Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Krack: WPA2 ist kaputt, aber nicht…

Was ist wenn meine Webseite Https erzwingt?

  1. Thema

Neues Thema Ansicht wechseln


  1. Was ist wenn meine Webseite Https erzwingt?

    Autor: Anonymer Nutzer 17.10.17 - 05:35

    Wenn meine Seite nur über https erreichbar ist. Ist es dann möglich Daten unverschlüsselt zu senden?

    Vermutlich senden möglich, aber dann wird nichts zurückkommen?!

  2. Re: Was ist wenn meine Webseite Https erzwingt?

    Autor: niabot 17.10.17 - 07:02

    Der Anfreifer kann dir eine unverschlüsselte 1zu1 Kopie deiner Webseite unterschieben bei der du dich anmelden könntest und somit dein Passwort im Klartext an ihn überträgst. Es liegt also daran ob du erkennst, dass dein Browser deine Daten unverschlüsselt überträgt oder nicht. Zeigt er das an, dann sollte dir klar sein, dass dies nicht deine eigene Website ist und dir etwas untergeschoben wird.

    PS: Der Angreifer ist hier dann eine Art Proxy-Server der selbst eine verschlüsselte Verbindung zu deiner Website aufbaut (nur so kann er es), deinen Browser jedoch unverschlüsselt weiterleitet. So kann er alles mitlesen.



    1 mal bearbeitet, zuletzt am 17.10.17 07:06 durch niabot.

  3. Re: Was ist wenn meine Webseite Https erzwingt?

    Autor: user0345 17.10.17 - 09:06

    Berichtigt mich wenn ich falsch liege, aber manche Antivieren Software arbeitet auch als Man in the middle und jubelt einen sein eigenes Zertifikat unter und dadurch steht auch https in der url.

  4. Re: Was ist wenn meine Webseite Https erzwingt?

    Autor: deutscher_michel 17.10.17 - 09:09

    Ok der Proxy müsste dann aber lokal auf dem Handy installiert sein., und dann könnte er auch einfach die HTTPS-Verbindung terminieren,d.h. der Browser würde weiter schlüsselt senden (bis zum Proxy).

  5. Re: Was ist wenn meine Webseite Https erzwingt?

    Autor: frostbitten king 17.10.17 - 09:32

    Nope. Müsste nicht. Kann irgendwo am Pfad zur Webseite liegen. Zb beim gateway oder weiter weg beim Provider.

  6. Re: Was ist wenn meine Webseite Https erzwingt?

    Autor: chefin 17.10.17 - 09:36

    soweit ich das verstehe sind HTTPS Verbindungen nicht betroffen. Den es wird nur die Verschlüsselung zwischen Gerät und WLAN-AP aufgebrochen. Daten sind heute meist mehrfach verschlüsselt. HTPPS wird direkt im browser verschlüsselt, der Frame um diesen Datenblock ist aber lesbar. Dann wird das ganze verschlüsselt bevor es zur Antenne kommt, die WLAN verschlüsselung, da sind dann auch die Metadaten mitverschlüsselt. Leidglich ein aussen rum liegender Frame des WLANs bleibt lesbar, enthält aber keine nutzbaren Infos für den Angreifer.

    Dieser WLAN frame wird im AP entfernt und entschlüsselt. Das so lesbare Datenpaket enthält aber nur den header lesbar, die Daten sind weiter verschlüsselt(vom HTTPS).

    Da er nun aber mitlesen kann, kann er seine Möglichkeiten ausbauen. Direkt jedoch kann er HTTPS nicht mitlesen und sich auch nicht als Proxy dazwischen klemmen. Das gibt die Lücke nicht direkt her.

  7. Re: Was ist wenn meine Webseite Https erzwingt?

    Autor: bombinho 17.10.17 - 10:03

    Also wenn ich das recht gelesen habe, dann gibt die Luecke es bei Android durchaus her, da dort auch beliebige Schluessel untergejubelt werden koennen, so dass dann nicht nur Lesen sondern ein kompletter transparenter Proxy moeglich ist.

    Wie ueblich, wenn ich das falsch verstanden habe, bitte ich um Korrektur.

