Frage:
Wie legitime Wifi-Hotspots https-Anfragen umleiten
NULL
2017-01-30 20:04:59 UTC
view on stackexchange narkive permalink

Ich habe untersucht, wie https und ssl den Benutzer vor unverlierbaren Portalen schützen.

Wenn ein Client versucht, auf https zuzugreifen : //www.google.com und der Hotspot stellt kein gültiges Zertifikat bereit, das den Benutzer daran hindert, eine Verbindung herzustellen.

Wie leiten Hotspots wie xfinitywifi alle um? Anfragen, https oder nicht, an ihre Anmeldeseite? Sie haben ein Zertifikat für wifi.xfinity.com , aber nicht für Google. Sollte der Browser keine Verbindung herstellen?

BEARBEITEN: Die folgenden Antworten lauten Sehr informativ und ich habe viel gelernt, aber ich verstehe diesen Aspekt immer noch nicht: In meinem Fall mit Xfinity-Hotspots muss der Benutzer eine Warnung nicht ignorieren, da es keine gibt.

Es überträgt nahtlos https-Sites an eine eigene Login-Site ohne Warnungen. Ich weiß, dass die Testseite, zu der ich gehe, https ist. Warum ist das so?

Verwandte Themen: http://neverssl.com/ verspricht, SSL niemals umzuleiten oder sogar zu unterstützen, insbesondere damit Captive-Portale Sie umleiten können.
@BoppreH: War [example.com] (http://www.example.com) in irgendeiner Weise unzureichend?
Soweit ich sehe, kümmern sich viele Hotspots in Großbritannien einfach nicht um den https-Verkehr und bedienen sie einwandfrei (was bedeutet, dass Sie im Wesentlichen jede Nur-https-Site verwenden können), noch bevor Sie sich auf ihrem http-Captive-Portal anmelden konnten.
@Mehrdad Sicher, aus einem sehr einfachen Grund: example.com macht dieses Versprechen überhaupt nicht.
@DanielWagner: Ich meine, Sie geben es ein und entweder funktioniert es oder nicht.Solange es funktioniert, brauchst du keinen anderen ...
@Mehrdad Das ist in Ordnung für die interaktive Verwendung, aber der programmatische Zugriff ist einfacher, wenn Sie keinen "Guess-and-Check" -Ansatz verwenden müssen.
@Mehrdad In dem unwahrscheinlichen Fall, dass "example.com" in Zukunft HTTP Strict Transport Security aktiviert, versuchen Browser, direkt zu "https: // example.com" zu navigieren, unabhängig davon, ob Sie "http: //" eingegeben haben oder nicht.In diesem Fall erhalten Sie einen Zertifikatfehler.
@DanielWagner: Wann genau ist es eine gute Idee, programmgesteuert eine Verbindung zu `neverssl.com` herzustellen?Was würden Sie mit der Antwort machen?
@BoppreH: Lesen Sie [meinen Kommentar] (http://security.stackexchange.com/questions/149852?noredirect=1#comment283473_149852) erneut.
Ich habe gerade ein neues (für mich) Verhalten festgestellt: Beim Besuch einer https-Site in einem Captive-Portal hat Chrome v73 einen neuen Tab mit der Portal-Anmeldeseite geöffnet.Ich gehe davon aus, dass dies Chrome ist und kein Protokoll.
Fünf antworten:
Tom
2017-01-30 21:31:51 UTC
view on stackexchange narkive permalink

Die meisten Hotspots leiten mit ungültigen Zertifikaten um.

Browser / Betriebssystem verwenden Heuristiken, um dieses Verhalten zu erkennen.

Diese Feststellung, ob Sie sich in einem Captive-Portal befinden oder online sind, erfolgt durch den Versuch, die Webseite http://clients3.google.com/generate_204

https://www.chromium.org/chromium- abzurufen os / chromiumos-design-docs / netzwerkportalerkennung

MacOS und iOS verwenden http://captive.apple.com/hotspot-detect.html (danke @ceejayoz)

Zum Beispiel zeigt Android eine Benachrichtigung an, um die Verwendung auf die Portal-Anmeldeseite umzuleiten.

