Smut
takeover&ether
|
Ab dem Moment wo du irgendeinem hotspot Joints kannst du dich per man in the middle reinhängen und dir zb eine loginseite OHNE Https vorschalten, im schlimmsten fall geht sogar auf bankenseite der Login ohne https (zb. Bawag psk bis vor 2 Jahren) somit hast mal die credentials. Abgesehen davon kannst dir auch ein gültiges Zertifikat für netbankling.at oder was auch immer besorgen -> darauf fallen sogar Profis rein.
die Angreifer lagern dir sozusagen einen Proxy der netbanking Seite vor - du siehst nur deinen Input. Wenig Chance das zu erkennen
|
eitschpi
meeega cool
|
Wenn mir das mal passiert - in den seltenen Fällen wo ich überhaupt auf die Idee komm unterwegs Onlinebanking benutzen zu wollen - überweis ich Dir den Betrag der mir gestohlen wurde nochmal. Abgesehen davon, es sollte hier wohl eher drum gehen, was getan wird um sich vor der NSA zu schützen. Ich wollte mit meinen Posts nicht ausdrücken, dass ich jedem Wald und Wiesenhacker meine intimsten Geheimnisse anvertrauen möchte weil er irgendwie sowieso rankommen kann oder ich leidenschaftlich gerne unsichere Dienste verwend. Was ich sagen wollte ist, dass ich nichts geändert hab. Weil jeder Versuch irgendwen anderen zur etwas mehr reflektierten Nutzung von Onlinediensten zu "bekehren", damit ich keine Drecksprogramme wie Whatsapp mehr verwenden "soll", sowieso fehlgeschlagen ist und weiter fehlschlagen wird bis es irgendeinen wirklichen Grund zum Umdenken gibt. Dass Geheimdienste, die sich einbilden bedingungslos und ohne Rücksicht für "Demokratie" sorgen zu müssen so unauffällig Daten sammeln können beruhigt mich eher als es mir Angst macht. Klar, das bedeutet auch, dass es andere Parteien geben kann die auch dazu fähig sind. Für NSA-Methoden braucht man aber die nötigen Mittel und Verbindungen, das wird sich niemand der mein Konto ausräumen möchte leisten können. Ich kann's mir ehrlich gesagt von niemanden mit wirklich kriminellen Absichten (und nicht nur Ansichtssache-Kriminelle) vorstellen. Vielleicht ist das ja auch zu naiv. Für ein Umdenken muss man ein paar Ebenen höher als bei mir ansetzen. Wenn man sich alleine das Cyber Cyber Regierungsprogramm durchliest, was soll man da bitte anderes tun als resignieren?
|
Nico
former person of interest
|
|
wergor
connoisseur de mimi
|
quantencomputer != ende aller verschlüsselungsmethoden. ausserdem kommen mir 80M$ relativ wenig vor, vor allem wenn damit _AUCH_ quantencomputer_forschung_ gefördert wird. ich persönlich hab ein paar sachen verändert - ghostery + https everywhere, weg von google/dropbox/etc (hab dafür einen eigenen server), fb acc wird auch bald geschlossen... hat von euch schon jemand seinen router getestet? mein dlink di-524 ist negativ 
|
eitschpi
meeega cool
|
Hat https everywhere wirklich so viel Mehrwert? Wo merkt man da einen Unterschied?
|
sk/\r
i never asked for this
|
was ist dieses https überhaupt?
|
Smut
takeover&ether
|
Hat https everywhere wirklich so viel Mehrwert? Wo merkt man da einen Unterschied? viele seiten leiten dich aus lastgründen auf http only um bzw. haben keinen redirect von http auf https. mittlerweile ist es besser, aber z.b. für facebook war es sehr praktisch damals. quantencomputer != ende aller verschlüsselungsmethoden. ausserdem kommen mir 80M$ relativ wenig vor, vor allem wenn damit _AUCH_ quantencomputer_forschung_ gefördert wird. ich hab das auch gelesen und die 80mio projektbudget sind halt etwas lächerlich. 80mrd ok, aber 80mio dafür, dass man einen quantencomputer entwickeln soll ist etwas merkwürdig. es ist natürlich keine reine frage des geldes, ansonsten hätten ibm, intel etc. bereits welche am markt. was man natürlich nicht vergessen darf: sobald es quantencomputer gibt, und diese am massenmarkt angekommen sind, ist der rechenvorsprung logischerweise dahin.
