Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Krack: WPA2 ist kaputt, aber nicht…

Was ist wenn meine Webseite Https erzwingt?

  1. Thema

Neues Thema Ansicht wechseln


  1. Was ist wenn meine Webseite Https erzwingt?

    Autor: Anonymer Nutzer 17.10.17 - 05:35

    Wenn meine Seite nur über https erreichbar ist. Ist es dann möglich Daten unverschlüsselt zu senden?

    Vermutlich senden möglich, aber dann wird nichts zurückkommen?!

  2. Re: Was ist wenn meine Webseite Https erzwingt?

    Autor: niabot 17.10.17 - 07:02

    Der Anfreifer kann dir eine unverschlüsselte 1zu1 Kopie deiner Webseite unterschieben bei der du dich anmelden könntest und somit dein Passwort im Klartext an ihn überträgst. Es liegt also daran ob du erkennst, dass dein Browser deine Daten unverschlüsselt überträgt oder nicht. Zeigt er das an, dann sollte dir klar sein, dass dies nicht deine eigene Website ist und dir etwas untergeschoben wird.

    PS: Der Angreifer ist hier dann eine Art Proxy-Server der selbst eine verschlüsselte Verbindung zu deiner Website aufbaut (nur so kann er es), deinen Browser jedoch unverschlüsselt weiterleitet. So kann er alles mitlesen.



    1 mal bearbeitet, zuletzt am 17.10.17 07:06 durch niabot.

  3. Re: Was ist wenn meine Webseite Https erzwingt?

    Autor: user0345 17.10.17 - 09:06

    Berichtigt mich wenn ich falsch liege, aber manche Antivieren Software arbeitet auch als Man in the middle und jubelt einen sein eigenes Zertifikat unter und dadurch steht auch https in der url.

  4. Re: Was ist wenn meine Webseite Https erzwingt?

    Autor: deutscher_michel 17.10.17 - 09:09

    Ok der Proxy müsste dann aber lokal auf dem Handy installiert sein., und dann könnte er auch einfach die HTTPS-Verbindung terminieren,d.h. der Browser würde weiter schlüsselt senden (bis zum Proxy).

  5. Re: Was ist wenn meine Webseite Https erzwingt?

    Autor: frostbitten king 17.10.17 - 09:32

    Nope. Müsste nicht. Kann irgendwo am Pfad zur Webseite liegen. Zb beim gateway oder weiter weg beim Provider.

  6. Re: Was ist wenn meine Webseite Https erzwingt?

    Autor: chefin 17.10.17 - 09:36

    soweit ich das verstehe sind HTTPS Verbindungen nicht betroffen. Den es wird nur die Verschlüsselung zwischen Gerät und WLAN-AP aufgebrochen. Daten sind heute meist mehrfach verschlüsselt. HTPPS wird direkt im browser verschlüsselt, der Frame um diesen Datenblock ist aber lesbar. Dann wird das ganze verschlüsselt bevor es zur Antenne kommt, die WLAN verschlüsselung, da sind dann auch die Metadaten mitverschlüsselt. Leidglich ein aussen rum liegender Frame des WLANs bleibt lesbar, enthält aber keine nutzbaren Infos für den Angreifer.

    Dieser WLAN frame wird im AP entfernt und entschlüsselt. Das so lesbare Datenpaket enthält aber nur den header lesbar, die Daten sind weiter verschlüsselt(vom HTTPS).

    Da er nun aber mitlesen kann, kann er seine Möglichkeiten ausbauen. Direkt jedoch kann er HTTPS nicht mitlesen und sich auch nicht als Proxy dazwischen klemmen. Das gibt die Lücke nicht direkt her.

  7. Re: Was ist wenn meine Webseite Https erzwingt?

    Autor: bombinho 17.10.17 - 10:03

    Also wenn ich das recht gelesen habe, dann gibt die Luecke es bei Android durchaus her, da dort auch beliebige Schluessel untergejubelt werden koennen, so dass dann nicht nur Lesen sondern ein kompletter transparenter Proxy moeglich ist.