Ja.Safari verwendet einen ähnlichen Ansatz: Die URL lautet http://captive.apple.com/hotspot-detect.html
Sie haben also ein selbstsigniertes Zertifikat?Aber wenn das der Fall ist, würde ich eine Warnung bekommen, oder?Weil ich es nicht tue
@NULL Welches Betriebssystem / welchen Browser verwenden Sie?Wenn Ihr Betriebssystem / Browser ein Captive-Portal erkennt, werden Sie auf die Portalseite umgeleitet und ohne Zertifikatwarnung auf die Portalseite umgeleitet.
@Tom Ich benutze Ubuntu / Firefox.
Dies leitet jedoch nicht wirklich um, sondern beruht auf der Zusammenarbeit des Betriebssystems oder des Browsers.
@AndréBorie Hotspot bittet wirklich um eine Weiterleitung mit einem ungültigen Zertifikat, hofft aber auf die Zusammenarbeit des Betriebssystems.In Ermangelung einer Zusammenarbeit ist es wirklich eine Weiterleitung.
Es gibt keine Warnung, da es keine Zertifikate und kein https gibt.Die Test-URL (Testen auf einen Hotspot) lautet http, nicht https.Das kann ohne Vorwarnung zu jeder anderen http-URL umgeleitet werden.Wenn der Hotspot seine Captive-Portalseite über https ausführen möchte, muss er ein Zertifikat für diese Seite bereitstellen, dem der Client vertrauen würde.Dies könnte geschehen, wenn der Hotspot-Betreiber hierfür ein Zertifikat von einer Zertifizierungsstelle erworben hat.
Es gibt viele Hotspots, die von einem "Genie" konfiguriert wurden, um diese speziellen Adressen ohne Umleitung durchzulassen, damit der Browser oder das Betriebssystem nicht erkennt, dass es sich um einen Hotspot handelt.
@gnasher729 Wenn Sie als Client eine Verbindung zu einem solchen Hotspot herstellen und eine https-Warnung sehen, können Sie neverssl.com verwenden (eine Website, die KEIN https verwendet, sodass der Hotspot Sie ohne Warnung umleiten kann).
André Borie
2017-01-30 21:06:30 UTC
view on stackexchange narkive permalink

Die meisten von ihnen verwenden nur ihr eigenes Hotspot-Zertifikat und hoffen, dass die Benutzer durch die Warnung klicken und trotzdem eine Verbindung herstellen. Persönlich, wenn ich eine solche Warnung sehe und weiß, dass es sich um ein Captive-Portal handelt, storniere ich die Anfrage und gebe eine HTTP -URL ein, die mir egal ist, wie z. B. http: //redirect.me.away und lassen Sie das Portal seine Sache über HTTP erledigen. Sobald ich angemeldet bin, versuche ich es erneut mit meiner HTTPS-Anfrage, die jetzt funktioniert.

Meistens vermeide ich sie jedoch - das Ausfüllen ihrer dummen Anmeldeformulare ist meine Zeit nicht wert, insbesondere angesichts der oft schlechten Verbindung, die sie haben Angebot. Vielleicht haben wir eines Tages ein EAP-Enterprise-Hotspot-Netzwerk, in dem Sie sich einmal registrieren und Ihr Gerät dann automatisch eine Verbindung mit einem Benutzernamen / Passwort herstellt und alles nahtlos im Hintergrund funktioniert.

