So schützt man sich in offenen Netzwerken vor Firesheep

Vorhin noch darüber gebloggt: das Entführen von Cookies aus offenen Drahtlosnetzwerken und der damit verbundene Diebstahl eurer Identität zum Beispiel bei Twitter, Facebook und Co mit der Firefox-Erweiterung Firesheep. Schützen kann man sich ganz einfach, sofern die anzusurfenden Seiten alternativ eine gesicherte Verbindung anbieten.

Denn dann könnt ihr im Firefox HTTPS Everywhere nutzen. Die Erweiterung stellte ich ja bereits vor. Sie zwingt Firefox dazu, verschlüsselte Verbindungen zu Seiten aufzubauen, sofern diese in der Liste aktiviert sind.

Eine weitere Alternative dazu ist die Erweiterung ForceTLS, die euren Browser dann zu HTTPS statt HTTP zwingt, sofern die Seite das Protokoll unterstützt (Facebook, Twitter und Google Mail tun dies).

Google Chrome-Benutzer nehmen dazu den SSL Enforcer.

Also – Vorsicht ist besser als Nachsicht 😉

(ForceTLS via techcrunch)

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Seit 2008 ist es Beruf(ung). Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei LinkedIn, Twitter, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

34 Kommentare

  1. sach ich doch 😉

  2. Alternative sollte auch ein VPN die Daten schützen.

  3. Und was machen Chrome User?

  4. DevSibwarra says:

    oder opera? naja ein userscript w´re jetzt auch nicht so schwer

  5. http://goo.gl/SfhK

    Für Chrome User 🙂

  6. Wozu der Aufwand, wenn ihr in WiFi Netzen mit eurem Laptop unterwegs seid, einfach arp -s auf das Gateway machen und gut ist, dann snifft auch keiner mit, was so durch die Gegend fliegt.

  7. Oder einfach mit dem guten alten Lan Kabel^^

  8. SSH Tunnel per Socks zum eigenen vServer 😛

  9. @Levino Danke für den Tipp mit Chrome. 🙂

  10. Na, so richtig Rund läuft das Addon nun auch nicht. Bekomme nur Verbindungsfehler, von daher gleich wieder Deinstall!

    FACEBOOK UND CO. GEHÖRT VERBOTEN!

  11. @ccc: „einfach arp -s auf das Gateway machen und gut ist“ – Einfach ist gut. Du scheinst ja über dieses Wissen verfügen. Aber wie erklärst du das bitte schön einem normalen Windows User? So ist dein Satz nur Klugscheißerei.

  12. ich habe jetzt mal „arp -s“ per postit auf meinen Router / Gateway gemacht. Ich bin gesichert!

    Vielleicht hilft es ja auch bei meiner Eingangstür, da ist gleiches Postit – aber nur von innen oder muss der Einbrecher das Schild sehen können, damit es wirkt? 😀

  13. ich hab vorhin schon beim „ersten“ Artikel nachgeschaut, was diese Erweiterung macht. Wirklich Sinn macht es aber meiner Meinung nach nicht, sich dafür extra eine Erweiterung zu installieren. Einfach die https URL als Bookmark setzen und fertig aus. Beim Opera noch als Kürzel die Kurzform der Adresse eintragen und schon lenkt mich „gmx“ in der Adressleiste auf https://www.gmx.net

  14. Kann mir einer bitte erklären was arp -s genau anstellt und warum es danach sicher ist?

  15. ARP

    -s Rechnername hw_addr, –set Rechnername
    Erzeugt manuel einen ARP Adresseintrag für den Rechner Rechnername in dem die Hardwareadresse auf hw_addr gesetzt ist. Das genaue Format der
    Hardwareadresse ist abhängig von der Hardwareklasse aber für die meisten Klassen kann man davon ausgehen, daà die übliche Darstellung verwen-
    det wird. Für die Ethernetklasse sind dies sechs hexadezimale, von Doppelpunkten getrennte Bytes. Beim Zufügen von Proxy-ARP-Enträgen (das
    sind die mit der gesetzten publizieren Flagge) kann Netmaske für ARP-Einträge für ganze Subnetze angegeben werde. Von dieser Praxis wird
    abgeraten. Sie wird von älteren Kerneln unterstützt, da sie gelegentlich nützlich ist. Wird die If the temp Flagge nicht angegeben, so wer-
    den die erzeugten Einträge nicht dauerhaft in den ARP-Cache eingetragen.
    ANMERKUNG: Ab der Kernelversion 2.2.0 ist es nicht mehr möglich ARP-Einträge für ganze Teilnetze zu erzeugen. Statt dessen wird automatisches
    Proxy ARP durchgeführt, d.h. wenn eine Route existiert und Forwarding eingeschaltet ist wird automatisch ein temporärer Proxyarpeintrag
    erzeugt. Siehe auch arp(7) für mehr Details.

  16. Https-Umleitung hat in einem Kurztest keine Änderung gebracht…

    Meine Empfehlung bleibt VPN bei offenen WLAN’s

    Ach so und an alle die meinen, Kabel ist soviel besser: In einem nicht vollgeswitchten Netzwerk kommt man auch an alle Pakete! Und selbst bei vollgeswitchten kann man den switch dazu bringen in einen HUB-Modus zurück zu schalten… Wenn jemand an die Daten will, gibt es auch Mittel und Wege…

  17. @Shade: Wenn ich die Hilfe aus der cmd lesen will kann ich das schon selbst tun… Nur werde ich daraus nicht schlau, WAS genau tut dieser Befehl bzw was für Auswirkungen hat er auf meine Sicherheit?

  18. @Smut: das Stichwort lautet ARP-Spoofing, damit kann jeder der sich einigermaßen auskennt Pakete die über ein drahtloses Netzwerk geschickt werden, auf seinen Rechner umlenken und mitschneiden. Danach schickt er diese weiter an das eigentliche Gateway/Router. Davon merkt der Benutzer meist nichts, außer dass das Surfen vll etwas langsamer vonstatten geht –> http://de.wikipedia.org/wiki/ARP-Spoofing

  19. Danke ccc! Genau nach so einer Erklärung habe ich gesucht.
    Das heißt durch den Befehl arp -s [IP] leg ich fest das meine Daten-Packete nur an diese eine IP Adresse gelangen und so nicht mehr mit gespoofed werden kann.

  20. Ganz genau, das s steht für statisch – also eine feste Adresse. Per default geht das ganze dynamisch und es kann sich jeder Rechner im Subnetz als Gateway ausgeben.

Bevor du deinen Kommentar abschickst:
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.