Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Krack: WPA2 ist kaputt, aber nicht…

Was ist wenn meine Webseite Https erzwingt?

  1. Thema

Neues Thema Ansicht wechseln


  1. Was ist wenn meine Webseite Https erzwingt?

    Autor: Anonymer Nutzer 17.10.17 - 05:35

    Wenn meine Seite nur über https erreichbar ist. Ist es dann möglich Daten unverschlüsselt zu senden?

    Vermutlich senden möglich, aber dann wird nichts zurückkommen?!

  2. Re: Was ist wenn meine Webseite Https erzwingt?

    Autor: niabot 17.10.17 - 07:02

    Der Anfreifer kann dir eine unverschlüsselte 1zu1 Kopie deiner Webseite unterschieben bei der du dich anmelden könntest und somit dein Passwort im Klartext an ihn überträgst. Es liegt also daran ob du erkennst, dass dein Browser deine Daten unverschlüsselt überträgt oder nicht. Zeigt er das an, dann sollte dir klar sein, dass dies nicht deine eigene Website ist und dir etwas untergeschoben wird.

    PS: Der Angreifer ist hier dann eine Art Proxy-Server der selbst eine verschlüsselte Verbindung zu deiner Website aufbaut (nur so kann er es), deinen Browser jedoch unverschlüsselt weiterleitet. So kann er alles mitlesen.



    1 mal bearbeitet, zuletzt am 17.10.17 07:06 durch niabot.

  3. Re: Was ist wenn meine Webseite Https erzwingt?

    Autor: user0345 17.10.17 - 09:06

    Berichtigt mich wenn ich falsch liege, aber manche Antivieren Software arbeitet auch als Man in the middle und jubelt einen sein eigenes Zertifikat unter und dadurch steht auch https in der url.

  4. Re: Was ist wenn meine Webseite Https erzwingt?

    Autor: deutscher_michel 17.10.17 - 09:09

    Ok der Proxy müsste dann aber lokal auf dem Handy installiert sein., und dann könnte er auch einfach die HTTPS-Verbindung terminieren,d.h. der Browser würde weiter schlüsselt senden (bis zum Proxy).

  5. Re: Was ist wenn meine Webseite Https erzwingt?

    Autor: frostbitten king 17.10.17 - 09:32

    Nope. Müsste nicht. Kann irgendwo am Pfad zur Webseite liegen. Zb beim gateway oder weiter weg beim Provider.

  6. Re: Was ist wenn meine Webseite Https erzwingt?

    Autor: chefin 17.10.17 - 09:36

    soweit ich das verstehe sind HTTPS Verbindungen nicht betroffen. Den es wird nur die Verschlüsselung zwischen Gerät und WLAN-AP aufgebrochen. Daten sind heute meist mehrfach verschlüsselt. HTPPS wird direkt im browser verschlüsselt, der Frame um diesen Datenblock ist aber lesbar. Dann wird das ganze verschlüsselt bevor es zur Antenne kommt, die WLAN verschlüsselung, da sind dann auch die Metadaten mitverschlüsselt. Leidglich ein aussen rum liegender Frame des WLANs bleibt lesbar, enthält aber keine nutzbaren Infos für den Angreifer.

    Dieser WLAN frame wird im AP entfernt und entschlüsselt. Das so lesbare Datenpaket enthält aber nur den header lesbar, die Daten sind weiter verschlüsselt(vom HTTPS).

    Da er nun aber mitlesen kann, kann er seine Möglichkeiten ausbauen. Direkt jedoch kann er HTTPS nicht mitlesen und sich auch nicht als Proxy dazwischen klemmen. Das gibt die Lücke nicht direkt her.

  7. Re: Was ist wenn meine Webseite Https erzwingt?

    Autor: bombinho 17.10.17 - 10:03

    Also wenn ich das recht gelesen habe, dann gibt die Luecke es bei Android durchaus her, da dort auch beliebige Schluessel untergejubelt werden koennen, so dass dann nicht nur Lesen sondern ein kompletter transparenter Proxy moeglich ist.