Ich erhalte jedoch keine Warnung, wenn ich eine Verbindung zum Hotspot herstelle.Ich gebe google.com ein, wenn ich mit dem Hotspot verbunden bin, und werde ohne eine einzige Warnung auf deren Seite weitergeleitet.
@NULL `google.com` wird zu` http: // google.com` erweitert, daher handelt es sich überhaupt nicht um eine verschlüsselte Verbindung.Google hat HSTS (dh sofortige Verbindung über HTTPS) nur auf "www.google.com" implementiert.Somit ist eine Weiterleitung von "google.com" einfach.
@GiantTree Wenn ich google.com in meinen Hotspot eingebe, den ich mit hostapd erstellt habe, wird es zu https umgeleitet und es wird kein gültiges Zertifikat angezeigt.
Vielleicht ist dies eine Kombination aus dem Verhalten Ihres Browsers und dem Hotspot?Ich kann mir vorstellen, dass der Browser http: // google.com versucht. Wenn er mit einer Weiterleitung endet, gehen Sie dorthin. Wenn dies fehlschlägt, kann er auch https: // google.com versuchen.Ich spreche nur über Möglichkeiten, ich weiß nichts über das tatsächliche Verhalten der verschiedenen Webbrowser, nur dass so etwas vernünftig sein könnte.
Browser-Plugins könnten ebenfalls einen großen Unterschied machen.Ich denke besonders an httpsEverywhere (@DaboRoss)
"Vielleicht haben wir eines Tages ein EAP-Enterprise-Hotspot-Netzwerk, in dem Sie sich einmal registrieren und Ihr Gerät dann automatisch eine Verbindung mit einem Benutzernamen / Passwort herstellt und alles nahtlos im Hintergrund funktioniert."Ich denke, Time Warner / Whoever They Are Now funktioniert dies mit Profilen auf Mobilgeräten, richtig?
@ThatWebDude möglicherweise, aber die Installation eines Profils kann riskant sein, abhängig davon, welche Änderungen dieses Profil am System verursacht.Ich warte immer noch auf einen einfachen Benutzernamen / ein Passwort, das überall funktionieren würde (von meinem neuen iPhone 7 bis zu "wpa_supplicant" unter Linux).
gnasher729
2017-04-24 01:40:53 UTC
view on stackexchange narkive permalink

Das Captive-Netzwerk kann eines nicht: Auf eine eigene Seite umleiten, während das richtige Serverzertifikat zurückgegeben wird. Grundsätzlich gibt es folgende Möglichkeiten: (a) https überhaupt nicht umleiten. (b) Weiterleitung mit einem selbstsignierten Zertifikat. (c) Geben Sie ein eigenes Zertifikat zurück, damit die https-Aushandlung fehlschlägt. (d) Beenden Sie sofort jeden Verbindungsversuch mit https.

Seit ich den Netzwerkcode unter iOS von http auf https umgestellt habe, habe ich festgestellt, dass mehr als ein Captive-Netzwerk jeden Verbindungsversuch sofort beendet hat. Dies wäre ein ziemlich starker Hinweis auf eine Anwendung, dass es ein Captive-Netzwerk gibt. Die Anwendung kann dann eine bessere Erkennung verwenden, indem sie eine der zu diesem Zweck bereitgestellten URLs von Google oder Apple besucht. Wenn diese nicht wie erwartet reagieren, haben Sie definitiv ein firmeneigenes Netzwerk. Die Anwendung kann von dort aus einen Browser starten oder den Benutzer zu den Einstellungen gehen lassen.

Ich weiß nicht genau, was Browser tun, aber sie können erkennen, dass https abgelehnt wurde, und automatisch eine http-Seite besuchen, die zur Anmeldeseite führt.

user149408
2017-02-01 04:39:48 UTC
view on stackexchange narkive permalink

Captive-Portale fungieren im Wesentlichen als Man-in-the-Middle-Portale, die Client-Anforderungen an eine andere Site (deren Anmeldeseite) umleiten. Technisch gesehen ist dies das gleiche Verhalten, das HTTPS zu verhindern versucht, da dies die bösen Jungs bei ungesicherten HTTP-Verbindungen tun.

Wenn Sie also ohne Warnung von einem Captive-Portal aus eine Verbindung zu einer HTTPS-Site herstellen können und ohne sich zuvor beim Portal angemeldet zu haben, ist eines der folgenden Ereignisse eingetreten:

  1. Das Captive-Portal fängt den SSL-Verkehr nicht ab, sondern lässt ihn durch. Infolgedessen wird Ihnen die Zielseite sofort zugestellt, ohne dass Sie sich jemals angemeldet haben. Aus Sicht des Anbieters hat dies jedoch den Zweck, überhaupt ein Captive-Portal zu haben, weitgehend zunichte gemacht.
  2. Eins Die Anzahl der Zertifizierungsstellen in Ihrer Liste vertrauenswürdiger Zertifizierungsstellen oder eine von einer dieser Stammzertifizierungsstellen (direkt oder indirekt) überprüfte Unterzertifizierungsstelle ist nicht ordnungsgemäß (oder wurde gehackt - obwohl letztere unwahrscheinlich ist, wenn der WLAN-Betreiber auch nur aus der Ferne legitim ist). Infolgedessen verfügt der Hotspot entweder über ein Platzhalterzertifikat (das mit einem beliebigen Servernamen übereinstimmt) oder kann beliebige Zertifikate ausstellen, die von Ihrem Browser akzeptiert werden. Infolgedessen geben Sie eine HTTPS-URL ein und erhalten stattdessen die Anmeldeseite ohne Warnung.
    3. ol>

