Bei diesemgepostete Frageist der Rat
Sie müssen immer überprüfen, ob die SSL-Verbindung in Ihrer Adressleiste grün angezeigt wird und/oder bei Verwendung ungesicherten WLANs manuell noch einmal prüfen, ob das Zertifikat gültig ist.
Wie würde man den Ratschlag zur „doppelten manuellen Prüfung“ umsetzen und ist dies überhaupt notwendig, wenn man einen der vier beliebtesten Browser verwendet?
Antwort1
Bei Verwendung eines ungesicherten Netzwerks bietet HTTPS keinen Schutz vor einem erfahrenen Angreifer, insbesondere für Websites, die sowohl HTTP als auch HTTPS verwenden.
Hier ein Beispiel: Wenn Sie facebook.com in die Adressleiste eingeben, stellen Sie eigentlich eine HTTP-Verbindung her. Die Site leitet Sie dann auf eine HTTPS-Seite um. Ein Angreifer, der sich zwischen Ihnen und facebook.com platziert, kann diese HTTPS-Umleitung jedoch in eine HTTP-Umleitung ändern und Ihre Passwörter stehlen oder sogar Malware in die Antwort der Website einschleusen und Ihren Computer infizieren.
Um diese Situation zu vermeiden, können Sie in https://www.facebook.comanstelle von eingeben facebook.com. Sie können auch die HTTPS-Seite von facebook.com als Lesezeichen speichern und diese anstelle der Eingabe verwenden.
Die Verwendung des Browsers zur Überprüfung der Anmeldeinformationen einer Site ist ein sehr guter Test, aber in letzter Zeit wurden die Anmeldeinformationen vieler beliebter Websites gestohlen oder gefälscht. Hacker können auch Anmeldeinformationen für Website-Namen verwenden, die den Namen der Websites, auf die man zugreifen möchte, sehr ähnlich sind und bei einer oberflächlichen Überprüfung nicht erkannt werden.
Sogar reiner HTTPS-Verkehr kann angegriffen und geknackt werden. In den letzten Jahren wurde ein ganzes Pantheon von Hacks eingeführt, die Namen wieVERBRECHEN,TIER,Glückliche 13,SSLStripUndVERSTOSS.
Mit einem so genanntenOrakeltechnikkönnen Angreifer Komprimierung nutzen, um wichtige Hinweise auf den Inhalt einer verschlüsselten Nachricht zu erhalten. Denn viele Verschlüsselungsformen, darunter auch die in HTTPS, können Angreifer kaum oder gar nicht daran hindern, die Größe der verschlüsselten Nutzlast zu erkennen. Komprimierungs-Oracle-Techniken sind besonders effektiv, um kleine Textblöcke im verschlüsselten Datenstrom aufzuspüren, wie etwa Passwörter (!).
Es ist wichtig zu verstehen, dass der Angreifer nur die HTTPS-Pakete beobachten muss, während sie durch das Netzwerk gehen, was er in einem ungesicherten Netzwerk leicht tun kann, indem er einenSchnüffler.
Zwar konnte keiner dieser Angriffe die durch HTTPS gewährleistete Sicherheit völlig untergraben, doch verdeutlichen sie die Fragilität der zwei Jahrzehnte alten SSL- und TLS-Protokolle und sogar der Softwarebibliotheken, die für die HTTPS-Verschlüsselung verwendet werden.
Die Verwendung eines VPN bietet zwar einen besseren Schutz, doch solange ein Angreifer den Datenverkehr zwischen Ihrem Computer und dem Netzwerk beobachten kann, sind Sie nicht absolut sicher.
Jede der oben genannten Maßnahmen verbessert zwar die Sicherheit, garantiert aber keinen Schutz vor Angreifern, die einfallsreich genug sind oder sogar eine noch unbekannte Angriffsmethode verwenden. Sicherheitsexperten und Browser sind den Hackern immer einen Schritt hinterher.
Die beste Vorgehensweise besteht darin, keine vertraulichen Informationen wie Passwörter in einem ungesicherten Netzwerk einzugeben. Selbst wenn die Anmeldeinformationen alsKekse, wie es beispielsweise der Fall ist, wenn eine Website die Option bietet, sich die Anmeldung zu „merken“, kann ein Angreifer, der die Netzwerknachricht abfängt, diese Cookies problemlos extrahieren.
Ein Tool, das erkennen kann, wenn HTTPS abgefangen wird und Sie rechtzeitig daran hindern kann, Ihre Anmeldeinformationen einzugeben, ist der FirefoxPerspektiven-Add-on. Es kann jedoch nicht davor schützen, dass HTTPS durch einen Sniffer entschlüsselt wird.
Perspektiven werden wie folgt beschrieben:
Perspectives ist ein neuer, dezentraler Ansatz zur sicheren Identifizierung von Internetservern. Es erstellt automatisch eine Datenbank mit Serveridentitäten und verwendet dazu einfache Prüfungen durch „Netzwerknotare“ – Server, die sich an mehreren Standorten im Internet befinden. Jedes Mal, wenn Sie eine Verbindung zu einer sicheren Website herstellen, vergleicht Perspectives das Zertifikat der Website mit den Daten des Netzwerknotars und warnt Sie, wenn eine Nichtübereinstimmung vorliegt. Auf diese Weise wissen Sie, ob ein Zertifikat vertrauenswürdig ist! Die Verwendung von Perspectives verhindert „Man-in-the-Middle“-Angriffe, ermöglicht Ihnen die Verwendung selbstsignierter Zertifikate und gibt Ihnen die Gewissheit, dass Ihre Verbindungen wirklich sicher sind.
Antwort2
Bedenken Sie, dass Google durch mein AV-Zertifikat verifiziert wird, da ich Kaspersky AV verwende. Ich habe 3 Websites als Beispiele verwendet. Google, Live.com und PayPal
So können Sie ein Site-Zertifikat manuell überprüfen:
Google:
Live.com
PayPal
Klicken Sie immer auf , More Informationum zu überprüfen, ob das Zertifikat gefälscht wurde.
Antwort3
In der Praxis ist es zu schwierig, den SSL-Status jeder Seite zu überprüfen.SSLPersonasist eine Firefox-Erweiterung, die Ihnen auf sehr offensichtliche Weise zeigt, wie sicher eine Webseite ist. Sie ändert das Firefox-Design entsprechend dem SSL-Status einer Website.
Antwort4
- Installieren Sie dieses Add-on:
SSL-Validierung
Das Addon bewertet die Stärke der SSL-Verbindung
und das: HTTPzuHTTPS
- schauen Sie mal nachssh_proxy