Verschlüsselte Datenübertragung per Skript möglich?

  • Ein herzliches Hallo in die Runde!

    Zuerst wollte ich das Thema in der Sicherheitsecke unterbringen. Schliesslich habe ich mich dazu entschlossen es hier im Smalltalk zu tun. Denn es ist nicht ausschliesslich Firefox spezifisch. Somit könnten Internet Browser aller Couleur davon betroffen sein. Zumindest gehe ich als Laie davon aus.

    Nun, es geht um die sichere Datenübertragung auf Webseiten. Etwa bei Login Daten in Email-Accounts. Oder das Ändern von Zugangsdaten. Beispielsweise einem Passwort. Im Falle von Firefox kenne ich eine sichere Datenübertragung dahingehend, sobald die URL in der 'adress list' mit https://www... beginnt und in der 'task list' das gelbe Schloss eingeblendet wird. Das war bislang der Normalfall für mich. Denn anscheinend gibt es Ausnahmen, die von vorgenanntem Beispiel abweichen und dennoch eine sichere Datenübertragung gewährleisten. Etwa auf Webseiten,
    bei denen dieselbe URL in der 'address list' mit http://www... sowie in der 'task list' mit https://www... beginnt.

    Kann:

    a) in diesem Fall die Verschlüsselung der Datenübertragung per Skript erfolgen und deshalb in der 'address list' nicht als https://www... angezeigt werden?

    b) wenn die Verschlüsselung im Quellcode in etwa so aussieht
    <a href="https://service.fantasie.com/de/cgi/g.fcgi/…qtuu43i5.23.kll">Passwort ändern</a></h2><div id="last_password_infobox_top"></div> eine sichere Datenübertragung gewährleistet werden??

    Wer von Euch kennt sich damit aus und wäre zu einer kleinen Rückmeldung bereit?

    Einstweilen mit Dank im voraus, schönes Wochenende!!

    Viele Grüsse von hall77
    Betriebssystem: Linux Mint 64-bit, Desktop Mate

  • Zitat

    wenn die Verschlüsselung im Quellcode in etwa so aussieht
    <a href="https://s


    Das ist keine Verschlüsselung, das ist nur ein Link.

    Zitat

    Somit könnten Internet Browser aller Couleur davon betroffen sein


    Betroffen wovon? Link? Threat? Link zu einer ernsthaften Diskussion bitte!

    Zitat

    in diesem Fall die Verschlüsselung der Datenübertragung per Skript erfolgen


    Und du möchtest behaupten, ein Script sei sicherer als SSL/TLS?
    http://de.wikipedia.org/wiki/Transport_Layer_Security

    rofl, ich schmeiss mich weg...

  • Guten Morgen Brummelchen!

    Schon so früh unterwegs! Hier ist es Abend... :)

    Ok, Du fragst zurecht: "Betroffen wovon?" Zugegeben, ich habe mich eingangs etwas kryptisch ausgedrückt. Und das ganz ohne Tequila (Spass!). Vielleicht bin ich aber auch schon etwas müde... :wink: Nun, kürzlich unterbreitete mir ein Support eine neue "Sicherheitsvariante': Verschlüsselung per Skript. Für mich als Nichtfachmann eben vollkommen unverständlich. Zudem, zum ersten Mal gehört! Und da habe ich mich eben gefragt, ob es angehen kann, dass es ein Skript gibt, welches eine gleichwertig verschlüsselte Datenübertragung gewährleistet wie per https://?? Damit wäre ich bei meiner Frage angelangt. Denn es könnte ja sein, dass es eine neuartige verschlüsselte Datenübertragung gibt, die von der https:// Norm abweicht.

    Wie befindest Du darüber?

