Die Steckdose nicht sicher?

Hier dreht sich alles ums World Wide Web, Domains, Recht, Politik, Bildung Tipps und Tricks
Benutzeravatar
didy
Null-Leiter
Beiträge: 1433
Registriert: Donnerstag 14. April 2005, 16:30
Kontaktdaten:

Beitrag von didy »

Die neue Firefox-Version gibt diese Meldung bei allen Webseiten an, die ein Passwortfeld enthalten, aber über eine unverschlüsselte Verbindung laufen.

https://www.heise.de/newsticker/meldung ... 06572.html

Insofern: Ja, Steckdose ist soweit unsicher, dass jeder "dazwischen" (Provider etc., aber auch Privatleute wie z.B. Hotspot-Betreiber) euer Passwort im Klartext mitlesen kann.
Der etwaige Schaden beschränkt sich dabei aber auf euren Steckdose-Account.

Es sei denn, ihr nutzt (entgegen aller einschlägigen Sicherheitsempfehlungen) dasselbe Passwort auch für andere Dienste.
Generell gilt aus Sicherheitsgründen: Für jeden Dienst ein eigenes Passwort. Dann hat man damit keine Probleme.
Von mir aus noch für ähnliche "unwichtige" Dienste (z.B. zweierlei Foren zum gleichen Thema) ein gleiches oder ähnliches Passwort, aber keinesfalls das gleiche wie für wichtiges wie z.B. Email oder Onlinebanking.

Wer mit der Passwortflut nicht mehr klarkommt, dem empfehle ich mal Passwortmanager wie Keepass oder 1Password anzuschauen.
Benutzeravatar
kabelmafia
Beiträge: 7503
Registriert: Montag 7. April 2003, 22:25
Wohnort: eigentlich Hamburg, aber überall und nirgends
Kontaktdaten:

Beitrag von kabelmafia »

Moin,

naja, wenn die Steckdose auf die neue Software umzieht könnte das ja anders werden - ich weis es nicht. Vielleicht...
Hier müssen wir das auf die letzten Tage noch so hinnehmen denke ich.
Der Strom kann ruhig bunt sein-ohne Kabel nützt das nix.
Bild: NAKBA 3x95/50sm 0,6/1kV VDE U 0250:1936
Dieser Beitrag wurde mit größtmöglicher Sorgfalt erstellt und basiert auf fundierten Kenntnissen der elektrotechn. Regelwerke. Er ist eine pers. Interpretation des Autors. Etwaige rechtliche Empfehlungen und Hinweise sind unverbindlich, eine Rechtsberatung findet nicht statt.
Haftungsansprüche gegen den Autor, die durch die Nutzung oder Nichtnutzung der angebotenen Informationen bzw. durch die Nutzung fehlerhafter und unvollständiger Informationen verursacht werden, sind ausgeschlossen.
Jesaja
Null-Leiter
Beiträge: 46
Registriert: Montag 12. Dezember 2005, 16:12

Beitrag von Jesaja »

Etrick hat geschrieben:"Hä?
Das Entschlüsseln des https-Protokolls übernimmt der Browser. Was soll man da für Zugänge im Betriebssystem erlauben müssen?"

Das wird zwar überall verbreitet, stimmt aber nicht. https läuft über "ports", die http nicht nutzen darf.

(ports werden gerne als Türen betrachtet - daher der Name - sind aber Unterprogrammebenen. Und manche Ebenen haben eine gute Abschottung zu anderen Programmteilen, manche eine schlechtere. Die Abschottung von https ist schlecht, weil von vertrauenswürdigen Seiten ausgegangen wird. Das ist eine sehr dumme Annahme...).
Na, mal wieder am Blödsinn verbreiten?
Hier war es ja nicht anders.

Ein Port dient nur dazu, eine Anfrage einem Dienst zuzuordnen.
Ich kann einen Webserver auf Port 443 laufen lassen und einen https-Webserver ohne Probleme auf Port 80.
Davon abgesehen, hat fast jede Firewall und jeder NAT-Router alle ausgehenden Ports offen.
Der Unterschied zwischen http und https liegt im Zielport und der ist auf dem Server.
Im Netzwerkstack werden alle Ports gleich behandelt.

