So schützt man sich in offenen Netzwerken vor Firesheep

Vorhin noch darüber gebloggt: das Entführen von Cookies aus offenen Drahtlosnetzwerken und der damit verbundene Diebstahl eurer Identität zum Beispiel bei Twitter, Facebook und Co mit der Firefox-Erweiterung Firesheep. Schützen kann man sich ganz einfach, sofern die anzusurfenden Seiten alternativ eine gesicherte Verbindung anbieten.

Denn dann könnt ihr im Firefox HTTPS Everywhere nutzen. Die Erweiterung stellte ich ja bereits vor. Sie zwingt Firefox dazu, verschlüsselte Verbindungen zu Seiten aufzubauen, sofern diese in der Liste aktiviert sind.

Eine weitere Alternative dazu ist die Erweiterung ForceTLS, die euren Browser dann zu HTTPS statt HTTP zwingt, sofern die Seite das Protokoll unterstützt (Facebook, Twitter und Google Mail tun dies).

Google Chrome-Benutzer nehmen dazu den SSL Enforcer.

Also – Vorsicht ist besser als Nachsicht 😉

(ForceTLS via techcrunch)

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

39 Kommentare

  1. sach ich doch 😉

  2. Alternative sollte auch ein VPN die Daten schützen.

  3. Und was machen Chrome User?

  4. DevSibwarra says:

    oder opera? naja ein userscript w´re jetzt auch nicht so schwer

  5. http://goo.gl/SfhK

    Für Chrome User 🙂

  6. Wozu der Aufwand, wenn ihr in WiFi Netzen mit eurem Laptop unterwegs seid, einfach arp -s auf das Gateway machen und gut ist, dann snifft auch keiner mit, was so durch die Gegend fliegt.

  7. Oder einfach mit dem guten alten Lan Kabel^^

  8. SSH Tunnel per Socks zum eigenen vServer 😛

  9. @Levino Danke für den Tipp mit Chrome. 🙂

  10. TLS/SSL ist kein Schutz, es ist ein Bonus, aber auch nicht mehr.

    https://blog.fefe.de/?ts=b25933c5


    Wenn jemand die SSL-Verbindung zwischen euch und meinem Server manipulieren kann, um euch ein anderes Zertifikat unterzujubeln, dann kann der natürlich auch diese Fingerprintangabe fälschen. Objektiv gesehen müsste man an der Situation mit den SSL-Zertifikaten verzweifeln. Daher plädiere ich dafür, lieber die Leute zu informieren, wie viel Sicherheit ihnen das wirklich bietet, damit sie mit einer angemessenen Erwartungshaltung an SSL herangehen. Oh und: SSL hilft auch nicht gegen Trafficanalyse. Wenn jemand wissen will, welche Seiten ihr hier aufruft, dann kann er das anhand der Größe der Antworten rekonstruieren. Die Daten sind ja immerhin öffentlich. Trotzdem halte ich es für gut und wichtig, Verschlüsselung auch ohne Not einzusetzen, denn je höher der Anteil an verschlüsselten Daten im Netz ist, desto weniger macht man sich verdächtig, wenn man seine Daten verschlüsselt.“
    Insofern ist obiger Ratschlag nett und auch „sicherer“, aber Sicherheit ist ein Konzept, kein Automatismus. Und Sicherheitskonzepte basieren nun einmal auf Wissen und Information.

  11. Na, so richtig Rund läuft das Addon nun auch nicht. Bekomme nur Verbindungsfehler, von daher gleich wieder Deinstall!

    FACEBOOK UND CO. GEHÖRT VERBOTEN!

  12. @ccc: „einfach arp -s auf das Gateway machen und gut ist“ – Einfach ist gut. Du scheinst ja über dieses Wissen verfügen. Aber wie erklärst du das bitte schön einem normalen Windows User? So ist dein Satz nur Klugscheißerei.

  13. ich habe jetzt mal „arp -s“ per postit auf meinen Router / Gateway gemacht. Ich bin gesichert!

