it-swarm.com.de

Gibt es einen Unterschied zwischen HTTP und HTTPS, wenn ich meine private Internetverbindung verwende?

Zunächst einmal bin ich Webentwickler und kein Sicherheitsexperte. Ich habe viele Artikel über den Unterschied zwischen HTTPS und HTTP gelesen, einschließlich dieser Seite? ˅.

Die Grundidee, die ich von ihnen bekommen habe, ist, dass bei Verwendung von HTTPS alle Dinge auf der Clientseite verschlüsselt und dann an den Server gesendet werden. (Bitte korrigieren Sie mich, wenn ich falsch liege)

Also auch unsere network admin oder eine andere Person im Netzwerk kann nichts bekommen.

Wenn ich meinen Laptop zu Hause (vertrauenswürdiges Netzwerk) verwende, gibt es einen Vorteil bei der Verwendung von HTTPS über HTTP ?

TLS bietet drei Dinge:

  • Vertraulichkeit: dass niemand den Verkehr zwischen Ihnen und facebook.com Sehen kann (einschließlich des Mannes am Nebentisch bei Starbucks, Ihrem ISP, einigen skizzenhafte Netzwerkausrüstung im Rechenzentrum COUGH NSA, niemand).
  • Integrität: dass niemand die Nachrichten auf dem Weg zwischen Ihnen und facebook.com Ändert (dies ist von der Vertraulichkeit getrennt, da einige Arten von Angriffen dies zulassen Sie müssen die Nachricht auf böswillige Weise ändern, auch wenn Sie nicht wissen, um welche Nachrichten es sich handelt.
  • Authentifizierung: dass Sie mit dem authentischen facebook.com Server sprechen, keine gefälschte Version davon.

Die Grundidee, die ich von ihnen bekommen habe, ist, dass bei Verwendung von https alle Dinge clientseitig verschlüsselt und dann an den Server gesendet werden. (Bitte korrigieren Sie mich, wenn ich falsch liege)

Dies umfasst die Vertraulichkeits- und Integritätsteile, aber Sie vermissen den Authentifizierungsteil:

Um zu beweisen, dass Sie nicht mit einem gefälschten Webserver sprechen.

Angenommen, ich habe eine Phishing-Version von Facebook eingerichtet und mich irgendwie in Ihren Heimrouter (einfach) oder ISP (schwieriger) gehackt, sodass bei Eingabe von facebook.com Anstelle der tatsächlichen IP-Adresse in meine IP-Adresse aufgelöst wird. Ich habe eine genaue Kopie des erwarteten Anmeldebildschirms erstellt und Sie geben Ihren Benutzernamen und Ihr Passwort ein. Muahaha! Jetzt habe ich Ihren Benutzernamen und Ihr Passwort.

Wie verhindert HTTPS dies? Antwort: mit Zertifikaten:

(HTTPS green lock thingy

Wenn wir das Zertifikat in Dev Tools> Security meines Browsers öffnen, wird Folgendes angezeigt:

(certificate

DigiCert wird als Public-Trusted Certificate Authority (CA) bezeichnet. Tatsächlich ist DigiCert eine der Zertifizierungsstellen, denen Ihr Browser von Natur aus vertraut, da sein "Stammzertifikat" in den Quellcode Ihres Browsers eingebettet ist. Sie können die vollständige Liste der vertrauenswürdigen Stammzertifizierungsstellen anzeigen, indem Sie in den Browsereinstellungen nach "Zertifikaten" oder "Vertrauenswürdigen Wurzeln" oder Ähnlichem suchen.

Ihr Browser vertraut DigiCert von Natur aus, und DigiCert hat durch dieses Zertifikat bestätigt, dass der Server, mit dem Sie sprechen, der echte facebook.com Ist (da er den privaten Schlüssel hat, der dem Zertifikat entspricht). Sie bekommen das grüne Vorhängeschloss und wissen, dass alles gut ist.


Lass uns nur zum Spaß eine Fälschung machen facebook.com. Ich habe diese Zeile zu meiner Hosts-Datei hinzugefügt, damit sie bei jeder Eingabe von facebook.com Zur IP-Adresse von google.com Weiterleitet:

209.85.147.138  facebook.com

Google, was machst du, wenn du versuchst, mein Facebook-Passwort zu stehlen? Gott sei Dank ist HTTPS hier, um mich zu beschützen! Mein Browser ist sehr unglücklich, da das vorgelegte Zertifikat (für google.com) Nicht mit der angeforderten URL übereinstimmt (facebook.com). Danke HTTPS!