Aber du hast ja bestimmt mal ne seriöse Quelle, die deine Theorie stützt und nicht das, was überall verbreitet wird......ooooder?
Etrick
Null-Leiter
Beiträge: 1153
Registriert: Freitag 3. August 2007, 21:53

Beitrag von Etrick »

Es geht um den Client, bzw. den Einzelrechner, auf dem der Browser läuft, nicht um das Netz. Welche Rechte haben da welche Ports? Gibt es Unterschiede bei den Rechten der Ports? Warum schließt man dort Ports, die typischerweise Angriffe ermöglichen?

Welche Funktionen laufen bei Zertifikatsüberprüfung und Decoding wo?
Ist ein Browser seinen Rechten nach so beschränkt wie eine App bei neueren Betriebssystemen?

https schützt nur die "Leitung", dafür darf die Browser "Sandbox" nicht so verschlossen sein wie es bei http sein darf. Sonst funktioniert https nicht.
Jesaja
Null-Leiter
Beiträge: 46
Registriert: Montag 12. Dezember 2005, 16:12

Beitrag von Jesaja »

Etrick hat geschrieben:Es geht um den Client, bzw. den Einzelrechner, auf dem der Browser läuft, nicht um das Netz. Welche Rechte haben da welche Ports? Gibt es Unterschiede bei den Rechten der Ports? Warum schließt man dort Ports, die typischerweise Angriffe ermöglichen?
Versuch doch einfach meinen Post noch mal zu lesen...gerne etwas langsamer.
Aber nochmal: Ports haben keine Rechte.
An nem Client schließt man nicht bestimmte Ports, sondern man macht gar keine auf (Ports ohne Dienst dahinter sind zu).
Etrick hat geschrieben: https schützt nur die "Leitung", dafür darf die Browser "Sandbox" nicht so verschlossen sein wie es bei http sein darf. Sonst funktioniert https nicht.
Aha....was braucht https denn? Zum Beispiel bei Firefox, der nen eigenen Zertifikatsspeicher hat.
Benutzeravatar
didy
Null-Leiter
Beiträge: 1433
Registriert: Donnerstag 14. April 2005, 16:30
Kontaktdaten:

Beitrag von didy »

Etrick hat geschrieben:Warum schließt man dort Ports, die typischerweise Angriffe ermöglichen?
Zusätzlich zu dem was Jesaja sagt:
Man schließt eingehende Ports (in einer Firewall/Router) bzw. sorgt dafür, dass keine unnötigen Dienste laufen, die auf irgend einem eingehenden Port lauschen.
Wenn ein Programm auf einen Server zugreift, ist das ausgehender Traffic. Das hat damit überhaupt gar nichts zu tun.
Der Ausgehende Port an deinem Client-Rechner muss auch nicht mit dem eingehenden Port am Server übereinstimmen. Hier muss keine Unterscheidung nach Zielport am Server (443 oder 80) oder gar Dienst (https oder http) durchgeführt werden.
Etrick
Null-Leiter
Beiträge: 1153
Registriert: Freitag 3. August 2007, 21:53

Beitrag von Etrick »

Ihr nennt Portlabels in den Datenpaketen Ports und die Ports der Rechnersoftware Dienste. Ich hatte geschrieben, dass ich von den Diensten (das sind die Unterprogramme, die ich als Ports bezeichne) gesprochen habe.

Wenn ich meinen Rechner, von dem ich gerade schreibe, in den Standardeinstellungen betreibe, kann ich die meisten http und https Seiten öffne.

Sobald ich manche Ports nicht zulasse (in Software im Rechner, nicht im Router. Ich lasse also das nicht zu, was ihr "Dienste" nennt) und strengere Sicherheitseinstellungen wähle, passiert das im Anhang. Man kann dort auch sehen, dass verschlüsselte Seiten unkritisch als "sicher" bezeichnet werden:


keine einzige https Seite ist mehr aufrufbar, aber noch locker 70% - 80% der http Seiten ohne "s" lassen sich darstellen.



