Frage:
Kann eine HTTPS-Site bösartig oder unsicher sein?
Ulkoma
2014-08-29 04:57:19 UTC
view on stackexchange narkive permalink

Ich weiß, dass ein Computer nur durch den Besuch einer Website infiziert werden kann. Ich weiß auch, dass HTTPS-Websites sicher sind.

Nach meinem Verständnis bezieht sich "sicher" hier auf "immun gegen MITM-Angriffe". Da solche Websites jedoch über Zertifikate und dergleichen verfügen, ist es richtig anzunehmen, dass dies der Fall ist. " sauber "und nicht böswillig?

Alles, was es bedeutet, ist, dass wenn Sie Malware von dieser Site infizieren, diese tatsächlich von dieser Site stammt und nicht von einem anderen Ort, sodass Sie zumindest sicher sind, wer schuld ist.
"Ich weiß, dass Ihr Computer durch den Besuch einer Website infiziert werden kann." Dies gilt nur, wenn Ihr Browser eine Sicherheitslücke aufweist. Wenn Ihr Browser immer auf dem neuesten Stand ist, ist dies kein wirkliches Problem.
@Gudradain Es ist * normalerweise * kein Problem, wenn Ihr Browser auf dem neuesten Stand ist. Es besteht immer noch die Möglichkeit von Zero-Days. (Obwohl die Wahrscheinlichkeit, dass Sie auf eine davon stoßen, offensichtlich sehr gering ist.)
Bei HTTPS geht es darum, sicherzustellen, dass nur die andere Site Ihre Mitteilungen lesen kann. Was die andere Site mit diesen macht, liegt einfach nicht in der Domäne des Problems, das HTTPS zu lösen versucht. Selbst wenn Sie garantiert mit der Person sprechen, mit der Sie zu sprechen glauben, und keine böswilligen Personen Ihre Kommunikation belauschen oder ändern können, hat dies keinen Einfluss darauf, ob diese Person selbst böswillig ist - wenn ein Spion Kontakt hat ist ein Doppelagent, es spielt keine Rolle, wie sicher die Kommunikation des Spions mit ihnen ist, denn dort ist der Angriff nicht.
@cpast Ihr erster Satz vermittelt den Eindruck, dass es um Vertraulichkeit geht. Aber wirklich Authentizität und Integrität der Daten ist hier der Schlüssel. Diese entfernen jedoch nicht wirklich Angriffsmethoden für Malware, sondern fügen Angriffsmethoden für Malware hinzu.
"Ich weiß auch, dass HTTPS-Websites sicher sind." Nicht ganz. HTTPS ** -Verbindungen ** sind sicher. Das sagt überhaupt nichts über die Website auf der anderen Seite der Verbindung aus.
Könnten Sie persönlich eine feindliche Website schreiben? Sicher. Könnten * Sie persönlich * ein Zertifikat zum Hosten einer HTTPS-Site erhalten? Sicher. Wenn * du * es kannst, können * andere Leute * es auch? Ja.
@Shadur _unless_ sein Computer oder Browser war bereits infiziert und tat so, als würde er unter https ausgeführt, als dies tatsächlich nicht der Fall war. Natürlich ist es eine Art Streitpunkt.
Am Ende einer legitimen E-Mail, die ich von Twitter erhalten habe, heißt es: "Woher weiß ich, dass eine E-Mail von Twitter stammt? Links in dieser E-Mail beginnen mit "https: //" und enthalten "twitter.com".Ihr Browser zeigt außerdem ein Vorhängeschlosssymbol an, um Sie über die Sicherheit einer Website zu informieren. "Ist dies irreführend?
Zehn antworten:
Xander
2014-08-29 05:34:47 UTC
view on stackexchange narkive permalink

Nein, HTTPS bedeutet nicht unbedingt, dass eine Site nicht bösartig ist. HTTPS bedeutet sehr wenig für die Sicherheit einer Site. Es ist speziell darauf ausgerichtet, Ihre Kommunikation mit der Site vor Lauschangriffen und Manipulationen zu schützen, bietet jedoch nichts über die Sicherheit der Site selbst.

