-
Ich verstehe das Problem nicht
Autor: picaschaf 12.08.14 - 20:20
Wenn ich eine Website ausschließlich über HTTPS veröffentlichen möchte, dann komfiguriere ich den Server einfach so, dass er keinen vhost mit HTTP auf Port 80 startet. Oder habe ich etwas übersehen?
-
Re: Ich verstehe das Problem nicht
Autor: RipClaw 12.08.14 - 20:23
picaschaf schrieb:
--------------------------------------------------------------------------------
> Wenn ich eine Website ausschließlich über HTTPS veröffentlichen möchte,
> dann komfiguriere ich den Server einfach so, dass er keinen vhost mit HTTP
> auf Port 80 startet. Oder habe ich etwas übersehen?
Im Prinzip hast du recht aber von Haus aus macht jeder Browser bei Eingabe der URL erst mal eine HTTP Verbindung auf. Nur wenn du https:// explizit angibst, oder diese so verlinkt wurde, wird er nur eine HTTPS Verbindung aufmachen. -
Re: Ich verstehe das Problem nicht
Autor: Anonymer Nutzer 12.08.14 - 20:48
RipClaw schrieb:
--------------------------------------------------------------------------------
> Im Prinzip hast du recht aber von Haus aus macht jeder Browser bei Eingabe
> der URL erst mal eine HTTP Verbindung auf. Nur wenn du https:// explizit
> angibst, oder diese so verlinkt wurde, wird er nur eine HTTPS Verbindung
> aufmachen.
Naja mit einem simplen Rewrite Rule kann man serverseitig auch alle eingehenden HTTP Verbindungen auf HTTPS umleiten. -
Re: Ich verstehe das Problem nicht
Autor: grorg 12.08.14 - 21:05
lolig schrieb:
--------------------------------------------------------------------------------
> Naja mit einem simplen Rewrite Rule kann man serverseitig auch alle
> eingehenden HTTP Verbindungen auf HTTPS umleiten.
Da will ich mich aber nicht wirklich auf den Server verlassen müssen ... -
Re: Ich verstehe das Problem nicht
Autor: Anonymer Nutzer 12.08.14 - 21:10
grorg schrieb:
--------------------------------------------------------------------------------
> Da will ich mich aber nicht wirklich auf den Server verlassen müssen ...
Muss man das bei HSTS nicht auch? So wie ich das verstehe muss der Webserver das auch unterstützen. -
Re: Ich verstehe das Problem nicht
Autor: fuzzy 12.08.14 - 21:54
Die Idee an diesem Flag ist, deinen Browser wissen zu lassen, dass die Seite über HTTPS zu kommen hat. Ohne diesen Hinweis könnte ein unbedarfter Benutzer nun die Seite aufrufen, ohne HTTPS davorzuschreiben, und dabei einer MITM-Attacke Tür und Tor öffnen. Die MITM-Zwischenstation ist dabei der „benutzerseitige“ Endpunkt der verschlüsselten Verbindung. Der Benutzer bekommt davon aber nix mit. Der Browser weiß auch nichts.
Im übrigen gibt es vermutlich keine Seite, die keine Umleitung zu HTTPS ausliefert. Weil das einfach ungemütlich ist. Der Benutzer sieht sonst nur die „Connection refused“-Meldung und wundert sich, was los ist.
Baumansicht oder Zitieren oder nicht Posten - die Wahl ist eure! -
Re: Ich verstehe das Problem nicht
Autor: elf 12.08.14 - 22:15
lolig schrieb:
--------------------------------------------------------------------------------
> grorg schrieb:
> ---------------------------------------------------------------------------
> -----
> > Da will ich mich aber nicht wirklich auf den Server verlassen müssen ...
>
> Muss man das bei HSTS nicht auch? So wie ich das verstehe muss der
> Webserver das auch unterstützen.
