WLAN offen und dennoch sicher per HTTPS?

Internet Internet Sicherheit
#1

Wenn ich in einem unverschlüsselten WLAN bin (ohne WEP oder WPA oder Schlüssel) ist dann eine Verbindung im Browser über HTTPS sicher?

Vielen Dank!!

#2

Ach was solls:

Nach der Universität Duisburg scheint das zuzutreffen.

Bei der Übertragung sensibler Daten sollten nur verschlüsselte Übertragungswege genutzt werden, zum Beispiel SSH, SCP, Webmail über HTTPS. ( Für den Kontext siehe http://www.uni-due.de/zim/services/wlan/wlan_unversc… )

Freu mich aber auch über weitere kompetente Antworten.

#3

Wenn ich in einem unverschlüsselten WLAN bin (ohne WEP oder
WPA oder Schlüssel) ist dann eine Verbindung im Browser über
HTTPS sicher?

Ja.

Stefan

#4

Cool. Danke! OwT
OwT

#5

Hallo,

extrem „uncool“!

Die Übertragung zwischen Browser und Server mag zwar sicher sein, das gesamte System aber ist offen und verwundbar.

Ist aber das System korrumpiert, kann auch eine verschlüsselte Übertragung nicht als „sicher“ gelten.

mfg

tf

#6

Ja, was denn nun?
Wenn es zwischen Browser und Server sicher ist, dann reicht das doch für die übermittelten Daten.
Oder denkst Du an Zugriffe die nicht über den Browser? Kannst Du das erläutern?

Da es ein Universitätsnetzwerk ist, denke ich mal es wird schon irgendwie einigermaßen sicher sein.
Die Authentisierung erfolgt über den Browser.

Es gibt noch einen andere Möglichkeit (die normalerweise sicherlich vorzuziehen ist) die aber aus technischen Gründen gerade ausscheidet.

#7

Hallo Enrique,

ob das Netzwerk sicher oder nicht ist, kann und will ich nicht beurteilen.

Fakt ist - sofern ich dich richtig verstande (Hitze!!!) ist ja, daß das Netzwerk „offen“ ist, keine Verschlüsselung.

Den genauen Aufbau usw. kennst Du besser als ich.

Worauf ich hinaus wollte: Wenn Dein Rechner per WLAN unverschlüsselt mit der Außenwelt spricht, ist er offener gegenüber Angriffen. In diesem Fall spielt die Verschlüsselung über den Browser keine Rolle. Ich könnte Deinen Netzwerkverkehr mitlesen.

Sollte also ein Angreifer Zugriff auf Deinen Rechner kommen, so sind sowohl der Schlüssel als auch die Verschlüsselungsroutinen gefährdet (https …).

Sehr vereinfacht gesagt, hast Du ein hochwertiges Schloß mit Schlüssel (https) und hängst diesen an die Außenseite der Haustür 8internes Netzwerk unverschlüsselt).

Aber vielleicht habe ich Dich nur falsch verstanden.

mfg

tf

#8

Hallo,

Die Übertragung zwischen Browser und Server mag zwar sicher
sein, das gesamte System aber ist offen und verwundbar.

Huch? Wie kommst Du denn auf diese Idee?

Sebastian

#9

Hallo,

ob das Netzwerk sicher oder nicht ist, kann und will ich nicht
beurteilen.

Welches Netzwerk ist schon sicher … :wink:

Fakt ist - sofern ich dich richtig verstande (Hitze!!!) ist
ja, daß das Netzwerk „offen“ ist, keine Verschlüsselung.

Ja,

Den genauen Aufbau usw. kennst Du besser als ich.

Worauf ich hinaus wollte: Wenn Dein Rechner per WLAN
unverschlüsselt mit der Außenwelt spricht, ist er offener
gegenüber Angriffen.

Echt? Wieviele Sicherheuitslücken sind denn so auf seinem Rechner installiert? Und warum sollte er viel sicherer sein, wenn er per unverschlüsseltem Ethernet mit der Aussenwelt spricht?

