1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Netzverschlüsselung: Mythen über HTTPS

HTTP nutzt doch gar kein UDP - Warum ist nur HTTPS "sicher"?

  1. Thema

Neues Thema Ansicht wechseln


  1. HTTP nutzt doch gar kein UDP - Warum ist nur HTTPS "sicher"?

    Autor: TrudleR 16.12.14 - 09:51

    Mich verwirrt der folgende Abschnitt:
    "HTTPS gewährleistet jedoch mehr als nur die Verschlüsselung von Inhalten. Eine abgesicherte Verbindung garantiert neben der Vertraulichkeit auch die Echtheit der übertragenen Daten. Anders ausgedrückt: Es wird gewährleistet, dass beim Nutzer auch wirklich das ankommt, was der Server abgeschickt hat. Dass Inhalte auf dem Übertragungsweg manipuliert werden, kommt häufig vor und führt zu realen Problemen."

    Ich bin kein Experte oder sowas, aber beim TCP Protokoll hält der Absender doch Rücksprache (Acknowledge) mit dem Empfänger und kaputte/verlorene Packete werden nochmals geschickt. Wie kann es sein, dass dieser Punkt nur für HTTPS zählt?

  2. Re: HTTP nutzt doch gar kein UDP - Warum ist nur HTTPS "sicher"?

    Autor: joo 16.12.14 - 09:55

    TrudleR schrieb:
    --------------------------------------------------------------------------------
    > kaputte/verlorene Packete werden nochmals geschickt. Wie kann es sein, dass dieser Punkt nur für HTTPS zählt?

    Kaputte/verlorene Pakete schon, aber manipulierte Pakete fallen nicht auf (sofern der Angreifer korrekt manipuliert: TCP-Sequenznummer und weitere Parameter korrekt).

  3. Re: HTTP nutzt doch gar kein UDP - Warum ist nur HTTPS "sicher"?

    Autor: hab (Golem.de) 16.12.14 - 09:57

    TrudleR schrieb:
    --------------------------------------------------------------------------------
    > Ich bin kein Experte oder sowas, aber beim TCP Protokoll hält der Absender
    > doch Rücksprache (Acknowledge) mit dem Empfänger und kaputte/verlorene
    > Packete werden nochmals geschickt. Wie kann es sein, dass dieser Punkt nur
    > für HTTPS zählt?

    Der Unterschied ist: TCP schützt relativ zuverlässig gegen zufällige Übertragungsfehler durch Checksummen. Aber das schützt nicht gegen gezielte Manipuliation, denn ein "Man in the Middle" kann diese Checksummen neu berechnen wenn er Pakete verändert.

    Konkret heißt das: Fehler die etwa durch Leitungsstören auftreten werden erkannt, aber bewusste, gezielte Veränderungen etwa durch den Provider werden nicht verhindert.

  4. Re: HTTP nutzt doch gar kein UDP - Warum ist nur HTTPS "sicher"?

    Autor: r3verend 16.12.14 - 10:00

    TrudleR schrieb:
    --------------------------------------------------------------------------------
    > Ich bin kein Experte oder sowas, aber beim TCP Protokoll hält der Absender
    > doch Rücksprache (Acknowledge) mit dem Empfänger und kaputte/verlorene
    > Packete werden nochmals geschickt. Wie kann es sein, dass dieser Punkt nur
    > für HTTPS zählt?

    Ja, es wird Rücksprache gehalten aber es kann sich relativ einfach jemand dazwischen setzen und den Empfänger spielen so das dein Browser nicht merkt das der Fake-Empfänger nicht wirklich der richtige Empfänger ist - Man in the Middle Angriff nennt sich das.

  5. Re: HTTP nutzt doch gar kein UDP - Warum ist nur HTTPS "sicher"?

    Autor: robinx999 16.12.14 - 10:00

    Es geht nicht um TCP Paket echtheit, da werden in der Tat verloren gegangene Pakete erkannt.
    Das Problem ist wenn der Provider (schließt auch Wlan Betreiber mit ein) die Pakete Manipuliert und man bekommt halt gültige dateien. Halt Werbung austauscht. Cookies einfügt (zur überwachung). Bestimmte Seiten einer Domain Sperrt (wie bei Wikipedia in UK teilweise geschehn, da bleibt dann nur noch die wahl komplett sperren oder komplett offen lassen so eine teilweise sperrung von einzelnen artikeln ist dann nicht mehr möglich). Viren in Runtergeladene Binarys einfügen (ist bei Tor wohl schon passiert).