Ja, eine Site, die Inhalte über HTTPS bereitstellt, verfügt über ein Zertifikat. Dies bedeutet, dass die Person, die das Zertifikat von der Zertifizierungsstelle angefordert hat, eine E-Mail-Adresse hat, die der Domäne zugeordnet ist. Außer im Fall von Extended Validation-Zertifikaten (die eine grüne Adressleiste bieten) ist dies buchstäblich alles, was es bedeutet. Niemand von der Zertifizierungsstelle überprüft, ob die Site sicher ist und keine Malware bereitstellt. Jede Site mit oder ohne SSL-Zertifikat kann Fehler und Schwachstellen aufweisen, die es einem Angreifer ermöglichen, diese für einen Exploit zu nutzen. Oder ein Administrator oder Benutzer, der in der Lage ist, die Website böswillig oder unwissentlich dazu zu bringen, Malware bereitzustellen. Selbst wenn die Website selbst keine Werbung (oder sonstige Inhalte) aus einem Werbenetzwerk oder einer anderen Website liefert, kann diese anfällig sein.

Also , HTTPS bedeutet, dass niemand in der Lage sein sollte, Ihren Datenverkehr anzuzeigen oder zu manipulieren. Das ist alles was es bedeutet.

Jeff Clayton
2014-08-29 05:04:51 UTC
view on stackexchange narkive permalink

Überhaupt keine Garantie. HTTPS bedeutet, dass die Webseite über SSL verfügt. Dies bedeutet lediglich, dass Ihre Verbindung zur Seite verschlüsselt ist. Der Inhalt der Seite kann alles sein, was auf einer Website veröffentlicht werden kann, unabhängig davon, ob er mit SSL verschlüsselt ist oder nicht.

Wie in den Antworten in den Kommentaren unten aufgeführt, können Sie außerdem in einen falschen Sinn getäuscht werden aus Sicherheitsgründen, wenn (in verschiedenen Beispieltypen) der Zielserver gefährdet ist oder ein Hacker Ihre https-Site-Daten an einen anderen https-verschlüsselten Speicherort umleitet. Sie können weiterhin mit einer Site verschlüsselt werden, möglicherweise jedoch auch mit einer gefälschten Site, die stattdessen wie die echte aussieht.

Was ist mit dem Zertifikat? Müssen die Zertifizierungsstellen nicht die Identität des Website-Eigentümers überprüfen? Usw.?
Nicht alle Zertifikate werden von einer Zertifizierungsstelle gekauft. Leute können ihre eigenen Zertifikate unterschreiben. Auch sind nicht alle Menschen, die Geld für ein Zertifikat an eine Zertifizierungsstelle zahlen, ehrlich, sondern Menschen.
@Ulkoma Beachten Sie außerdem, dass viele Zertifizierungsstellen nicht die Identität des Käufers eines Zertifikats überprüfen, sondern lediglich, dass die Person, mit der sie es zu tun haben, die Kontrolle über die Domain hat (z. B. durch Senden einer E-Mail an eine Adresse in der Domain). Möglicherweise möchten Sie sich SSL-Zertifikate mit erweiterter Validierung ansehen, bei denen der Zertifikatsaussteller garantiert hat, dass sie die Identität überprüft haben, aber selbst in diesem Fall ist das System nicht narrensicher.
Wenn Sie Hacking auslösen und diese Frage nicht direkt beantworten, ist es möglich, dass Ihre SSL-Verbindung entführt wird, was Sie in ein falsches Sicherheitsgefühl täuscht. Weitere Informationen zu dieser Art von Problem finden Sie in den verschiedenen Beiträgen auf dieser Website zum SSLSTRIP Man in the Middle-Angriff: http://security.stackexchange.com/search?q=sslstrip
Nicht alle SSL-Sites weisen die Sicherheitslücke HEARTBLEED auf: http://security.stackexchange.com/search?q=heartbleed
Marco Valente
2014-08-29 19:25:58 UTC
view on stackexchange narkive permalink

Kurz gesagt: Ja, es kann tatsächlich böswillig sein!