    Viele Grüsse von hall77
    Betriebssystem: Linux Mint 64-bit, Desktop Mate

  • Das Problem daran ist, dass jenes Script NIE sicher sein wird - SSL ist als Routinebehandlung
    schon zertifiziert und ganz genau spezifiziert (siehe Wiki), wie wo was abgehandelt wird.
    SSL bedeutet in kurz: Ein Zertifikat, eine bestimmte IP, für die das Zert. ausgestellt wurde,
    ein ganz bestimmter Eigentümer (SSL mit bzw ohne Eigentümerfunktion, in Firefox blau oder grün).
    Hatte ich hier bereits ausgeführt ► http://www.supernature-forum.de/sicherheit-am-…u-lassen-2.html

    Eine Verschlüsselung per Script kann nur zwangsweise bedeuten, dass das Script die Verschlüsselung
    selbst durchführt, aber an genau diesem Punkt extrem angreifbar wäre, weil das Script erstmal in den
    Browser transferiert werden müsste vom Seitenanbieter, während SSL als Routine schon vorhanden ist.
    Ebenso sind diverse Zertifikate schon im Browser vordefiniert.

    Ich bin nur ein Laie, evtl sollte das jemand vom Fach ausleuchten, aber ich hätte ganz arge Bedenken bei sowas.

  • Hallo Brummelchen!

    Vielen Dank für Deine umfangreiche Rückmeldung!
    In puncto "arge Bedenken bei so etwas" stimme ich voll und ganz mit Dir überein. Sicherheit per SSL muss auch für mich im Internet Browser nachvollziehbar sein. Alles was davon abweicht ist bislang für mich unsicher. Aber vielleicht findet sich noch ein Fachmann hier im Forum ein, welcher das Thema ausleuchten könnte?

    Viele Grüsse von hall77
    Betriebssystem: Linux Mint 64-bit, Desktop Mate

  • hal77 erklärte u.A. Folgendes:

    Zitat

    [...]Nun, kürzlich unterbreitete mir ein Support eine neue "Sicherheitsvariante“: Verschlüsselung per Skript.[...]


    Eine durch individuelle Scripte geführte lokale Verschlüsselung setzt – meinen bisherigen Erkenntnissen nach – stets voraus, das die kommunikative Gegenstelle (also Dein Kommunikationspartner) zur Dekodierung solcher vertraulichen Daten im Besitz des gleichen Scripts ist. Das „gemeinsame Geheimnis“ muss somit im Vorfeld bereits zwischen den einzelnen Kommunikationspartnern abgesprochen - bzw. ausgetauscht worden sein, um von daher eine Informationsvertraulichkeit (Information nicht einlesbar) und darüberhinaus auch einen Bezug zum Datenursprung (Identität nicht abstreitbar) gewährleisten zu können.

    Unabhängig davon, existieren öffentlich zugängliche ASCII-Zeichen Kodierungsverfahren z.B. Base64, die jedoch in Bezug auf eine vertrauliche Fernkommunikation nicht als sicher zu betrachten sind.


    hal77 fragte darüberhinaus Folgendes:

    Zitat

    [...]Und da habe ich mich eben gefragt, ob es angehen kann, dass es ein Skript gibt, welches eine gleichwertig verschlüsselte Datenübertragung gewährleistet wie per https://??[...]


    Das lässt sich nicht vergleichen.
    Eine Ende zu Ende Verschlüsselung des allgemeinen SSL-Protokolls (HTTPS) auf der „Transportebene“ (also Schicht 4 des OSI-Modells) ist in Bezug der „kryptografischen Stärke“ zwar als relativ sicher zu betrachten. Da die übertragenen Daten im Zuge so eines HTTPS-Verfahrens jedoch nicht signiert werden, ist somit leider die „Verbindlichkeit“ der Übertragungen nicht gesichert.


    Fazit: Verschlüssele Deine vertraulichen E-Mail Texte separat. Im Zuge von z.B. Passwort-Umstellungen über gesicherte HTTPS-Webseiten, bist Du jedoch auf die „Sicherheit“ des allgemeinen SSL-Protokolls angewiesen.


    Gruss nach Mexico – Lange war es her. ;)


    Oliver


    http://www.multi-online.com/netzwerk/osi.php

  • Hallo Oliver!

