Frage:
Wie kann ich sicher sein, dass ich das echte Facebook benutze?
again
2017-12-01 19:21:26 UTC
view on stackexchange narkive permalink

Ich tippe www.facebook.com in die Adressleiste meines Browsers und drücke die Eingabetaste. Dann benutze ich Facebook.

Könnte ich tatsächlich ein gefälschtes Facebook besuchen, selbst wenn ich eine URL von https://www.facebook.com und ein Schlosssymbol neben der Adressleiste sehe?

Hmmmmm ... Wie können Sie sicher sein, dass Sie den echten Security StackExchange verwenden und nicht etwas, das Sie durch falsche Antworten täuschen soll?Selbst wenn es sich um den echten Security StackExchange handelt, wie können Sie sicher sein, dass die Antworten, die Sie erhalten, gut sind und nicht von vielen Fleischpuppen positiv bewertet werden?Letztendlich müssen Sie schrittweise selbst eine vertrauenswürdige Informationsbasis aufbauen und jede Information (einschließlich aller in diesem Thread enthaltenen) kritisch bewerten und dann zu Ihren eigenen Schlussfolgerungen kommen.Wie können Sie auch sicher sein, dass Ihr Browser keine absichtliche Hintertür enthält?
Darüber hinaus hat Lenovo einmal ein gefälschtes Zertifikat installiert, mit dem jeder Angreifer alle Ihre HTTPS-Verbindungen entschlüsseln kann (http://arstechnica.com/security/2015/02/lenovo-pcs-ship-with-man-in-the-middle-adware)-das-bricht-https-Verbindungen).Dell tat die gleiche Dummheit kurze Zeit später (https://www.extremetech.com/computing/218437-dell-laptops-may-have-a-lenovo-superfish-size-security-problem).
Sie können auch alle Zertifikate deaktivieren, die 1024-Bit-Schlüssel oder weniger verwenden oder nicht in der Liste der enthaltenen Mozilla-CA-Zertifikate (https://mozillacaprogram.secure.force.com/CA/IncludedCACertificateReport) enthalten sind, und StartCom-Zertifikate (https) deaktivieren: //www.theregister.co.uk/2017/07/07/google_ban_hammer_drops_on_wosign_startcom_in_two_months).
Ein interessanter Gedanke wird von einem Kollegen von mir aufgeworfen, der sagt, dass seine Heimverbindung mit 200 MBit / s beworben wird, sein PC jedoch nur über eine Netzwerkkarte mit 100 MBit / s verfügt.Wenn er fast.com verwendet, sieht er ungefähr 80 MBit / s, wenn er speedtest.net verwendet, sieht er 200 MBit / s.Ich frage mich, ob sein ISP ihm eine eigene Version von Speedtest gibt, die immer die angegebene Rate anzeigt.Ich nenne den ISP nicht, weil ich ihn selbst nicht gesehen habe, und möchte daher keine diesbezüglichen Annahmen oder Behauptungen aufstellen.Aber theoretisch ist das möglich, und wir können nichts dagegen tun
@user21820 hoffentlich würden die Antworten hier eine Rechtfertigung enthalten und nicht nur ein "Ja" oder "Nein".
Selbst wenn Sie das echte Facebook verwenden, wie können Sie sicher sein, dass Facebook nicht nur eine Phishing-Site für das * echte * soziale Netzwerk Facebok ist?
Scheinen die Beiträge fade und verrückt?Wenn ja, ist es wahrscheinlich das echte Facebook.
@PaŭloEbermann: Natürlich;Wir bewerten die Zuverlässigkeit von allem, nicht auf einer binären Skala.Der springende Punkt ist jedoch, dass wir alles bewerten müssen und nicht einfach bei Security SE nachfragen können, wenn wir erwarten, dass die Antworten uns Fakten liefern.=)
Ich würde vorschlagen, die offizielle Facebook-App zu verwenden, aber dann haben Sie zwei (oder mehr) Probleme ...
@darrenH: oder vielleicht ist sein ISP direkt mit der Website dieser bestimmten Site verknüpft (oder sogar gehostet)?
Wie können Sie sicher sein, dass Sie das echte Facebook verwenden und nicht eine zwielichtige Seite, die Ihre persönlichen Daten sammelt und an Werbetreibende verkauft?Oh, Moment mal...
Sieben antworten:
Monica Apologists Get Out
2017-12-01 20:52:32 UTC
view on stackexchange narkive permalink

Sie können auf verschiedene Weise bestätigen, dass Sie sich auf dem echten Facebook befinden:

  1. Überprüfen Sie das Zertifikat, mit dem die Website gesichert wurde. Öffnen Sie Ihr Zertifikat (Anweisungen variieren je nach Browser) und sehen Sie, was darin steht - wird es an Facebook ausgestellt? Ist es in einem gültigen Zeitraum? Schauen Sie sich nun noch einmal an, wer dieses Zertifikat unterschrieben hat, und richten Sie ein kritisches Auge darauf. Stellen Sie sicher, dass alles Sinn macht. Gehen Sie die Zertifikatskette entlang, bis Sie zum Stammzertifikat gelangen. Gehen Sie jetzt zu Ihrer bevorzugten Suchmaschine und überprüfen Sie, ob keiner der Zertifikatsanbieter in den Nachrichten nach einem kompromittierten privaten Schlüssel gesucht hat. Leider bedeutet das CA-basierte Ökosystem, dass Sie der Stamm-CA bis zu einem gewissen Grad nur vertrauen müssen.