Der Zugriff auf eine Site über HTTPS bedeutet, dass die Verbindung zwischen Ihrem Computer und dem Server der Website verschlüsselt und sicher ist.

Was HTTPS tut

  • Verschlüsseln Sie die Daten, die über das Netzwerk zwischen Ihrem Computer und dem Server der Website übertragen werden, um zu verhindern, dass Dritte sie abfangen.
  • Verhindern Sie Angriffe von Menschen in der Mitte.

Was HTTPS nicht tut

  • HTTPS nicht Scannen Sie den von der Website bereitgestellten Inhalt auf Viren oder schädliche Elemente.

Daher ist es den Autoren der Website (oder jemandem, der nicht autorisierten Zugriff auf die Website erhalten hat) weiterhin möglich, die Website selbst bereitzustellen schädliche Inhalte in Ihrem Browser.

Wahrscheinlich ist es genauer zu sagen, dass die Möglichkeit eines MITM-Angriffs * gemindert * wird. Wenn ich Zugriff auf den Computer des Benutzers habe, kann ich mein eigenes CA-Stammzertifikat usw. installieren. Oder der Benutzer kann dumm sein und in Chrome usw. auf die Schaltfläche "Ich verstehe die Risiken" klicken.
Diego Queiroz
2014-08-29 23:59:24 UTC
view on stackexchange narkive permalink

Das sichere von https bezieht sich nicht auf Inhalte auf einer Website / einem Dienst.

Es wird als "sicher" bezeichnet, da theoretisch die Sicherheitsprotokolle (ssl / tsl und einige) verwendet werden andere) lassen nicht zu, dass die ausgetauschten Informationen leicht verständlich sind (es verschlüsselt den Datenfluss). Selbst wenn jemand Ihre Pakete abfangen würde, müsste er sie entschlüsseln, um die Nachricht zu verstehen.

Jetzt Dies ist nützlich, da einige Informationen wie Passwörter, Sozialversicherungsnummer, Kreditkartennummer usw. viele Probleme verursachen können, wenn sie von jemandem entdeckt werden, der Schaden anrichten möchte.

In diesem Sinne hilft https Wir machen es einem Dritten schwer zu wissen, welche Informationen wir mit einer Website ausgetauscht haben (und deshalb verwenden die meisten Banken mindestens https für ihre Dienste), aber das hindert eine Website oder einen Dienst nicht daran, mit schädlicher Software oder infiziert zu werden ein Angreifer, der Sie indirekt erreicht, indem er einen Server infiziert.

Nun habe ich aus Ihrer Frage abgeleitet, dass, wenn Sie verwenden d Mit dem Begriff "sicher" haben Sie es anders gemeint (im Sinne der Sicherheit vor böswilligen Inhalten). In diesem Sinne schützt https Sie überhaupt nicht , weil es nicht auf Inhalte achtet (was ist) über die Verbindung übertragen) selbst .

h22
2014-08-29 12:53:41 UTC
view on stackexchange narkive permalink

Ja, es kann leicht sein - bösartiges JavaScript oder Viren können problemlos über HTTPS wie über HTTP übertragen werden. Dies ist möglicherweise etwas weniger wahrscheinlich, da die Quelle der gültigen verifizierten HTTPS-Nachricht bekannt ist.

Es kann jedoch dennoch vorkommen, dass die HTTPS-Site eine Sicherheitslücke aufweist, angegriffen, kompromittiert und schädliche Inhalte installiert wurden es. Es wird nicht lange dauern, bald kennt der Administrator den einen oder anderen Weg und entfernt die Malware. Ich würde es jedoch vorziehen, dem Inhalt nicht zu vertrauen, nur weil er über HTTPS bereitgestellt wurde.

