Hallo, mal eine blöde Frage: Wenn man auf einer HTTPS Seite surft und in Eingabefeldern Passwörter oder Texte einträgt, oder auch in diesem Textfeld meinen Post, ab wo / ab wann findet eine Verschlüsselung statt? Anders gefragt: Kann ein Arbeitgeber die geschriebenen Inhalte mitlesen, wenn er an der richtigen Stelle im Netzwerk sondiert, oder geht das nur mit extra Logging-Tools, die "zwischen Browser und Netzwerkkarte ansetzen?
Prinzipiell sind alle Daten die zu/von einer Website übertragen werden verschlüsselt wenn man per HTTPS surft. Das Eintragen der Texte in Felder erfolgt ja erstmal lokal in deinem Browser und somit von außen erst mal nicht mitlesbar. Übertragen werden die Daten erst, wenn du auf Absenden drückst, dann natürlich auch verschlüsselt. Hatetepees schrieb: > oder geht das nur mit extra > Logging-Tools, die "zwischen Browser und Netzwerkkarte ansetzen? Das wäre dann die Kategorie "Keylogger", etc. -> damit geht es natürlich immer. Hatetepees schrieb: > Kann ein Arbeitgeber die geschriebenen Inhalte mitlesen, wenn er an der > richtigen Stelle im Netzwerk sondiert, "Eigentlich" (von der Grundidee her) nicht, ABER: Nutzt dein AG einen Proxy-Server kann er dort unter Umständen auch den verschlüsselten Datenverkehr mitlesen (um z.B. Inhaltsfilterung oder Virenprüfung von Downloads durchzuführen). Suchbegriffe hierfür wären z.B. "Proxy SSL interception" oder allgemeiner "Man-in-the-middle Angriff". Gruß
Hatetepees schrieb: > Anders gefragt: > Kann ein Arbeitgeber die geschriebenen Inhalte mitlesen, wenn er an der > richtigen Stelle im Netzwerk sondiert, oder geht das nur mit extra > Logging-Tools, die "zwischen Browser und Netzwerkkarte ansetzen? ja, vor allem wenn er admin zugang zum benutzten rechner hat. "keylogger" wurde schon angesprochen, er könnte auch regelmäßig bildschirmfotos machen, oder einen SSL proxy ("antiviren" gedöns) dazwischen schalten - der rechner ist halt unter seiner kontrolle. wenn du vom arbeitsplatz aus was privates "mailen" musst, dann am besten von einem eigenen rechner aus, stichwort: BYOD, und noch besser über eine internetverbindung auf die dein AG keinen zugriff hat, z.b. smartphone tethering.
Was nicht verschluesselt wird ist der Aufruf, soweit ich weiss. Da waeren die GET Parameter eben dabei, sprich sichtbar, die POST Parameter sind dann schon verschluesselt. Die GET Parameter, werden in der URL mitgegeben, zB https://www.google.com/search?client=firefox-b&dcr=0&q=teddybaer&spell=1&sa=X&..... wobei der erste parameter mit ?: ?client=firefox-b und alle folgenden mit & gesendet werden &dcr=0 &q=teddybaer &spell=1 &sa=X &..... Die POST Parameter sind Fomulardaten, Buttons,.. der Designer kann bestimmen was wie gesendet wird. Fuer privates mail, die Weboberflaeche des Mailproviders. Dann weiss der AG, dass & wann. Wobei das irrelevant wird wenn man den Autoupdate der Webseite auf alle 10min eingestellt hat und staendig offen hat. Als einer von hundert offenen Seiten.
:
Bearbeitet durch User
SSL ist Transportlayer, das passiert eine ebene unter HTTP. Die GET Parameter sind also auch verschlüsselt :) Gegen SSL Proxy hilft ein Blick in die Verbindungs Info, da steht dann nämlich ein lokal signiertes Zertifikat vom Proxy drin.