  2. Überprüfen Sie die IP-Adresse, mit der Sie eine Verbindung herstellen - verwenden Sie dazu Ihr bevorzugtes NSLookup-Tool Sehen Sie, wohin Ihr DNS Sie zeigt, wenn Sie eine Verbindung zu facebook.com herstellen. Nehmen Sie diese Adresse mit zu Google und prüfen Sie, ob sie mit der öffentlichen IP-Adresse von Facebook übereinstimmt.

  3. Überprüfen Sie, ob andere Personen kürzlich Probleme bei der Verbindung mit Facebook über TLS gemeldet haben oder haben irgendwelche Bedenken. Überlegen Sie, ob diese Bedenken für Sie berechtigt zu sein scheinen oder ob der Benutzer nur etwas falsch macht.

    4. ol>

    Nehmen Sie als Nächstes alle Daten, die Sie aus den oben genannten Informationen gesammelt haben Punkte und jede andere Aufklärung, die Sie durchgeführt haben. Überlegen Sie kritisch, ob es Ihrer Meinung nach vernünftig ist, dass all das von einem überzeugenden Virus, einem bösen böswilligen Schauspieler in Ihrem Netzwerk oder einem lachenden Mark Zuckerberg gefälscht wurde. Denken Sie auch daran, dass das Problem, das Sie vermeiden möchten (Senden oder Anzeigen von Informationen von Fakebook anstelle von Facebook), und überlegen Sie, ob die möglichen Konsequenzen (Datenleck) auf andere Weise auftreten können, z. B. wenn ein Screengrabber- oder Keylogger-Virus ausgeführt wird und nur aufgezeichnet wird Ihre Eingabe in das echte Facebook. Überlegen Sie dann, ob das Risiko den Wert überwiegt, den Sie durch die Anmeldung bei Facebook erzielen würden. Dann stellen Sie fest, dass Facebook Ihnen keinen Wert gibt und entscheiden Sie, dass es das Risiko nicht wert ist.

"Denken Sie auch daran, dass das Problem, das Sie vermeiden möchten (Senden oder Anzeigen von Informationen von Fakebook anstelle von Facebook), und überlegen Sie, ob die möglichen Konsequenzen (Datenleck) auf andere Weise auftreten können, z. B. wenn ein Screengrabber- oder Keylogger-Virus ausgeführt wird und nurAufzeichnung Ihrer Eingabe in das echte Facebook. "Oder sogar Facebook selbst zeichnet die Informationen auf, die Sie in das echte Facebook eingegeben haben.
"Nehmen Sie diese Adresse zu Google" Woher weiß ich, dass die Website, mit der ich verbunden bin, Google ist?
@JMac Obwohl dies nicht als Tatsache angesehen werden kann, formuliere ich meine Antwort so, als ob der Benutzer Facebook implizit seine Informationen anvertraut.
@Acccumulation Sie gehen natürlich zu Google2.Im Ernst ... Sie verwenden ein Gerät, dem Sie vertrauen, um keine Kompromisse einzugehen, vorzugsweise in einem separaten Netzwerk.Leider kommt es beim Thema Authentifizierung auf jede Frage: "Wem vertrauen Sie?"Es ist alles sehr solipsistisch.
Entschuldigen Sie meine Pedanterie, aber "Mark Zuckerberg hat ein Lachen" würde definitiv immer noch als Interaktion mit dem echten Facebook gelten, es sei denn, Sie meinten den Tippfehler "berg" -> "burg" als eine andere Person.
@Adonalsium Oh, das verstehe ich total.Ich füge nur eine weitere Ebene hinzu, um zu zeigen, dass Sie sich dem Problem des Vertrauens in Ihre Software oder Hardware im Grunde nie entziehen können.(yay Systeme, die zu kompliziert und voneinander abhängig sind, als dass die Leute sie selbst vollständig verstehen könnten!)
@EmilioMBumachar Möglicherweise verfügt MZ über die Ressourcen, um jemanden anzuweisen, ein vollständig gefälschtes Facebook einzurichten, das nicht von dem echten Facebook zu unterscheiden ist, und stattdessen eine bestimmte eingehende IP an diesen Server umzuleiten.Es ist das gefälschte Facebook, Sie könnten mit bezahlten Facebook-Mitarbeitern sprechen, die versuchen, Sie zu täuschen, und Sie haben keine wirkliche Möglichkeit zu sagen, dass Sie an einen anderen Webserver weitergeleitet wurden.
@EmilioMBumachar Ich kann nicht sagen, ob "Fecebook" ein versehentlicher oder absichtlicher Tippfehler ist (und wenn absichtlich, kann ich nicht sagen, ob es ein Beispiel für die in diesen Antworten behandelte Domain-Besetzung ist oder ob Sie einen schlechten Willen gegenüber Facebook hegen).In jedem Fall ist es amüsant, da es sich bei Ihrem Kommentar um einen Tippfehler handelt.
Facebook hat eine ziemlich kurze DNS-TTL.Wenn ich der Delegierungskette für "www.facebook.com" manuell folge, erhalte ich einen CNAME für "star-mini.c10r.facebook.com", der wiederum einen Adressdatensatz mit einer TTL von nur 60 Sekunden enthält.Während ich bei der Lösung immer die gleiche IP-Adresse zu erhalten scheine, ist dies etwas, auf das ich achten muss.
@Adonalsium: Ihr Kommentar zu "Wem vertrauen Sie?"sollte wirklich in deiner Antwort sein.Weil Ihr ganzer Beitrag davon abhängt, dass Sie Ihrem Browser vertrauen, dass er Ihnen keine gefälschten Informationen über die von Ihnen besuchten Webseiten und die von Ihnen angezeigten Zertifikate gibt.
Beachten Sie, dass der Browser nicht unbedingt eine Verbindung zu nslookup herstellt, zu dem www.facebook.com aufgelöst wird.
@Acccumulation Wenn Sie misstrauisch sind, können Sie Ihre Pakete jederzeit in Papierform an Google in Kalifornien übergeben.Sie sehen Sie vielleicht seltsam an und müssen möglicherweise einige pensionierte Mitarbeiter suchen, die sich daran erinnern, was dieses tote Baummaterial ist und wie man es ohne Touchscreen bedient.
@Cort Ammon Wie finde ich die Adresse von Google heraus?
@Acccumulation Verwenden Sie das Internet für eine Anfangsadresse und gehen Sie dorthin.Wenn es so aussieht, als wäre es eine riesige, teure Google-Werks-Website, haben Sie wahrscheinlich Google gefunden.Fragen Sie auf dem Weg vielleicht ein paar zufällige Personen, wo sich die Google-Werks-Website befindet, um sicherzustellen, dass sie Ihnen alle die gleiche Antwort geben.Wenn dies ein unzureichendes Maß an Vertrauen ist, müssen wir wahrscheinlich viel länger darüber diskutieren, was es für ein Unternehmen bedeutet, Google zu sein, da Sie ziemlich schnell in das Gebiet der Zinnfolienhüte eintreten werden.Stellen Sie sicher, dass Sie wissen, wo sich Ihr Handtuch befindet =)
@Acccumulation In Verbindung stehend könnten Sie an [Schlüsselzeremonien] interessiert sein (https://en.wikipedia.org/wiki/Key_ceremony).Im Allgemeinen neige ich dazu, Fragen wie "Habe ich die richtige Google-Adresse gefunden" als Gebiet mit Zinnfolienhut zu bezeichnen, aber die Leute, die Schlüsselzeremonien durchführen, leben tatsächlich in diesem Gebiet, also ist es nicht so verrückt!
Ajedi32
2017-12-02 02:11:51 UTC
view on stackexchange narkive permalink