Edheldil
2014-08-29 10:59:22 UTC
view on stackexchange narkive permalink

Fügen Sie der Liste hinzu, dass die Zertifizierungsstelle selbst möglicherweise gehackt wurde (z. B. DigiNotar) und zur Ausstellung gefälschter Zertifikate verwendet wurde, oder dass Ihr Browser möglicherweise gezwungen ist, gefälschte Zertifizierungsstellen speziell zu verwenden, damit Ihre Verbindung abgefangen und manipuliert wird - so wie sie ist wird manchmal in Unternehmensnetzwerken verwendet.

Oh, auch das Zertifikat wurde möglicherweise gefälscht, weil es MD5 verwendete. Wie bereits gesagt, bedeutet dieses Schlosssymbol in Ihrem Browser etwas anderes als Sie denken :) .

Ihr Browser sollte keinen mit MD5 signierten Zertifikaten vertrauen. Zum Beispiel hat Firefox 2012 aufgehört, ihnen zu vertrauen: https://wiki.mozilla.org/CA:MD5and1024
Hutch
2014-08-29 22:50:10 UTC
view on stackexchange narkive permalink

Zusätzlich zu den anderen angesprochenen Punkten ist zu erwähnen, dass selbst eine vertrauenswürdige Site (z. B. Ihre Bank) immer noch von einem Virus infiziert sein kann, der dazu führt, dass sie sich böswillig verhält. Selbst wenn Sie der Organisation vertrauen, garantiert https nicht, dass die Website keine böswilligen Aktionen ausführt.

SilverlightFox
2015-08-14 20:21:44 UTC
view on stackexchange narkive permalink

Eine authentifizierte HTTPS-Verbindung überprüft lediglich, ob Sie tatsächlich mit www.example verbunden sind, wenn https://www.example.com in der Adressleiste angezeigt wird. com .

Das Zertifikat bestätigt nicht, dass www.example.com in keiner Weise bösartig ist. Mit einem Extended Validation Certificate mit einer grünen Markierung in der Adressleiste können Sie die tatsächliche Organisation hinter der Website ermitteln. Wenn Sie ihnen also vertrauen, können Sie der Website vertrauen. Es gibt auch von der Organisation verifizierte Zertifikate. Für normale Benutzer ist es jedoch schwierig, diese von von der Domain verifizierten Zertifikaten zu unterscheiden.

DV-Zertifikate sind sehr leicht zu erhalten - es sei denn, Sie kennen und vertrauen der Domain der Site Sie sollten sich bereits kein zusätzliches Vertrauen in die Site leisten, nur weil sie https verwendet.

It-Z
2014-08-29 21:16:32 UTC
view on stackexchange narkive permalink

Ein Pharming-Angriff kann verwendet werden, um Ihren Datenverkehr auf einen böswilligen Server umzuleiten. Dieser Server stellt eine Verbindung zum legitimen Server her und authentifiziert sich dort, als ob Sie es wären. Dann werden Ihnen die Informationen oder die Webseite vom legitimen Server angezeigt. Für Sie - es wird angezeigt, wenn Sie sicher mit dem legitimen Server verbunden sind, aber jetzt gibt es ein MITM, das Zugriff auf den Kanal hat und alles darauf lesen kann. Diese Art von Angriff ist schwierig auszuführen, kann jedoch HTTPS unbrauchbar machen ...

Die Site muss also nicht böswillig sein, sondern kann Ihre Bank sein. Mit diesem Ansatz kann jedoch jemand alle Ihre Kontodaten, Anmeldeinformationen usw. abrufen, obwohl es sich bei der Site um HTTPS handelt.

NUR, wenn Sie die (zunehmend widerwärtigen) Warnungen vor nicht übereinstimmenden Zertifikaten ignorieren oder der Angreifer in der Lage ist, ein betrügerisches Zertifikat zu erhalten, indem er die Zertifizierungsstelle täuscht (sollte insbesondere für Elektrofahrzeuge unmöglich sein) oder es untergräbt (ist geschehen, aber selten).
Wie gesagt ... schwer auszuführen :)
sebastian nielsen
2014-08-31 05:57:07 UTC
view on stackexchange narkive permalink

Eine Sache, die Sie sehr sorgfältig prüfen sollten, ist, dass bestimmte Virenschutzprogramme durch Scannen des Datenverkehrs funktionieren. Wenn die Site HTTPS verwendet, kann ein Virus tatsächlich unentdeckt am Radar vorbeirutschen.