  8. Re: Was ist wenn meine Webseite Https erzwingt?

    Autor: haxti 17.10.17 - 10:37

    Kommt darauf an, ob du HSTS Header sendest und cert pinning nutzt. Falls ja, und der Besucher schon einmal auf deiner Seite war, ist es quasi unmöglich, dass ein MITM die Verbindung aufbricht, da der Browser weiss, dass er zumindest HTTPS nutzen soll bzw. sogar welches Zertifikat er erwarten kann.
    Falls du einfach nur auf https umschreibst, könnte der MITM sich einklinken und dir eine http Site liefern. Oder eine https Site mit gefälschtem Zertifikat, was aber schon wieder aufwändiger wird, wenn der Browser kein Alarm schlagen soll.

    Aber das sind prinzipiell immer die gleichen Probleme, die man in nicht vertrauenswürdigen Netzen hat. Daher weiss ich nicht warum wegen einer Lücke, die nur in einem Teil der Fälle für so einen Angriff genutzt werden kann, dieses Problem so gehypt wird. Da kann WPA nichts für.

    Ich glaube auch nicht, dass sich jemand in absehbarer Zeit die Mühe macht jedes Haus einzeln anzufahren und zu warten, bis irgendjemand evtl. sensible Daten in irgendeine Website eintippt.



    1 mal bearbeitet, zuletzt am 17.10.17 10:38 durch haxti.

  9. Re: Was ist wenn meine Webseite Https erzwingt?

    Autor: bombinho 17.10.17 - 10:53

    Du unterschaetzt mMn. die menschliche Neugier und die Anzahl an Menschen, die dieser auch nachgeben,wenn sie leicht zu befriedigen ist.
    Und die Anzahl an Menschen, fuer die es interessant ist, sowas mal nachzubauen.
    Irgendwo wird schon ein Boehnchen entwischen. Und voila ist es in jedem Pen-Tool integriert und dann als App verfuegbar.

  10. Re: Was ist wenn meine Webseite Https erzwingt?

    Autor: Quantium40 17.10.17 - 10:57

    user0345 schrieb:
    > Berichtigt mich wenn ich falsch liege, aber manche Antivieren Software
    > arbeitet auch als Man in the middle und jubelt einen sein eigenes
    > Zertifikat unter und dadurch steht auch https in der url.

    Allerdings mit dem kleinen Unterschied, dass deren Zertifikat üblicherweise gleich als Stammzertifikatin allen Browsern hinterlegt wird.
    Ein Mitm-Angriff übers WLAN könnte zwar auch sein eigenes Zertifikat mitbringen, dieses sollte dann aber als ungültig für die entsprechende Seite erkannt werden.

  11. Re: Was ist wenn meine Webseite Https erzwingt?

    Autor: niabot 17.10.17 - 21:52

    Der Haken an der Sache ist ja, dass ein Browser sich auch ohne https zu einer Website verbinden kann. Ich möchte nicht wissen wie viele unbedarfte Benutzer noch Lesezeichen in ihrem Browser zur http Variante einer Website drin haben, nicht einmal wissen was der Unterschied zwischen http und https ist und es dann nicht einmal im Browser erkennen.

  12. Re: Was ist wenn meine Webseite Https erzwingt?

    Autor: ve2000 18.10.17 - 01:49

    niabot schrieb:
    --------------------------------------------------------------------------------
    > Der Haken an der Sache ist ja, dass ein Browser sich auch ohne https zu
    > einer Website verbinden kann.

    Alle (mehr oder weniger) wichtigen Seiten _erzwingen_ https.
    Ich habe gestern extra darauf geachtet.
    Nicht eine meiner Seiten mit sensiblen Daten, erlaubt http.
    Die einzig erwähnenswerte Seite ohne https Zwang, war "chefkoch.de".

  13. Re: Was ist wenn meine Webseite Https erzwingt?

    Autor: phade 18.10.17 - 10:05

    Traffic ist nicht nur http.