Hatetepees schrieb: > Kann ein Arbeitgeber die geschriebenen Inhalte mitlesen, wenn er an der > richtigen Stelle im Netzwerk sondiert, oder geht das nur mit extra > Logging-Tools, die "zwischen Browser und Netzwerkkarte ansetzen? Er darf weit weniger als technisch möglich ist. Besonders dann, wenn private Nutzung des Arbeitsplatzrechners nicht explizit ausgeschlossen ist. Falls vorhanden, weiss euer Betriebsrat hoffentlich mehr darüber. Es kann beispielsweise sein, dass bei begründetem Verdacht geschnüffelt werden darf, dann aber ein Betriebsratsmitglied dabei sein muss. Oder sowas in der Richtung.
Dominik S. schrieb: > Das Eintragen der Texte in Felder erfolgt ja erstmal lokal in deinem > Browser und somit von außen erst mal nicht mitlesbar. War nicht vor einer Weile mal die Rede davon, daß diverse Webseiten die Eingaben schon beim Tippen mitlesen? Also in der Zeit, wo (eigentlich) noch lokal getippt wird? Ich finde nur auf die Schnelle den Beitrag dazu nicht...
Zwölf M. schrieb: > Was nicht verschluesselt wird ist der Aufruf, soweit ich weiss. Da > waeren die GET Parameter eben dabei, sprich sichtbar, die POST Parameter > sind dann schon verschluesselt. Das stimmt so nicht - bei HTTPS werden auch die URL bzw. die GET-Parameter verschlüsselt übertragen. Was jedoch auch bei HTTPS unverschlüsselt übertragen wird und daher problemlos mitgelesen/protokolliert werden kann, ist der Domain-Name. Vermutlich hast Du das verwechselt - das wurde im Zuge der SNI ("Server Name Indication")-Erweiterung des TLS-Protokolls nötig, weil es andernfalls nicht möglich gewesen wäre, mehrere Domains unter ein- und derselben IP-Adresse per HTTPS zu erreichen.
Besten Dank fuer die Aufklaerung zu den GET Parametern. HTTPS kann unterlaufen werden durch Unterschieben eines neuen Zertifikates. Wird/wurde in gewissen Laendern so gemacht. Man soll(te) ein neues Zertifikat akzeptieren, es haette geaendert.. dann weiss man, man wird abgehoert. Dazu gibt es dann Random Webseiten Aufrufer Scripts. So kann man die eigenen Aufrufe verschleiern. So ein Script ruft viele Seiten pro Sekunde/Minute auf, einstellbar, was, wo, welches Fachgebiet. New York Times, Bild, Springer, .. Geht dann zufaellig auf Sublinks. Wenn sich dann jemand fuer deine Aufrufe interessiert, muss den ganzen Haufen Muell durchforsten. Der neue Opera hat uebrigens gleich einen einfach zuschaltbaren VPN Tunnel eingebaut, der geht dann uber irgendwelche Proxies in anderen Laendern... Das kommt dann bei einigen Mailprovidern, unter anderem Guurgel schlecht an. Man wird dann fuer eine gewisse Zeit gesperrt. Die arbeiten mit Plausibilitaeten zum Schutz des Kunden. Und man kann nicht innerhalb von zu kurzer Zeit von Europa nach Amerika gelangen..
:
Bearbeitet durch User
npn schrieb: > Dominik S. schrieb: >> Das Eintragen der Texte in Felder erfolgt ja erstmal lokal in deinem >> Browser und somit von außen erst mal nicht mitlesbar. > > War nicht vor einer Weile mal die Rede davon, daß diverse Webseiten die > Eingaben schon beim Tippen mitlesen? Also in der Zeit, wo (eigentlich) > noch lokal getippt wird? Ich finde nur auf die Schnelle den Beitrag dazu > nicht... Wie sonst sollte bspw. Google einen Suchvorschläge anbieten können? Oder andere Websiten auch.
Reinhard S. schrieb: > npn schrieb: >> Dominik S. schrieb: >>> Das Eintragen der Texte in Felder erfolgt ja erstmal lokal in deinem >>> Browser und somit von außen erst mal nicht mitlesbar. >> >> War nicht vor einer Weile mal die Rede davon, daß diverse Webseiten die >> Eingaben schon beim Tippen mitlesen? Also in der Zeit, wo (eigentlich) >> noch lokal getippt wird? Ich finde nur auf die Schnelle den Beitrag dazu >> nicht... > > Wie sonst sollte bspw. Google einen Suchvorschläge anbieten können? Oder > andere Websiten auch. Eben. Und somit passt die Aussage von Dominik nur für solche Seiten, die das nicht nutzen. Für Google & Co. gibt es kein "lokales Tippen".
