Forum: PC Hard- und Software ab wann greift Verschlüsselung - HTTPS

Prinzipiell sind alle Daten die zu/von einer Website übertragen werden 
verschlüsselt wenn man per HTTPS surft.

Das Eintragen der Texte in Felder erfolgt ja erstmal lokal in deinem 
Browser und somit von außen erst mal nicht mitlesbar. Übertragen werden 
die Daten erst, wenn du auf Absenden drückst, dann natürlich auch 
verschlüsselt.

Hatetepees schrieb:
> oder geht das nur mit extra
> Logging-Tools, die "zwischen Browser und Netzwerkkarte ansetzen?

Das wäre dann die Kategorie "Keylogger", etc. -> damit geht es natürlich 
immer.

Hatetepees schrieb:
> Kann ein Arbeitgeber die geschriebenen Inhalte mitlesen, wenn er an der
> richtigen Stelle im Netzwerk sondiert,

"Eigentlich" (von der Grundidee her) nicht, ABER:

Nutzt dein AG einen Proxy-Server kann er dort unter Umständen auch den 
verschlüsselten Datenverkehr mitlesen (um z.B. Inhaltsfilterung oder 
Virenprüfung von Downloads durchzuführen).
Suchbegriffe hierfür wären z.B. "Proxy SSL interception" oder 
allgemeiner "Man-in-the-middle Angriff".

Gruß

Was nicht verschluesselt wird ist der Aufruf, soweit ich weiss. Da 
waeren die GET Parameter eben dabei, sprich sichtbar, die POST Parameter 
sind dann schon verschluesselt.

Die GET Parameter, werden in der URL mitgegeben, zB
https://www.google.com/search?client=firefox-b&dcr=0&q=teddybaer&spell=1&sa=X&;.....

wobei der erste parameter mit ?:
  ?client=firefox-b
und alle folgenden mit & gesendet werden
  &dcr=0
  &q=teddybaer
  &spell=1
  &sa=X
  &.....

Die POST Parameter sind Fomulardaten, Buttons,.. der Designer kann 
bestimmen was wie gesendet wird.

Fuer privates mail, die Weboberflaeche des Mailproviders. Dann weiss der 
AG, dass & wann. Wobei das irrelevant wird wenn man den Autoupdate der 
Webseite auf alle 10min eingestellt hat und staendig offen hat. Als 
einer von hundert offenen Seiten.

Hatetepees schrieb:
> Kann ein Arbeitgeber die geschriebenen Inhalte mitlesen, wenn er an der
> richtigen Stelle im Netzwerk sondiert, oder geht das nur mit extra
> Logging-Tools, die "zwischen Browser und Netzwerkkarte ansetzen?

Er darf weit weniger als technisch möglich ist. Besonders dann, wenn 
private Nutzung des Arbeitsplatzrechners nicht explizit ausgeschlossen 
ist. Falls vorhanden, weiss euer Betriebsrat hoffentlich mehr darüber. 
Es kann beispielsweise sein, dass bei begründetem Verdacht geschnüffelt 
werden darf, dann aber ein Betriebsratsmitglied dabei sein muss. Oder 
sowas in der Richtung.

Zwölf M. schrieb:
> Was nicht verschluesselt wird ist der Aufruf, soweit ich weiss. Da
> waeren die GET Parameter eben dabei, sprich sichtbar, die POST Parameter
> sind dann schon verschluesselt.

Das stimmt so nicht - bei HTTPS werden auch die URL bzw. die 
GET-Parameter verschlüsselt übertragen.
Was jedoch auch bei HTTPS unverschlüsselt übertragen wird und daher 
problemlos mitgelesen/protokolliert werden kann, ist der Domain-Name. 
Vermutlich hast Du das verwechselt - das wurde im Zuge der SNI ("Server 
Name Indication")-Erweiterung des TLS-Protokolls nötig, weil es 
andernfalls nicht möglich gewesen wäre, mehrere Domains unter ein- und 
derselben IP-Adresse per HTTPS zu erreichen.

Besten Dank fuer die Aufklaerung zu den GET Parametern.

HTTPS kann unterlaufen werden durch Unterschieben eines neuen 
Zertifikates. Wird/wurde in gewissen Laendern so gemacht. Man soll(te) 
ein neues Zertifikat akzeptieren, es haette geaendert.. dann weiss man, 
man wird abgehoert.

Dazu gibt es dann Random Webseiten Aufrufer Scripts. So kann man die 
eigenen Aufrufe verschleiern. So ein Script ruft viele Seiten pro 
Sekunde/Minute auf, einstellbar, was, wo, welches Fachgebiet. New York 
Times, Bild, Springer, .. Geht dann zufaellig auf Sublinks. Wenn sich 
dann jemand fuer deine Aufrufe interessiert, muss den ganzen Haufen 
Muell durchforsten.