    Ja, lange ist es her... :D
    Vielen Dank für Deine Erläuterungen, welche ich mit großem Interesse las!
    Lass es Dir gut gehen in UK. Gerade lebten schöne Erinnerungen in mir auf: Oxford, London, Cambridge.
    Nun ja, das Inselleben gefiel mir seinerzeit recht gut. Doch dann kam alles anders. Unverhofft hatte ich mein Herz in Lateinamerika verloren. Wie das Leben eben so spielt...

    Look after yourself,

    Viele Grüsse von hall77
    Betriebssystem: Linux Mint 64-bit, Desktop Mate

  • hal77 erwiderte u.A. Folgendes:

    Zitat

    [...]Vielen Dank für Deine Erläuterungen, welche ich mit großem Interesse las!


    Zögere nicht explizit nachzufragen. Dafür sind wir alle hier.

    Hauptrache Du kannst eine (technische) Erkenntnis gewinnen...

    Wissen = Dienen.


    Oliver

  • Zitat von Oliver222


    Zögere nicht explizit nachzufragen. Dafür sind wir alle hier.


    Gerne komme ich auf das Angebot zurück! :)

    Zusammenfassend ließe sich also festhalten:

    a) daß Webseiten, die zwar eine gesicherte https://-Verbindung dem Besucher auf ihrer Webseite zusagen, dies jedoch nicht im Internet Browser mit https:// sowie optisch in der Adresszeile (grün, blau, gelb) rückmelden, für eine sichere Datenübertragung als unsicher einzustufen sind??

    b) Selbst dann, wenn im Quellcode der Webseite eine Verschlüsselung per Link eingebettet ist, welcher auf einen sicheren Verbindungsaufbau hinweisen könnte?? Link-Beispiel wie unter b).

    c) daß aufgrund des vorgenannten Links sich kein gesicherter Verbindungsaufbau für den Besucher herleiten lässt, auch wenn der Support folgende Aussage macht: "Die Verschlüsselung geschieht über ein Script und wird daher nicht in der Adresszeile in Form von https:// angezeigt. Im Quellcode offenbart sich jedoch die SSL-Verschlüsselung".

    Besten Dank im voraus nach UK!

    Viele Grüsse von hall77
    Betriebssystem: Linux Mint 64-bit, Desktop Mate

  • hal77 fragte Folgendes:

    Zitat

    a.) Daß Webseiten, die zwar eine gesicherte https://-Verbindung dem Besucher auf ihrer Webseite zusagen, dies jedoch nicht im Internet Browser mit https:// sowie optisch in der Adresszeile (grün, blau, gelb) rückmelden, für eine sichere Datenübertragung als unsicher einzustufen sind?


    Nein.

    Webseiten können gleichzeitig aus gesicherten, sowie aus ungesicherten Elementen bestehen. Webseiten, welche sich in ihrer Gesamtheit mosaikartig einerseits aus ungesicherten Elementen (über http) – sowie andererseits aus gesicherten Bestandteilen (http(s)) zusammensetzen, können zwar vordergründig in der Browser-Anwahl (also als erstmaligen Abruf in Deiner URL-Leiste) als unsicher dargestellt werden. Das vertrauliche Log-In solcher passwortgeschützten Zugangskontrollen würde sich dann einem relativ gesicherten SSL-Protokoll beugen müssen, welches jedoch keine Verbindlichkeiten der E2E-Verbindungen ermöglicht. Darüberhinaus werden unter solcher SSL geschützten Vermittlung nur die Nutzerdaten der IP-Pakete verschlüsselt, was wiederum Verkehrsflussanalysen über die unverschlüsselt verbleibenden Header ermöglicht.


    a. Automatische Umstellung der Anfrage auf das allgemeine (Handshake / Server-Client) SSl-Verfahren zweier Kommunikationsendpunkte. (Sichtbar in URL-Leiste).

    b. Verschlüsselung der vertraulichen Zugangsinformationen über ein serverseitiges „PHP-Script“. (Vermutlich das, was Dein Support erwähnte).