    Aber es gibt natürlich auch die mehr oder weniger gewünschten Funktionen. Bilder neu Komprimieren (vorallem für Mobilfunk verbindungen praktisch da so Traffic gesparrt wird und man die Bilder auch schneller auf der Webseite sehen kann) und natürlich generell das cachen von großen Downloads. Und es erschwert natürlich auch Virenprüfungen, Jugendschutzfilter wenn diese die Inhalte nicht mehr sehen können (auch wenn es da sicherlich lösungne gibt indem sie dann eigene Zertifikate auf dem System installieren und sich so praktisch wie ein Man in the Middle angriff verhalten)

  6. Re: HTTP nutzt doch gar kein UDP - Warum ist nur HTTPS "sicher"?

    Autor: TrudleR 16.12.14 - 10:06

    Danke für die vielen Antworten.

    Mit HTTPS könnte der Router doch immer noch eine "Proxyserver"-Rolle einnehmen, oder nicht? Also jegliche GET Anfragen werden vom Router abgefangen und selbst ins Internet gefeuert (und die Antwort bekommt somit ebenfalls der Router, der manipuliert diese und sendet sie an den ursprungsrechner zurück). Somit wäre die "Man in the Middle"-Problematik ja wieder diesselbe?

    Vermutlich liege ich falsch, aber irgendwie macht das Sinn für mich.

  7. Re: HTTP nutzt doch gar kein UDP - Warum ist nur HTTPS "sicher"?

    Autor: robinx999 16.12.14 - 10:11

    Dann müßte der Router der ein Proxy Server wird, aber die Seite runterladen und dann neu verschlüsseln und dafür fehlt ihm halt das passende Zertifikat.
    Grundsätzlich ist es natürlich möglich das der Router ein Eigenes Zertifikat besitzt doch dass müßte der Nutzer halt Installieren. Wird durchaus in Firmen gemacht wo dann mittels Gruppenrichtlinie das Passende Zertifikat auf allen PCs im Netz verteilt wird. Weil dort ist ein Proxy ja öfters anzutreffen. Aber dürfte insgesamt eine Spannende Entwicklung für z.B.: Wlan Betreiber sein (gut in Deutschland klappt das aufgrund der Störer haftung nur begrenzt) aber dort sind ja oft Transparente Proxys als Jugendschutz Filter bzw. als Filter für Urheberrechtsverletzung im Einsatz, da hat man dann ein Problem und die Nutzer werden wohl kaum alle Zertifikate auf ihren Geräten Installieren

  8. Re: HTTP nutzt doch gar kein UDP - Warum ist nur HTTPS "sicher"?

    Autor: brotherelf 16.12.14 - 10:11

    TrudleR schrieb:
    --------------------------------------------------------------------------------
    > Danke für die vielen Antworten.
    >
    > Mit HTTPS könnte der Router doch immer noch eine "Proxyserver"-Rolle
    > einnehmen, oder nicht? Also jegliche GET Anfragen werden vom Router
    > abgefangen und selbst ins Internet gefeuert (und die Antwort bekommt somit
    > ebenfalls der Router, der manipuliert diese und sendet sie an den
    > ursprungsrechner zurück). Somit wäre die "Man in the Middle"-Problematik ja
    > wieder diesselbe?

    Der Router kann aber nicht die veränderte Seite verschlüsseln, weil er keinen geheimen Schlüssel hat, für den eine CA unterschrieben hat, dass er für, sagenwirmal, facebook.com gültig wäre.

  9. Re: HTTP nutzt doch gar kein UDP - Warum ist nur HTTPS "sicher"?

    Autor: jaykay2342 16.12.14 - 10:22

    Für die Jugendschutzfilter bleibt dir dann nichts anderes als ganze Domains zu blocken. Die Domain die im Zertifikate steht bzw. per SNI angefordert geht ja noch im Klartext über die Leitung.

