Ist der https-Verkehr über ein unverschlüsseltes drahtloses Netzwerk sicher?

21

Das ist etwas, worüber ich mich schon lange gewundert habe. Wenn ich beispielsweise Google Mail über https verwende, kann jemand meine IM-Konversationen und E-Mails lesen, wenn ich ein ungesichertes drahtloses Netzwerk verwende? Ich gehe davon aus, dass die Daten sicher sind, da sie eine verschlüsselte Verbindung verwenden. Gibt es noch etwas zu beachten?

wireless-networking security encryption Davidscolgan
quelle
3
Passender
1
Ich denke , dass es war der Artikel , die ihn aufgefordert , / ihr zu diesem Thema , eine solche Frage zu stellen.
JFW

Antworten:

21

Ich würde denken, dass jemand immer noch einen Man-in-the-Middle-Angriff ausführen könnte, wenn Sie sich in einem ungesicherten WLAN befinden (oder sogar in einem gesicherten WLAN, wenn er zufällig einen Weg findet, dies zuzulassen). Aus diesem Grund müssen Sie immer überprüfen, ob die SSL-Verbindung in Ihrer Adressleiste grün angezeigt wird, und / oder manuell überprüfen, ob das Zertifikat gültig ist, wenn Sie ungesichertes WLAN verwenden. Unter der Annahme, dass das Zertifikat korrekt ist, sollte das SSL Ihre Daten schützen.

Darth Android
quelle
7
Wenn eine echte SSL-Verschlüsselung mit ordnungsgemäß überprüften, nicht gefährdeten SSL-Zertifikaten vorliegt, ist ein MITM-Angriff nicht möglich.
ewanm89
@ ewanm89 Aus diesem Grund möchte ich wiederholen, dass das Zertifikat überprüft werden muss, wenn über ungesicherte Netzwerke Bankgeschäfte, E-Mails oder andere vertrauliche Vorgänge ausgeführt werden. Wenn Sie nicht feststellen, dass das Zertifikat nicht validiert werden kann, ist MITM möglich. Glücklicherweise machen es Webbrowsern heutzutage sehr schwer, es nicht zu bemerken.
Darth Android
1
Um zu @ ewanm89 hinzuzufügen, ist es nicht unmöglich, MITM- und Sniff-Pakete zu sein - nur unmöglich, sie zu lesen, weil sie verschlüsselt sind.
Okay, das spaltet die Haare. MITM und das Vorhandensein eines Pakets, das wie zufällige Daten aussieht, ist in den meisten Fällen genauso sinnlos wie das Nichtvorhandensein. Aber ja, man könnte auch nachverfolgen, welche Domain ein Computer verbindet, aber die tatsächlich gesendeten / empfangenen Daten nicht kennen. Außerdem könnte ich, wenn wir ganz ehrlich sind, theoretisch die AES-Schlüssel mit genügend Rechenleistung brachial erzwingen (Hinweis, dass es viel kostet).
ewanm89
Außerdem gehe ich davon aus, dass die Zertifizierungsstelle nicht gefährdet ist. Man überprüft, ob die Zertifizierungsstelle, die die Site-Administratoren tatsächlich besucht haben, und fragt die Administratoren, wie der Zertifikat-Fingerabdruck von einem anderen Kanal sein soll. Wie man sieht, ist es selten, dass ein SSL-Zertifikat ordnungsgemäß überprüft wird (dies geschieht jedoch in Anwendungen wie openvpn, in denen der Administrator die Zertifikate vor der Verbindung verteilt, und auch auf dem Client, um sie vollständig zu überprüfen).
ewanm89
2

Ich denke, Ihre Argumentation ist richtig. Um Ihre Informationen zu lesen, müssten sie das SSL entschlüsseln. Es würde nur eine Verschlüsselungsstufe weniger für sie geben, um auf die verschlüsselten Daten zuzugreifen.

PeterT
quelle
2

Solange Ihr DNS und die SSL-Rootkey-Server Ihres Browsers gültig sind, befindet sich ein Angreifer in demselben unsicheren drahtlosen Netzwerk, in das Sie mit einem Server nicht in Ihre SSL-Pipe gelangen können.

DNS ist die große Sicherheitsanfälligkeit in diesem Bereich - wenn Ihre DNS-Serverkette von einem Angreifer infiziert wird, kann dies dazu führen, dass alle möglichen Dinge sicher erscheinen, aber tatsächlich unsicher sind.

Wenn Sie sich jedoch die Frage stellen, ob ein zufälliger Hacker auf einem Flughafen oder in einem Café in der Lage ist, Ihre SSL-Pipe zu Ihrer Bank zu hacken, ist die Antwort mit ziemlicher Sicherheit nicht.

Stevemidgley
quelle
1

Denken Sie jedoch daran, dass nur die Daten im HTTP-Stream verschlüsselt werden, die URLs jedoch nicht. Vielleicht kann sich jemand als Sie ausgeben.

Ignacio Soler Garcia
quelle
2
Das stimmt einfach nicht. Alles in der angeforderten URL mit Ausnahme des Domainnamens wird verschlüsselt, bevor es über die gesicherte Verbindung gesendet wird. Das schließt die GET-Anfrage selbst ein.
Andrew
1

Beachten Sie auch, dass die anfänglichen Nicht-SSL-Seiten nicht geschützt sind.

Die meisten gesicherten Websites, die Sie besuchen, leiten Sie von einer http-Adresse zu einer https-Adresse weiter, wenn Sie zur Anmeldeseite gehen. In einem nicht vertrauenswürdigen Netzwerk werden Sie jedoch möglicherweise von einem Mann in der Mitte an einen anderen Ort weitergeleitet.

Denken Sie daran, dass Sie http://firstoverflowbank.com besuchen können , wodurch Sie normalerweise zu https://login.firstoverflowbank.com weitergeleitet werden. Im ungesicherten Netzwerk ist jedoch festgelegt, dass Sie stattdessen zu https://login.flrstoverflowbank.com weitergeleitet werden . Sie werden es wahrscheinlich nicht bemerken, auch wenn Sie sich die Zeit nehmen, es zu überprüfen, und der Browser zeigt alles als sicher an.

Um dies zu vermeiden, setzen Sie ein Lesezeichen oder geben Sie die https: // - URL direkt ein. Verlassen Sie sich niemals auf diese Umleitung.

Andrew
quelle