1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Verschlüsselung: Mozillas HTTP…

OT: Frage zu URL HTTPS allgemein

  1. Thema

Neues Thema Ansicht wechseln


  1. OT: Frage zu URL HTTPS allgemein

    Autor: Arystus 04.05.15 - 17:47

    Ich habe mal ne Frage zu HTTPS allgemein, wird auch die genaue URL also alles nach hostname.domain z.B. alles nach golem.de/ verschlüsselt oder die gesamte URL sichtbar?

    Hier gab es einige Unterschiedliche Meinungen dazu.

    Zweite frage ist ein HTTPS sicher wenn der Angriffspunkt der Provider ist (*Aluhut auf* NSA/BND/EinGeheimdienstDeinerWahl ), also dass der Provider ein Man-in-the-middle Attacke versuche, natürlich auf (Richterliche-)Anordnung.

    Meine aktuelle Ansicht wie HTTPS funktioniert:
    Asymmetrische Verschlüsselung wird benutzt um einen Symmetrischen Schlüssel zu übertragen der dann zum Datenaustausch für eingehende als auch für ausgehende Daten benutzt wird. (ganz Grob)

    Ich danke im voraus für die Antworten und entschuldige meine Unwissenheit.



    1 mal bearbeitet, zuletzt am 04.05.15 17:47 durch Arystus.

  2. Re: OT: Frage zu URL HTTPS allgemein

    Autor: ikhaya 04.05.15 - 19:02

    Dein Rechner und der Server der Webseite weiß welche URL genau, aber nach außen ist nur der Server/der rohe Webseitenname sichtbar.

    https://netzpolitik.org/2015/eu-parlament-entwickelt-paket-fuer-pgp-artige-software-und-verweist-in-der-zwischenzeit-auf-office-7zip-und-pdf/

    wird für Außenstehende zu https://netzpolitik.org

  3. Re: OT: Frage zu URL HTTPS allgemein

    Autor: _BJ_ 04.05.15 - 19:18

    Das erste hat mein Vorredner bereits erklärt, das zweite funktioniert ansich auch nicht.

    Ein Zertifikat wird dir von einer Zertifizierungsstelle (CA) unterschrieben. Diese steht in diesem Augenblick dafür gerade das es keine Man-in-the-middle Attacks gibt weil dein Browser die Zertifikatskette bis zu dieser überprüft. Wenn sich einer dazwischen einklemmt, verletzt er die Zertifikatskette und der Browser gibt dir bescheid.

    Soweit die Theorie. D.h. nein der Staat und Provider allein können sich NICHT in deine Kommunikation einklinken, da müssten dann auch noch alle Zertifizierungsstellen mit gezwungen werden ihre Schlüssel herauszugeben was ich für äußerst unwahrscheinlich halte da das ihre Einnahmsquelle ist.



    1 mal bearbeitet, zuletzt am 04.05.15 19:19 durch _BJ_.

  4. Re: OT: Frage zu URL HTTPS allgemein

    Autor: RipClaw 04.05.15 - 19:21

    Arystus schrieb:
    --------------------------------------------------------------------------------
    > Ich habe mal ne Frage zu HTTPS allgemein, wird auch die genaue URL also
    > alles nach hostname.domain z.B. alles nach golem.de/ verschlüsselt oder
    > die gesamte URL sichtbar?
    >
    > Hier gab es einige Unterschiedliche Meinungen dazu.

    Es ist nur der Hostname sichtbar wenn er für SNI unverschlüsselt beim Verbindungsaufbau verschickt wird. Danach ist die komplette Verbindung verschlüsselt und es nichts mehr sichtbar. Man bekommt also höchstens den Hostnamen mit z.B. golem.de.

    > Zweite frage ist ein HTTPS sicher wenn der Angriffspunkt der Provider ist
    > (*Aluhut auf* NSA/BND/EinGeheimdienstDeinerWahl ), also dass der Provider
    > ein Man-in-the-middle Attacke versuche, natürlich auf
    > (Richterliche-)Anordnung.

    Dazu müsste der Provider ein gültiges Zertifikat im Köcher haben das die von dir angeforderte Seite passt. Einfach irgend ein Zertifikat reicht nicht aus. Er müsste also entweder gezielt bestimmte Verbindungen unterwandern oder aber dynamisch neue gültige Zertifikate generieren.

    Zudem gibt es diverse Methoden zur Erkennung von Man-in-the-Middle Attacken wie z.B. HTTP Public Key Pinning oder DANE.

    Aktuell wird von Firefox nur HTTP Public Key Pinning unterstützt. Beim ersten Kontakt wird dir hier über einen Header mitgeteilt welches Zertifikat für diese Domain gültig ist und das wir dann lokal gespeichert.

    Wenn sich der Provider erst danach dazwischen schaltet wenn du die Seite mindestens einmal aufgerufen hast wird dein Browser Alarm schlagen.
    Wenn der Provider hingegen sich zuvor eingeschaltet hätte und den Header unterdrücken würde, dann könnte der Angriff erfolgreich sein.

    Um das ganze mal zusammenzufassen:

    * Ein Provider der dich Aushorchen will müsste als erstes entweder dynamisch Zertifikate generieren die von deinem Browser ohne Meldung akzeptiert werden oder sich auf bestimmte Verbindungen konzentrieren und auch dafür passende Zertifikate haben

    * Er müsste zuschlagen bevor du das erste mal überhaupt auf diese "böse" Seite gehst.

    * Er müsste den HTTP Public Key Pinning Header ausfiltern so das du nicht mitbekommst das du belauscht wirst.

