https - ja oder nein?

    Ich kaufe über einen Online-Shop ein, der seine Seiten unverschlüsselt mit http anbietet. Sobald man sich jedoch als Kunde dort anmeldet, gelangt man angeblich in einen verschlüsselten Bereich. Der wird von FF allerdings nicht so angezeigt. Die Adressleiste weist eindeutig auf http hin. Der Shop Betreiber beteuert allerdings, das diese Seite gesichert sei. Über Rechte MT->Eigenschaften soll dies auch sichtbar sein. Allerdings zeigt FF dies auch dort nicht an. Ist die Aussage von dem Webshop Betreiber falsch?

    Ich dachte, das darüber die Adressleiste Aufschluß gibt. Oder ist die Anzeige dort auch nicht so verläßlich? Andersrum: Woran kann ich denn sonst erkennen, das die Seite oder Teile davon verschlüsselt übertragen werden? Entschuldigt die naiven Fragen, ich habe mich noch nicht sehr intensiv damit beschäftigt..

    Ich habe noch ein wenig herumgesucht und in einem anderen Beitrag gefunden, das sehr wohl einzelne Frames das Merkmal "https" aufweisen können. Wenn ansonsten die Seite nicht gesichert ist, ist ein Zugriff von außen auf diese https-frames gänzlich ausgeschlossen?

    Danke,
    Aquarius

    XtC4UAll zitierte Folgendes :

    Zitat

    Palli hat geschrieben:Entscheidend ist nicht ob die Seite verschlüsselt ist, sondern ob deine Daten verschlüsselt übertragen werden.


    Entscheidend ist dabei eher die Tatsache, ob die sog. HTTPs-Kommunikationsendpunkte (also Server (Shop) - Client (Anwender)) wirklich als das authentifiziert werden können, was sie vorzugeben scheinen.


    SSL-Verschlüsselungsverfahren stellen den Weg dar und nicht das Ziel. Die Verschlüsselung endet daher beim SSL-Endpunkt (Kommunikationspartner) selber. Dieses Verfahren könnte somit über einen MITM-Angriff kompromittiert werden. Man kann es nicht oft genug wiederholen...


    SSL (über HTTPs) auf der Transportebene des OSI-Modells selber kann – meines bisherigen Wissens nach – keine wirklich vertrauliche Kommunikation (über Handshake / Record) zwischen zwei anonymen Kommunikationspartnern gewährleisten.

    In der Praxis geht "es" jedoch meistens gut...


    Oliver

    Quelle: XtC4UaLL

    Zitat von XtC4UaLL


    Richtig. Man lese z.B.: http://www.heise.de/ct/Sicher-uebertragen--/hotline/142795 (Hotline Tipp aus der aktuellen c't).

    Man könnte noch ergänzen, dass Szenarien denkbar sind, bei denen es über die Einschleusung von JS-Code möglich wäre, die Einträge in den Formularen mitzulesen.

    Zitat von boardraider

    Man könnte noch ergänzen, dass Szenarien denkbar sind, bei denen es über die Einschleusung von JS-Code möglich wäre, die Einträge in den Formularen mitzulesen.

    Firefox deaktiviert auf Seiten, die selbst per https geladenw wurden aber Dinge per http nachladen, alle Zeichen für eine verschlüsselte Verbindung (blaue/grüne Adressleiste, Schloss in der Statusleiste) ab und gibt die Seite auch Larry nennt die Seite unverschlüsselt. Einzig und allein das "https" in der Adressleiste gibt einen Hinweis darauf, wenn die Seite teilweise verschlüsselt ist.

    Bzgl. SSL und MITM: das wird über das Zertifikat verhindert. Eine SSL-Verschlüsselung bedeutet nicht, dass die Seite vertrauenswürdig ist - die Adresse muss von Hand überprüft werden: wenn man auf https://example.com/ ist, die Seite ein gültiges Zertifikat hat (wenn nicht kommt eine Fehlermeldung) und man example.com vertraut, dann weiß man, dass niemand mithört. Wenn man dagegen auf example.com.evilattacker.com ist *oder* ein Zertifikatsfehler kommt, dann sollte man besser keine Passwörter oder Kreditkartendaten eingeben.