Dies ist genau das Problem, das HTTPS lösen soll. Wenn Sie Facebook (oder eine andere Website) über eine URL besuchen, die mit https: // beginnt ( nicht http: // ), dann gibt es eine Reihe von Sicherheitsmaßnahmen, die Ihr Browser automatisch anwendet, um sicherzustellen, dass die Site, mit der er Sie verbindet, unmittelbar nach https: // in der URL-Leiste angezeigt wird, und warnen Sie, wenn dies nicht der Fall ist.

Lassen Sie uns diese Sicherheitsmaßnahmen kurz durchgehen, damit Sie besser verstehen, wie sie funktionieren und unter welchen Bedingungen sie wirksam (oder unwirksam) sind.

Funktionsweise von Domain-Namen

Wenn Sie zum ersten Mal eine URL wie https://www.facebook.com/ besuchen, wird Ihr Browser als Erstes dies tun extrahiert den Domainnamen der Site aus der von Ihnen angegebenen URL. Der Domainname ist der Teil der URL, der nach "https: //" am Anfang der URL und vor dem nächsten "/" steht. In diesem Fall lautet der Domainname "www.facebook.com".

Innerhalb des Domainnamens gibt es mehrere durch Punkte getrennte Bezeichnungen (. ). Die Bezeichnung ganz rechts, in diesem Fall com , ist die Domäne der obersten Ebene. Das Label links davon, in diesem Fall facebook , ist eine Subdomain der Top-Level-Domain ( .com ) und alle anderen Labels links von dass , wie z. B. www , Subdomains sind, die vom Eigentümer dieser Domain kontrolliert werden. Während eine Domain wie secure.facebook.com von Facebook kontrolliert wird (da sie den Domainnamen facebook.com besitzt), wird eine andere Domain wie www.facebook .com.login.site wird von jedem kontrolliert, der die Domain login.site besitzt (wahrscheinlich nicht Facebook).

Dies ist wichtig für Sie, da https://www.facebook.com/ die richtige URL für Facebook ist, https://other.site.com/ www.facebook.com ist weder noch https://www.faceb0ok.com/ , https: //www.faceboook. com / oder https://www.facebook.com.secure.site/ . Wenn der Domainname, den Sie in der URL-Leiste sehen, nicht genau mit facebook.com endet, weiß Ihr Browser nicht, dass Sie wirklich eine Verbindung zu Facebook herstellen möchten, und kann Sie daher nicht davor schützen, eine Verbindung zu einem anderen herzustellen Website, die nur vorgibt, Facebook zu sein.

Überprüfung des Domainnamens

Sobald Ihr Browser den Domainnamen der von Ihnen besuchten Website hat, stellt er eine Verbindung dazu her Site mit einem Prozess, der als TLS-Handshake bezeichnet wird. (Dies setzt wiederum voraus, dass Sie die Site über https besuchen.) Im Rahmen dieses Vorgangs muss der Server, mit dem Sie eine Verbindung herstellen (unabhängig davon, ob es sich um einen echten oder einen gefälschten Server handelt), Ihrem Browser eine spezielle Datei präsentieren, die als TLS-Zertifikat bezeichnet wird . Diese Datei muss eine signierte Erklärung eines Drittanbieters enthalten, die als Zertifizierungsstelle bezeichnet wird und der Ihr Browser bereits vertraut. Die Anweisung teilt Ihrem Browser mit, welcher kryptografische Schlüssel bei der Kontaktaufnahme mit der von Ihnen angeforderten Website verwendet werden soll, und Ihr Browser fordert den Server, mit dem Sie verbunden sind (ob echt oder falsch), auf, zu beweisen, dass er diesen Schlüssel steuert, bevor er weitere Informationen an diesen Server sendet

Da das TLS-Zertifikat von einem Drittanbieter signiert werden muss, dem Ihr Browser bereits vertraut, kann der Server, mit dem Sie sprechen, die Informationen in diesem Zertifikat nicht fälschen. Und da das Zertifikat den echten Schlüssel des Servers enthält, den Sie kontaktieren möchten (in unserem Fall facebook.com), kann ein gefälschter Server Ihren Browser nicht davon überzeugen, dass er legitim ist, und Ihr Browser zeigt eine Warnung an Sie erfahren, dass die Site, zu der Sie eine Verbindung herstellen, möglicherweise gefälscht ist.

