Hallo!
Mein Browser meldet gerade, das Login erfolge nicht über https gesichert. Eine solche Selbstverständlichkeit sollte doch eigentlich gewährleistet sein, wenn man einen solche Seite betreibt, oder?
Hallo!
Mein Browser meldet gerade, das Login erfolge nicht über https gesichert. Eine solche Selbstverständlichkeit sollte doch eigentlich gewährleistet sein, wenn man einen solche Seite betreibt, oder?
Vor allem da es immer mehr unverschlüsselte öffentliche WLANs gibt und man seine Logindaten auf keinen Fall weiter geben darf, sehe ich das als echtes Problem an, falls es so ist.
http://www.onlinetvrecorder.com/v2/
scheint gänzlich unverschlüsselt,
https://www.onlinetvrecorder.com/v2/?go=home
ergibt:
Obwohl diese Seite verschlüsselt ist, werden die von Ihnen eingegebenen Informationen über eine unverschlüsselte Verbindung gesendet und können leicht von Dritten gelesen werden.
Sollen diese Informationen wirklich gesendet werden?
Einigermaßen sicher wirds nur, wenn man http komplett abschaltet.
1) Zielseite der Logindaten ist nicht https: Angreifer kann Logindaten einfach lesen
2) Eingabeseite der Logindaten ist nicht https: Angreifer ändert Ziel der Logindaten auf http
3) Beliebige Seite ist nicht https: Angreifer kann Cookie mitlesen und mitnutzen
Selbst die Downloadserver müssten alles https verschlüsseln, da sonst ein mitlesen der URLs und ein erzeugen von Traffic auf Kosten des Users möglich wäre.
Die aktuellen Server hätten vermutlich keine Chance die zusätzliche Last zu bewältigen.
Einfach nur die Logindaten via https zu senden löst das Problem leider nicht!
Mit beliebig hohem Aufwand lässt sich vielleicht einmalig ein bisschen Traffic verursachen -ok! Aber was hat der Angreifer großartig davon?
Alternativ: Mit einem Sniffer lassen sich auf einfachste Art und weise durch jeden Laien automatisiert alle Logins und Passworter mitlesen. Auch Google hat diese Daten von der halben Welt (Streetview-Fahrzeuge) auf seinen Festplatten, angeblich natürlich nur versehentlich. Das hat schon eine ganz andere Dimension.
Die Downloads zu verschlüsseln wäre meiner Meinung nach übertrieben. Was allerdings Sinn machen würde: Alle Zahlvorgänge, Bannerbuchung und Passwortänderugen auf einen komplett verschlüsselten Subbereich auszulagern der einen seperaten Login erfordert.
Das Problem dürften hier auch die Kosten für ein Sicherheitszertifikat sein. Denn die belaufen sich im Jahr auf mehrere hundert Euro. Wenn man es von einem vertrauenswürdigen Institut kauft, was man ja nun machen sollte.
Und was würde dies bedeuten?
Und warum genau ist es besser, den Loginprozess völlig unverschlüsselt zu übertragen, als das bereits vorhandene Zertifikat auch dafür zu nutzen?Zitat von Cineatic
Das Problem dürften hier auch die Kosten für ein Sicherheitszertifikat sein. Denn die belaufen sich im Jahr auf mehrere hundert Euro. Wenn man es von einem vertrauenswürdigen Institut kauft, was man ja nun machen sollte.
Und was würde dies bedeuten?
Noch einmal, nur alleine das Login zu verschlüsseln bringt GAR NIX!
Die Cookies sind kritischer und damit müßten alle Seiten verschlüsselt werden..
Cookies müssen auch nicht zwangsläufig das Login im Klartext enthalten. Das darf ruhig auch etwas verschlüsseltes sein.
Als nächstes müsste man dafür sorgen, dass OTR den eingeloggten Nutzer nicht sein Passwort zeigt und ohne das Passwort auch keine Passwortänderung erlaubt. Ein Sicherheitsfeature, das vermutlich die aller meisten Webdienste implementiert haben.
Und wenn man schon die ganze OTR-Seite verschlüsselt anbietet, warum dann nicht auch den Login? Wo ist der besondere Mehraufwand in Bezug auf die Serverauslastung?
Das Login funktioniert auch mit https.. man muss nur in der post-url z.B. mit Firebug aus dem http ein https machen. Wäre für OTR kein Problem, aber es würde in keinster Weise die Sicherheit erhöhen. Ob ein Angreifer nun Klartext-Passwort und -Nutzernamen hat, oder den Cookie macht keinen Unterschied.
Und damit der Cookie verschlüsselt übertragen wird, muss die komplette Seite verschlüsselt sein (und dann kann man am Cookie das Secure Attribut setzen, damit dieser nicht auf unverschlüsselten Seiten übertragen wird).
Was zumindest ärgerlich ist, ist das der Login bei der https-login-Seite nicht verschlüsselt übertragen wird. Diese Post URL sollte definitiv angepasst werden, da stimme ich auf jeden Fall zu. Schön wäre es wenn bei diesem Cookie dann auch das Secure Attribut gesetzt wird(dann würde die Seite allerdings mit diesem Cookie nicht unverschlüsselt funktionieren). So hätte man zumindest die Wahl bewusst zu verschlüsseln.
Http-Loginseite -> https-Post-logindaten -> http-Seite ist hingegen imho Schwachsinn, da der Cookie weiterhin abfangbar ist und mit diesem alle Funktionen von OTR für den Angreifer nutzbar sind!
Alle Seiten für alle User zu verschlüsseln - was die beste Lösung des Problems wäre - bedeutet deutlich höhere Serverlast, da alle übertragenen Daten ver- bzw. entschlüsselt werden müssen. Und das meinte ich damit. Nen verschlüsselter Login kostet nicht viel, bringt aber auch nix. Alle Seiten verschlüsseln kostet viel Rechenleistung!
---
EDIT: das mit der http-post-url auf der https-seite poste ich mal einfach in die Fehlerliste!
Berechtigungen