    Vielleicht hilft es ja auch bei meiner Eingangstür, da ist gleiches Postit – aber nur von innen oder muss der Einbrecher das Schild sehen können, damit es wirkt? 😀

  14. ich hab vorhin schon beim „ersten“ Artikel nachgeschaut, was diese Erweiterung macht. Wirklich Sinn macht es aber meiner Meinung nach nicht, sich dafür extra eine Erweiterung zu installieren. Einfach die https URL als Bookmark setzen und fertig aus. Beim Opera noch als Kürzel die Kurzform der Adresse eintragen und schon lenkt mich „gmx“ in der Adressleiste auf https://www.gmx.net

  15. Kann mir einer bitte erklären was arp -s genau anstellt und warum es danach sicher ist?

  16. ARP

    -s Rechnername hw_addr, –set Rechnername
    Erzeugt manuel einen ARP Adresseintrag für den Rechner Rechnername in dem die Hardwareadresse auf hw_addr gesetzt ist. Das genaue Format der
    Hardwareadresse ist abhängig von der Hardwareklasse aber für die meisten Klassen kann man davon ausgehen, daà die übliche Darstellung verwen-
    det wird. Für die Ethernetklasse sind dies sechs hexadezimale, von Doppelpunkten getrennte Bytes. Beim Zufügen von Proxy-ARP-Enträgen (das
    sind die mit der gesetzten publizieren Flagge) kann Netmaske für ARP-Einträge für ganze Subnetze angegeben werde. Von dieser Praxis wird
    abgeraten. Sie wird von älteren Kerneln unterstützt, da sie gelegentlich nützlich ist. Wird die If the temp Flagge nicht angegeben, so wer-
    den die erzeugten Einträge nicht dauerhaft in den ARP-Cache eingetragen.
    ANMERKUNG: Ab der Kernelversion 2.2.0 ist es nicht mehr möglich ARP-Einträge für ganze Teilnetze zu erzeugen. Statt dessen wird automatisches
    Proxy ARP durchgeführt, d.h. wenn eine Route existiert und Forwarding eingeschaltet ist wird automatisch ein temporärer Proxyarpeintrag
    erzeugt. Siehe auch arp(7) für mehr Details.

  17. Https-Umleitung hat in einem Kurztest keine Änderung gebracht…

    Meine Empfehlung bleibt VPN bei offenen WLAN’s

    Ach so und an alle die meinen, Kabel ist soviel besser: In einem nicht vollgeswitchten Netzwerk kommt man auch an alle Pakete! Und selbst bei vollgeswitchten kann man den switch dazu bringen in einen HUB-Modus zurück zu schalten… Wenn jemand an die Daten will, gibt es auch Mittel und Wege…

  18. @Shade: Wenn ich die Hilfe aus der cmd lesen will kann ich das schon selbst tun… Nur werde ich daraus nicht schlau, WAS genau tut dieser Befehl bzw was für Auswirkungen hat er auf meine Sicherheit?

  19. @Smut: das Stichwort lautet ARP-Spoofing, damit kann jeder der sich einigermaßen auskennt Pakete die über ein drahtloses Netzwerk geschickt werden, auf seinen Rechner umlenken und mitschneiden. Danach schickt er diese weiter an das eigentliche Gateway/Router. Davon merkt der Benutzer meist nichts, außer dass das Surfen vll etwas langsamer vonstatten geht –> http://de.wikipedia.org/wiki/ARP-Spoofing

  20. Danke ccc! Genau nach so einer Erklärung habe ich gesucht.
    Das heißt durch den Befehl arp -s [IP] leg ich fest das meine Daten-Packete nur an diese eine IP Adresse gelangen und so nicht mehr mit gespoofed werden kann.

  21. Ganz genau, das s steht für statisch – also eine feste Adresse. Per default geht das ganze dynamisch und es kann sich jeder Rechner im Subnetz als Gateway ausgeben.

  22. Und was ist nun besser, bzw funktioniert zuverlässig?
    HTTPS Everywhere oder ForceTLS??

  23. @ Torsten: Der Nachteil ist nur, wenn ein Link auf die unverschlüsselte Version zeigt und du klickst drauf, war es das mit der verschlüsselten Verbindung.