Weitere Informationen zu diesem Vorgang finden Sie unter Wie funktioniert SSL / TLS?.

Aber ist das genug?

Kann Ihr Browser dazu verleitet werden, eine Seite aus einer gefälschten Version von Facebook zu laden, selbst wenn in der URL-Leiste https: // steht? www.facebook.com/?

Unter normalen Umständen nein. Vorausgesetzt, Sie überprüfen, ob Sie https verwenden und der Domainname der richtige ist, reichen diese integrierten Schutzfunktionen normalerweise aus, um sicherzustellen, dass Sie wirklich mit dem echten facebook.com sprechen. P. >

Es kann jedoch seltene Umstände geben, in denen sich jemand trotz dieses Schutzes als Facebook ausgeben kann. Wenn Sie beispielsweise eine benutzerdefinierte vertrauenswürdige Zertifizierungsstelle auf Ihrem Computer installieren, kann sich der Eigentümer dieser Zertifizierungsstelle möglicherweise als Facebook ausgeben. Bei der Arbeit hat Ihr Arbeitgeber möglicherweise bereits so etwas an Ihrem Arbeitscomputer getan. Seien Sie daher vorsichtig, wenn Sie mit einem Computer, den Sie nicht besitzen, im Internet surfen. (Gleiches gilt für Computer in einer Schule oder Bibliothek.) Malware auf Ihrem Computer kann möglicherweise auch eine eigene Zertifizierungsstelle installieren oder den Schutz Ihres Browsers auf andere Weise umgehen.

Es gibt auch andere, ungewöhnlichere Möglichkeiten Ein Angreifer kann Ihren Browser möglicherweise dazu verleiten, eine Verbindung zu einem gefälschten facebook.com herzustellen, z. B. eine von Ihrem Browser vertrauenswürdige Zertifizierungsstelle zu gefährden. Ich werde jedoch nicht im Detail auf diese Methoden eingehen, da sie sehr unwahrscheinlich sind.

Wenn Sie den Verdacht haben, dass Ihr Browser trotz dieser Schutzmaßnahmen möglicherweise eine Verbindung zu einem gefälschten facebook.com herstellt, ohne Sie zu warnen, können Sie möglicherweise mithilfe einiger von herausfinden, ob dies der Fall ist Die in Adonalsiums Antwort untersuchten Methoden, aber selbst diese Methoden sind in keiner Weise narrensicher.

Überprüfen Sie jedoch für die meisten Benutzer, ob Sie eine Verbindung über HTTPS herstellen und ob der Domänenname Die korrekte Anzeige in der URL-Leiste sollte ausreichen, um sicher zu sein, dass Sie tatsächlich mit dem echten Facebook sprechen.

Facebook verwendet vorinstalliertes HSTS.Wenn ich zu "https: // www.facebook.com" navigiere, befinden sich unter den Antwortheadern "Strict-Transport-Security: max-age = 15552000;Preload` Folglich * warnt * jeder moderne Browser (einer, der HSTS unterstützt) nicht nur vor SSL / TLS-Problemen, sondern lehnt es ab, überhaupt eine Verbindung zu Facebook herzustellen.
@MichaelKjörling HSTS-Preload erzwingt keinen statischen öffentlichen Schlüssel.Es deaktiviert nur einfaches http, das war's.Gefälschtes Facebook könnte https sein, mit einem richtigen End-Entity-Zertifikat, nur einem anderen Root-Zertifikat.
@kubanczyk Nein, HSTS erzwingt keinen bestimmten Schlüssel (HPKP könnte jedoch bis zu einem gewissen Grad die Verwendung einer von zwei angegebenen Zertifizierungsstellen effektiv vorschreiben).Mein Kommentar war jedoch hauptsächlich eine Antwort auf "und warne Sie, wenn dies nicht der Fall ist" im ersten Absatz.Wenn HSTS verwendet wird und ein Client HSTS wie definiert implementiert, besteht eine seiner Auswirkungen darin, jede SSL / TLS-Warnung in einen schwerwiegenden Fehler umzuwandeln.Wenn es also ein Problem gibt, das in einer Nicht-HSTS-Situation eine SSL-Warnung verursachen würde, verhindert dasselbe Problem, dass der Benutzer überhaupt eine bekannte HSTS-Site durchsucht.Mit dem Vorladen beinhaltet dies den ersten Besuch.
Eine URL kann einen Benutzernamen haben: password @ vor dem Hostnamen;Einige Betrüger verwendeten dies, um http: // facebookcom@scammers-r-us zu erstellen.com / sehen aus wie eine Facebook-URL
Hatten Domains kein implizites nachfolgendes `.` (www.facebook.com.), welches die eigentliche Top-Level-Domain für alles ist?
@BrianH.Das nennt man die DNS-Wurzel.Es wird nicht als Top-Level-Domain betrachtet.es ist tatsächlich eine Ebene darüber.Aber ja, "www.facebook.com" wird tatsächlich auf dieselbe IP wie "www.facebook.com" aufgelöst.Nachfolgende Punkte werden im Web jedoch normalerweise nicht so verwendet, und die meisten Zertifikate enthalten den vollqualifizierten Domänennamen nicht in der Liste der abgedeckten Domainnamen. Wenn Sie versuchen, Facebook in den meisten gängigen Webbrowsern so zu besuchen, wird eine Fehlermeldung angezeigt.Es ist nicht wirklich etwas, mit dem sich der durchschnittliche Benutzer befassen muss.
@Ajedi32 danke für die Klarstellung, ich glaube, dass der größte Teil dieser Antwort etwas ist, mit dem sich der durchschnittliche Benutzer nicht befassen muss: p
@BrianH.Könnte sein.Ich denke, der erste Absatz und die Abschnitte "Funktionsweise von Domain-Namen" sind für jeden wichtig, um sie zu verstehen (um Phishing zu vermeiden und vertrauliche Daten in unsichere Websites einzugeben).Der Rest, dem ich zustimme, ist nicht für alle von entscheidender Bedeutung, aber da das OP ausdrücklich fragte, "wie", hielt ich ein bisschen mehr Erklärung für notwendig als "vertraue einfach deinem Browser; er weiß, was er tut".Daher die (sehr grundlegende) Erklärung, wie TLS funktioniert und unter welchen Bedingungen es wirksam ist.
Anders
2017-12-01 19:26:21 UTC
view on stackexchange narkive permalink