    Das zweite Beispiel ist eine inhärente Schwachstelle beim Entwurf von Zertifikaten: Ihr Browser / Betriebssystemanbieter ( oder bei Unternehmensgeräten hat Ihr Systemadministrator) ein CA-Zertifikat auf dem Computer bereitgestellt und behauptet im Wesentlichen: „Diese CA stellt niemals Zertifikate für einen Server an andere Personen als die legitimen Betreiber dieses Servers aus. Wenn Sie nicht jede Zertifizierungsstelle manuell überprüfen und fragwürdige entfernen (was für eine Person nahezu unpraktisch ist), vertrauen Sie blind ihren Behauptungen.

    Wenn keiner der beiden oben genannten Fälle zutrifft, würde einer der folgenden Fälle eintreten :

    1. Die Verbindung würde (aufgrund eines nicht erreichbaren Servers) fehlschlagen, bis Sie eine Verbindung zu einem einfachen HTTP-Server herstellen, zur Anmeldeseite umgeleitet und angemeldet werden
    2. Sie erhalten eine Warnung zu einem ungültigen Zertifikat: Entweder stimmt der Servername nicht überein oder das Zertifikat stammt nicht von einer vertrauenswürdigen Zertifizierungsstelle. Wenn Sie diese Warnung ignorieren, wird die Anmeldeseite angezeigt.
      3. ol>
ManRow
2019-12-11 16:28:02 UTC
view on stackexchange narkive permalink

Es ist möglich, dass Xfinity einfach irgendwo eine "Mini" -Zertifizierungsstelle (CA) betreibt, deren einziger Zweck absolut nichts anderes ist, als eine automatisch generierte Weiterleitung zu signieren. 

  HTTP / 1.1 302 FoundLocation: https : //wifilogin.xfinity.com

(on-the-fly) gehört zu dem https: // <some-website> , auf den der Benutzer ursprünglich zugreifen wollte

Wenn beispielsweise ein nicht erkanntes Xfinity-Gerät versucht, über einen xfinitywifi -Zugriffspunkt auf https://www.google.com zuzugreifen Xfinity sendet ihnen einfach die von dieser "Mini" -CA signierte HTTP-Antwort, als ob sie rechtmäßig von "echtem" google.com stammt. Sobald sich der Benutzer anmeldet und Xfinity sein Gerät erkennt, wird der Internetdienst einfach wie gewohnt fortgesetzt ...

** Bearbeiten: Könnte der Betrieb einer "Mini-CA" für eine so eingeschränkte Rolle / Funktion einige Probleme bereiten Art des signifikanten Sicherheitsrisikos?