    Quelle: Dr. Evil

    Zitat von Dr. Evil

    Firefox deaktiviert auf Seiten, die selbst per https geladenw wurden aber Dinge per http nachladen, alle Zeichen für eine verschlüsselte Verbindung (blaue/grüne Adressleiste, Schloss in der Statusleiste)

    Ja, allerdings ging es hier ja um http-Seiten, die ein Formular nutzen, welches den Fx die Daten über https verschicken lassen. Die http-Seiten haben ohnehin keine Kennzeichnung für eine verschlüsselte Verbindung.

    Wenn das Formular unverschlüsselt übertragen wurde, kann es bereits von einem MITM auf eine (verschlüsselte oder unverschlüsselte) andere Seite umgelenkt worden sein. Diese Praxis hilft also nur gegen einen passiven Angreifer, der z.B. in einem öffentlichen WLAN mithört. Ein MITM kommt ran. Wenn es wirklich sicher sein soll, muss darum von Anfang an Verschlüsselung gegeben sein.

    Quelle: Dr. Evil

    Zitat von Dr. Evil

    Wenn das Formular unverschlüsselt übertragen wurde, kann es bereits von einem MITM auf eine (verschlüsselte oder unverschlüsselte) andere Seite umgelenkt worden sein.

    Solche Szenarien wollte ich mit obigem Hinweis andeuten.

    Zitat

    Wenn es wirklich sicher sein soll, muss darum von Anfang an Verschlüsselung gegeben sein.

    Absolut. Daher ist die Aussage des Shopbetreibers auch fragwürdig.

    Dr. Evil stellte Folgendes dar:

    Zitat

    Bzgl. SSL und MITM: das wird über das Zertifikat verhindert.[...]

    Nein, es wird dabei bloss eine sog. „sitzungsgebundene“ pro-forma-Sicherheit im Browser geschaffen.


    Jeder beliebige Zertifikatsteilnehmer - unterhalb CA (Trust Center) - kann i.d.R. seine eigenen digitalen Beglaubigungen gemäss X.509(v3) auch ungeprüft als Pseudonym ausstellen lassen. Der Ursprungsnachweis solcher Antragssteller kann somit gegenüber der zertifizierenden Instanz nur eine „beschränkte“ Aussagekraft besitzen. Obendrein wird - nach meinem bisherigen Wissen - nur die zeitliche Gültigkeit - nicht jedoch die codierte „Korrektheit und Zuverlässigkeit“ solcher Zertifikate überprüft.


    Darüberhinaus haben einige überregionale Zertifikatsteilnehmer durch eine schwächere Signaturgesetzgebung ihrer Herkunftsländer oft wesentlich geringere Sicherheitsstandards - bezüglich der Ausstellung von Zertifikaten - zu erfüllen.


    Oliver

    Was meinst du mit Pseudonym und codierter Korrektheit?

    Mozilla verlangt (genauso wie andere Browser-Hersteller) einer CA gewisse Standards ab, damit Firefox deren Zertifikaten vertraut. Die müssen auch bei einem unabhängigen Audit überprüft und bestätigt werden. Was das mit Mindeststandards des Gesetzgebers zu tun haben soll, weiß ich wirklich nicht.

    Dr. Evil fragte Folgendes:

    Zitat

    Was meinst du mit Pseudonym und codierter Korrektheit?[...]

    Ein an eine ausländische CA gestellter Zertifikats-Antrag (über Pseudonym) muss - nach meinem bisherigen Wissen – nicht zwangsläufig über das deutsche (bzw. europäische) SigG selber geführt werden, um dennoch eine (ausländische) „digitale Beglaubigung“ zu erhalten, welche dann im Browser als valid dargestellt werden würde.

    Solche Zertifikats-Anträge sind definitiv nicht an ein Land gebunden. Gerade bei CA´s, welche aus unterschiedlichen, überregionalen administrativen Domänen stammen, wird dieses Problem vordringlich. (siehe die neuen Reisepässe (RFID-Chips)).

    Was die „codierte Korrektheit“ angeht, so gelten - nach meinen bisherigen Informationen - obendrein unterschiedliche internationale Hashwertbestimmungen i.B. auf solche Zertifikate.

    Als letzte Inztanz kann immer nur der einzelne (teilw. unbedarfte) Anwender für sich entscheiden...


    Oliver