Die Tatsache, dass die URL https: // ist (wobei s für Sicherheit steht) und dass der Browser die Sperre in der URL-Leiste ist der Beweis. Dies bedeutet, dass das HTTPS-Protokoll verwendet wird, bei dem die Websites ein Zertifikat zum Nachweis ihrer Identität vorlegen müssen. Als Benutzer müssen Sie also sicherstellen, dass HTTPS verwendet wird und dass Sie sich auf facebook.com befinden und nicht auf etwas anderem (wie faceb00k.com ). P. >

Wenn Ihr Gerät jedoch gehackt wurde oder von einer anderen Person (z. B. Ihrem Arbeitgeber) kontrolliert wird, können Sie sich nicht sicher sein (oder was auch immer).

Darf ich vorschlagen, etwas darüber hinzuzufügen, dass nicht vertrauenswürdige Zertifikate nicht installiert werden?Und über Domain-Namen, bei denen einige der Buchstaben durch ausgewählte Unicode-Look-Alikes ersetzt wurden?Während keine anständige Zertifizierungsstelle ein Zertifikat für einen Namen ausstellen würde, der genau wie Facebook aussieht, könnte es sich um ein Problem mit weniger bekannten Domainnamen handeln.
Es ist nur der Beweis, dass Ihre Verbindung nicht abgefangen wird, aber nicht der Beweis, dass Sie das echte Facebook verwenden.Jeder kann ein Zertifikat für Domains erhalten, die so aussehen, als ob sie zu Facebook gehören. Sie müssen sich den Firmennamen in der URL-Leiste ansehen.Facebook hat ein EV-Zertifikat, das beweist, dass es sich um das echte Facebook handelt, während Fälschungen nur ein DV-Zertifikat haben können, das nur beweist, dass sie Eigentümer ihrer (Fake-) Domain sind.
Einige Malware hat möglicherweise ein eigenes Stammzertifikat installiert und daraus ein perfekt gültiges EV-Facebook-Zertifikat erstellt (solche Dinge sind passiert, Google Superfish Lenovo).Einige Malware hat möglicherweise Ihren Browser infiziert, um so zu tun, als gäbe es ein verisignes Stammzertifikat, wenn dies nicht der Fall ist.Am Ende des Tages, wenn Ihr Gerät gehackt wurde, ist nichts ein Beweis für irgendetwas.
@allo, seit wann verwendet Facebook EV-Zertifikat?
Diese Antwort ist falsch, da Sie mit Facebook ** nicht überprüfen können, ob Sie Facebook wirklich besuchen, indem Sie auf "https" und das Schlosssymbol allein ** schauen.https://imgur.com/a/uCorv
@Sumurai8 Können Sie näher erläutern, was Ihr Bild zeigt?Ich gehe davon aus, dass * Veilig * eine Übersetzung von * Secure * ist.Ist das ein IDN-Homograph-Angriff?Haben Sie nach `.com` etwas ausgeblendet?
Das Symbol und https zeigen nur an, dass Sie eine Website über https besuchen.Es wird nur angezeigt, dass zwischen einem Endpunkt und der Site eine https-Verbindung besteht.Ich habe festgestellt, dass der wichtigste Teil immer noch darin besteht, zu überprüfen, ob der Domain-Name übereinstimmt, da die Wahrscheinlichkeit, dass ein Domain-Name falsch eingegeben oder eine vorherige Site automatisch vervollständigt wird, immer noch höher ist, aber ich sehe, dass ich einen Teil Ihrer Antwort falsch verstanden habe.Sekundäre Probleme sind immer noch DNS-Vergiftungen (mit einer gültigen SSL-Verbindung zu einer anderen IP) und einige Angreifer vom Typ Regierung, die ihr eigenes Zertifikat signieren, was zusätzliche Überprüfungen durch den Benutzer erfordern würde.
@Sumurai8 Im Trust Store befinden sich viele von der Regierung betriebene Stammzertifizierungsstellen.Wenn ein legitimer Fall vorgebracht werden kann, dass beispielsweise die CA der türkischen Regierung fälschlicherweise ein Zertifikat für "www.facebook.com" ausgestellt hat, hat wahrscheinlich jemand gerade eine CA verbrannt.Es geht um den Kompromiss zwischen Risiko und Ertrag.
Wie @GuntramBlohm feststellte, gibt es Gründe, warum Sie völlig abgespritzt werden können, selbst wenn Ihr Gerät brandneu und technisch nicht gehackt ist.Die Lenovo Superfish-Zertifikate wurden bereits vor dem Kauf installiert.Zweitens, wie Michael sagte, könnten Stammzertifizierungsstellen gehackt werden, und das könnte ausreichen, um Ihren Browser zu täuschen.Wenn Sie ein Zertifikat anheften, können Sie dieses zweite Problem möglicherweise vermeiden. Es schlägt jedoch weiterhin fehl, wenn Ihr Unternehmen Ihren Zertifikatspeicher kontrolliert.
Die meisten Kommentare hier sind technisch richtig, aber auf der Ebene, auf der die Frage gestellt wurde, nicht relevant.
@Crypt32 Entschuldigung, ich habe es nur angenommen, weil es unverantwortlich wäre, keine EV-Zertifikate zu verwenden.Aber es scheint, dass sie wirklich keine EV-Zertifikate verwenden.
Ich möchte mich wie andere einschalten: Das grüne Schloss und https: bedeuten nur, dass eine der von Ihrem Browser implizit als Autorität akzeptierten Zertifizierungsstellen jedem Unternehmen, mit dem Sie Kontakt aufnehmen, ein Zertifikat erteilt hat, damit sie sich selbst Facebook nennen können.*das ist was es bedeutet.Wie ehrlich CA dies tat und wie gründlich die Identitätsprüfung war, bleibt völlig offen.Der einzige Grund, warum Sie dies glauben können, ist, dass einer Zertifizierungsstelle, die zu viele Leute verarscht, am Ende kein Vertrauen mehr entgegengebracht wird.
@entrop-x Ja, sicher, das ist richtig.Es ist jedoch nicht relevant, wie ein gewöhnlicher Benutzer prüft, ob er auf Facebook ist.Niemand, nicht einmal Sie, führt eine Bewertung der Zertifizierungsstelle durch, bevor der FB-Status aktualisiert wird.
Martin Argerami
2017-12-03 07:51:27 UTC
view on stackexchange narkive permalink

