Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Krack: WPA2 ist kaputt, aber nicht…

Was ist wenn meine Webseite Https erzwingt?

  1. Thema

Neues Thema Ansicht wechseln


  1. Was ist wenn meine Webseite Https erzwingt?

    Autor: GnomeEu 17.10.17 - 05:35

    Wenn meine Seite nur über https erreichbar ist. Ist es dann möglich Daten unverschlüsselt zu senden?

    Vermutlich senden möglich, aber dann wird nichts zurückkommen?!

  2. Re: Was ist wenn meine Webseite Https erzwingt?

    Autor: niabot 17.10.17 - 07:02

    Der Anfreifer kann dir eine unverschlüsselte 1zu1 Kopie deiner Webseite unterschieben bei der du dich anmelden könntest und somit dein Passwort im Klartext an ihn überträgst. Es liegt also daran ob du erkennst, dass dein Browser deine Daten unverschlüsselt überträgt oder nicht. Zeigt er das an, dann sollte dir klar sein, dass dies nicht deine eigene Website ist und dir etwas untergeschoben wird.

    PS: Der Angreifer ist hier dann eine Art Proxy-Server der selbst eine verschlüsselte Verbindung zu deiner Website aufbaut (nur so kann er es), deinen Browser jedoch unverschlüsselt weiterleitet. So kann er alles mitlesen.



    1 mal bearbeitet, zuletzt am 17.10.17 07:06 durch niabot.

  3. Re: Was ist wenn meine Webseite Https erzwingt?

    Autor: user0345 17.10.17 - 09:06

    Berichtigt mich wenn ich falsch liege, aber manche Antivieren Software arbeitet auch als Man in the middle und jubelt einen sein eigenes Zertifikat unter und dadurch steht auch https in der url.

  4. Re: Was ist wenn meine Webseite Https erzwingt?

    Autor: deutscher_michel 17.10.17 - 09:09

    Ok der Proxy müsste dann aber lokal auf dem Handy installiert sein., und dann könnte er auch einfach die HTTPS-Verbindung terminieren,d.h. der Browser würde weiter schlüsselt senden (bis zum Proxy).

  5. Re: Was ist wenn meine Webseite Https erzwingt?

    Autor: frostbitten king 17.10.17 - 09:32

    Nope. Müsste nicht. Kann irgendwo am Pfad zur Webseite liegen. Zb beim gateway oder weiter weg beim Provider.

  6. Re: Was ist wenn meine Webseite Https erzwingt?

    Autor: chefin 17.10.17 - 09:36

    soweit ich das verstehe sind HTTPS Verbindungen nicht betroffen. Den es wird nur die Verschlüsselung zwischen Gerät und WLAN-AP aufgebrochen. Daten sind heute meist mehrfach verschlüsselt. HTPPS wird direkt im browser verschlüsselt, der Frame um diesen Datenblock ist aber lesbar. Dann wird das ganze verschlüsselt bevor es zur Antenne kommt, die WLAN verschlüsselung, da sind dann auch die Metadaten mitverschlüsselt. Leidglich ein aussen rum liegender Frame des WLANs bleibt lesbar, enthält aber keine nutzbaren Infos für den Angreifer.

    Dieser WLAN frame wird im AP entfernt und entschlüsselt. Das so lesbare Datenpaket enthält aber nur den header lesbar, die Daten sind weiter verschlüsselt(vom HTTPS).

    Da er nun aber mitlesen kann, kann er seine Möglichkeiten ausbauen. Direkt jedoch kann er HTTPS nicht mitlesen und sich auch nicht als Proxy dazwischen klemmen. Das gibt die Lücke nicht direkt her.

  7. Re: Was ist wenn meine Webseite Https erzwingt?

    Autor: bombinho 17.10.17 - 10:03

    Also wenn ich das recht gelesen habe, dann gibt die Luecke es bei Android durchaus her, da dort auch beliebige Schluessel untergejubelt werden koennen, so dass dann nicht nur Lesen sondern ein kompletter transparenter Proxy moeglich ist.

    Wie ueblich, wenn ich das falsch verstanden habe, bitte ich um Korrektur.

  8. Re: Was ist wenn meine Webseite Https erzwingt?

    Autor: haxti 17.10.17 - 10:37

    Kommt darauf an, ob du HSTS Header sendest und cert pinning nutzt. Falls ja, und der Besucher schon einmal auf deiner Seite war, ist es quasi unmöglich, dass ein MITM die Verbindung aufbricht, da der Browser weiss, dass er zumindest HTTPS nutzen soll bzw. sogar welches Zertifikat er erwarten kann.
    Falls du einfach nur auf https umschreibst, könnte der MITM sich einklinken und dir eine http Site liefern. Oder eine https Site mit gefälschtem Zertifikat, was aber schon wieder aufwändiger wird, wenn der Browser kein Alarm schlagen soll.

    Aber das sind prinzipiell immer die gleichen Probleme, die man in nicht vertrauenswürdigen Netzen hat. Daher weiss ich nicht warum wegen einer Lücke, die nur in einem Teil der Fälle für so einen Angriff genutzt werden kann, dieses Problem so gehypt wird. Da kann WPA nichts für.

    Ich glaube auch nicht, dass sich jemand in absehbarer Zeit die Mühe macht jedes Haus einzeln anzufahren und zu warten, bis irgendjemand evtl. sensible Daten in irgendeine Website eintippt.



    1 mal bearbeitet, zuletzt am 17.10.17 10:38 durch haxti.

