlust vom Web sicher. Während ihnen als beteiligte nur Kryptoverlust droht und das nur vielleicht. Geringerer Schaden und weniger Risiko und das bei stärker beteiligten Leuten ist akzeptabel, weil geringeres Übel.

Das beste was jetzt bei Plan B noch drin liegt, ist erfolgreich sein in solche Admins unschädlich machen, so schnell wie möglich, damit das Ziel von Zwangs-HTTPS Websites unter 10% bringen, gemäss dem Telnet Test, schnell erreicht wird. Dazu können diese sich "bedanken" bei den Fanatikern, welche Plan A killten. Aber auch "bedanken" bei allen, welche diese nicht gestoppt haben, und so Plan A nicht zu Erfolg verhalfen. Was beide Gruppen anstacheln kann, schneller aufzuräumen. Sowie ihnen wenigstens etwas Sympathie und Mitleid verdient, sollten sie von Kollateralschaden getroffen werden.

Mit aufräumen verschwindet der Bedarf an diese Kritik weiter verbreiten. Weniger Leute erfahren davon. Rufschaden an der Krypto und das Risiko davon werden minimiert. Ihre beste Chance dazu besteht darin, dass verbreiten des Wissens unter ihnen schneller sein sollte, als verbreiten der Information an die generelle Öffentlichkeit, inklusive die Fachpresse schneller sein als die allgemeine Presse. Aber dies wird nur wirken, falls sie sich nicht verweigern, weshalb auch immer. Ansonsten gilt die alte Erkenntnis, dass wer zu spät kommt den bestraft die Weltgeschichte.

Sollte Krypto wegen dieser Kampagne verlorengehen, kann man ihnen anraten, ihre übertriebenen Ängste zu hinterfragen. Dazu können sie sich kontrastieren mit normalen Leuten, ohne dem verdrehenden Einfluss der Gruppendynamik ihrer Angstsubkultur. Dabei können sie erkennen, dass es zwei Sorten von Sicherheit gibt, davonrennen und sich verstecken oder falls nötig kämpfen mit aufdecken und eine Allianz sammeln.

Die digitale Gesellschaft strebt ohnehin unvermeidbar und exponentiell auf beliebige Datenverfügbarkeit hin. Dies ist schon seit Jahrzehnten bekannt und wird von manchen als Technische Singularität oder Technopathie bezeichnet. In solch einer Gesellschaft haben Geheimnisse als Strategie keine langfristige Überlebenschance, sind ein veralteter Ansatz. Bereits mitte 1990er erschien der Spruch "Privatspäre war gestern" bei aufmerksamen Insidern. Der Grund, weshalb solche diejenigen welche das heute immer noch abstreiten als Ewiggestrige anschauen.

Es ist daher besser, sich auf die kommende Zukunft einzustellen, deren digitale Offenheit nicht als Bedrohung sehen, sondern als Chance. Schliesslich sind es die, welche mehr zu verstecken haben, die dabei mehr zu verlieren haben, in einer Welt wo die Mehrheit der Leute anständig sind. Diese tolerieren heute vieles, aber nicht Intoleranz gegen andere. Womit alle akzeptablen Leute von vielen Hilfe bekommen können, gerade auch gegen Aggressoren, inklusive aller Angreifer welche sie fürchten. Zumindest sobald die Angegriffenen ein PR Desaster für die Angreifer daraus machen, genau wie es mit diesem Text gemacht wird. Der alte Spruch von "ehrlich währt am längsten" wird in der digitalen Welt unweigerlich immer bedeutender werden.

(Die real beste Antwort auf allfällig missbrauchte Überwachung ist genauso der überwachte Staat, mitsammt Pressefreiheit um dabei entdeckte Missbräuche aufzuzeigen. Die wurde schon vor Jahrhunderten erkannt durch die Gründer der Demokratie, trotz sie nur Papier und Gänsekiel und Postkutschen zu haben, sowie bestenfalls Druckerei und Zeitungen! Eine Einsicht welche auch zum Verbot von Zensur führte, weil dies solche Kommunikation verhindert. Leute welche trotz die digitale Welt kennen, dies noch nicht verstehen, haben massiven Nachholbedarf.)

Wer jetzt behauptet, dass die Masse in der Mitte nicht anständig ist, der sollte dringend seine Vorstellung von dieser Masse revidieren. Der weit verbreitete Spruch von "schaut nur wie dumm der Durchschnitt ist, und die Hälfte liegt darunter" mag zwar mathematisch korrekt sein. Aber die Wertung des Durchschnittes als dumm, liegt weit unter dem realen Stand den sie haben. Dies wird falsch eingeschätzt, weil die meisten Leute ihre Vorstellungen stark von Nachrichtenmedien beeinflusst sind, welche aus Spektakel vor allem die schlechtesten 5% zeigen, plus etwas die besten 5% wenn sie genug auffallen. Die 90% dazwischen werden grossteils ignoriert oder zumindest marginalisiert.