In diesem Fall spielt die Verschlüsselung
über den Browser keine Rolle. Ich könnte Deinen
Netzwerkverkehr mitlesen.

Bei SSL? Nicht wirklich. Jedenfalls nichts nutzbares.

Sollte also ein Angreifer Zugriff auf Deinen Rechner kommen,
so sind sowohl der Schlüssel als auch die
Verschlüsselungsroutinen gefährdet (https …).

Naja, wenn der Rechner erst kompromittiert ist, ist alles zu spät. Immer. Die Verschlüsselungsroutinen wohl noch am wenigsten.

Sehr vereinfacht gesagt, hast Du ein hochwertiges Schloß mit
Schlüssel (https) und hängst diesen an die Außenseite der
Haustür 8internes Netzwerk unverschlüsselt).

Ich sehe nicht, wo der Schlüssel zu HTTPS aussen hängt.

Ich würde durchaus Onlinebanking per SSL über ein offenes WLAN machen.

Sebastian

#10

Muss den Vorrednern wiedersprechen, es ist sehr unsicher.

  1. Selbst wenn die Seite anscheinend über https läuft, so ist das nicht für alle Inhalte der Seite klar, über ein frame kann eine unverschlüsselte Seite eingebunden sein, etc. man muss da vorsichtig sein.

  2. Wenn jemand den kompletten Traffic mitliest, dann kann er auch https entschlüsseln, das geht mit Wireshark, ich glaube man muss nur die übermittelten Keys/Zertifikate mitsniffen um an die Daten zu kommen, weitere Infos dazu hier: http://wiki.wireshark.org/SSL

  3. Da du in einem unsicherem Netzwerk bist, kann auch jeder andere in das Netzwerk verbinden und Angriffe gegen dich starten, aber wenn bei dir alles dicht ist (Firewall, keine Lücken) so besteht noch die Gefahr eines MITM-Angriffs (speziell: ARP Poisoning/Spoofing), bei dem der ganze Traffic über einen Mittelmann läuft und dieser gefakete selbererstellte Zertifikate überträgt, und dadurch den Verkehr mitlauschen kann: http://de.wikipedia.org/wiki/Man-in-the-middle-Angriff

Gruß

#11

Muss den Vorrednern wiedersprechen, es ist sehr unsicher.

  1. Selbst wenn die Seite anscheinend über https läuft, so ist
    das nicht für alle Inhalte der Seite klar, über ein frame kann
    eine unverschlüsselte Seite eingebunden sein, etc. man muss da
    vorsichtig sein.

Wenn dein Browser nicht warnt, dass Teile der Webseite nicht verschlüsselt sind, solltest du mal deinen Browser wechseln.

  1. Wenn jemand den kompletten Traffic mitliest, dann kann er
    auch https entschlüsseln, das geht mit Wireshark, ich glaube
    man muss nur die übermittelten Keys/Zertifikate mitsniffen um
    an die Daten zu kommen, weitere Infos dazu hier:
    http://wiki.wireshark.org/SSL

Zitat:
„The SSL dissector is fully functional and even supports advanced features such as decryption of SSL if the encryption key can be provided and Wireshark is compiled against GnuTLS (rather than OpenSSL or bsafe).“

Selbstverständlich kann ich alles lesen wenn ich den Schlüssel habe. Aber dann kann ich auch an jedem Knotenpunkt im Internet allen Verkehr der darüber geht entschlüsseln. Was macht dann bitte HTTPS für einen Sinn, wenn das geht?