Schon richtig. Wenn aber in Chrome fest hinterlegt ist, dass diese Webseite ihre Inhalte ausschließlich per https anbietet, dann baut Chrome erst gar keine HTTP-Verbindung auf. DAS ist die Neuerung, dass Chrome eine interne Liste über Webserver führt, die ausschließlich https sprechen wollen. -
Re: Ich verstehe das Problem nicht
Autor: PHPGangsta 12.08.14 - 23:28
elf schrieb:
--------------------------------------------------------------------------------
> Schon richtig. Wenn aber in Chrome fest hinterlegt ist, dass diese Webseite
> ihre Inhalte ausschließlich per https anbietet, dann baut Chrome erst gar
> keine HTTP-Verbindung auf. DAS ist die Neuerung, dass Chrome eine interne
> Liste über Webserver führt, die ausschließlich https sprechen wollen.
Das ist keine Neuerung, das Feature gibt es bereits seit April 2012 in Chrome (und auch in Firefox). Siehe:
http://src.chromium.org/viewvc/chrome/trunk/src/net/http/transport_security_state_static.json
http://src.chromium.org/viewvc/chrome/trunk/src/net/http/transport_security_state_static.json?view=log
Neu ist das nicht (aber trotzdem erwähnenswert!) -
Re: Ich verstehe das Problem nicht
Autor: anybody 13.08.14 - 02:18
Das Problem ist, das wenn du über einen nicht-vertrauenswürdigen Internetzugang im Internet bist ein zwischengeschalteter Router/Transparent Proxy Dir sowas einfach rausfiltern kann.
Du gehst also auf http://gmail.com und der Proxy dazwischen connected für dich zu https://gmail.com ohne das du es merkst.
Dann wirst du nicht auf https:// weitergeleitet und die einzigste Chance die du hast wäre explizit beim Eingeben der URL schon darauf zu achten das https:// davor steht...
picaschaf schrieb:
--------------------------------------------------------------------------------
> Wenn ich eine Website ausschließlich über HTTPS veröffentlichen möchte,
> dann komfiguriere ich den Server einfach so, dass er keinen vhost mit HTTP
> auf Port 80 startet. Oder habe ich etwas übersehen? -
Re: Ich verstehe das Problem nicht
Autor: __destruct() 13.08.14 - 03:44
Siehe 2. Absatz des Artikels (ohne Einleitung).
-
Re: Ich verstehe das Problem nicht
Autor: picaschaf 13.08.14 - 08:50
Daran hatte ich gar nicht gedacht, recht fies das Ganze. Wäre eine selbstverpflichtung der Browser zuerst HTTPS zu versuchen da aber nicht sinnvoller wenn sich die anderen techniker offenbar so einfach aushebeln lassen?
-
Re: Ich verstehe das Problem nicht
Autor: anybody 13.08.14 - 08:59
Das würde riesige Probleme schaffen
a) jeder Verbindungsaufbau zu einer non-https Seite wäre deutlich langsamer weil erstmal (lang) gewartet wird ob es nicht eine Antwort per https gibt
b) bei Seiten wo unter der selben IP noch ein https läuft wird oft ein Zertifikatsfehler kommen weil das Zertifikat zu ner anderen (sub)domain gehört - das dürfte verdammt oft vorkommen
und es würde absolut kein einzigstes Problem lösen, denn wenn du in einem nicht-vertrauenswürdigen WLAN bist, wird dann halt einfach die https verbindung blockiert, dein browser macht Fallback auf http und schon kann der WLAN Betreiber wieder alles mitlesen.
> Daran hatte ich gar nicht gedacht, recht fies das Ganze. Wäre eine
> selbstverpflichtung der Browser zuerst HTTPS zu versuchen da aber nicht
> sinnvoller wenn sich die anderen techniker offenbar so einfach aushebeln
> lassen? -
Re: Ich verstehe das Problem nicht
Autor: elf 13.08.14 - 09:00
picaschaf schrieb:
--------------------------------------------------------------------------------
> Daran hatte ich gar nicht gedacht, recht fies das Ganze. Wäre eine
> selbstverpflichtung der Browser zuerst HTTPS zu versuchen da aber nicht
> sinnvoller wenn sich die anderen techniker offenbar so einfach aushebeln
> lassen?
Und wenn keine https-Verbindung zustande kommt ein Fallback auf http? Dann bietet ein MITM eben kein https an.
Das Ganze macht nur Sinn, wenn der Browser weiß, dass diese Seite NUR über https erreichbar ist.