    Mit den Erweiterungen oben sollten die Browser die Adresse vor dem Laden um das s bei https:// ergänzen und so diesen „Fehler“ vermeiden.

    Bei Facebook habe ich dieses Verhalten bemerkt.

  24. Und wie sieht es mit einer Safari Lösung/Erweiterung aus bzw. einem Ansatz für MacOS X?

  25. Und wie sieht das mit dem Smartphone/iPhone aus? Ist das auch betroffen?

  26. Uiiiii …

    Je nach Nutzung-Verhalten, muss der Verlust des Facebook-Kontos ja nicht unbedingt direkt finanziell schädigend sein.

    Aber Paypal steht auf der Liste? Nichtmal eine „Onlinebank“ wie PayPal, die ja nicht von mikrigen Werbeeinnahmen leben, sondern saftige Gebühren kassieren, verschlüsseln nicht komplett?
    Daran knüpft sich auch wieder meine Frage an, warum PayPal nicht schon längst mit iTANs arbeitet 🙁

  27. @ Jan: Du verstehst da was falsch. Alle auf der Liste stehende Seiten können verschlüsselt aufgerufen werden, zwingen den Nutzer aber nicht dazu. Das ändert HTTPS-Everywhere.

    Ob die Verschlüsselung gut eingebaut ist, muss man bei jedem Dienst von Hand feststellen. 😉

  28. @Alexander :
    Schon klar, aber die Benutzung von https sollte auf solch sicherheitskritischen Website nicht optional, sondern obligatorisch sein.
    Bei meiner Bank kann ich schließlich auch kein Onlinebanking ohne https machen.

  29. In Singapur wird z. B. Gmail zwangsweise von HTTPS auf HTTP umgeleitet.

  30. @ Talkrabb: Kann man wenigstens auf andere Wege das ganze absichern? z.B. mit einem VPN oder etwas einfacheren?

  31. Ich habe mal das Addon ForceTLS getestet, weil ich dort eigene Domains eintragen kann. Die Umleitung funktioniert problemlos. Blöd wird es nur, wenn Jemand bspw. in einem Forumbeitrag ein Bild mit der selben Domain wie im Cookie absolut mit HTTP-Adresse verlinkt hat oder auf dem Server keine relativen Pfade zu den Bildern verwendet werden. Bilder enthalten nämlich auch die HTTP-Header-Cookie Daten. Kann man nachprüfen mit Tools wie „EffeTech HTTP Sniffer“.

    Im Test hat das auch mit FileSheep funktioniert. D.h. Seite über HTTPS aufgerufen mit einem internen Bild was über HTTP aufgerufen wird.

    Immerhin scheinen alle(?) Bilder bei Amazon, Twitter, Yahoo oder Facebook auf Subdomains zu liegen.

  32. Ist diese Lösung mitm VPN zum eigenen Anschluss zu Hause eigentlich zu empfehlen? Hat das jemand verbloggt? thx.

  33. DonHæberle says:

    @jke: Ob das empfehlenswert ist oder nicht, hängt von den Rahmenbedingungen ab und muss jeder für sich selbst entscheiden. Verbloggt wurde das natürlich ebenfalls schon oft. Infos gibt es dazu massig im Netz.

  34. @Don Danke für die Antwort, aber mir ging es gerade um eine Einschätzung, nicht um ein Google Suchergebnis.

  35. DonHæberle says:

    @jke: Auf welcher Grundlage sollte man eine seriöse Einschätzung treffen können? Wenn man keine Rahmenbedingungen kennt, wird es sehr schwierig etwas zu empfehlen. Was für den einen empfehlenswert ist, ist nicht zwingend für alle der Fall. Vielleicht solltest du deine Frage etwas konkretisieren?

    Zudem wolltest wissen ob das schon gebloggt wurde und mit Hilfe von Google weißt du nun auch schon konkret was, wann und wo.