    Wie ueblich, wenn ich das falsch verstanden habe, bitte ich um Korrektur.

  8. Re: Was ist wenn meine Webseite Https erzwingt?

    Autor: haxti 17.10.17 - 10:37

    Kommt darauf an, ob du HSTS Header sendest und cert pinning nutzt. Falls ja, und der Besucher schon einmal auf deiner Seite war, ist es quasi unmöglich, dass ein MITM die Verbindung aufbricht, da der Browser weiss, dass er zumindest HTTPS nutzen soll bzw. sogar welches Zertifikat er erwarten kann.
    Falls du einfach nur auf https umschreibst, könnte der MITM sich einklinken und dir eine http Site liefern. Oder eine https Site mit gefälschtem Zertifikat, was aber schon wieder aufwändiger wird, wenn der Browser kein Alarm schlagen soll.

    Aber das sind prinzipiell immer die gleichen Probleme, die man in nicht vertrauenswürdigen Netzen hat. Daher weiss ich nicht warum wegen einer Lücke, die nur in einem Teil der Fälle für so einen Angriff genutzt werden kann, dieses Problem so gehypt wird. Da kann WPA nichts für.

    Ich glaube auch nicht, dass sich jemand in absehbarer Zeit die Mühe macht jedes Haus einzeln anzufahren und zu warten, bis irgendjemand evtl. sensible Daten in irgendeine Website eintippt.



    1 mal bearbeitet, zuletzt am 17.10.17 10:38 durch haxti.

  9. Re: Was ist wenn meine Webseite Https erzwingt?

    Autor: bombinho 17.10.17 - 10:53

    Du unterschaetzt mMn. die menschliche Neugier und die Anzahl an Menschen, die dieser auch nachgeben,wenn sie leicht zu befriedigen ist.
    Und die Anzahl an Menschen, fuer die es interessant ist, sowas mal nachzubauen.
    Irgendwo wird schon ein Boehnchen entwischen. Und voila ist es in jedem Pen-Tool integriert und dann als App verfuegbar.

  10. Re: Was ist wenn meine Webseite Https erzwingt?

    Autor: Quantium40 17.10.17 - 10:57

    user0345 schrieb:
    > Berichtigt mich wenn ich falsch liege, aber manche Antivieren Software
    > arbeitet auch als Man in the middle und jubelt einen sein eigenes
    > Zertifikat unter und dadurch steht auch https in der url.

    Allerdings mit dem kleinen Unterschied, dass deren Zertifikat üblicherweise gleich als Stammzertifikatin allen Browsern hinterlegt wird.
    Ein Mitm-Angriff übers WLAN könnte zwar auch sein eigenes Zertifikat mitbringen, dieses sollte dann aber als ungültig für die entsprechende Seite erkannt werden.

  11. Re: Was ist wenn meine Webseite Https erzwingt?

    Autor: niabot 17.10.17 - 21:52

    Der Haken an der Sache ist ja, dass ein Browser sich auch ohne https zu einer Website verbinden kann. Ich möchte nicht wissen wie viele unbedarfte Benutzer noch Lesezeichen in ihrem Browser zur http Variante einer Website drin haben, nicht einmal wissen was der Unterschied zwischen http und https ist und es dann nicht einmal im Browser erkennen.

  12. Re: Was ist wenn meine Webseite Https erzwingt?

    Autor: ve2000 18.10.17 - 01:49

    niabot schrieb:
    --------------------------------------------------------------------------------
    > Der Haken an der Sache ist ja, dass ein Browser sich auch ohne https zu
    > einer Website verbinden kann.

    Alle (mehr oder weniger) wichtigen Seiten _erzwingen_ https.
    Ich habe gestern extra darauf geachtet.
    Nicht eine meiner Seiten mit sensiblen Daten, erlaubt http.
    Die einzig erwähnenswerte Seite ohne https Zwang, war "chefkoch.de".

  13. Re: Was ist wenn meine Webseite Https erzwingt?

    Autor: phade 18.10.17 - 10:05

    Traffic ist nicht nur http.