Real ist das Volk in der Mitte weit besser als sein Ruf und insbesondere weit besser als jegliche "besseren" diktatorischen Gruppen. Schlimmstenfalls weiss die Mitte nicht, oder ist gar gezielt missinformiert worden. Generell kann man davon ausgehen, dass Grossteils vom Volk die Freiheit zu leben wie man will respektiert (zumindest solange man ihre und anderer Freiheit zu leben wie sie wollen respektiert), sowie jeglicher "Freiheit" andere zu schädigen ablehnt (egal ob Schaden durch absichtlich etwas verbieten oder nur durch es wissend nebenbei verhindern).

Nur jemand der echt etwas zu verstecken hat wird keine Hilfe bekommen, zurecht so. Diejenigen deren Verhalten die Masse in der Mitte derart abstösst, sollten sich ohnehin fragen, was sie falsch machen? Warum wollen sie ein Verhalten leben, zu welchem sie nicht offen vor den meisten anderen stehen können? Die welche trotzdem meinen, dass ihr Verhalten richtig ist, nur zu unrecht abgelehnt wird, sollten sich fragen, warum sie sich nicht einsetzten um diese Ablehnung zu beenden durch andere aufklären? Etwas was viele Gruppen, welche Jahrhunderte oder gar Jahrtausende verfolgt wurden, in den letzten Jahrzehnten gemacht haben, mit Erfolg, durch das Volk in der Mitte wissend machen, statt sie missinformiert lassen. (Aber hier steht wohl die "für uns oder gegen uns" Mentalität vom Verfolgungswahn im Weg von Neutralen erkennen, und verhindert auch diesen Ansatz zu bemerken.)

11.3: Verdient

Die obigen Bemerkungen gelten nur für Kryptobenutzer, welche an der Zwangs-HTTPS Angelegenheit unbeteiligt sind, oder allenfalls noch für ehemalige die bekehrt wurden. Es gilt aber nicht für die Fanatiker, welche jeglichen Schaden der ihnen geschieht redlich verdienen. Schliesslich haben sie uns schweren Verlust zugefügt, bis zu garantiertem Webrauswurf, und damit an den Rand der Gesellschaft bugsiert werden. Sie waren auch nicht davon abbringen. Sie liessen uns so nur die Wahl das geringeren Schadens.

Weshalb wir nun gezielt gegen sie zurückschlagen. Dies mit einer Taktik von "Hier sterben wir sonst ohnehin, also die Mitte des Feindes durchbrechen, weil wir so am ehesten noch überleben". Hierbei zielen wir auf das Web wieder offen sein für alle. Bestenfalls mit Admins die erzeugten Probleme erkennen und so sich reformieren. Oder schlicht sie akzeptieren was wir wollen, wegen Drohung mit Jobverlust. Oder schlimmstenfalls unkorrigierbare Fanatiker aus ihren Jobs ausscheiden, wenn nicht mal Drohung wirkt. Dabei gönnen wir ihnen jeglichen passenden Verlust. Das alles ist Plan B.

Sollten aber allenfalls noch Regulationen folgen, werden wir ihnen diesen Verlust gönnen. Selbiges gilt auch für erzwungene Hintertüren, oder bis zu MitM Massnahmen, oder gar bis zu vollen Kryptoverboten. Wir anerkennen, dass es neben uns Kryptomeider auch reale Kryptogegner existieren, welche allenfalls jetzt profitieren werden.

Aber dies ist die Schuld derer, die Plan A vernichtet haben und so uns nur Plan B liessen. Sie haben damit ultimativ indirekt ihren eigenen Feinden in die Hände gearbeitet. Genauer haben sie uns Neutrale zu weiteren Gegnern gemacht, durch uns ausrotten versuchen. Sehr wahrscheinlich haben sie auch den Staat erst zu einem realen Gegner gemacht, durch seine Überwachung sabotieren, während er davor nur potentieller war.

Sollte der Staat sie jetzt verfolgen wollen, und dazu den Schaden an ihrem Ruf durch unsere Aktion ausnutzen, haben sie den Staat gegen sich aufgebracht, und uns dazu getrieben ihm diese Gelegenheit zu geben. Gemeinsamer Feind schafft so Verbündete. Sie verdienen daher voll jeglichen Schaden der entstehen möge. An Ironie wäre solch eine Folge kaum zu überbieten. (Erst recht wenn man bedenkt, dass sie anfingen mit Angst vor dem Staat in eine Diktatur umkippen, als Reaktion drauf selber zu Diktatoren wurden, und jetzt scheitern wegen Opfer welche ihre Diktatur absetzen wollen, und dem Staat welcher dies ausnutzt.)

Kontrastiere dies damit, dass Verfolgte sich als Strategie verstecken sollten, und sicher nicht als widersprechende Taktik meidbaren öffentlichen Ärger anrichten. Das gilt genauso, wenn sie sich die Verfolgung nur einbilden. Sie hätten sicher nicht derart grossen Schaden erzeugen sollen, dass die Opfer davon gezielt gegen sie vorgehen wollen. Egal ob kollateralgeschädigte Web Benutzer ihre Aktionen aufzeigen wollen, oder angezielter Staat ihre Sabotage beseitigen will. Wofür sie jetzt real verfolgt werden könnten.