  10. Re: HTTP nutzt doch gar kein UDP - Warum ist nur HTTPS "sicher"?

    Autor: robinx999 16.12.14 - 10:30

    Ja klar kann man eine Ganze Seite sperren, aber spätestens bei seiten mit User Generated Content wird es problematisch. Oder wenn man aus welchen Gründen z.B.: die Wikipedia Seiten über Bestimmte Sexualpraktiken sperren will, so hat man schnell nur die Entweder oder Wahl.

    Was dann schnell zu einem Problem wird.
    Ich erinnere mich aber auch an übertriebene Jugendschutzfilter, damals hatte einer gesagt "er macht jetzt Submission" (im Rahmen eines Ausschreibungsverfahrens). Naja die Suche bei Wikipedia blieb dann aufgrund eines Jugendschutzfilter ergebnisslos.



    1 mal bearbeitet, zuletzt am 16.12.14 10:31 durch robinx999.

  11. Re: HTTP nutzt doch gar kein UDP - Warum ist nur HTTPS "sicher"?

    Autor: jaykay2342 16.12.14 - 10:33

    Wir kommen dann ggf. endlich zu der Erkenntnis dass diese ganzen Filter eh nicht richtig funktionieren und quatsch sind.

  12. Re: HTTP nutzt doch gar kein UDP - Warum ist nur HTTPS "sicher"?

    Autor: hab (Golem.de) 16.12.14 - 10:41

    Diese ganze Idee mit Man-in-the-Middle-Proxies ist problematisch, egal ob für Virenscanner oder für Jugendschutzfilter.
    Und in Zukunft wird das auch immer weniger funktionieren, selbst wenn man ein Zertifikat in den Browser einträgt (Stichwort: Key Pinning). Was auch meiner Ansicht nach sinnvoll ist. (Ich fand es schon immer eine reichlich komische Idee wenn Entiwckler einer "Sicherheitssofware" auf die Idee kommen "Lasst uns Man-in-the-Middle-Angriffe machen um nach Viren zu scannen").

    Was die Virenscanner angeht: Der Ansatz muss da schlicht und ergreifend sein Browser sicherer zu machen. Und wenn es unbedingt Virenscanner sein sollen (bei allen Problemen die damit verbunden sind) dann müssen die halt auf dem Client nach dem Download durch den Browser scannen.

    Was die Zensurproxies ("Jugendschutzfilter") angeht: Da könnte man die Ansicht vertreten dass es aus Nutzersicht nur gut ist wenn die nicht in Webseiten rumpfuschen.

  13. Re: HTTP nutzt doch gar kein UDP - Warum ist nur HTTPS "sicher"?

    Autor: robinx999 16.12.14 - 11:29

    hannob (golem.de) schrieb:
    --------------------------------------------------------------------------------
    > Diese ganze Idee mit Man-in-the-Middle-Proxies ist problematisch, egal ob
    > für Virenscanner oder für Jugendschutzfilter.
    > Und in Zukunft wird das auch immer weniger funktionieren, selbst wenn man
    > ein Zertifikat in den Browser einträgt (Stichwort: Key Pinning). Was auch
    > meiner Ansicht nach sinnvoll ist. (Ich fand es schon immer eine reichlich
    > komische Idee wenn Entiwckler einer "Sicherheitssofware" auf die Idee
    > kommen "Lasst uns Man-in-the-Middle-Angriffe machen um nach Viren zu
    > scannen").
    >
    Stimmt schon das daran gearbeitet wird so etwas zu verindern, für unternehmen könnte es aber Problematisch werden. Aber könnte insgesammt spanned werden ob die Gefahr nicht größer wird wenn sicherheitssoftware nichts mehr scannen kann.
    > Was die Virenscanner angeht: Der Ansatz muss da schlicht und ergreifend
    > sein Browser sicherer zu machen. Und wenn es unbedingt Virenscanner sein
    > sollen (bei allen Problemen die damit verbunden sind) dann müssen die halt
    > auf dem Client nach dem Download durch den Browser scannen.
    >
    Vieleicht braucht es dafür auch eine Schnittstelle für den Browser der daten an eine Sicherheitssoftware weitergeben kann und die dann erst verarbeitet werden wenn diese ihr OK gibt um so sicherheitslücken einzuschränken. Aber grundsätzlich dürfte es für Unternehmen problematisch werden wenn dort ein Virenscanner zentral im Proxy ist könnte es aufwendig werden wenn der dann in zukunft direkt auf die Clients soll.
    > Was die Zensurproxies ("Jugendschutzfilter") angeht: Da könnte man die
    > Ansicht vertreten dass es aus Nutzersicht nur gut ist wenn die nicht in
    > Webseiten rumpfuschen.
    Könnte man durchaus vertreten. Aber interessant könnte es auch aus Rechtlicher sicht sein. So können es AFAIK bestimmte seiten Inhalte Anbieten die eine höhere Alterseinstuffung haben aufgrund der "Annerkannten Jugendschutzprogramme" die dann die age-de.xml auswerten, doch wenn dann in zukunft überall https eingesetzt wird funktionieren die Programme doch nicht mehr und der ganze Jugendschutzstaatvertrag könnte Platzen mit dem schlimsten ergebniss dass dann Unsere Politik wieder die ansicht der "Sendezeiten" vertritt.

