haxor
Bekanntes Mitglied
Ich habe mich neulich mal wieder in einer alten Newgroup angemeldet und dabei folgendes interesantes Thema entdeckt (GMail ist hier nur exemplarisch für viele Bekannte Webseiten aufgeführt, die ähnliche Probleme haben, Amazon (getestet) etwa und Facebook - da habe ich keinen Account - werden ebenfalls genannt):
Insbesondere in offenen WLAN Netzen gillt es ja als Königsweg, per SSL mit Webseiten zu kommunizieren.
!Doch selbst wenn die Anmeldung über die sichere Verbindung erfolgte (wie bei GMail und natürlich den meisten anderen Webseiten, die mit sensiblen Daten arbeiten, standardmäßig der Fall), und danach weiter mit https gesurft wird (was man bei GMail manuell über die Adresszeile einstellen muss), ist die Verbindung nicht zwangsläufig sicher!
Grund dafür ist, dass der Google Cookie zwar über eine sichere Verbindung gesetzt wird, aber kein in dem Sinne sicherer Cookie ist, dass er nur über https Verbindungen übertragen werden darf. Somit wird der Cookie bei jeder Anfrage an den GMail Server übertragen und kann von Sniffern mitgelesen werden. Der Angreifer muss den Cookie danach nur noch in seinem Browser setzen und ist bei GMail angemeldet.
Die Lösung für dieses Problem ist einfach und in den GMail Optionen relativ unscheinbar - es muss die "Always use https" Einstellung aktiviert werden.
Warum diese Lösung hilft, manuelles Umstellen der Verbindung aber nicht?
Zum einen werden beim manuellen Umstellen etwa einzelne Bilder anscheinend nicht über SSL nachgeladen, was ja meistens der Fall ist. Jede unverschlüsselte Anfrage an mail.google.com bewirkt aber auch eine unverschlüsselte Übermittlung des kleinen Kekses.
Zum anderen kann ein Angreifer etwa über DNS und ARP Poisoning den eigenen Rechner schlicht dazu zwingen, ein unverschlüsseltes Bild von hxxp://mail.google.com nachzuladen, was ebenfalls die Kompromittierung zur Folge hätte.
Wird der Cookie hingegen nur bei sicheren Verbindungen übertragen, surft man sicher.
Es wird sich sicherlich noch die ein oder andere Seite finden lassen, die ebenfalls wie Google an der Ausstattung gespart hat. vBulletin etc. sind in dieser Hinsicht bestimmt auch interessant.
Von daher gilt, sich nicht blind auf https Verbindungen zu verlassen - in offenen Netzen erst recht nicht.
Eine PF konforme Schilderung der Geschichte findet sich auch bei der Washington Post.
Insbesondere in offenen WLAN Netzen gillt es ja als Königsweg, per SSL mit Webseiten zu kommunizieren.
!Doch selbst wenn die Anmeldung über die sichere Verbindung erfolgte (wie bei GMail und natürlich den meisten anderen Webseiten, die mit sensiblen Daten arbeiten, standardmäßig der Fall), und danach weiter mit https gesurft wird (was man bei GMail manuell über die Adresszeile einstellen muss), ist die Verbindung nicht zwangsläufig sicher!
Grund dafür ist, dass der Google Cookie zwar über eine sichere Verbindung gesetzt wird, aber kein in dem Sinne sicherer Cookie ist, dass er nur über https Verbindungen übertragen werden darf. Somit wird der Cookie bei jeder Anfrage an den GMail Server übertragen und kann von Sniffern mitgelesen werden. Der Angreifer muss den Cookie danach nur noch in seinem Browser setzen und ist bei GMail angemeldet.
Die Lösung für dieses Problem ist einfach und in den GMail Optionen relativ unscheinbar - es muss die "Always use https" Einstellung aktiviert werden.
Warum diese Lösung hilft, manuelles Umstellen der Verbindung aber nicht?
Zum einen werden beim manuellen Umstellen etwa einzelne Bilder anscheinend nicht über SSL nachgeladen, was ja meistens der Fall ist. Jede unverschlüsselte Anfrage an mail.google.com bewirkt aber auch eine unverschlüsselte Übermittlung des kleinen Kekses.
Zum anderen kann ein Angreifer etwa über DNS und ARP Poisoning den eigenen Rechner schlicht dazu zwingen, ein unverschlüsseltes Bild von hxxp://mail.google.com nachzuladen, was ebenfalls die Kompromittierung zur Folge hätte.
Wird der Cookie hingegen nur bei sicheren Verbindungen übertragen, surft man sicher.
Es wird sich sicherlich noch die ein oder andere Seite finden lassen, die ebenfalls wie Google an der Ausstattung gespart hat. vBulletin etc. sind in dieser Hinsicht bestimmt auch interessant.
Von daher gilt, sich nicht blind auf https Verbindungen zu verlassen - in offenen Netzen erst recht nicht.
Eine PF konforme Schilderung der Geschichte findet sich auch bei der Washington Post.