Dies wäre eine SCHRECKLICHE, SCHRECKLICHE Idee und würde das Internet brechen, und das ist nicht dramatisch.Ich könnte mich als "Mini-CA" bewerben, beweisen, dass ich "vertrauenswürdig" bin, genehmigt werden und so tun, als wäre ich Google, Facebook, eine Bank oder eine andere Website, und Leute durch einen MITM-Angriff betrügen, die gesamte Zertifikat-Vertrauenskette, auf der das Internet basiert, zu besiegen.Niemand macht das.Jeder moderne Browser und jedes Betriebssystem (auch mobile) verfügt über eine integrierte Erkennung von Captive-Portalen, die in der Sekunde aktiviert wird, in der Sie eine Verbindung zu einem neuen Netzwerk herstellen, bevor Sie die Möglichkeit erhalten, eine HTTPS-Site zu besuchen.
Nein, dies würde das Internet überhaupt nicht beschädigen, da (1) diese Mini-CA nur zum Umleiten zurück zu einer * vertrauenswürdigen * Site verwendet wird und (2) von einem * vertrauenswürdigen * Betreiber, d. H. Xfinity, betrieben wird.Haben Sie die Betonung des Wortes ** vertrauenswürdig ** bemerkt?Gut, also sollten Sie wissen, dass Sie einfach überhaupt keine Zertifizierungsstelle werden können - von einer * vertrauenswürdigen * höheren Zertifizierungsstelle!Aber bitte haben Sie Spaß beim Ausprobieren, da Sie zufällig der Meinung sind, dass das Erhalten eines "vertrauenswürdigen CA-Status" eine super einfache Sache ist!Hinweis: Wenn es wirklich so einfach wäre, wäre das Internet schon vor langer Zeit "kaputt" gewesen!;;)
Zumindest in den * USA * beziehe ich mich nicht auf https://security.stackexchange.com/q/213796/25009
Wir sprechen von einem * legitimen * und vertrauenswürdigen Unternehmen (ein ISP ist nicht nur eine zufällige Fälschungs- / Betrugsoperation!), Das eine Mini-CA betreibt, um Benutzer auf eine * legitime und vertrauenswürdige * Website umzuleiten.Wenn es wirklich so einfach und trivial wäre, eine "vertrauenswürdige Zertifizierungsstelle" zu werden (zertifiziert von einer anderen "vertrauenswürdigen Zertifizierungsstelle" im Upstream!), Dann wäre das Internet * schon * vor ** langer Zeit ** kaputt gegangen!Glauben Sie wirklich, dass jeder eine vertrauenswürdige Zertifizierungsstelle sein kann?Sehen Sie, wie das Konzept einer Zertifizierungsstelle dadurch völlig unbrauchbar würde?
Eine Mini-Zertifizierungsstelle impliziert einen lockeren Prozess, um zu beweisen, dass Sie vertrauenswürdig sind, oder Sie können genauso gut einfach eine Zertifizierungsstelle werden.Was Sie vorschlagen, beinhaltet das Vorgeben, Google, Facebook oder jemand anderes zu sein.Es gibt keine Möglichkeit, dies in begrenztem Umfang zu tun - Sie KÖNNEN diese Zertifikate entweder generieren oder nicht.Sie schlagen im Wesentlichen vor, es Personen / Unternehmen zu erleichtern, eine Zertifizierungsstelle zu werden, und diesen Zertifizierungsstellen insbesondere zu erlauben, sich als andere Domänen auszugeben, was keine tatsächliche Zertifizierungsstelle tun würde
Der Begriff Mini-CA wurde von mir erfunden, um zu implizieren, dass sie nicht die Aufgabe haben, öffentliche Schlüssel für Kunden zu signieren (was eine nicht-mini "reguläre" Zertifizierungsstelle tut), sondern nur für sich selbst - dh, nur diese Umleitungsantwort.Dies bedeutet keine lockeren Anforderungen und macht es einem Unternehmen nicht "einfacher", eine Zertifizierungsstelle zu sein.Wollen Sie damit wirklich sagen, dass es eine ** tatsächliche offizielle Definition ** dafür gibt, was der Begriff "Mini-CA" bedeutet?Weil du sonst offensichtlich nur ein paar Strohmänner erfindest
Vielleicht haben Sie einen anderen Begriff im Sinn als "Mini" -CA?Eine nicht-reguläre Nicht-Mini-Zertifizierungsstelle signiert öffentliche Schlüssel für andere Entitäten.Eine "Mini" -CA - oder Sie können gerne einen anderen Begriff (??) erfinden - ist eine Zertifizierungsstelle, deren einziger Zweck darin besteht, eine Umleitungsanforderung (die von der vom Benutzer beabsichtigten Zielseite stammt) an das ISP-Portal zu signieren.Ich nannte es ein "Mini" -CA, aber vielleicht gibt es einen besseren Begriff?Es geht nicht gerade darum, den langfristigen öffentlichen Schlüssel einer Person zu signieren * wie bei einer normalen Zertifizierungsstelle *. Vielleicht gibt es also einen anderen Begriff dafür?Wie wäre es mit einer "TLS-Redirector-Certificate-Authority"?Ein TLS-RCA!


Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...