Um die bereits sehr guten Antworten zu ergänzen und dem obigen Kommentar von user21820 ein wenig zu folgen, bauen Sie Vertrauen nach Teilen und durch Analyse auf.

Ich wollte nur darauf hinweisen, dass ein grundlegender Punkt Ihres Sicherheits-Setups in der von Ihnen beschriebenen Situation der Browser ist. Wer auch immer den Code des von Ihnen verwendeten Browsers geschrieben hat, kann Ihnen völlig frei zeigen, dass Sie auf www.facebook.com zugreifen und das grüne Zertifikat anzeigen, während Sie sich mit einer beliebigen Site verbinden. Sie würden diese Situation erkennen, indem Sie den IP-Verkehr von Ihrem Computer aus abhören, aber nicht, indem Sie auf den Browser schauen.

Letztendlich verwenden wir alle ein Setup, bei dem wir verschiedenen Personen / Unternehmen / Institutionen vertrauen: wer auch immer das Betriebssystem geschrieben hat, wer auch immer es installiert hat, wer auch immer das BIOS und andere Firmware in Ihrer Hardware geschrieben hat, wer auch immer geschrieben hat Der Browser, die in Ihrem System installierten Zertifikate usw. Die meisten gängigen Setups sind bekannt, so dass sie mehr oder weniger vertrauenswürdig sind. Vor allem aber vertrauen wir auf Zahlen: Wenn Microsoft oder Google oder ein Computerhersteller ihre Software hatten Wenn Sie auf zweifelhafte Websites verweisen oder vertrauliche Informationen stehlen oder wenn Mozilla ein unsicheres Zertifikat installiert, wird dies wahrscheinlich jemand unter den Millionen von Benutzern auf die eine oder andere Weise bemerken. Es macht es nicht unmöglich, dass zwielichtige Dinge in Ihrem oder meinem System passieren: nur unwahrscheinlich.

Sie haben absolut Recht, dass man auf viele Dinge vertrauen muss, und man kann unmöglich alles auf sich selbst überprüfen.Es ist jedoch einfacher, Vertrauen in etwas zu setzen, das offen ist, da dies bedeutet, dass jeder es * potenziell * überprüfen kann, sodass die Entität, die Hintertüren einrichtet, sich möglicherweise selbst aussetzen muss.Der eigentliche Schmerzpunkt dabei ist natürlich die Hardware, aber Sie können hoffen, dass die Hardware ausreichend niedrig ist, um nicht in der Lage zu sein, anspruchsvolle Dinge zu stören, die Sie auf höheren, offenen Ebenen ausführen.
entrop-x
2017-12-05 14:27:06 UTC
view on stackexchange narkive permalink

Die ursprüngliche Frage kann zwei Aspekte haben. Eine ist "landen meine Daten auf dem echten Facebook?". Mit anderen Worten, bin ich auf der Seite eines Betrügers? Der andere ist: "Könnte es einen MITM-Angriff geben, der meine Verbindung beschnüffelt?".