Bei Einführung von Vista wurde Microsoft vom EU Wettbewerbskommisar unter Androhung von Millionenstrafen gezwungen, anderen Browseranbieter mitzuteilen, wo die Andockpunkte des Betriebssystems für die Verzahnung mit Browsern sind. Zuerst war nämlich diese Info geheim und nur der IE lief. Mit den Informationen zum Einbinden anderer Programme kamen die Programmieren der alternativen Browser nicht weiter - dafür ist eine Verzahnung nötig, die normale Fremdprogramme nicht brauchen.

Nochmal: außer der Übertragung macht https nichts sicher, Siteanbieter können bei genügend böser Absicht auf dem Zielrechner auch mit "s" Schaden anrichten. Zumindest bei mir muss ich das vertraute Sicherheitsniveau SENKEN, um https darstellen zu können. Meinem Rechner passiert im Netz nichts, weil ich da streng bin. Effekt: manches kann ich mir im Web nicht anschauen, dafür muss ich aber auch nicht ständig updaten, entgehe so dem Hase und Igel Spiel zwischen Angriff und Abwehr...

Gruß

Achim
Dateianhänge
HTTPS .png
HTTPS .png (28.8 KiB) 13325 mal betrachtet
Benutzeravatar
didy
Null-Leiter
Beiträge: 1433
Registriert: Donnerstag 14. April 2005, 16:30
Kontaktdaten:

Beitrag von didy »

Internet Explorer 8?
Du surfst mit einem Browser, der bald sechs Jahre überholt ist, und erzählst uns, https wäre unsicher?
Etrick hat geschrieben:Ihr nennt Portlabels in den Datenpaketen Ports und die Ports der Rechnersoftware Dienste.
Wir nennen es so wie es ist, du benennst es um.

Ein Datenpaket wird zu einer IP-Adresse und einem Port geschickt. Wenn auf dem Host (=dem Rechner mit dieser IP-Adresse) kein Programm (oder Dienst) läuft, das auf diesem Port "hört", wird das Paket vom IP-Stack des Betriebssystem verworfen.
Etrick hat geschrieben:Sobald ich manche Ports nicht zulasse (in Software im Rechner, nicht im Router. Ich lasse also das nicht zu, was ihr "Dienste" nennt)
Wo genau stellst du was genau ein? Da wären Screenshots interessant.
Etrick hat geschrieben:Man kann dort auch sehen, dass verschlüsselte Seiten unkritisch als "sicher" bezeichnet werden:
Das "sichere Seiten" ist nur Microsoftsches Geschwafel für DAUs und hat technisch erstmal nichts zu bedeuten.
(Die nächste Frage ist, ob das in einem aktuellen IE immer noch so heißt. Anno 2008, als IE8 erschien, war es noch kaum verbreitet, https für Seiten zu nutzen, für die es nicht "zwingend" erforderlich ist]Bei Einführung von Vista wurde Microsoft vom EU Wettbewerbskommisar unter Androhung von Millionenstrafen gezwungen, anderen Browseranbieter mitzuteilen, wo die Andockpunkte des Betriebssystems für die Verzahnung mit Browsern sind. Zuerst war nämlich diese Info geheim und nur der IE lief. Mit den Informationen zum Einbinden anderer Programme kamen die Programmieren der alternativen Browser nicht weiter - dafür ist eine Verzahnung nötig, die normale Fremdprogramme nicht brauchen.[/quote]
Bullshit.
Auf jeden Windows lief seit jeher jeder Browser. Ein Browser braucht nämlich vom Betriebssystem keine speziellen "Andockpunkte". Er braucht nichts weiter als Zugriff auf den Netzwerk-Stack - und das ist offen dokumentiert und kann auch jeder "Hobbyprogrammierer" nutzen. MEHR braucht ein Browser NICHT, um funktionieren zu können.
Ebenso konnte jeder Browser seit jeher in jeder Windowsversion sich als "Standardbrowser" setzen - das ist aber nicht viel mehr als die Frage, mit welchem Programm eine .HTML-Datei oder ein http:// Handle geöffnet wird. Auch seit Urzeiten kein Geheimnis. Aber das ist "nur" notwenig, dass Windows weiß, welches Programm es öffnen muss, wenn jemand in einem anderen Programm einen Link mit http:// anklickt. Für sich funktionieren tut ein Browser auch ohne so ein feature.

