Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Krack: WPA2 ist kaputt, aber nicht…

Was ist wenn meine Webseite Https erzwingt?

Anzeige
  1. Thema

Neues Thema Ansicht wechseln


  1. Was ist wenn meine Webseite Https erzwingt?

    Autor: GnomeEu 17.10.17 - 05:35

    Wenn meine Seite nur über https erreichbar ist. Ist es dann möglich Daten unverschlüsselt zu senden?

    Vermutlich senden möglich, aber dann wird nichts zurückkommen?!

  2. Re: Was ist wenn meine Webseite Https erzwingt?

    Autor: niabot 17.10.17 - 07:02

    Der Anfreifer kann dir eine unverschlüsselte 1zu1 Kopie deiner Webseite unterschieben bei der du dich anmelden könntest und somit dein Passwort im Klartext an ihn überträgst. Es liegt also daran ob du erkennst, dass dein Browser deine Daten unverschlüsselt überträgt oder nicht. Zeigt er das an, dann sollte dir klar sein, dass dies nicht deine eigene Website ist und dir etwas untergeschoben wird.

    PS: Der Angreifer ist hier dann eine Art Proxy-Server der selbst eine verschlüsselte Verbindung zu deiner Website aufbaut (nur so kann er es), deinen Browser jedoch unverschlüsselt weiterleitet. So kann er alles mitlesen.



    1 mal bearbeitet, zuletzt am 17.10.17 07:06 durch niabot.

  3. Re: Was ist wenn meine Webseite Https erzwingt?

    Autor: user0345 17.10.17 - 09:06

    Berichtigt mich wenn ich falsch liege, aber manche Antivieren Software arbeitet auch als Man in the middle und jubelt einen sein eigenes Zertifikat unter und dadurch steht auch https in der url.

  4. Re: Was ist wenn meine Webseite Https erzwingt?

    Autor: deutscher_michel 17.10.17 - 09:09

    Ok der Proxy müsste dann aber lokal auf dem Handy installiert sein., und dann könnte er auch einfach die HTTPS-Verbindung terminieren,d.h. der Browser würde weiter schlüsselt senden (bis zum Proxy).

  5. Re: Was ist wenn meine Webseite Https erzwingt?

    Autor: frostbitten king 17.10.17 - 09:32

    Nope. Müsste nicht. Kann irgendwo am Pfad zur Webseite liegen. Zb beim gateway oder weiter weg beim Provider.

  6. Re: Was ist wenn meine Webseite Https erzwingt?

    Autor: chefin 17.10.17 - 09:36

    soweit ich das verstehe sind HTTPS Verbindungen nicht betroffen. Den es wird nur die Verschlüsselung zwischen Gerät und WLAN-AP aufgebrochen. Daten sind heute meist mehrfach verschlüsselt. HTPPS wird direkt im browser verschlüsselt, der Frame um diesen Datenblock ist aber lesbar. Dann wird das ganze verschlüsselt bevor es zur Antenne kommt, die WLAN verschlüsselung, da sind dann auch die Metadaten mitverschlüsselt. Leidglich ein aussen rum liegender Frame des WLANs bleibt lesbar, enthält aber keine nutzbaren Infos für den Angreifer.

    Dieser WLAN frame wird im AP entfernt und entschlüsselt. Das so lesbare Datenpaket enthält aber nur den header lesbar, die Daten sind weiter verschlüsselt(vom HTTPS).

    Da er nun aber mitlesen kann, kann er seine Möglichkeiten ausbauen. Direkt jedoch kann er HTTPS nicht mitlesen und sich auch nicht als Proxy dazwischen klemmen. Das gibt die Lücke nicht direkt her.

  7. Re: Was ist wenn meine Webseite Https erzwingt?

    Autor: bombinho 17.10.17 - 10:03

    Also wenn ich das recht gelesen habe, dann gibt die Luecke es bei Android durchaus her, da dort auch beliebige Schluessel untergejubelt werden koennen, so dass dann nicht nur Lesen sondern ein kompletter transparenter Proxy moeglich ist.