Dies ist besonders wichtig, wenn Sie entweder über einen Antiviren-Service verfügen, der von Ihrem ISP, Ihrem Arbeitgeber oder Ihrer Schule bereitgestellt wird basierend auf einem "Proxy". Aus diesem Grund geben einige Proxys tatsächlich vor, MITMs wie BlueCoat Proxy zu sein, entpacken den verschlüsselten Datenverkehr, lesen ihn und senden ihn zusammen mit einem gefälschten Zertifikat (das von allen Clientcomputern hinter diesem Proxy konfiguriert wird) zu akzeptieren, entweder über ein Gruppenrichtlinienobjekt oder über ein NAC-Gerät).

Somit ist HTTPS ein zweischneidiges Schwert. Es kann von den Guten verwendet werden, um gute Daten (Kreditkartennummern, Passwörter usw.) vor den Bösen (z. B. Betrügern, Hackern) zu verbergen. Es kann jedoch auch von den Bösen verwendet werden, um schlechte Daten (z. B. Viren, illegal) zu verbergen Dateien usw.) von den Guten (Virenscanner, Strafverfolgungsbehörden usw.)

In der "Virenschutzsprache" sollten Sie also VERMEIDEN mit HTTPS.

Bei der üblichen Antivirenkonfiguration fordert der Browser das lokale Antivirenprogramm auf, heruntergeladene Dateien zu scannen, bevor der Benutzer Zugriff darauf erhält. Dies funktioniert problemlos mit HTTPS. Ja, Proxy-Virenscanner müssen MITM spielen. Es scheint nicht sehr klug, Ihre (Nicht-) Verwendung von HTTPS auf das mögliche Vorhandensein eines schlecht konfigurierten Proxy-Virenscanners zu stützen. Es würde nichts tun, was ein lokaler Scanner nicht kann, und ein normaler Benutzer hat ohnehin keine Wahl in Bezug auf HTTPS.
Was ich damit gemeint habe, ist, wenn Sie die Wahl haben, eine HTTPS-Variante oder eine HTTP-Variante zu verwenden, bei der SSL nicht obligatorisch ist. Es ist keine schlechte Konfiguration, einen Proxy zu haben, der Dateien nach Viren durchsucht. Für einige ISPs, Unternehmen oder Schulen ist es ziemlich klug, ihren Benutzern einen AV-Dienst bereitzustellen, ohne dass sie etwas installieren müssen (außer einem Stammzertifikat, wenn sie es nicht über NAC / GPO übertragen können). Wenn jedoch kein MITM vorhanden ist, sollten Sie die Verwendung von HTTPS vermeiden, wenn HTTP verfügbar ist, wenn die Site nicht vertrauenswürdig ist.
Ich verstehe, was Sie sagen möchten, ich habe Sie fast positiv bewertet, aber als ich die letzte Zeile gelesen habe, habe ich dies nicht getan, weil Sie abschätzen müssen, wie viel mehr Risiken wir eingehen würden, wenn wir HTTPS nicht verwenden, anders als in der von Ihnen beschriebenen Extremsituation (auch wenn dies der Fall ist) ist ein intelligentes und machbares Szenario). Grüße
@begueradj Es hängt davon ab, vor was Sie schützen möchten. Wenn Sie nicht die Absicht haben, Viren auf den Computer zu übertragen, sollten Sie HTTPS nicht verwenden, damit zentrale Proxys den Datenverkehr scannen können. Wenn Sie jedoch Daten vor dem Lesen durch Dritte schützen möchten, ist es besser, HTTPS zu verwenden. Eine gute Mittellinie beim Entwerfen einer Unternehmenssicherheitsrichtlinie zum Scannen von Viren besteht darin, HTTPS auf wichtigen Websites wie Banken und dergleichen zu aktivieren (zu erzwingen) und HTTPS auf allen anderen nicht wichtigen Websites zwangsweise zu deaktivieren.


Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...