Bei dem ganzen EU-Microsoft-Kartell-Streit gings nur um eine Sache: Kartellrecht.
Unbedarfte Nutzer haben auf einem neuen Rechner den Internetexplorer vorinstalliert, wissen oft gar nichts von anderen Browsern. Der Vorwurf war daher, durch die Vorinstallation nutzt Microsoft seine Vormachtstellung im Betriebssystem-Markt, und verzerrt den Wettbewerb im Browser-Markt.
Ergebnis war dann ein Browser-Auswahl-Dialog. Ein neu installiertes Windows (oder evtl. nur ein vorinstalliertes, weiß nicht genau) musste wenn man den IE erstmalig startet einen Bildschirm anzeigen mit der Info, dass es noch andere Browser gibt, und fragen, ob man einen davon installieren möchte.

Mich hat das noch nie gejuckt, ich habe den IE noch nie verwendet. Angefangen von Netscape unter Win 3.11 und Win95, zu Opera auf Win95, WinXP, Win7, Win10, und parallel (ich persönlich nur in geringem Umfang) Firefox ab WinXP.
Etrick hat geschrieben:Nochmal: außer der Übertragung macht https nichts sicher,
Niemand hat je etwas anderes behauptet.
Bei Webseiten auf denen Passwörter übermittelt wird ist das aber durchaus nicht uninteressant. Wenn es nur das Passwort für ein doofes Forum ist mag das sekundär sein, bei Email-Accounts, Onlinebanking, Homeshopping und ähnlichem, wo es um Datenschutz geht, ist das aber sehr wichtig.
Etrick hat geschrieben:Siteanbieter können bei genügend böser Absicht auf dem Zielrechner auch mit "s" Schaden anrichten.
Hat auch niemand in Abrede gestellt.
Allerdings auch nicht mehr als bei einer Seite mit unverschlüsselter Übertragung.

(Und ohne jetzt zu wissen, ob das ein reales Problem ist: Bei unverschlüsselter Übertragung kann theoretisch jeder beliebige auf dem Weg der Übertragung die Daten manipulieren und beispielsweise Schadcode mit einfügen, mit einfachsten Mitteln, ohne dass du es merkst. Bei Verschlüsselter Übertragung ist das erstmal nicht ganz so einfach möglich.)
Etrick hat geschrieben:Zumindest bei mir muss ich das vertraute Sicherheitsniveau SENKEN, um https darstellen zu können.
Wie gesagt ich wüsste mal gerne was du da genau einstellst.
Ich vermute, du sperrst schlicht in der Firewall jeglichen *ausgehenden* Traffic, der Zielport 443 hat (was dann nicht der Port auf deinem Rechner wäre, sondern auf dem Server). Das erhöht keine Sicherheit.
Etrick hat geschrieben:Meinem Rechner passiert im Netz nichts, weil ich da streng bin. Effekt: (...) dafür muss ich aber auch nicht ständig updaten, entgehe so dem Hase und Igel Spiel zwischen Angriff und Abwehr...
Sorry, aber dass einem nix passiert, weil man ein paar Ports sperrt, und man sich dann Softwareupdates sparen kann, ist gefährlicher Irrglaube.
Schadsoftware nutzt heutzutage meistens irgendwelche Lücken in Anwendungsprogrammen - speziell dem Browser, da der die "Universalanwendung" schlechthin ist. Naja und diverse Browser-Plugins natürlich, da allen voran Flash.
Einen Uralt-Browser verwenden, und denken, es passiert einem nix, weil man ein paar Ports in der Windows-Firewall gesperrt hat, ist Harakiri.


In einem Punkt gebe ich dir recht: Der Internet Explorer ist tiefer mit Windows verzahnt als es mit jedem anderen Browser und jedem anderen Betriebssystem ist. Ob das Sicherheitstechnisch von Nachteil ist sei mal dahingestellt. Die Pauschalaussage, https-Seiten hätten auf einem Rechner mehr Rechte und seien daher unsicherer, ist jedenfalls Bullshit.