Zwölf M. schrieb: > HTTPS kann unterlaufen werden durch Unterschieben eines neuen > Zertifikates. Wobei sich das anhand der Zertifikatskette feststellen lässt. > Wird/wurde in gewissen Laendern so gemacht. Man soll(te) > ein neues Zertifikat akzeptieren, es haette geaendert.. dann weiss man, > man wird abgehoert. Das neue Zertifikat wird automatisch akzeptiert, wenn der Browser dessen Root-Zertifikat als vertrauenswürdig akzeptiert. Was beispielsweise der Fall ist, wenn Firmen SSL inspection durchführen, denn da wird dieses Root-Zertifikat im Rahmen der PC-Installation/Integration in den Zertifikatsspeicher geschrieben. > Times, Bild, Springer, .. Geht dann zufaellig auf Sublinks. Wenn sich > dann jemand fuer deine Aufrufe interessiert, muss den ganzen Haufen > Muell durchforsten. Andererseits riskierst du dabei, dass der Automat versehentlich auf Links latscht, die einen Anfangsverdacht für die gründliche Durchsuchung deines Equipments begründet. > Der neue Opera hat uebrigens gleich einen einfach zuschaltbaren VPN > Tunnel eingebaut, der geht dann uber irgendwelche Proxies in anderen > Laendern... Ein VPN Tunnel ist nicht sicherer als das andere Ende des Tunnels. Und an diesen anderen Enden konzentriert sich der Traffic all jener, die verhindern wollen, dass jemand schnüffelt. Was liegt für Neugierige näher, als sich genau da einzunisten.
Reinhard S. schrieb: > Wie sonst sollte bspw. Google einen Suchvorschläge anbieten können? Oder > andere Websiten auch. npn schrieb: > Eben. Und somit passt die Aussage von Dominik nur für solche Seiten, die > das nicht nutzen. > Für Google & Co. gibt es kein "lokales Tippen". Stimmt schon, da habt ihr natürlich recht. Die Seite kann natürlich per Client-Side-Scripting die Daten schon währende dem tippen übertragen (wie es Google tut). Ändert aber nichts daran, dass die Daten verschlüsselt übertragen werden wenn man per HTTPS unterwegs ist. Bei einfachen Formularen wie z.B. hier im Forum ist das aber nicht der Fall. Im Zweifelsfall hilft ja ein kurzer Blick hinter die Kulissen (Wireshark oder Entwickler-Konsole des jeweiligen Browsers).
:
Bearbeitet durch User
Dominik S. schrieb: > Ändert aber nichts daran, dass die Daten verschlüsselt übertragen werden > wenn man per HTTPS unterwegs ist. Stimmt, da hast du natürlich Recht.
Hatetepees schrieb: > Kann ein Arbeitgeber die geschriebenen Inhalte mitlesen, wenn er an der > richtigen Stelle im Netzwerk sondiert, Ja, es gibt SSL-brechende Proxy. Die dann nötigen zusätzlichen Root Zertifikate installiert der AG dann auch in den Browsern auf den Arbeitsstationen, so dass $Luser davon nix mitbekommt. Es gab IIRC bei c't mal so einen lustigen Tests wie die auf Fehler bei den Serverzertifikaten reagieren. IIRC muss der Betriebsrat zustimmen, d.h. es derf nicht komplett heimlich gemacht werden. Hat man aber u.U. schon im Arbeitsvertrag o.ä. abgenickt. Ich habe hier z.B. einen Kunden beim DLR, da fiel uns das auf die Füße als wir mit OpenSSL zu Fuß verschlüsseln wollten -> Zertifikatsfehler.
Die Domain der Seite wird beim Verbindungsaufbau noch unverschlüsselt über SSL SNI gesendet.
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.