Das erst recht so, wenn sie die ganze Welt angreifen, mit dabei 15 bis 50 Millionen von Opfern treffen. Was praktisch garantiert, dass zumindest jemand unter so vielen Betroffenen ist, der sowohl betroffen ist (alle Retrocomputer Nutzer die unvermeidlich herausgeworfen werden), der auch versteht was geschieht (weil viele Retrocomputer Nutzer technisches Zeugs gut verstehen), und der weiss wie daraus ein PR Desaster zu machen (von als ältere Generation schon Jahrzehnte lang solche beobachten und analysieren), und der eine Tradition hat in sich einsetzen (von der Retrocomputer Szene selbstorganisierend sein), und der sich Zeit dazu leisten kann (nach Verlust vieler Surfgelegenheiten), und der den Antrieb dazu hat (vom doppelten Ärger von Webverlust und verschwendeter Zeit wegen gegen nervende Fanatiker kämpfen statt an interessanten Projekten arbeiten).

Die welche sich beschweren wollen über dem entstehenden Schaden, sollten sich errinnern, wie sie umgegangen sind mit den Opfern ihren Beschwerden zu ihnen angetanem Schaden. Die welche damals keine Rücksicht gaben, können jetzt keine erwarten. Wer Freiheit haben will Krypto zu benutzen, aber andere ihre Freiheit Krypto zu meiden missachtet, kann seine Freiheit genauso verlieren, verdientermassen. Nur wer anderen ihre Freiheit achtet, kann seine eigene erlangen und behalten. Aber sie haben dieses Prinzip von Konsequenzen ignoriert. Ebenso wie sie das ganze Prinzip von vorsichtig sein ignorierten. Wie auch das Prinzip von Kritik von anderen akzeptieren.

Gerade Angst verhindert Intelligenz nutzen wegen Panikreaktion, und erzeugt so selektive Verdummung. So wurde all dies nicht erkannt und verhindert, nur wegen übertriebener Angst vor angeblicher Gefahr. So entstand ein weiterer Fall von, wer nicht auf Kritik hören will, muss Verlust fühlen. Sie werden ernten was sie gesäht haben. Das gilt selbst falls es teures Lehrgeld wird, bis zu massivem Verlust. Selbst wenn eine "den Bogen überspannt" Situation entsteht: Sie wollten zuviel, was sie schon hatten zerbricht, ist unreparierbar, sie verlieren alles.

Mitleid haben sie keines zu erwarten, das verdienen die Opfer, nicht die Täter. Am ehesten können sie noch auf Vergebung hoffen. Aber das bekommen benötigt zuerst ihren Fehler einsehen, dann aufhören Ausflüchte zu machen und ihre Schuld eingestehen, mit Reue zeigen und als Besserung ihren Angriff abbrechen. Wonach Ende ihrer Barbarei ist und Zivilisation wieder möglich wird.

Wieviele weise alte Sprüche hier bestens passen, zeigt wie sehr altbekannt das alles eigentlich wäre. Aber wenn man etwas oft aus der Geschichte lernen kann, ist es dass viele Leute gar nichts daraus lernen. Sie wiederholen schon vielmals gemachte Fehler, um ihre eigene persönliche Lektion zu bekommen. Gerade unzureichend intelligente Egoisten versagen nicht nur bei Respekt für andere Leute verstehen, sondern auch bei von anderen ihren Fehlern lernen. Erst recht glauben Besserwisser, sie müssen nichts mehr lernen, schon gar nicht von weniger wissenden, ignorieren so was andere gelernt haben. Selbst von früheren bereits gefallenen Besserwissern wird nicht gelernt, weil diese waren erwiesen nicht Bessere, und sind damit "nicht relevant". Wonach sie selbige Fehler wiederholen und ebenfalls fallen.

Leben existiert zum lernen. Manche machen dies einfach. Andere versagen darin, und geraten erst deswegen in Situationen, wo sie es weit schwieriger nachholen müssen. Was sie nicht aus Erziehung und Beobachtung gelernt haben, muss nun durch eigene Erfahrung korrigiert werden. Ein weit teurerer Weg. Da kann man nur noch hoffen, dass dieses Lehrgeld ausreichend teuer wird, um vielen von ihnen klar zu machen, wieviel Unsinn sie angerichtet haben. Gefolgt von einsehen und sich bessern, wonach sie in Zukunft andere ihre Freiheit respektieren werden, zu entscheiden aufgrund ihrer eigenen Kriterien. Und das mit bleibender Wirkung, wegen dem Schaden und Schmerz von dieser Lektion.


Home | Save HTTP !

Diese Seite ist von Neil Franklin, letzte Änderung 2023.11.10