Mit HSTS weiß er das zwar erst nach dem Ersten korrekten Aufruf dieser Seite. Dafür dann aber für die Zukunft immer. -
Re: Ich verstehe das Problem nicht
Autor: Netspy 13.08.14 - 09:26
lolig schrieb:
--------------------------------------------------------------------------------
>
> Naja mit einem simplen Rewrite Rule kann man serverseitig auch alle
> eingehenden HTTP Verbindungen auf HTTPS umleiten.
Wenn gar kein vhost auf Port 80 lauscht, dann kannst du auch nicht mit mod_rewrite umleiten. Außerdem ist im Artikel ein Sicherheitsproblem mit der Umleitung beschrieben. -
Re: Ich verstehe das Problem nicht
Autor: Anonymer Nutzer 13.08.14 - 09:50
Netspy schrieb:
--------------------------------------------------------------------------------
> lolig schrieb:
> ---------------------------------------------------------------------------
> -----
> >
> > Naja mit einem simplen Rewrite Rule kann man serverseitig auch alle
> > eingehenden HTTP Verbindungen auf HTTPS umleiten.
>
> Wenn gar kein vhost auf Port 80 lauscht, dann kannst du auch nicht mit
> mod_rewrite umleiten. Außerdem ist im Artikel ein Sicherheitsproblem mit
> der Umleitung beschrieben.
Und was soll bei HSTS passieren wenn der Client beim ersten Aufruf der Webseite HTTP eingibt und nichts auf Port 80 lauscht?
So wie ich das System verstehe wird dem Client erst beim ersten Aufruf der Webseite via Header Strict-Transport-Security: max-age=<Zeitraum> mitgeteilt das er die Seite immer mit HTTPS aufrufen kann/soll. -
Re: Ich verstehe das Problem nicht
Autor: Netspy 13.08.14 - 09:58
Port 80 komplett zu deaktivieren, ist halt ganz einfach keine Lösung. Mehr wollte ich nicht sagen und habe mich auf den Ausgangspost bezogen, bei dem mod_rewrite eben nicht funktioniert.
-
Re: Ich verstehe das Problem nicht
Autor: Anonymer Nutzer 13.08.14 - 12:12
elf schrieb:
> Mit HSTS weiß er das zwar erst nach dem Ersten korrekten Aufruf dieser
> Seite. Dafür dann aber für die Zukunft immer.
Nicht für immer, sondern z. B. für
max-age=31536000
Sekunden. Die Zahl kann der Server-Betreiber in der Apache-Konfiguration einstellen. Um das HSTS-Flag in Browsern zu löschen, kann man eine ganz kleine Zeit (z. B. 10 s) einstellen und die Seiten dann mit dem Browser aufrufen (Nützlich für Testzwecke). -
Re: Ich verstehe das Problem nicht
Autor: fuzzy 15.08.14 - 21:39
Ein Browser probiert nur genau das, was eingegeben ist. Wenn du vergisst „https” davor zu schreiben und keine explizite Weiterleitung angeboten wird, lächelt dir wenige Sekunden später eine „Seite nicht erreichbar“-Meldung deines Browsers entgegen.
Baumansicht oder Zitieren oder nicht Posten - die Wahl ist eure! -
Re: Ich verstehe das Problem nicht
Autor: __destruct() 15.08.14 - 21:48
Du weil überhaupt http und so sollten wissen was nicht beleidigen nein nicht aber das doch auch https genauso du sollten wissen weil logisch und so.
Der Browser versucht es bei fehlender Protokoll-Angabe einfach mit dem Default-Protokoll. -
Re: Ich verstehe das Problem nicht
Autor: fuzzy 16.08.14 - 12:00
Ja. Und wann fehlt die Protokollangabe? Wenn man „www.google.com” eingibt. Was probiert er dann? Richtig, HTTP. Was aber wenn Google nun keine Weiterleitung auf HTTPS anbietet? Ja genau, man bekommt besagte Fehlermeldung.
Umgekehrt genauso: Wenn du versuchst, HTTPS anzusurfen, fehlt die Protokollangabe nicht. Folglich wirst du auch da besagte Fehlermeldung bekommen, wenn kein HTTPS angeboten wird.
Was also ist dein Problem? Nur mal n bisschen rumstänkern wollen?
Baumansicht oder Zitieren oder nicht Posten - die Wahl ist eure!