  9. Re: Was ist wenn meine Webseite Https erzwingt?

    Autor: bombinho 17.10.17 - 10:53

    Du unterschaetzt mMn. die menschliche Neugier und die Anzahl an Menschen, die dieser auch nachgeben,wenn sie leicht zu befriedigen ist.
    Und die Anzahl an Menschen, fuer die es interessant ist, sowas mal nachzubauen.
    Irgendwo wird schon ein Boehnchen entwischen. Und voila ist es in jedem Pen-Tool integriert und dann als App verfuegbar.

  10. Re: Was ist wenn meine Webseite Https erzwingt?

    Autor: Quantium40 17.10.17 - 10:57

    user0345 schrieb:
    > Berichtigt mich wenn ich falsch liege, aber manche Antivieren Software
    > arbeitet auch als Man in the middle und jubelt einen sein eigenes
    > Zertifikat unter und dadurch steht auch https in der url.

    Allerdings mit dem kleinen Unterschied, dass deren Zertifikat üblicherweise gleich als Stammzertifikatin allen Browsern hinterlegt wird.
    Ein Mitm-Angriff übers WLAN könnte zwar auch sein eigenes Zertifikat mitbringen, dieses sollte dann aber als ungültig für die entsprechende Seite erkannt werden.

  11. Re: Was ist wenn meine Webseite Https erzwingt?

    Autor: niabot 17.10.17 - 21:52

    Der Haken an der Sache ist ja, dass ein Browser sich auch ohne https zu einer Website verbinden kann. Ich möchte nicht wissen wie viele unbedarfte Benutzer noch Lesezeichen in ihrem Browser zur http Variante einer Website drin haben, nicht einmal wissen was der Unterschied zwischen http und https ist und es dann nicht einmal im Browser erkennen.

  12. Re: Was ist wenn meine Webseite Https erzwingt?

    Autor: ve2000 18.10.17 - 01:49

    niabot schrieb:
    --------------------------------------------------------------------------------
    > Der Haken an der Sache ist ja, dass ein Browser sich auch ohne https zu
    > einer Website verbinden kann.

    Alle (mehr oder weniger) wichtigen Seiten _erzwingen_ https.
    Ich habe gestern extra darauf geachtet.
    Nicht eine meiner Seiten mit sensiblen Daten, erlaubt http.
    Die einzig erwähnenswerte Seite ohne https Zwang, war "chefkoch.de".

  13. Re: Was ist wenn meine Webseite Https erzwingt?

    Autor: phade 18.10.17 - 10:05

    Traffic ist nicht nur http.

    Gibt ja genügend andere Protokolle, die noch nicht weltweit auf SSL/TLS setzen.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. SWMH Service GmbH, München, Stuttgart
  2. Gentherm GmbH, Odelzhausen
  3. SWMH Service GmbH, München
  4. Stadtwerke München GmbH, München

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 39,99€ (Release am 16. März)
  2. 69,37€
  3. (u. a. Ghost Recon Wildlands 26,99€, Assasins Creed Origins 40,19€, For Honor 19,79€, Watch...


Haben wir etwas übersehen?

E-Mail an news@golem.de


Homepod im Test: Smarter Lautsprecher für den Apple-affinen Popfan
Homepod im Test
Smarter Lautsprecher für den Apple-affinen Popfan
  1. Rückstände Homepod macht weiße Ringe auf Holzmöbeln
  2. Smarter Lautsprecher Homepod schwer reparierbar
  3. Smarter Lautsprecher Homepod-Reparaturen kosten fast so viel wie ein neues Gerät

Entdeckertour angespielt: Assassin's Creed Origins und die Spur der Geschichte
Entdeckertour angespielt
Assassin's Creed Origins und die Spur der Geschichte
  1. Assassin's Creed Denuvo und VM Protect bei Origins ausgehebelt
  2. Sea of Thieves angespielt Zwischen bärbeißig und böse
  3. Rogue Remastered Assassin's Creed segelt noch mal zum Nordpol

Axel Voss: "Das Leistungsschutzrecht ist nicht die beste Idee"
Axel Voss
"Das Leistungsschutzrecht ist nicht die beste Idee"
  1. Leistungsschutzrecht EU-Ratspräsidentschaft schlägt deutsches Modell vor
  2. Fake News Murdoch fordert von Facebook Sendegebühr für Medien
  3. EU-Urheberrechtsreform Abmahnungen treffen "nur die Dummen"

  1. Dragon Ball FighterZ im Test: Kame-hame-ha!
    Dragon Ball FighterZ im Test
    Kame-hame-ha!

    Man nehme ikonische Kämpfer in schicker 2D-Optik und kombiniere sie mit einer eingängigen Steuerung sowie Anime-typischem Humor: Genau das hat Arc System Works bei Dragon Ball FighterZ getan und so ein exzellentes Actionspiel entwickelt.

  2. Für 4G und 5G: Ericsson und Swisscom demonstrieren Network Slicing
    Für 4G und 5G
    Ericsson und Swisscom demonstrieren Network Slicing

    Parallel betriebene, virtuelle Netze beim Network Slicing - auf dem Mobile World Congress 2018 in Barcelona soll es dazu einiges zu sehen geben, von Ericsson, Swisscom, Adva Optical Networking und BT.

  3. FTTH: Gewerbegebiete in Hannover und Potsdam bekommen Glasfaser
    FTTH
    Gewerbegebiete in Hannover und Potsdam bekommen Glasfaser

    Deutsche Glasfaser versorgt Gewerbegebiete in Hannover. Die Deutsche Telekom hat dasselbe für Potsdam angekündigt, mit symmetrischen 10 GBit/s liegt die Deutsche Glasfaser jedoch bei der Datenrate klar vorn.


  1. 14:02

  2. 13:51

  3. 12:55

  4. 12:40

  5. 12:20

  6. 12:02

  7. 11:56

  8. 11:32