  14. Re: HTTP nutzt doch gar kein UDP - Warum ist nur HTTPS "sicher"?

    Autor: robinx999 16.12.14 - 11:31

    Glaube ich noch nicht dran, dann wird in zukunft halt nicht mehr ein einzelner Wikipedia Artikel blockiert https://www.golem.de/0812/63989.html sondern halt gleich die Komplette Wikipedia evtl. spanned ist es dann wie viel protest es gibt.

  15. Re: HTTP nutzt doch gar kein UDP - Warum ist nur HTTPS "sicher"?

    Autor: M. 16.12.14 - 21:35

    Filtern (egal ob für Jugenschutzsoftware oder AV) ist ja nach wie vor möglich, nur nicht mehr transparent per MITM. Eine Browsererweiterung (die dann aber auch sichtbar und für den User deaktivierbar ist) ist eh die bessere Lösung.

    There's no sense crying over every mistake,
    you just keep on trying 'till you run out of cake.

  16. Re: HTTP nutzt doch gar kein UDP - Warum ist nur HTTPS "sicher"?

    Autor: Moe479 16.12.14 - 22:22

    solche filter sind sowieso quatsch eine wirklich freie gesellschaft braucht soetwas nicht alles andere ist bevormundung und unter einer solchen ist man nie frei, sondern immer beschränkt.



    2 mal bearbeitet, zuletzt am 16.12.14 22:23 durch Moe479.

  17. Re: HTTP nutzt doch gar kein UDP - Warum ist nur HTTPS "sicher"?

    Autor: robinx999 17.12.14 - 06:28

    M. schrieb:
    --------------------------------------------------------------------------------
    > Filtern (egal ob für Jugenschutzsoftware oder AV) ist ja nach wie vor
    > möglich, nur nicht mehr transparent per MITM. Eine Browsererweiterung (die
    > dann aber auch sichtbar und für den User deaktivierbar ist) ist eh die
    > bessere Lösung.


    Für Virenscanner bei Privat PCs mag es Funktionieren. Bei Firmen PCs sehe ich da schon eher ein Problem. Wenn da bisher Zentral auf dem Getway gefiltert wurde ist das sicherlich durchaus ein Gewisses Problem.

    Ein Jugendschutzfilter der sich durch Starten ohne Addons aushebeln läßt ist aber sicherlich ein Problem. Außer man erweitert das System so stark das der Nutzer sich erst durch die Browsererweiterung beim Proxy überhaupt für Webzugriff legitimiert (wobei ich nicht weiß wieviel da so eine Browsererweiterung leisten kann)

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. IT-Administrator (m/w/d)
    Wagon Automotive Nagold GmbH, Nagold
  2. (Junior) IT Consultant - Security Operations (m/w/d)
    Melitta Gruppe, Minden
  3. Transition Manager (m/w/d)
    Diehl Metall Stiftung & Co. KG, Röthenbach a. d. Pegnitz / Metropolregion Nürnberg
  4. Trainer (m/w/d) - Android App Entwickler / Developer
    WBS GRUPPE, deutschlandweit (Home-Office)

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 87,61€
  2. (u. a. GTA 5 - Grand Theft Auto V für 8,99€, For The King für 2,49€, Golf With Your Friends...
  3. 74,99€
  4. 1.549€ (Bestpreis)


Haben wir etwas übersehen?

E-Mail an news@golem.de