So schützt man sich in offenen Netzwerken vor Firesheep
von caschy | 34 Kommentare
Vorhin noch darüber gebloggt: das Entführen von Cookies aus offenen Drahtlosnetzwerken und der damit verbundene Diebstahl eurer Identität zum Beispiel bei Twitter, Facebook und Co mit der Firefox-Erweiterung Firesheep. Schützen kann man sich ganz einfach, sofern die anzusurfenden Seiten alternativ eine gesicherte Verbindung anbieten.
Denn dann könnt ihr im Firefox HTTPS Everywhere nutzen. Die Erweiterung stellte ich ja bereits vor. Sie zwingt Firefox dazu, verschlüsselte Verbindungen zu Seiten aufzubauen, sofern diese in der Liste aktiviert sind.
Eine weitere Alternative dazu ist die Erweiterung ForceTLS, die euren Browser dann zu HTTPS statt HTTP zwingt, sofern die Seite das Protokoll unterstützt (Facebook, Twitter und Google Mail tun dies).
Google Chrome-Benutzer nehmen dazu den SSL Enforcer.
Also – Vorsicht ist besser als Nachsicht 😉
(ForceTLS via techcrunch)
Wird geladen ...
sach ich doch 😉
Alternative sollte auch ein VPN die Daten schützen.
Und was machen Chrome User?
oder opera? naja ein userscript w´re jetzt auch nicht so schwer
http://goo.gl/SfhK
Für Chrome User 🙂
Wozu der Aufwand, wenn ihr in WiFi Netzen mit eurem Laptop unterwegs seid, einfach arp -s auf das Gateway machen und gut ist, dann snifft auch keiner mit, was so durch die Gegend fliegt.
Oder einfach mit dem guten alten Lan Kabel^^
SSH Tunnel per Socks zum eigenen vServer 😛
@Levino Danke für den Tipp mit Chrome. 🙂
Na, so richtig Rund läuft das Addon nun auch nicht. Bekomme nur Verbindungsfehler, von daher gleich wieder Deinstall!
FACEBOOK UND CO. GEHÖRT VERBOTEN!
@ccc: „einfach arp -s auf das Gateway machen und gut ist“ – Einfach ist gut. Du scheinst ja über dieses Wissen verfügen. Aber wie erklärst du das bitte schön einem normalen Windows User? So ist dein Satz nur Klugscheißerei.
ich habe jetzt mal „arp -s“ per postit auf meinen Router / Gateway gemacht. Ich bin gesichert!
Vielleicht hilft es ja auch bei meiner Eingangstür, da ist gleiches Postit – aber nur von innen oder muss der Einbrecher das Schild sehen können, damit es wirkt? 😀
ich hab vorhin schon beim „ersten“ Artikel nachgeschaut, was diese Erweiterung macht. Wirklich Sinn macht es aber meiner Meinung nach nicht, sich dafür extra eine Erweiterung zu installieren. Einfach die https URL als Bookmark setzen und fertig aus. Beim Opera noch als Kürzel die Kurzform der Adresse eintragen und schon lenkt mich „gmx“ in der Adressleiste auf https://www.gmx.net
Kann mir einer bitte erklären was arp -s genau anstellt und warum es danach sicher ist?
ARP
-s Rechnername hw_addr, –set Rechnername
Erzeugt manuel einen ARP Adresseintrag für den Rechner Rechnername in dem die Hardwareadresse auf hw_addr gesetzt ist. Das genaue Format der
Hardwareadresse ist abhängig von der Hardwareklasse aber für die meisten Klassen kann man davon ausgehen, daà die übliche Darstellung verwen-
det wird. Für die Ethernetklasse sind dies sechs hexadezimale, von Doppelpunkten getrennte Bytes. Beim Zufügen von Proxy-ARP-Enträgen (das
sind die mit der gesetzten publizieren Flagge) kann Netmaske für ARP-Einträge für ganze Subnetze angegeben werde. Von dieser Praxis wird
abgeraten. Sie wird von älteren Kerneln unterstützt, da sie gelegentlich nützlich ist. Wird die If the temp Flagge nicht angegeben, so wer-
den die erzeugten Einträge nicht dauerhaft in den ARP-Cache eingetragen.
ANMERKUNG: Ab der Kernelversion 2.2.0 ist es nicht mehr möglich ARP-Einträge für ganze Teilnetze zu erzeugen. Statt dessen wird automatisches
Proxy ARP durchgeführt, d.h. wenn eine Route existiert und Forwarding eingeschaltet ist wird automatisch ein temporärer Proxyarpeintrag
erzeugt. Siehe auch arp(7) für mehr Details.
Https-Umleitung hat in einem Kurztest keine Änderung gebracht…
Meine Empfehlung bleibt VPN bei offenen WLAN’s
Ach so und an alle die meinen, Kabel ist soviel besser: In einem nicht vollgeswitchten Netzwerk kommt man auch an alle Pakete! Und selbst bei vollgeswitchten kann man den switch dazu bringen in einen HUB-Modus zurück zu schalten… Wenn jemand an die Daten will, gibt es auch Mittel und Wege…
@Shade: Wenn ich die Hilfe aus der cmd lesen will kann ich das schon selbst tun… Nur werde ich daraus nicht schlau, WAS genau tut dieser Befehl bzw was für Auswirkungen hat er auf meine Sicherheit?
@Smut: das Stichwort lautet ARP-Spoofing, damit kann jeder der sich einigermaßen auskennt Pakete die über ein drahtloses Netzwerk geschickt werden, auf seinen Rechner umlenken und mitschneiden. Danach schickt er diese weiter an das eigentliche Gateway/Router. Davon merkt der Benutzer meist nichts, außer dass das Surfen vll etwas langsamer vonstatten geht –> http://de.wikipedia.org/wiki/ARP-Spoofing
Danke ccc! Genau nach so einer Erklärung habe ich gesucht.
Das heißt durch den Befehl arp -s [IP] leg ich fest das meine Daten-Packete nur an diese eine IP Adresse gelangen und so nicht mehr mit gespoofed werden kann.
Ganz genau, das s steht für statisch – also eine feste Adresse. Per default geht das ganze dynamisch und es kann sich jeder Rechner im Subnetz als Gateway ausgeben.