Vor allem: Wenn man mit einem seit Jahren nicht mehr unterstützten Betriebssystem und seit Jahren nicht mehr unterstütztem Browser surft, ist einem echt nicht mehr zu helfen. Wenn man auf einem alten Rechner XP weiternutzt, sollte man wenigstens einen aktuellen Browser verwenden - und keinen, der seit Jahren ungepatchte Lücken hat. Das erste Einfallstor für jegliche Malware auf Webseiten ist nämlich der Browser.
Benutzeravatar
didy
Null-Leiter
Beiträge: 1433
Registriert: Donnerstag 14. April 2005, 16:30
Kontaktdaten:

Beitrag von didy »

didy hat geschrieben:Ein Browser braucht nämlich vom Betriebssystem keine speziellen "Andockpunkte".
Vielleicht meinst du das hier mit deinen speziellen "Andockpunkten" (zitat Wikipedia):
Microsoft hat die Programmierschnittstellen (APIs) des Internet Explorers offengelegt[98] und erlaubt es Programmierern, bei ihrer Software-Entwicklung auf vorhandene Browsertechnik von Microsoft zurückzugreifen, was diesen Zeit und Geld spart. Zahlreiche Programme machen davon Gebrauch, darunter auch ältere Microsoft-Programme wie Outlook (bis Version 2003) und Outlook Express. Diese Versionen verwenden zur Darstellung von HTML-formatierten E-Mails dieselben Softwarekomponenten, die der Internet Explorer für Webseiten benutzt.
Das ist aber keine Voraussetzung für andere Browser. Das ist eine Methode, um die Browser-Engine des IE in anderen Programmen zu nutzen. Neben Programmen die nur "nebenbei" HTML darstellen wollten (HTML-Mails in Outlook, Hilfeseiten im HTML-Format und ähnliches) gab es zwar schon ein paar kleinere "No-Name-Browser" die das nutzten. Das waren in dem Sinne aber keine eigenen Browser, sondern sozusagen nur "alternative IE-Oberflächen". Der eigentliche Browser, der die Websites darstellt ist dann - mitsamt allen Sicherheitslücken - der IE.

Das war aber nie Gegenstand der Kartellrechtsstreitigkeiten. Denn die großen alternativen Browser - ich möchte sagen die "echten" alternativen Browser - haben das nie benutzt (und auch nicht benutzen wollen), denn die hatten allesamt ihre eigene Browser-Engine.

Der Netscape Navigator - der ja der IE-Gegner im "ersten" Browserkrieg war - konnte gar nie auf die Idee kommen, denn der war älter als der Internet Explorer.
Firefox basiert auf der Gecko-Engine, die aus Netscape hervorging (Mozilla war der Codename von Netscape).
(Oh ich sehe gerade, eine sehr späte Version von Netscape konnte umschalten zwischen Gecko-Engine und IE-Engine. Aber das hatte keine Verbreitung, zu der Zeit gab es Firefox schon, und der erste Browserkrieg war schon vorbei.)
Chrome gründete auf WebKit, was von KDE aus der Linux-Umgebung stammt.
Und Opera hatte in den ersten zwei "Generationen" ebenfalls etwas völlig eigenes - die erste Generation ist mir kein Name der Browser-Engine bekannt, die zweite Generation Browser-Engine heißt Presto und ist ebenfalls komplette Opera-Eigenentwicklung, die dritte Generation setzt wie Chrome auf WebKit auf.

Vom IE hatten die allesamt nichts genutzt.
Benutzeravatar
SPS
Beiträge: 6019
Registriert: Freitag 16. Juli 2004, 20:27
Kontaktdaten:

Beitrag von SPS »

hallo,
ich komme nicht mehr mit.help1
Einfach gesagt das Forum kann mit https nichts Anfangen.
Firefox hält https für Sicherer als http und gibt eine Warnmeldung aus.
Mit freundlichem Gruß sps
Antworten