Der neue Opera hat uebrigens gleich einen einfach zuschaltbaren VPN 
Tunnel eingebaut, der geht dann uber irgendwelche Proxies in anderen 
Laendern... Das kommt dann bei einigen Mailprovidern, unter anderem 
Guurgel schlecht an. Man wird dann fuer eine gewisse Zeit gesperrt. Die 
arbeiten mit Plausibilitaeten zum Schutz des Kunden. Und man kann nicht 
innerhalb von zu kurzer Zeit von Europa nach Amerika gelangen..

npn schrieb:
> Dominik S. schrieb:
>> Das Eintragen der Texte in Felder erfolgt ja erstmal lokal in deinem
>> Browser und somit von außen erst mal nicht mitlesbar.
>
> War nicht vor einer Weile mal die Rede davon, daß diverse Webseiten die
> Eingaben schon beim Tippen mitlesen? Also in der Zeit, wo (eigentlich)
> noch lokal getippt wird? Ich finde nur auf die Schnelle den Beitrag dazu
> nicht...

Wie sonst sollte bspw. Google einen Suchvorschläge anbieten können? Oder 
andere Websiten auch.

Zwölf M. schrieb:
> HTTPS kann unterlaufen werden durch Unterschieben eines neuen
> Zertifikates.

Wobei sich das anhand der Zertifikatskette feststellen lässt.

> Wird/wurde in gewissen Laendern so gemacht. Man soll(te)
> ein neues Zertifikat akzeptieren, es haette geaendert.. dann weiss man,
> man wird abgehoert.

Das neue Zertifikat wird automatisch akzeptiert, wenn der Browser dessen 
Root-Zertifikat als vertrauenswürdig akzeptiert. Was beispielsweise der 
Fall ist, wenn Firmen SSL inspection durchführen, denn da wird dieses 
Root-Zertifikat im Rahmen der PC-Installation/Integration in den 
Zertifikatsspeicher geschrieben.

> Times, Bild, Springer, .. Geht dann zufaellig auf Sublinks. Wenn sich
> dann jemand fuer deine Aufrufe interessiert, muss den ganzen Haufen
> Muell durchforsten.

Andererseits riskierst du dabei, dass der Automat versehentlich auf 
Links latscht, die einen Anfangsverdacht für die gründliche Durchsuchung 
deines Equipments begründet.

> Der neue Opera hat uebrigens gleich einen einfach zuschaltbaren VPN
> Tunnel eingebaut, der geht dann uber irgendwelche Proxies in anderen
> Laendern...

Ein VPN Tunnel ist nicht sicherer als das andere Ende des Tunnels. Und 
an diesen anderen Enden konzentriert sich der Traffic all jener, die 
verhindern wollen, dass jemand schnüffelt. Was liegt für Neugierige 
näher, als sich genau da einzunisten.

Reinhard S. schrieb:
> Wie sonst sollte bspw. Google einen Suchvorschläge anbieten können? Oder
> andere Websiten auch.

npn schrieb:
> Eben. Und somit passt die Aussage von Dominik nur für solche Seiten, die
> das nicht nutzen.
> Für Google & Co. gibt es kein "lokales Tippen".


Stimmt schon, da habt ihr natürlich recht. Die Seite kann natürlich 
per Client-Side-Scripting die Daten schon währende dem tippen übertragen 
(wie es Google tut).
Ändert aber nichts daran, dass die Daten verschlüsselt übertragen werden 
wenn man per HTTPS unterwegs ist.

Bei einfachen Formularen wie z.B. hier im Forum ist das aber nicht der 
Fall.
Im Zweifelsfall hilft ja ein kurzer Blick hinter die Kulissen (Wireshark 
oder Entwickler-Konsole des jeweiligen Browsers).

Hatetepees schrieb:
> Kann ein Arbeitgeber die geschriebenen Inhalte mitlesen, wenn er an der
> richtigen Stelle im Netzwerk sondiert,

Ja, es gibt SSL-brechende Proxy. Die dann nötigen zusätzlichen Root 
Zertifikate installiert der AG dann auch in den Browsern auf den 
Arbeitsstationen, so dass $Luser davon nix mitbekommt.

Es gab IIRC bei c't mal so einen lustigen Tests wie die auf Fehler bei 
den Serverzertifikaten reagieren.

IIRC muss der Betriebsrat zustimmen, d.h. es derf nicht komplett 
heimlich gemacht werden. Hat man aber u.U. schon im Arbeitsvertrag o.ä. 
abgenickt.


Ich habe hier z.B. einen Kunden beim DLR, da fiel uns das auf die Füße 
als wir mit OpenSSL zu Fuß verschlüsseln wollten -> Zertifikatsfehler.

Die Domain der Seite wird beim Verbindungsaufbau noch unverschlüsselt 
über SSL SNI gesendet.