  5. Re: OT: Frage zu URL HTTPS allgemein

    Autor: Nocta 05.05.15 - 08:47

    Dein Fazit am Ende finde ich etwas naiv ... Kriegen wir nicht seit Snowden regelmäßig Informationen, die einem eines Besseren belehren?

    1. Ja, der Staat und Provider können sich nicht "einfach so" einklinken
    2. Ja, die Zertifizierungsstelle müsste gezwungen oder zur Kooperation angeregt werden
    3. Ja sie machen Geld damit, dass man ihnen vertraut. Dieses Vertrauen würden sie gerne behalten, damit sie auch weiterhin Geld damit machen können. Daher geben sie wirklich ungern einfach irgendwelche Zertifikate/Schlüssel raus.

    Heißt das jetzt, dass alles gut ist?
    Nein, es wäre nicht das erste Mal, dass gefälschte Zertifikate im Umlauf sind. Das System ist alles andere als sicher, das sollte mittlerweile klar sein. Außerdem ist die Regierung der USA ist ja auch nicht gerade dafür bekannt, dass sie sich davor scheut, Firmen dazu zu zwingen, ihnen Daten zu geben ...

    also dieses "äußerst unwahrscheinlich" würde ich hier eher zurücknehmen.
    Ich würde aber durchaus sagen, dass es trotzdem noch einen sehr umfangreichen Schutz gegen Hacker bietet und will jetzt keinesfalls sagen, dass man Zertifikate bzw. Verschlüsselung auch ganz wegpacken kann. Ich will auch weiterhin verschlüsselt meine Einkäufe tätigen usw.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Giesecke+Devrient Currency Technology GmbH, München
  2. KION Group AG, Frankfurt am Main
  3. HUK-COBURG Versicherungsgruppe, Coburg
  4. über duerenhoff GmbH, Bad Oeynhausen

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 1439,90€ (Vergleichspreis: 1530,95€)
  2. täglich neue Deals bei Alternate.de


Haben wir etwas übersehen?

E-Mail an news@golem.de


Programmieren lernen: Informatik-Apps für Kinder sind oft zu komplex
Programmieren lernen
Informatik-Apps für Kinder sind oft zu komplex

Der Informatikunterricht an deutschen Schulen ist in vielen Bereichen mangelhaft. Apps versprechen, Kinder beim Spielen einfach an das Thema heranzuführen. Das können sie aber bislang kaum einhalten.
Von Tarek Barkouni

  1. Kano-PC Kano und Microsoft bringen Lern-Tablet mit Windows 10

Holo-Monitor angeschaut: Looking Glass' 8K-Monitor erzeugt Holo-Bild
Holo-Monitor angeschaut
Looking Glass' 8K-Monitor erzeugt Holo-Bild

CES 2020 Mit seinem neuen 8K-Monitor hat Looking Glass Factory eine Möglichkeit geschaffen, ohne zusätzliche Hardware 3D-Material zu betrachten. Die holographische Projektion wird in einem Glaskubus erzeugt und sieht beeindruckend realistisch aus.
Von Tobias Költzsch und Martin Wolf

  1. UHD Alliance Fernseher mit Filmmaker-Modus kommen noch 2020
  2. Concept One ausprobiert Oneplus lässt die Kameras verschwinden
  3. Alienware Concept Ufo im Hands on Die Switch für Erwachsene

Kailh-Box-Switches im Test: Besser und lauter geht ein klickender Switch kaum
Kailh-Box-Switches im Test
Besser und lauter geht ein klickender Switch kaum

Wer klickende Tastatur-Switches mag, wird die dunkelblauen Kailh-Box-Schalter lieben: Eine eingebaute Stahlfeder sorgt für zwei satte Klicks pro Anschlag. Im Test merken unsere Finger aber schnell den hohen taktilen Widerstand.
Ein Test von Tobias Költzsch

  1. Keychron K6 Kompakte drahtlose Tastatur mit austauschbaren Switches
  2. Charachorder Schneller tippen als die Tastatur erlaubt
  3. Brydge+ iPad-Tastatur mit Multi-Touch-Trackpad

  1. Rainbow Six Siege: Ubisoft verklagt DDoS-Anbieter
    Rainbow Six Siege
    Ubisoft verklagt DDoS-Anbieter

    Seit Monaten gibt es DDOS-Angriffe gegen Rainbow Six Siege, nun klagt Ubisoft gegen einen Anbieter. Der offeriert das Lahmlegen der Server ab 150 Euro, offenbar stecken auch Deutsche hinter den Attacken.

  2. Facebook-Urteil: Gericht erkennt "Drecks Fotze" nun doch als Beleidigung an
    Facebook-Urteil
    Gericht erkennt "Drecks Fotze" nun doch als Beleidigung an

    Im September entschied das Berliner Landgericht, dass die Grünen-Politikerin Renate Künast Aussagen wie "Drecks Fotze" hinnehmen müsse. Nun hat es seine ursprüngliche Entscheidung widerrufen, da sich die Kommentare auf ein Fake-Zitat bezogen hatten.

  3. Fastfood: Werbeschlacht der Lieferdienste kostete 780 Millionen Euro
    Fastfood
    Werbeschlacht der Lieferdienste kostete 780 Millionen Euro

    Der zugespitzte Konkurrenzkampf auf dem deutschen Markt für Fastfood-Lieferungen war für den Werbemarkt gut. Deutschland sei laut Delivery Hero aber generell "kein guter Markt" für Essenslieferdienste.


  1. 17:16

  2. 17:01

  3. 16:47

  4. 16:33

  5. 15:24

  6. 15:09

  7. 15:05

  8. 15:00