    Wie ueblich, wenn ich das falsch verstanden habe, bitte ich um Korrektur.

  8. Re: Was ist wenn meine Webseite Https erzwingt?

    Autor: haxti 17.10.17 - 10:37

    Kommt darauf an, ob du HSTS Header sendest und cert pinning nutzt. Falls ja, und der Besucher schon einmal auf deiner Seite war, ist es quasi unmöglich, dass ein MITM die Verbindung aufbricht, da der Browser weiss, dass er zumindest HTTPS nutzen soll bzw. sogar welches Zertifikat er erwarten kann.
    Falls du einfach nur auf https umschreibst, könnte der MITM sich einklinken und dir eine http Site liefern. Oder eine https Site mit gefälschtem Zertifikat, was aber schon wieder aufwändiger wird, wenn der Browser kein Alarm schlagen soll.

    Aber das sind prinzipiell immer die gleichen Probleme, die man in nicht vertrauenswürdigen Netzen hat. Daher weiss ich nicht warum wegen einer Lücke, die nur in einem Teil der Fälle für so einen Angriff genutzt werden kann, dieses Problem so gehypt wird. Da kann WPA nichts für.

    Ich glaube auch nicht, dass sich jemand in absehbarer Zeit die Mühe macht jedes Haus einzeln anzufahren und zu warten, bis irgendjemand evtl. sensible Daten in irgendeine Website eintippt.



    1 mal bearbeitet, zuletzt am 17.10.17 10:38 durch haxti.

  9. Re: Was ist wenn meine Webseite Https erzwingt?

    Autor: bombinho 17.10.17 - 10:53

    Du unterschaetzt mMn. die menschliche Neugier und die Anzahl an Menschen, die dieser auch nachgeben,wenn sie leicht zu befriedigen ist.
    Und die Anzahl an Menschen, fuer die es interessant ist, sowas mal nachzubauen.
    Irgendwo wird schon ein Boehnchen entwischen. Und voila ist es in jedem Pen-Tool integriert und dann als App verfuegbar.

  10. Re: Was ist wenn meine Webseite Https erzwingt?

    Autor: Quantium40 17.10.17 - 10:57

    user0345 schrieb:
    > Berichtigt mich wenn ich falsch liege, aber manche Antivieren Software
    > arbeitet auch als Man in the middle und jubelt einen sein eigenes
    > Zertifikat unter und dadurch steht auch https in der url.

    Allerdings mit dem kleinen Unterschied, dass deren Zertifikat üblicherweise gleich als Stammzertifikatin allen Browsern hinterlegt wird.
    Ein Mitm-Angriff übers WLAN könnte zwar auch sein eigenes Zertifikat mitbringen, dieses sollte dann aber als ungültig für die entsprechende Seite erkannt werden.

  11. Re: Was ist wenn meine Webseite Https erzwingt?

    Autor: niabot 17.10.17 - 21:52

    Der Haken an der Sache ist ja, dass ein Browser sich auch ohne https zu einer Website verbinden kann. Ich möchte nicht wissen wie viele unbedarfte Benutzer noch Lesezeichen in ihrem Browser zur http Variante einer Website drin haben, nicht einmal wissen was der Unterschied zwischen http und https ist und es dann nicht einmal im Browser erkennen.

  12. Re: Was ist wenn meine Webseite Https erzwingt?

    Autor: ve2000 18.10.17 - 01:49

    niabot schrieb:
    --------------------------------------------------------------------------------
    > Der Haken an der Sache ist ja, dass ein Browser sich auch ohne https zu
    > einer Website verbinden kann.

    Alle (mehr oder weniger) wichtigen Seiten _erzwingen_ https.
    Ich habe gestern extra darauf geachtet.
    Nicht eine meiner Seiten mit sensiblen Daten, erlaubt http.
    Die einzig erwähnenswerte Seite ohne https Zwang, war "chefkoch.de".