(insecure connection when the cert does not match the URL

125
Mike Ounsworth

Die anderen Antworten sind bisher gut. Ich werde noch einen Blickwinkel hinzufügen: Das Internet ist ein lose verbundenes Netz von Routern; Ihr Heim-WLAN-Router ist nur einer von ihnen. Jede HTTP-Verbindung, die Sie zu einem anderen Webserver im Internet herstellen, führt normalerweise über ein Dutzend Router, um dorthin zu gelangen. Dieser Pfad ändert sich abhängig von den Netzwerkbedingungen häufig. Sie können nicht vorhersagen, welche Router Sie verwenden werden. Jeder dieser Router gehört einer anderen Person oder Firma und wird von dieser verwaltet [1].

Alle diese Personen haben die Möglichkeit, Ihre Daten im Vorbeigehen zu überwachen. Sie können dies routinemäßig in nicht böswilligen Situationen während der täglichen Fehlerbehebung tun, da dieses Netz von Routern eine ständige Überwachung und Verwaltung benötigt, damit es überhaupt läuft. Diese Bemühungen umfassen allein mehrere Berufsfelder. (Die Menschen, die sich für diese Berufsfelder entscheiden, sind in Bezug auf gute Sicherheit eher unnachgiebig und nehmen ihre soziale Verantwortung ernst, aber das einzige, was sie im praktischen Sinne aus Ihren Daten heraushält, ist ihr eigenes Gewissen und ihr Ruf.)

Die Ausrüstung, Software und Fähigkeiten sind also bereits vorhanden. Alles, was ein Bösewicht tun muss, ist, den Router oder das Überwachungssystem eines anderen zu kooptieren.

HTTPS-Verbindungen nehmen denselben Pfad, aber da sie verschlüsselt sind, kann nur der Administrator des Webservers den Klartextinhalt sehen. Die Router-Administratoren sehen nur, was wie zufälliges Rauschen aussieht. (Der Webserver selbst ist möglicherweise kompromittiert, aber das ist ein anderes Problem.)

[1] Wenn Sie selbst mit dem Befehl traceroute oder tracert spielen, erhalten Sie einen Einblick, wie diese Pfade aussehen können.

6
stevegt

Kurze Antwort :

HTTPS beabsichtigt, eine sichere Verbindung zwischen einer registrierten Website und ihrem Benutzercomputer herzustellen, damit Sie sicher sein können, dass die besuchte Website wirklich das ist, was Sie besuchen möchten, und dass die Daten während der Übertragung nicht erfasst/geändert werden.

Long anser :

Wenn ich Sie richtig verstanden habe, besteht Ihre Grundidee darin, dass nur ein Netzwerkadministrator Ihre Aktivitäten überwachen kann und es zu Hause so etwas nicht gibt. Das ist nicht der Fall.

Jede Person, Gruppe, Firma (ISP) oder jeder Staat kann den Transit sehen und ändern und dadurch Ihren Computer infizieren. Das Internet ist heutzutage eher eine Cyberkriegszone, in der die genannten Einheiten oft sogar ihre Verbündeten angreifen, um Informationen zu stehlen = Geld = Macht, Kontrolle zu erlangen, Menschen durch Hacking zu bedrohen oder physisch zu verletzen. Für den Schwarzmarkt stehen sogar staatliche Instrumente zur Verfügung. Permanente Tools/Malware überleben das Ändern der Festplatte, sodass sie Sie langfristig überwachen/schädigen können.

Das Problem mit https ist, dass es auch auf viele Arten gehackt werden kann, wodurch Sie ein falsches Sicherheitsgefühl erhalten, das möglicherweise gefährlicher ist.

Aus diesem Grund ist es wichtig, https zu verwenden, wann immer Sie können, und sich auch um die Systemsicherheit zu kümmern. Sie können Erweiterungen für Browser herunterladen, um Sie automatisch zu HTTPS-Sites zu leiten, wenn dies möglich ist.

6
TriloByte

Bei HTTP fließen Informationen über diese Pipeline zwischen Ihrem Computer und dem Server:

(enter image description here

Von links nach rechts: Ihr Computer, der Ihren Computer umgebende Luftraum und Ihr WLAN-Router, Ihr Router, das Kabel zu Ihrer lokalen ISP-Box, Ihre lokale ISP-Box, ein riesiges Netzwerk von Geräten und Kabeln, von denen Sie nichts wissen und die Sie nicht kontrollieren können über die lokale ISP-Box des Servers, das Kabel zum Server und den Server selbst.