|
Turrican
LegendAmiga500-Fan
|
was ist dieses https überhaupt? das "s" steht halt für "secure". 
|
Obermotz
Fünfzylindernazi
|
was ist dieses https überhaupt? Bei einer HTTPS-Verbindung werden die Daten zwischen deinem Browser und dem Server verschlüsselt übertragen. Wir wissen bereits, dass diese Verschlüsselungstechnologie kompromittiert wurde (NSA), dennoch ist sie sinnvoll im Hinblick auf VDS und Spoofer, vor allem in Public WLANs. Ich bin der Meinung, jede Datenübertragung sollte verschlüsselt laufen, anderen ist es wieder wurscht..
|
Hansmaulwurf
u wot m8?
|
Hat https everywhere wirklich so viel Mehrwert? Wo merkt man da einen Unterschied? Es schaltet auf allen Seiten wo es einen https-Link gibt, automatisch auf die https-Variante um. Dadurch hast du zwei Vorteile : -) Normalerweise müssen die Zertifikate signiert werden, d.h. der Anbieter muss sich als "offiziell registriert" outen. So kann man phishing-Siten umgehen, denn facbook.com oder ähnliches wird nicht das "original"-Facebook-Zertifikat haben. -) Du hast eine Verschlüsselung und nicht alle im Netz können mitlesen. Gerade bei WLAN unverzichtbar, das niemand deine Facebook/Twitter-whatever Sessions "kapert". P.s. Was ist https: http://www.sides.de/https.php@Obermotz: Der "große Durchbruch" war wohl RC4 oder der Hack von den Zertifikat-Providern. SSL/TLS bei https dürfte zu stark sein um es "on the fly" zu cracken ohne Keys. Siehe den Lavabit-Fall wo sie extrem spitz waren unbedingt die Zertifikate zu bekommen.
Bearbeitet von Hansmaulwurf am 06.01.2014, 13:03
|
Smut
takeover&ether
|
Bei einer HTTPS-Verbindung werden die Daten zwischen deinem Browser und dem Server verschlüsselt übertragen. Wir wissen bereits, dass diese Verschlüsselungstechnologie kompromittiert wurde (NSA), dennoch ist sie sinnvoll im Hinblick auf VDS und Spoofer, vor allem in Public WLANs. Ich bin der Meinung, jede Datenübertragung sollte verschlüsselt laufen, anderen ist es wieder wurscht.. es wurde nicht SSL/TLS kompromittiert sondern die certificate authorities, was einen großen unterschied darstellt -) Du hast eine Verschlüsselung und nicht alle im Netz können mitlesen. Gerade bei WLAN unverzichtbar, das niemand deine Facebook/Twitter-whatever Sessions "kapert". geht im WLAN mit SSL-strip noch immer. solange der service per http angeboten wird, ist ein downgrading angriff eines 3ten möglich.
|
sk/\r
i never asked for this
|
hmmmm danke. das klingt gut. 
|
Obermotz
Fünfzylindernazi
|
es wurde nicht SSL/TLS kompromittiert sondern die certificate authorities, was einen großen unterschied darstellt Richtig. Dadurch wird auch die zugrundeliegende Verschlüsselungstechnologie egal.
|
Smut
takeover&ether
|
nein wird sie nicht. weil nicht die verschlüsselung geknackt wurde - ich hoffe du siehst diesen wesentlichen unterschied.
ordentliche implementierungen in z.b. apps (certificate pinning) waren davon z.b. nie betroffen.
|
Hansmaulwurf
u wot m8?
|
geht im WLAN mit SSL-strip noch immer. solange der service per http angeboten wird, ist ein downgrading angriff eines 3ten möglich. Jein. Das geht ja nur über mitm, und dann haben der Attackierte und der mitm ja untereinander einen unverschlüsselten Traffic, also der Browser des Attackierten sollte ja wissen das er nicht auf der https-Seite ist (und daher auch keine SSL-Verbindung anzeigen) ? Ist klar das ich das dafür jedes Mal visuell checken müsste, aber bei wichtigen Siten wie online-banking tu ich das automatisch..
|
Anmeldung