  13. Re: Was ist wenn meine Webseite Https erzwingt?

    Autor: phade 18.10.17 - 10:05

    Traffic ist nicht nur http.

    Gibt ja genügend andere Protokolle, die noch nicht weltweit auf SSL/TLS setzen.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Anzeige
Stellenmarkt
  1. VÖLKL SPORTS GMBH & CO. KG, Straubing, Raum Regensburg / Deggendorf
  2. Güntner Group Europe GmbH, Fürstenfeldbruck Raum München
  3. Zweckverband Kommunale Datenverarbeitung Region Stuttgart, Stuttgart
  4. ARI Fleet Germany GmbH, Stuttgart

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. ASUS GeForce GTX 1070 Ti STRIX A8G Gaming 449€ statt 524,90€, Gigabyte Z370 Aorus Ultra...
  2. Xbox One S - Alle 500 GB Bundles stark reduziert


Haben wir etwas übersehen?

E-Mail an news@golem.de


Erneuerbare Energien: Siemens leitet die neue Steinzeit ein
Erneuerbare Energien
Siemens leitet die neue Steinzeit ein
  1. Siemens und Schunk Akkufahrzeuge werden mit 600 bis 1.000 Kilowatt aufgeladen
  2. Parkplatz-Erkennung Bosch und Siemens scheitern mit Pilotprojekten

Orbital Sciences: Vom Aufstieg und Niedergang eines Raketenbauers
Orbital Sciences
Vom Aufstieg und Niedergang eines Raketenbauers
  1. DFKI Forscher proben robotische Planetenerkundung auf der Erde
  2. Arkyd-6 Planetary Resources startet bald ein neues Weltraumteleskop
  3. Nasa und Roskosmos Gemeinsam stolpern sie zum Mond

Indiegames-Rundschau: Von Weltraumpiraten und dem Wunderdoktor
Indiegames-Rundschau
Von Weltraumpiraten und dem Wunderdoktor
  1. Verlag IGN übernimmt Indiegames-Anbieter Humble Bundle
  2. Indiegames-Rundschau Fantastische Fantasy und das Echo der Doppelgänger
  3. Indiegames-Rundschau Cyberpunk, Knetmännchen und Kampfsportkünstler

  1. Verbraucherzentrale: Regulierungsfreiheit für Glasfaser bringt Preissteigerung
    Verbraucherzentrale
    Regulierungsfreiheit für Glasfaser bringt Preissteigerung

    Die Verbraucherzentrale hat untersuchen lassen, was die Aufhebung der Regulierung für den Glasfaserausbau bringt. Ergebnis: Höhere Preise wegen fehlendem Wettbewerb für FTTH/B.

  2. WW2: Kostenpflichtige Profispieler für Call of Duty verfügbar
    WW2
    Kostenpflichtige Profispieler für Call of Duty verfügbar

    Eine kleine britische Firma will Profispieler für Call of Duty WW2 vermitteln - etwa, um Extras freizuschalten. Damit können Poser nun dank der offiziell von Activision freigeschalteten Mikrotransaktionen richtig viel Geld ins Aufhübschen ihrer Statistiken stecken.

  3. Firefox Nightly Build 58: Firefox warnt künftig vor Webseiten mit Datenlecks
    Firefox Nightly Build 58
    Firefox warnt künftig vor Webseiten mit Datenlecks

    Im Nightly Build 58 testet Mozilla einige neue Funktionen: So sollen Nutzer bald personalisierte Artikelvorschläge von Pocket bekommen. Außerdem werden Nutzer womöglich bald vor Webseiten gewarnt, die im großen Stil Nutzerdaten verloren haben.


  1. 18:40

  2. 17:44

  3. 17:23

  4. 17:05

  5. 17:04

  6. 14:39

  7. 14:24

  8. 12:56