    Wie ueblich, wenn ich das falsch verstanden habe, bitte ich um Korrektur.

  8. Re: Was ist wenn meine Webseite Https erzwingt?

    Autor: haxti 17.10.17 - 10:37

    Kommt darauf an, ob du HSTS Header sendest und cert pinning nutzt. Falls ja, und der Besucher schon einmal auf deiner Seite war, ist es quasi unmöglich, dass ein MITM die Verbindung aufbricht, da der Browser weiss, dass er zumindest HTTPS nutzen soll bzw. sogar welches Zertifikat er erwarten kann.
    Falls du einfach nur auf https umschreibst, könnte der MITM sich einklinken und dir eine http Site liefern. Oder eine https Site mit gefälschtem Zertifikat, was aber schon wieder aufwändiger wird, wenn der Browser kein Alarm schlagen soll.

    Aber das sind prinzipiell immer die gleichen Probleme, die man in nicht vertrauenswürdigen Netzen hat. Daher weiss ich nicht warum wegen einer Lücke, die nur in einem Teil der Fälle für so einen Angriff genutzt werden kann, dieses Problem so gehypt wird. Da kann WPA nichts für.

    Ich glaube auch nicht, dass sich jemand in absehbarer Zeit die Mühe macht jedes Haus einzeln anzufahren und zu warten, bis irgendjemand evtl. sensible Daten in irgendeine Website eintippt.



    1 mal bearbeitet, zuletzt am 17.10.17 10:38 durch haxti.

  9. Re: Was ist wenn meine Webseite Https erzwingt?

    Autor: bombinho 17.10.17 - 10:53

    Du unterschaetzt mMn. die menschliche Neugier und die Anzahl an Menschen, die dieser auch nachgeben,wenn sie leicht zu befriedigen ist.
    Und die Anzahl an Menschen, fuer die es interessant ist, sowas mal nachzubauen.
    Irgendwo wird schon ein Boehnchen entwischen. Und voila ist es in jedem Pen-Tool integriert und dann als App verfuegbar.

  10. Re: Was ist wenn meine Webseite Https erzwingt?

    Autor: Quantium40 17.10.17 - 10:57

    user0345 schrieb:
    > Berichtigt mich wenn ich falsch liege, aber manche Antivieren Software
    > arbeitet auch als Man in the middle und jubelt einen sein eigenes
    > Zertifikat unter und dadurch steht auch https in der url.

    Allerdings mit dem kleinen Unterschied, dass deren Zertifikat üblicherweise gleich als Stammzertifikatin allen Browsern hinterlegt wird.
    Ein Mitm-Angriff übers WLAN könnte zwar auch sein eigenes Zertifikat mitbringen, dieses sollte dann aber als ungültig für die entsprechende Seite erkannt werden.

  11. Re: Was ist wenn meine Webseite Https erzwingt?

    Autor: niabot 17.10.17 - 21:52

    Der Haken an der Sache ist ja, dass ein Browser sich auch ohne https zu einer Website verbinden kann. Ich möchte nicht wissen wie viele unbedarfte Benutzer noch Lesezeichen in ihrem Browser zur http Variante einer Website drin haben, nicht einmal wissen was der Unterschied zwischen http und https ist und es dann nicht einmal im Browser erkennen.

  12. Re: Was ist wenn meine Webseite Https erzwingt?

    Autor: ve2000 18.10.17 - 01:49

    niabot schrieb:
    --------------------------------------------------------------------------------
    > Der Haken an der Sache ist ja, dass ein Browser sich auch ohne https zu
    > einer Website verbinden kann.

    Alle (mehr oder weniger) wichtigen Seiten _erzwingen_ https.
    Ich habe gestern extra darauf geachtet.
    Nicht eine meiner Seiten mit sensiblen Daten, erlaubt http.
    Die einzig erwähnenswerte Seite ohne https Zwang, war "chefkoch.de".

  13. Re: Was ist wenn meine Webseite Https erzwingt?

    Autor: phade 18.10.17 - 10:05

    Traffic ist nicht nur http.