Überall im roten Bereich können die Informationen beschnüffelt und manipuliert werden. Jeder, der eines der roten Kästchen kontrolliert, kann die Informationen beschnüffeln und manipulieren. Jeder kann eines der roten Rohre aufbrechen und Zugang zu den durch ihn fließenden Informationen erhalten und daran herumschnüffeln oder manipulieren.

Ihre Daten sind nur in den grünen und blauen Kästchen und Rohren sicher.

Mit HTTPS fließen Informationen durch diese Pipeline:

(enter image description here

Ihr Computer und der Server richten eine virtuelle Pipe ein, die nicht aufgebrochen werden kann, und führen sie durch alle Pipes und Boxen untereinander. Jetzt sind Ihre Daten an jedem Transitpunkt sicher.

2
Jordan

Ja, die Verwendung von HTTPS gegenüber HTTP bietet einen enormen Vorteil.

  1. HTTP wird nicht über PKI verschlüsselt, und als solche werden alle Informationen über Klartext übertragen, der von einem Paket-Sniffer und jedem Gerät, das diese Pakete passieren, gelesen werden kann durch, sobald sie das Modem verlassen.
  2. Mit HTTP kann man nicht wissen, ob der Eigentümer der Site der ist, von dem er sagt, dass er er ist, und als solcher kann man nicht wissen, ob er einem MITM-Angriff ausgesetzt ist.
    • Aus diesem Grund wird empfohlen, HTTPS immer dann zu verwenden, wenn eine Website dies anbietet, da nur so ein Benutzer darauf vertrauen kann, dass der Inhalt, den er bereitstellt, nicht manipuliert wurde.

Mit HTTPS werden alle gesendeten und empfangenen Informationen über PKI verschlüsselt, mindestens mit einem 1024-Bit/Äquivalent-Verschlüsselungsschlüssel und SHA256-Hash. Viele Sites haben jedoch auf 2048-Bit/Äquivalent umgestellt, und Anmeldungen für die Site-Verarbeitung werden mit größerer Wahrscheinlichkeit 2048-Bit/verwendet äquivalenter Verschlüsselungsschlüssel.

  • Wenn Sie beispielsweise HTTP verwenden, können alle Geräte, die diese Pakete durchlaufen, genau lesen, welche Informationen gesendet und empfangen werden (einschließlich Kennwörtern, Konto- und CC-Nummern usw.). Wenn Sie jedoch HTTPS verwenden, können nur die Header-Informationen gelesen werden.

Ihre Frage taucht auch häufig bei Router-WebUIs in LANs auf. Auch wenn dieser Datenverkehr das lokale Netzwerk nie verlässt, sollte auf ihn nur über HTTPS zugegriffen werden. Andernfalls werden alle Kennwörter, einschließlich der Roots, als einfacher Text gesendet.

  • Es spielt keine Rolle, ob eine Person die einzige Person ist, die auf ihr lokales Netzwerk zugreift. Wenn Kennwörter/vertrauliche Informationen gesendet/empfangen werden müssen, sollte immer nur HTTPS darauf zugreifen, insbesondere wenn dies nur wenige Minuten dauert Generieren Sie eine selbstsignierte CA oder CA/ICA und signieren Sie mit der CA oder ICA eine CSR für den Server.
1
JW0914

Selbst wenn Sie sich nicht allzu sehr um die Möglichkeit kümmern, dass Ihr ISP/Ihre Regierung böse ist, gibt es mindestens zwei Angriffe, die leicht gegen Ihre Heimverbindung ausgeführt werden können, sodass HTTPS das einzige ist, das Ihre Daten schützt:

  • Der böser Zwillingsangriff , bei dem jemand einen WLAN-Router mit demselben Namen wie Ihren, aber mit einem stärkeren Signal einrichtet, sodass Sie am Ende eine Verbindung zu ihm herstellen, anstatt zu Ihrem eigenen WLAN-Router (typische WLAN-Einstellungen zu Hause) Es handelt sich nur um eine Einwegauthentifizierung - der Laptop beweist seine Identität mit dem Kennwort, der Router muss sich jedoch nicht selbst beweisen.
  • Hijacking des Routers, was oft einfach ist - Routersoftware ist in der Regel unsicher und es gibt keinen Sicherheitsaktualisierungsprozess. Sobald eine Sicherheitslücke für Ihre spezifische Routerversion entdeckt wird, bleibt Ihr Router für immer anfällig. Es gibt verschiedene vorgefertigte Tools und sogar automatisierte Malware, die auf Router abzielen. Z.B. dieser Angriff ist vor ein paar Monaten passiert.
0
Tgr