    Zitat

    b.) Selbst dann, wenn im Quellcode der Webseite eine Verschlüsselung per Link eingebettet ist, welcher auf einen sicheren Verbindungsaufbau hinweisen könnte?[...]


    Lässt sich der von Dir genannte Webauftritt mit einem vorangestellten „http(s)“ in der Browser-Zeile von vornherein unter vertraulichen Voraussetzungen erneut starten? (z.B. wie bei GMX?). Du gibst diesbezüglich bedauerlicherweise sehr wenige Informationen preis.


    Zitat

    c.) Dass aufgrund des vorgenannten Links sich kein gesicherter Verbindungsaufbau für den Besucher herleiten lässt, auch wenn der Support folgende Aussage macht: "Die Verschlüsselung geschieht über ein Script und wird daher nicht in der Adresszeile in Form von https:// angezeigt.


    Siehe oben...

    Vertrauliche Datenübertragungen liessen sich darüberhinaus mit Hilfe des Kommandozeilenprogramms (cmd) unter Windows (netstat -ano) - in Verbindung mit dem Task-Manager - auf ihre Sicherheit über „port 433“ hin überprüfen.


    Oliver

  • Ich habe mich im Zusammenhang mit dem Thema Oauth mal mit dem Thema verschlüsselung in Javascript beschäftigt.

    Das Ergebnis ist, daß solange der private Schlüssel fest im Script abgelegt ist, meines Erachtens keine sinnvolle Verschlüsselung mit Javascript möglich ist. Sämtliche Abläufe lassen sich im Debugger (z.B. Venkman) und anhand des stets bei Javascripts verfügbaren Quellcodes nachvollziehen. Der private Schlüssel kann nur sehr schwer im Code "versteckt" werden. Natürlich kann man grundsätzlich auch Javascript Quellcodes "verschleiern" (obfuscation) aber das verzögert die Sache nur.

    Ebenso läßt sich der Datenverkehr in Firefox z.B. mittels des Add-ons HttpFox überwachen. Damit ist natürlich nicht der Datenstrom eines einzelnen Anwenders gemeint sondern zum Zwecke der Schlüsselermittlung allgemein.

    Es wird also entweder ein Schlüssel je Benutzerkonto benötigt, der nur dem Benutzer und dem jeweiligen Serverbetreiber bekannt ist (ein längeres Kennwort z.B.) oder aber Binärkomponenten (XPCOM, Java rechne ich mal rein, oder Active-Nix..) deren privater Schlüssel nicht so leicht zu ermitteln ist.

    Im großen und ganzen viel Aufwand und Unsicherheit, für etwas das man sich mit https eigentlich sparen kann. (Es sei dennman möchte die übertragenen Daten vor dem Benutzer selbst verbergen).

  • Zitat von Oliver222


    Lässt sich der von Dir genannte Webauftritt mit einem vorangestellten „http(s)“ in der Browser-Zeile von vornherein unter vertraulichen Voraussetzungen erneut starten? (z.B. wie bei GMX?).


    Nein! Da Du gerade GMX ansprichst... Das Free Mail Login des deutschsprachigen Services erfolgt angeblich über https://. Doch die automatische Umstellung auf SSL wird in der URL-Leiste überhaupt nicht angezeigt.
    Anders hingegen beim Überseedienst. Oder täusche ich mich da?

    Viele Grüsse von hall77
    Betriebssystem: Linux Mint 64-bit, Desktop Mate

  • Zitat von Add-onis

    (...)


    Habe mir gerade den Datenverkehr vom deutschsprachigen GMX Free Mail mit HttpFox angesehen.
    Keine einzige URL deutet auch nur ansatzweise auf eine SSL-Verbindung hin.
    Ruft man hingegen den Überseedienst auf, ist die Verbindung per https:// klar erkennbar.

    Viele Grüsse von hall77
    Betriebssystem: Linux Mint 64-bit, Desktop Mate