    Gibt ja genügend andere Protokolle, die noch nicht weltweit auf SSL/TLS setzen.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Lands' End GmbH, Mettlach
  2. Controlware GmbH, Ingolstadt
  3. Bosch Gruppe, Stuttgart
  4. Landwirtschaftliche Rentenbank, Frankfurt am Main

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. und Assassins Creed Odyssey, Strange Brigade und Star Control Origins kostenlos dazu erhalten
  2. 194,90€ + Versand mit Gutschein: RYZEN20 (Bestpreis!)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Oldtimer-Rakete: Ein Satellit noch - dann ist Schluss
Oldtimer-Rakete
Ein Satellit noch - dann ist Schluss

Ursprünglich sollte sie Atombomben auf Moskau schießen, dann kam sie in die Raumfahrt. Die Delta-II-Rakete hat am Samstag ihren letzten Flug.
Von Frank Wunderlich-Pfeiffer

  1. Stratolaunch Riesenflugzeug bekommt eigene Raketen
  2. Chang'e 4 China stellt neuen Mondrover vor
  3. Raumfahrt Cubesats sollen unhackbar werden

Energietechnik: Die Verlockung der Lithium-Luft-Akkus
Energietechnik
Die Verlockung der Lithium-Luft-Akkus

Ein Akku mit der Energiekapazität eines Benzintanks würde viele Probleme lösen. In der Theorie ist das möglich. In der Praxis ist noch viel Arbeit nötig.
Von Frank Wunderlich-Pfeiffer

  1. Elektroautos CDU will Bau von Akkuzellenfabriken subventionieren
  2. Brine4Power EWE will Strom unter der Erde speichern
  3. Forschung Akku für Elektroautos macht es sich im Winter warm

iPhone Xs, Xs Max und Xr: Wer unterstützt die eSIM in den neuen iPhones?
iPhone Xs, Xs Max und Xr
Wer unterstützt die eSIM in den neuen iPhones?

Apples neue iPhones haben neben dem Nano-SIM-Slot eine eingebaute eSIM, womit der Konzern erstmals eine Dual-SIM-Lösung in seinen Smartphones realisiert. Die Auswahl an Netzanbietern, die eSIMs unterstützen, ist in Deutschland, Österreich und der Schweiz aber eingeschränkt - ein Ãœberblick.
Von Tobias Költzsch

  1. Apple Das iPhone Xr macht's billiger und bunter
  2. Apple iPhone Xs und iPhone Xs Max sind bierdicht
  3. Apple iPhones sollen Stiftunterstützung erhalten

  1. Telefónica: 5G-Ausbau würde "uns rund 76 Milliarden Euro kosten"
    Telefónica
    5G-Ausbau würde "uns rund 76 Milliarden Euro kosten"

    Laut Berechnungen der Telefónica wäre ein breiter 5G-Ausbau mit den bisher diskutierten Frequenzen praktisch unbezahlbar. In Deutschland wären dafür über 200.000 Mobilfunkstandorte erforderlich.

  2. Bundesnetzagentur: Verbraucherzentrale sieht Funklöcher bei 5G vorprogrammiert
    Bundesnetzagentur
    Verbraucherzentrale sieht Funklöcher bei 5G vorprogrammiert

    Der Verbraucherzentrale Bundesverband kritisiert, dass die ländlichen Regionen schlecht mit 5G versorgt werden sollen. Die Versprechungen von ruckelfreiem Surfen und weniger Funklöchern könnten so nicht eingehalten werden

  3. Microsoft: In der Data Box erreichen Daten die Azure-Cloud per Post
    Microsoft
    In der Data Box erreichen Daten die Azure-Cloud per Post

    Microsoft erweitert sein Data-Box-Angebot um eine SSD und einen 1-Petabyte-Kasten. Kunden können auf den Datenträgern ihre Dateien speichern, verschlüsseln und per Post an Microsoft senden. Zwei weitere Systeme bringen die Datenmigration in die Cloud auch online voran.


  1. 19:29

  2. 18:44

  3. 18:07

  4. 17:30

  5. 17:10

  6. 16:50

  7. 16:26

  8. 16:05