So schützt man sich in offenen Netzwerken vor Firesheep
von caschy | 34 Kommentare
Vorhin noch darüber gebloggt: das Entführen von Cookies aus offenen Drahtlosnetzwerken und der damit verbundene Diebstahl eurer Identität zum Beispiel bei Twitter, Facebook und Co mit der Firefox-Erweiterung Firesheep. Schützen kann man sich ganz einfach, sofern die anzusurfenden Seiten alternativ eine gesicherte Verbindung anbieten.
Denn dann könnt ihr im Firefox HTTPS Everywhere nutzen. Die Erweiterung stellte ich ja bereits vor. Sie zwingt Firefox dazu, verschlüsselte Verbindungen zu Seiten aufzubauen, sofern diese in der Liste aktiviert sind.
Eine weitere Alternative dazu ist die Erweiterung ForceTLS, die euren Browser dann zu HTTPS statt HTTP zwingt, sofern die Seite das Protokoll unterstützt (Facebook, Twitter und Google Mail tun dies).
Google Chrome-Benutzer nehmen dazu den SSL Enforcer.
Also – Vorsicht ist besser als Nachsicht 😉
(ForceTLS via techcrunch)
Wird geladen ...
Und was ist nun besser, bzw funktioniert zuverlässig?
HTTPS Everywhere oder ForceTLS??
@ Torsten: Der Nachteil ist nur, wenn ein Link auf die unverschlüsselte Version zeigt und du klickst drauf, war es das mit der verschlüsselten Verbindung.
Mit den Erweiterungen oben sollten die Browser die Adresse vor dem Laden um das s bei https:// ergänzen und so diesen „Fehler“ vermeiden.
Bei Facebook habe ich dieses Verhalten bemerkt.
Und wie sieht es mit einer Safari Lösung/Erweiterung aus bzw. einem Ansatz für MacOS X?
Und wie sieht das mit dem Smartphone/iPhone aus? Ist das auch betroffen?
Uiiiii …
Je nach Nutzung-Verhalten, muss der Verlust des Facebook-Kontos ja nicht unbedingt direkt finanziell schädigend sein.
Aber Paypal steht auf der Liste? Nichtmal eine „Onlinebank“ wie PayPal, die ja nicht von mikrigen Werbeeinnahmen leben, sondern saftige Gebühren kassieren, verschlüsseln nicht komplett?
Daran knüpft sich auch wieder meine Frage an, warum PayPal nicht schon längst mit iTANs arbeitet 🙁
@ Jan: Du verstehst da was falsch. Alle auf der Liste stehende Seiten können verschlüsselt aufgerufen werden, zwingen den Nutzer aber nicht dazu. Das ändert HTTPS-Everywhere.
Ob die Verschlüsselung gut eingebaut ist, muss man bei jedem Dienst von Hand feststellen. 😉
@Alexander :
Schon klar, aber die Benutzung von https sollte auf solch sicherheitskritischen Website nicht optional, sondern obligatorisch sein.
Bei meiner Bank kann ich schließlich auch kein Onlinebanking ohne https machen.
In Singapur wird z. B. Gmail zwangsweise von HTTPS auf HTTP umgeleitet.
@ Talkrabb: Kann man wenigstens auf andere Wege das ganze absichern? z.B. mit einem VPN oder etwas einfacheren?
Ich habe mal das Addon ForceTLS getestet, weil ich dort eigene Domains eintragen kann. Die Umleitung funktioniert problemlos. Blöd wird es nur, wenn Jemand bspw. in einem Forumbeitrag ein Bild mit der selben Domain wie im Cookie absolut mit HTTP-Adresse verlinkt hat oder auf dem Server keine relativen Pfade zu den Bildern verwendet werden. Bilder enthalten nämlich auch die HTTP-Header-Cookie Daten. Kann man nachprüfen mit Tools wie „EffeTech HTTP Sniffer“.
Im Test hat das auch mit FileSheep funktioniert. D.h. Seite über HTTPS aufgerufen mit einem internen Bild was über HTTP aufgerufen wird.
Immerhin scheinen alle(?) Bilder bei Amazon, Twitter, Yahoo oder Facebook auf Subdomains zu liegen.
Ist diese Lösung mitm VPN zum eigenen Anschluss zu Hause eigentlich zu empfehlen? Hat das jemand verbloggt? thx.
@jke: Ob das empfehlenswert ist oder nicht, hängt von den Rahmenbedingungen ab und muss jeder für sich selbst entscheiden. Verbloggt wurde das natürlich ebenfalls schon oft. Infos gibt es dazu massig im Netz.
@Don Danke für die Antwort, aber mir ging es gerade um eine Einschätzung, nicht um ein Google Suchergebnis.
@jke: Auf welcher Grundlage sollte man eine seriöse Einschätzung treffen können? Wenn man keine Rahmenbedingungen kennt, wird es sehr schwierig etwas zu empfehlen. Was für den einen empfehlenswert ist, ist nicht zwingend für alle der Fall. Vielleicht solltest du deine Frage etwas konkretisieren?
Zudem wolltest wissen ob das schon gebloggt wurde und mit Hilfe von Google weißt du nun auch schon konkret was, wann und wo.