  1. Da du in einem unsicherem Netzwerk bist, kann auch jeder
    andere in das Netzwerk verbinden und Angriffe gegen dich
    starten, aber wenn bei dir alles dicht ist (Firewall, keine
    Lücken) so besteht noch die Gefahr eines MITM-Angriffs
    (speziell: ARP Poisoning/Spoofing), bei dem der ganze Traffic
    über einen Mittelmann läuft und dieser gefakete
    selbererstellte Zertifikate überträgt, und dadurch den Verkehr
    mitlauschen kann:
    http://de.wikipedia.org/wiki/Man-in-the-middle-Angriff

Hier ist nicht das Problem, dass das Netzwerk unverschlüsselt ist, sondern dass ein self-signed Zertifikat akzeptiert. Dann darf nicht annehmen, dass man mit dem korrektem Ziel kommuniziert.

#12

Muss den Vorrednern wiedersprechen, es ist sehr unsicher.

  1. Selbst wenn die Seite anscheinend über https läuft, so ist
    das nicht für alle Inhalte der Seite klar, über ein frame kann
    eine unverschlüsselte Seite eingebunden sein, etc. man muss da
    vorsichtig sein.

Wenn dein Browser nicht warnt, dass Teile der Webseite nicht
verschlüsselt sind, solltest du mal deinen Browser wechseln.

Ich meinte nur dass man da vorsichtig sein muss, manche klicken ja gern „diese Meldung nicht mehr anzeigen“ und auf sehr vielen, ich wage mich sogar zu sagen den meisten Seiten gibt es irg.ein frame zu irg.einer anderen seite, ob google-analytics, irg.eine werbung oder sonst etwas, man sollte halt drauf achten dass die sensiblen daten auch wirklich über das https-protokoll laufen

  1. Wenn jemand den kompletten Traffic mitliest, dann kann er
    auch https entschlüsseln, das geht mit Wireshark, ich glaube
    man muss nur die übermittelten Keys/Zertifikate mitsniffen um
    an die Daten zu kommen, weitere Infos dazu hier:
    http://wiki.wireshark.org/SSL

Zitat:
„The SSL dissector is fully functional and even supports
advanced features such as decryption of SSL if the encryption
key can be provided and Wireshark is compiled against GnuTLS
(rather than OpenSSL or bsafe).“

Selbstverständlich kann ich alles lesen wenn ich den Schlüssel
habe. Aber dann kann ich auch an jedem Knotenpunkt im
Internet allen Verkehr der darüber geht entschlüsseln. Was
macht dann bitte HTTPS für einen Sinn, wenn das geht?

Habs nicht ganz verstanden, jedoch soweit ich sehe wiedersprichst du mir nicht, dass https entschlüsselbar ist, man muss nur von anfang an mitsniffen und da im Internet jedes Paket seinen eigenen weg geht bekommt man selten alles was man braucht (abgesehen von provider, router etc)

  1. Da du in einem unsicherem Netzwerk bist, kann auch jeder
    andere in das Netzwerk verbinden und Angriffe gegen dich
    starten, aber wenn bei dir alles dicht ist (Firewall, keine
    Lücken) so besteht noch die Gefahr eines MITM-Angriffs
    (speziell: ARP Poisoning/Spoofing), bei dem der ganze Traffic
    über einen Mittelmann läuft und dieser gefakete
    selbererstellte Zertifikate überträgt, und dadurch den Verkehr
    mitlauschen kann:
    http://de.wikipedia.org/wiki/Man-in-the-middle-Angriff

Hier ist nicht das Problem, dass das Netzwerk unverschlüsselt
ist, sondern dass ein self-signed Zertifikat akzeptiert. Dann
darf nicht annehmen, dass man mit dem korrektem Ziel
kommuniziert.

Jein, klar sollte der User drauf achten und der Browser einen davor warnen, jedoch gings mir darum zu zeigen, dass unverschlüsselte wlans unsicherer sind als normale, da jeder fremde ins netz kommt und böse sachen anstellen kann. Außerdem meine ich mich zu erinnern, dass man diesen falsche Zertifikate nichtmal zu erstellen braucht, wenn man wie bei Punkt 2 schon gesagt einfach alles mitlogt, der ganze traffic nimmt einfach nur einen Umweg und Wireshark erledigt den Rest