In beiden Fällen, wenn das "grüne Schloss" im Browser angezeigt wird und wir davon ausgehen, dass der Browser nicht gefährdet ist und über die richtigen CA-Zertifikate verfügt, entspricht die Antwort auf die Frage: "könnte Jede der vertrauenswürdigen Zertifizierungsstellen hat ein anderes Zertifikat mit dem Domainnamen "facebook.com" erstellt. Diese Frage ist schwer zu beantworten, da man grundsätzlich ALLE Zertifikate sehen muss, um dies überprüfen zu können ausgestellt von ALLEN vertrauenswürdigen Zertifizierungsstellen, was unmöglich ist, da sie nicht in irgendeiner Form von Blockkette oder dergleichen niedergeschrieben sind. Die Token-Blockkette wurde genau erfunden, um das Problem zu lösen, "keine doppelten Ausgaben zu beweisen", das dem Problem ähnlich ist Ein Argument für die Nichtzulassung einer Zertifizierungsstelle wäre, dass das Geschäft einer Zertifizierungsstelle davon abhängt, vertrauenswürdig zu sein, und dass Benutzer daher nie herausfinden, dass sie von einem Schurken ausgetrickst wurden Zertifikat ausgestellt von der CA. Wenn sich mehrere Facebook-Nutzer beschweren würden, dass sie am Ende o n fakebook, das wäre das Ende des Geschäfts dieser CA. Dies ist ein gültiges Argument für das Vertrauen, dass CA keine Zertifikate für Fakebook signiert. Es ist jedoch kein Argument gegen CA-Signaturzertifikate für MITM-Snoopers (z. B. staatlich geförderte Snoopers). Es gibt keine Möglichkeit herauszufinden, ob das MITM nur schnüffelt.

Mit einem MITM-Snooper sind Sie am Ende des Tages natürlich wirklich mit dem echten Facebook verbunden, aber Sie haben keine Möglichkeit dazu zu wissen, ob Sie dabei beschnüffelt wurden. Ich weiß nicht, welchen Aspekt die ursprüngliche Frage hervorhob: bei Facebook landen, aber beschnüffelt werden oder bei Fakebook landen. Der "CA-Ruf" ist nur für den zweiten Aspekt von Bedeutung.

Tomachi
2017-12-03 18:47:48 UTC
view on stackexchange narkive permalink

HTTPS ist ziemlich gut, aber wenn Sie in China sind, hoffen Sie, dass die SSL-Stammzertifizierungsstelle nicht so geändert wurde, dass Sie ein anderes Ergebnis erhalten. Ich denke, Sie könnten das mit den öffentlichen DNS-Ergebnissen von Google 8.8.8.8 vergleichen?

http://www.zdnet.com/article/google-banishes-chinas-main-digital-certificate-authority -cnnic /

Dies trägt nicht zu dem bei, was die anderen Antworten liefern.Andere Antworten sagen dasselbe, ohne „China“ ausdrücklich zu erwähnen (was unnötig ist, weil andere Länder wie ISPs und Organisationen dasselbe tun)
Ich denke, China ist das erste Land, in dem eine Stammzertifizierungsstelle von einem Browserhersteller entfernt wurde.Zuerst hatte ich gehört.
entrop-x
2017-12-04 20:43:09 UTC
view on stackexchange narkive permalink

Es gab bereits viele hervorragende Antworten. Ich möchte mich aus einem anderen Blickwinkel einschalten. Im Extremfall wird dies philosophisch und Sie müssen die Grenze irgendwo ziehen:

  • Hat "Facebook", wie ich es zu kennen glaube, überhaupt existieren?

  • Wenn es existiert, was um alles in der Welt könnte es sein?

  • Wie viele verschiedene Facebooks könnten existieren ?

  • Gibt es eine echte Person namens Zuckerberg? Ist er wirklich der Chef von Facebook? Hat er einen Zwillingsbruder?

    • Auf diese Weise kann man in völligen Solipsismus geraten, wenn man jede empfangene Information (von Ihrem Gehirn) in Zweifel zieht. Ab einem bestimmten Punkt müssen Sie eine "Hypothese der Realität" akzeptieren. Dies ist der Vertrauensanker für den Rest der Authentifizierungsinformationen. Vielleicht kennen Sie Mark Zuckerberg persönlich: Sie könnten ihn nach den wahren öffentlichen Schlüsseln in den Zertifikaten von Facebook fragen. Aber vielleicht wissen Sie nur etwas über "Facebook", weil andere Leute Sie darüber gesprochen haben. Woher wissen Sie in diesem Fall, dass Sie auf demselben Facebook sind wie das, worüber sie gesprochen haben?

    Am Ende könnte man also sagen, dass Sie sich nicht für die absolute Natur von Facebook interessieren: Was zählt, ist, dass das "Facebook", mit dem Sie es zu tun haben, dasselbe ist Sie haben sich anfangs damit beschäftigt, als Sie das erste Mal davon erfahren haben. Wenn es in Wirklichkeit ein echtes zweites (und sogar ein drittes, viertes ...) "Facebook" gibt, aber eines davon das ist, das Ihre Freunde Ihnen zum ersten Mal gezeigt haben, um ein Konto zu erstellen, und Sie können Kontaktieren Sie sie, das einzige, was Sie wollen, ist, dass Sie später mit demselben Facebook wie ursprünglich in Kontakt stehen. Wenn Sie also einen öffentlichen Schlüssel von einem Ihrer Freunde erhalten, das ist der öffentliche Schlüssel des Facebook, den Ihre Freunde verwenden, ist das im Prinzip gut genug. Wenn Ihre Freunde alle systematisch das ständige Opfer eines MITM-Angriffs waren, spielt es keine Rolle: MITM ist Ihr Facebook: eine Einheit im Internet. Niemand hat gesagt, dass Facebook eine nette Entität ist ...

    Für Entitäten im Internet ist daher häufig die relative Authentifizierung von Bedeutung: der Beweis, dass Sie in aufeinanderfolgenden Sitzungen Kontakt aufnehmen , dieselbe Entität , die Sie beim ersten Kontakt kontaktiert haben. Möglicherweise stellen Sie fest, dass Sie, abgesehen von der Kohärenz der Entität über verschiedene Kontakte, nicht viel über die Entität wissen, mit der Sie Kontakt aufnehmen.