    Gibt ja genügend andere Protokolle, die noch nicht weltweit auf SSL/TLS setzen.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Etkon GmbH, Gräfelfing
  2. Statistisches Bundesamt, Wiesbaden
  3. Information und Technik Nordrhein-Westfalen (IT.NRW), Düsseldorf
  4. AOK - Die Gesundheitskasse in Hessen, Eschborn bei Frankfurt am Main

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 3,99€
  2. 39,99€ (Release am 3. Dezember)
  3. 69,99€ (Release am 25. Oktober)
  4. 0,49€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Cyberangriffe: Attribution ist wie ein Indizienprozess
Cyberangriffe
Attribution ist wie ein Indizienprozess

Russland hat den Bundestag gehackt! China wollte die Bayer AG ausspionieren! Bei großen Hackerangriffen ist oft der Fingerzeig auf den mutmaßlichen Täter nicht weit. Knallharte Beweise dafür gibt es selten, Hinweise sind aber kaum zu vermeiden.
Von Anna Biselli

  1. Double Dragon APT41 soll für Staat und eigenen Geldbeutel hacken
  2. Internet of Things Neue Angriffe der Hackergruppe Fancy Bear
  3. IT-Security Hoodie-Klischeebilder sollen durch Wettbewerb verschwinden

IT-Sicherheit: Auch kleine Netze brauchen eine Firewall
IT-Sicherheit
Auch kleine Netze brauchen eine Firewall

Unternehmen mit kleinem Geldbeutel verzichten häufig auf eine Firewall. Das sollten sie aber nicht tun, wenn ihnen die Sicherheit ihres Netzwerks wichtig ist.
Von Götz Güttich

  1. Anzeige Wo Daten wirklich sicher liegen
  2. Erasure Coding Das Ende von Raid kommt durch Mathematik
  3. Endpoint Security IT-Sicherheit ist ein Cocktail mit vielen Zutaten

SSD-Kompendium: AHCI, M.2, NVMe, PCIe, Sata, U.2 - ein Überblick
SSD-Kompendium
AHCI, M.2, NVMe, PCIe, Sata, U.2 - ein Überblick

Heutige SSDs gibt es in allerhand Formfaktoren mit diversen Anbindungen und Protokollen, selbst der verwendete Speicher ist längst nicht mehr zwingend NAND-Flash. Wir erläutern die Unterschiede und Gemeinsamkeiten der Solid State Drives.
Von Marc Sauter

  1. PM1733 Samsungs PCIe-Gen4-SSD macht die 8 GByte/s voll
  2. PS5018-E18 Phisons PCIe-Gen4-SSD-Controller liefert 7 GByte/s
  3. Ultrastar SN640 Western Digital bringt SSD mit 31 TByte im E1.L-Ruler-Format

  1. H2.City Gold: Caetanobus stellt Brennstoffzellenbus mit Toyota-Technik vor
    H2.City Gold
    Caetanobus stellt Brennstoffzellenbus mit Toyota-Technik vor

    Damit die Luft in Städten besser wird, sollen Busse sauberer werden. Ein neuer Bus aus Portugal mit Brennstoffzellenantrieb emititiert als Abgas nur Wasserdampf.

  2. Ceconomy: Offene Führungskrise bei Media Markt und Saturn
    Ceconomy
    Offene Führungskrise bei Media Markt und Saturn

    Die Diskussion um die mögliche Absetzung von Ceconomy-Chef Jörn Werner sollte eigentlich noch nicht öffentlich werden. Jetzt wissen es alle, und es gibt keinen Nachfolger.

  3. Polizei: Hunde, die nach Datenspeichern schnüffeln
    Polizei
    Hunde, die nach Datenspeichern schnüffeln

    Spürhunde können neben Sprengstoff und Drogen auch Datenspeicher oder Smartphones erschnüffeln. Die Polizei in Nordrhein-Westfalen hat kürzlich ihre frisch ausgebildeten Speicherschnüffler vorgestellt.


  1. 18:18

  2. 18:00

  3. 17:26

  4. 17:07

  5. 16:42

  6. 16:17

  7. 15:56

  8. 15:29