    Gibt ja genügend andere Protokolle, die noch nicht weltweit auf SSL/TLS setzen.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Continental AG, Nürnberg
  2. Friedhelm LOH Group, Herborn
  3. BIOTRONIK SE & Co. KG, Berlin
  4. SCISYS Deutschland GmbH, Bochum

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 704,99€ inkl. Versand (Vergleichspreis 748,88€)
  2. 49,99€/59,99€
  3. für 849€ (Einzelpreis der Grafikkarte im Vergleich teurer als das Bundle)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Shift6m-Smartphone im Hands on: Nachhaltigkeit geht auch bezahlbar und ansehnlich
Shift6m-Smartphone im Hands on
Nachhaltigkeit geht auch bezahlbar und ansehnlich

Cebit 2018 Das deutsche Unternehmen Shift baut Smartphones, die mit dem Hintergedanken der Nachhaltigkeit entstehen. Das bedeutet für die Entwickler: faire Bezahlung der Werksarbeiter, wiederverwertbare Materialien und leicht zu öffnende Hardware. Außerdem gibt es auf jedes Gerät ein Rückgabepfand - interessant.
Von Oliver Nickel


    In eigener Sache: Freie Schreiber/-innen für Jobthemen gesucht
    In eigener Sache
    Freie Schreiber/-innen für Jobthemen gesucht

    IT-Profis sind auf dem Arbeitsmarkt enorm gefragt, und die Branche hat viele Eigenheiten. Du kennst dich damit aus und willst unseren Lesern darüber berichten? Dann schreib für unser Karriere-Ressort!

    1. Leserumfrage Wie sollen wir Golem.de erweitern?
    2. Stellenanzeige Golem.de sucht Redakteur/-in für IT-Sicherheit
    3. Leserumfrage Wie gefällt Ihnen Golem.de?

    K-Byte: Byton fährt ein irres Tempo
    K-Byte
    Byton fährt ein irres Tempo

    Das Startup Byton zeigt zur Eröffnung der Elektronikmesse CES Asia in Shanghai das Modell K-Byte. Die elektrische Limousine basiert auf der Plattform des SUV, der vor fünf Monaten auf der CES in Las Vegas vorgestellt wurde. Unter deutscher Führung nimmt der Elektroautohersteller in China mächtig Fahrt auf.
    Ein Bericht von Dirk Kunde

    1. KYMCO Elektroroller mit Tauschakku-Infrastruktur
    2. Elektromobilität Niu stellt zwei neue Elektromotorroller vor
    3. 22Motor Flow Elektroroller soll vor Schlaglöchern warnen

    1. Notebook: Apple gibt nach Monaten Fehler bei Macbook-Tastatur zu
      Notebook
      Apple gibt nach Monaten Fehler bei Macbook-Tastatur zu

      Die Tastaturen in Macbook- oder Macbook-Pro-Modellen können fehlerhaft sein. Das hat Apple nach mehreren Monaten zugegeben. Betroffene Kunden können sich kostenlos eine funktionierende Tastatur in ihr Notebook einbauen lassen.

    2. Oberstes US-Gericht: Durchsuchungsbefehl für Abfrage von Handyposition notwendig
      Oberstes US-Gericht
      Durchsuchungsbefehl für Abfrage von Handyposition notwendig

      Der oberste US-Gerichtshof der USA hat den Schutz der Privatsphäre erhöht. Sicherheitsbehörden dürfen nicht einfach auf die Funkmastdaten eines Handys zugreifen. Dafür wird ein richterlich angeordneter Durchsuchungsbefehl verlangt.

    3. Vodafone: Edeka Mobil erhält mehr ungedrosseltes Datenvolumen
      Vodafone
      Edeka Mobil erhält mehr ungedrosseltes Datenvolumen

      Edeka Mobil von Vodafone lebt weiter und die Leistungen des Tarifs werden aufgestockt. Das ungedrosselte Datenvolumen erhöht sich ohne Preisaufschlag. Zudem ist es einfacher geworden, das Guthaben aufzuladen.


    1. 11:59

    2. 11:33

    3. 10:59

    4. 10:22

    5. 09:02

    6. 17:15

    7. 16:45

    8. 16:20