    Es kann anders sein, wenn Sie möchten, dass die Entität auch eine legale moralische Person ist, die Sie möglicherweise verklagen möchten, wenn sie sich Ihnen gegenüber jemals schlecht verhalten hat. Sie sollten dann streng genommen eine Bescheinigung von der Rechtsinstanz erhalten, die für das Unternehmen zuständig ist, mit dem Sie Kontakt aufnehmen möchten, die moralische Person hinter "Facebook". Dies kann der Fall sein, wenn Sie einen Geschäftspartner im Internet kontaktieren, den Sie nicht kennen, abgesehen von der Tatsache, dass er im Internet ist, beispielsweise in einem Geschäft auf der anderen Seite der Welt.

    Schließlich gibt es eine dritte Möglichkeit, und Facebook fällt höchstwahrscheinlich in diese Kategorie. Sie möchten die Entität kontaktieren "jeder kennt und ist bekannt". Die verschiedenen Kanäle, über die eine Entität "bekannt" ist, sollten dann auch zur Verbreitung des öffentlichen Schlüssels dieser Entität verwendet werden: gedruckte Zeitschriften, Fernsehen, verschiedene Websites usw. Wenn derselbe öffentliche Schlüssel systematisch und kohärent verteilt wird Von mehreren anderen Entitäten, die Sie ebenfalls irgendwie kennen, haben Sie ein starkes Vertrauensnetz, das signalisiert, dass Sie darauf vertrauen können, dass dieser öffentliche Schlüssel der richtige von Facebook ist. Dies ist etwas, das für relativ unbekannte Unternehmen nicht wirklich gut funktioniert, da sich das "Netz des Vertrauens" so weit ausbreiten muss, dass es verschiedene Akteure berührt, die Sie bereits kennen und denen Sie vertrauen, was nur für gut funktioniert. bekannte Entitäten. Ich lebe in Europa und es fällt mir schwer, ein Vertrauensnetz um mich herum zu bekommen, das jemanden in Sidney davon überzeugen könnte, absolut sicher zu sein, dass er mit mir zu tun hat.

    Wir haben also drei verschiedene Kategorien der Authentifizierung von Entitäten im Internet, abhängig vom Anwendungsfall:

    • relative Authentifizierung: Ich weiß nicht, wer Sie sind, aber Sie sind dieselbe Entität, die ich zuvor kontaktiert habe

    • legale Authentifizierung: Ich kann nur dem legalen Aussteller von Identitäten vertrauen.

    • Web-of-Trust-Authentifizierung: "Jeder" weiß, wer es ist, über verschiedene Kanäle, daher ist dies der Weg, um den richtigen öffentlichen Schlüssel zu erhalten: den, den jeder konsistent verwendet.

    Ein realer Anwendungsfall kann erforderlich sein die 3 Aspekte: Ich möchte mich mit dem "bekannten" Facebook "verbinden, das jeder kennt" (auch wenn es irgendwo in Kasachstan eine Bar namens "Facebook" gibt, die ich nicht kontaktieren möchte); Ich möchte bei aufeinanderfolgenden Anmeldungen mit demselben Facebook Kontakt aufnehmen (auch wenn der Markenname beispielsweise an ein anderes Unternehmen verkauft wurde). Und wenn sich Facebook jemals schlecht verhält, möchte ich, dass es eine moralische Person ist, die ich schließlich vor Gericht verklagen könnte.

    Daher ist das Vertrauen, das wir in CA zu setzen scheinen, etwas überzogen, da wir blindlings darauf vertrauen, dass Entitäten (CA) dies überprüft haben, ohne uns selbst und unabhängig von unserem Anwendungsfall zu überprüfen. Vielleicht hat die Bar in Kasachstan auch ein Zertifikat für "Facebook.net". Aber es ist einfacher und besser als nichts.

    Willkommen bei Information Security Stack Exchange!Dies ist eine gut geschriebene philosophische Antwort, aber ich fürchte, es ist nicht die Art von Antwort, nach der wir hier suchen.Diese Site zielt auf praktische Antworten ab ("Es gibt ein Schlosssymbol, das anzeigt, dass Sie SSL / TLS verwenden, und in der Titelleiste sollte der Site-Name grün angezeigt werden ...").Das heißt, wir haben auch eine Q & A-Seite über [Philosophy.SE], die Sie vielleicht interessant finden.
    @Barth: Ich verstehe, was Sie meinen, aber mein Ziel war es, auf eine echte Sicherheitsschwierigkeit bei CA hinzuweisen.Wenn Sie beispielsweise in einem großen Unternehmen arbeiten und sich hinter einer Firewall befinden, kann die ursprüngliche Frage * Wie kann ich sicher sein, dass ich auf dem echten Facebook bin? * Sinn machen, wenn Ihr Unternehmen über eine zusätzliche Wurzel verfügtZertifikate, die in Ihrem Browser installiert sind und die Mitarbeiter beschnüffeln und einen systematischen MITM-Angriff auf ausgehenden Facebook-Verkehr ausführen.Ihr ISP ist möglicherweise auch mit einer Zertifizierungsstelle verbunden und kann dies auch tun.Wie würden Sie es herausfinden?
    Natürlich beantwortet es die Frage.Ich kritisiere niemanden, abgesehen von dem Kommentar von Barth, der behauptete, dass es keine Antwort sei und dass die "richtige" Antwort einfach auf CA basieren sollte.Ich erkläre, dass die eigentliche Antwort auf die Frage darin besteht, herauszufinden, ob der öffentliche Schlüssel, den man hat, wirklich der Entität entspricht, die man im Sinn hat, und dass dies drei verschiedene Dinge bedeuten kann: "wie zuvor", "legal"Entität "oder" das gleiche, was andere Leute vereinbart haben "."Green Lock" basiert auf "was auch immer eine einzelne von einer bestimmten Entität (CA im Browser) mir sagt, dass es ist".


    Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
    Loading...