Het wordt tijd dat pornosites deze standaard beveiligingsfunctie gebruiken

Een groot deel van de internetgebruikers kijkt graag porno in de comfortabele privacy van het eigen huis. Alleen waar deze mensen waarschijnlijk niet aan denken, zijn de potentiële consequenties van een onveilige verbinding (oftewel HTTP in plaats van HTTPS). Veel pornosites zijn standaard unencrypted, en hebben geen beveligingsoptie. Sterker nog, slechts drie van de top 10 pornosites – volgens Alexa rankings – gebruiken SSL. Die drie sites zijn LiveJasmin, Chaturbate, en Adult Friend Finder. YouPorn (#3), XNXX (#4), Flirt4free (#5), NudeVista (#6), Cam4 (#7), Liveleak (#8) en G-e-hentai (#9) hebben nog een lange weg te gaan.

Google begon pas met naming and shaming van de top 100 populairste sites die niet encrypted zijn, niet standaard encypted, of geen moderne cryptografie gebruiken. Vijf van de acht pornosites die ze op de lijst zetten – YouPorn, RedTube, Pornhub, xvideos en XNXX – hebben geen van de bovenstaande beveiliging. Alleen Bongacams, Chaturbate en xHamster hebben tenminste iets.

Anders dan het achterhaalde broertje HTTP, biedt het communicatie beveiligingsprotocol HTTPS bescherming tegen malware, maximaliseert het de privacy van gebruikers, en handhaaft het de integriteit van informatie-uitwisseling met een website.

HTTPS is vooral belangrijk voor mensen die bijvoorbeeld de meer mainstream pornosites bezoeken en niet willen dat een derde partij (zoals de internetprovider, een medewerker, of de overheid) weten welke pagina's ze op die sites bekijken – zodat de publiekelijk bekende seksuele oriëntatie niet wordt gebaseerd op de soort porno die ze kijken.

Aangezien de top-level domeinen niet encrypted zijn, zal HTTPS gebruikers niet beschermen tegen de schaamte van het feit dat ze specifieke websites bezoeken. Maar gebruikers van grote sites die een heleboel verschillende niches aanbieden kunnen voordeel hebben van HTTPS. In het netwerkverkeer is namelijk niets meer te zien dan het top-level domein. Als je bijvoorbeeld de versleutelde site kink.com bezoekt, is het geen geheim dat je op die site bent – maar aangezien het HTTPS gebruikt, weten alleen jij en de site of je kijkt naar de "water bondage" sectie, of "gay fetish," of "everything butt."

"Op sommige plaatsen is het verboden om homo te zijn, zoals in Indonesië en Singapore," zegt Joseph Lorenzo Hall, technoloog bij de non-profit belangenorganisatie Center for Democracy & Technology (CDT). "Jouw netwerkverkeer kunnen activiteiten verraden die volgens het regime streng verboden zijn."

Michael Stabile, woordvoerder van kink.com, denkt dat pornobedrijven zelfs een grotere verplichting hebben naar de gebruikers dan andere handelaren. "We hebben niet alleen te maken met de creditcardinformatie en andere informatie van mensen, we weten ook hele specifieke dingen die ze liever voor zichzelf houden. We leven in een maatschappij waar seksualiteit wordt gestigmatiseerd. Het gaat vaak om hele persoonlijke verlangens die mensen niet delen met familie, vrienden en laat staan de hele samenleving. We hebben de afgelopen jaren in onze industrie een aantal hacks voorbij zien komen. En bij hacks zijn de consequenties groter voor mensen die porno kijken dan op andere plaatsen. Daarom probeert de industrie er vooral de afgelopen jaren voor te zorgen dat er meer bewustzijn voor HTTPS komt."

Eerder dit jaar nam CDT contact op met de handelsorganisatie in de porno-industrie Free Speech Coalition (FSC) om over het onderwerp te discussiëren. De twee organisaties "probeerden pornosites aan te moedigen om dit te doen, omdat het iets is dat niet op de radar van veel sites stond," vertelt Stabile, die ook werkt als communicatie coördinator voor FSC.

Hall vertelde dat CDT besloot om zich te richten op pornosites vanwege de grote hoeveelheid verkeer, de gevoelige aard van dat verkeer, en wat er gebeurt als die gevoelige informatie in de verkeerde handen valt.

"Als we zien hoe overheden en andere grote netwerk toezichthouders omgaan met het verkeer van mensen, zie je dat iemands pornoconsumptie makkelijk een element kan worden van een chantage- of diskredietcampagne. We hebben de NSA bijvoorbeeld al gebruik zien maken van cookies die ze konden krijgen door unencrypted handelingen op het web om mensen te volgen. De marketingindustrie doet dat ook, maar er is meer dan de marketingindustrie."

Kortom, mensen zijn aan het observeren op netwerkniveau, en encrypted websites verzekeren dat alleen de zender en ontvanger toegang hebben tot die informatie. Wie iemand te schande wil maken met zijn kijkgewoonten krijgt het een stuk moeilijker met een encrypted site.

Maar naast het privacyprobleem, is er ook nog een kans dat hackers het gebrek aan encryptie kunnen uitbuiten en bezoekjes aan deze sites kunnen kapen, zoals overheden deden op YouTube, wat zal leiden tot de overstap van het platform op HTTPS.

Maar het tij lijkt te keren. Onderdirecteur van YouPorn Brad Burns vertelt in een statement dat de site standaard HTTPS wil gebruiken, en dat het een HTTPS-versie zal lanceren in de aankomende maanden. Burns noemt vervolgens de kosten van certificaten, de extra streamingskosten, het binnenhalen van adverteerders en het binnenhalen van zowel advertentienetwerken als providers voor de overstap, als de grootste uitdagingen. Maar hij denkt wel dat dit het geld waard is. "YouPorn is een sterke voorstander van HTTPS, net als voor de meeste middelen voor een veiliger en eigen internet. We hebben gevestigde merken die de klanten vertrouwen, en deze inspanning is sowieso een stap in de goede richting van een veilige online ervaring."

De in Cyprus gevestigde pornosite xHamster is deze maand nog overgestapt op SSL. "xHamster biedt de beste gratis pornografische content aan haar fans, en er is geen excuus in 2016 waarom iemand nog HTTP zou gebruiken zonder de beschermende functies die HTTPS biedt," vertelde woordvoerder Alex Hawkins in een persverklaring.

Hoe snel de andere sites zullen volgen blijft de vraag – maar het zou een goed voornemen zijn voor het aankomende nieuwe jaar.