ComputerBase Menü
Aktuelles

im Offenen WLAN VPN-Tunnel unnnötig weil https

C

CED999

Lieutenant
Registriert
Juni 2011
Beiträge
965
Hallo,
da ich zur Zeit öfters in öffentlichen WLAN unterwegs bin und heute in mein Onlinebanking wollte, kam bei mir die Frage auf: "Ist das ratsam?". Offen gesagt habe ich mich noch nie mit https Protokoll beschäftig, aber in meiner Vorstellung war das doch gerade der Sinn, dass die Daten sicher "verpackt werden". Ich habe mir das https immer als eine "Art VPN-Tunnel" für wichtige Seiten vorgestellt. Trotzdem noch VPN "on top" oder reicht das an Sicherheit?

Bin gespannt...
 
Sicher ist https schon, allerdings kann der Provider die aufgerufene Seite loggen. Das geht bei VPN nicht.
Hinzu kommt halt, das viele Seiten geoblock haben. Das wird bei VPN auch umgangen.
Desweiteren gehst Du mit WLAN unter dem Rechtssystem des Landes ins Netz. Mit VPN über den Router Deines Heimatlandes. Heist, die Frage, was legal oder illegal ist richtet sich normalerweise nach den Gesetzen des Landes, in dem Du den Browser öffnest. Bei VPN ist das dann anders. Da werden die Seiten über Deinen Router zu Hause aufgerufen.
Auch Einschränkungen bei der DNS Auflösung werden so umgangen.
 
Bei https ist zwar der Inhalt verschlüsselt, aber der WLAN-Betreiber weiß immer noch, mit wem du redest. Über VPN weiß er nur, das du mit dir zu Hause (oder dem VPN-Server) redest.
 
HTTPS müsste auch so sicher sein. Aber dann immer schön gucken, dass das auch benutzt wird und nicht irgendeine Art von Umleitung stattgefunden hat. ;)
Zusätzlich vielleicht noch eine verschlüsselte DNS-Verbindung nutzen Stichwort DoH mit FF.
 
  • Gefällt mir
Reaktionen: BeBur
Ohne VPN könnte man anfällig sein für Downgrade Angriffe oder DNS Poisoning und ähnlichen Dingen.
Habe allerdings nichts gehört, dass Menschen sowas tatsächlich in Europa machen.
Bei Banken hast du auch immer noch den zweiten Faktor. Eine TAN ist ja an den Betrag und einen Teil der Kontonummer gekoppelt, von daher bringt es relativ wenig, wenn man die abgreift.
 
BeBur schrieb:
Bei Banken hast du auch immer noch den zweiten Faktor. Eine TAN ist ja an den Betrag und einen Teil der Kontonummer gekoppelt, von daher bringt es relativ wenig, wenn man die abgreift.
Zum Vergrößern anklicken....
Bei einer (i)TAN-Liste ist nichts gekoppelt.
Der PayPal SMS Sicherheitscode ist für den Login gültig. Nach dem Login gibt es keine Authentifizierung für die Zahlung.

Eine Seite sollte HSTS unterstützen und zuvor mit dem Browser aus einem vertrauenswürdigen Netz aufgerufen worden sein.
 
  • Gefällt mir
Reaktionen: BeBur
Ich würde es mal stark überspitzt so formulieren:

Öffentliche (also ohne PW, z.B. Freifunk, einige Provider-Hotspots, etc.) und halb-öffentliche (mit PW, z.B. Hotel, Ferienwohnung etc.) WLANs sind "per Definition" unsicher.
Der Betreiber dieser WLANs kann immer "böse" Dinge anstellen. Angefangen von Tracking und Werbung über Phishing hin zu gefälschten https-Zertifikaten. Das muss er nicht mal wissentlich tun, vielleicht wurde er selbst gehackt oder jemand sendet eine gleichnamige SSID aus...

Ich stütze diese Aussage z.B. auf das BSI und die Freifunker.

Https kann prinzipbedingt nur teilweise schützen, da es zwar eine verschlüsselte Verbindung aufbaut, aber man dem Zertifikat vertrauen muss, das die Gegenstelle die richtige ist. Dieses "grüne Schloss" ist zwar ein Indikator aber allein mit Let's Encrypt kann ich für "Vertipper-Domains" oder anders codierte Domainnamen gültige (also grüne) Zertifikate erstellen. Beispiel siehe Link.

Die allgemeine Empfehlung lautet daher -> VPN nutzen!
Entweder setzt man einen eigenen VPN auf (z.B. in der Fritzbox) oder man kauft sich den Service ein.
Auch VPN ist kein Allheilmittel, schützt aber gegen "böses" WLAN.

Auch hier eine Quelle (bisschen runterscrollen): Link
 
  • Gefällt mir
Reaktionen: CED999
@carnival55: sehr interessanter Beitrag! Da hätte ich auch noch Fragen zu...

carnival55 schrieb:
..... über Phishing hin zu gefälschten https-Zertifikaten. Das muss er nicht mal wissentlich tun, vielleicht wurde er selbst gehackt oder jemand sendet eine gleichnamige SSID aus...
...
Https kann prinzipbedingt nur teilweise schützen, da es zwar eine verschlüsselte Verbindung aufbaut, aber man dem Zertifikat vertrauen muss, das die Gegenstelle die richtige ist. Dieses "grüne Schloss" ist zwar ein Indikator aber allein mit Let's Encrypt kann ich für "Vertipper-Domains" oder anders codierte Domainnamen gültige (also grüne) Zertifikate erstellen. Beispiel siehe Link.
Zum Vergrößern anklicken....

Mal blöd gefragt wäre es einem Hacker bei Eingabe von https://www.postbank.de mich aktiv umzuleiten , oder ginge das nur wenn ich www.postbank.de eintippe, oder gehen generell nur Vertipper-Domains?
Ich habe das gerade mal getestet in Realität ist es noch etwas anders, ich habe vor einigen Jahren mal in meinem Passwortmanager die Adresse: https://banking.postbank.de eingetragen, wenn diese geöffnet wird, wird das wohl auf der Postbank-Seite umgeleitet und ich bekomme meist: https://meine.postbank.de/#/login
angezeigt.

Zusatzfrage sobald ich das grüne Schloss UND die Schrift in Grün sehe bin ich dann aber "sicher" oder? Im Link (der übrigens sehr interessant war) konnte ja nur ein einfaches Zertifikat erstellt werden, was zu einem grpnen Schloss, aber eben nicht zu grün eingefärbter Schrift führt...

h00bi schrieb:
Wenn das WLAN verschlüsselt ist und halbwegs vertrauenswürdig ist das okay.
Ansonsten einfach kurz auf LTE switchen wenn möglich oder VPN ankurbeln.
Zum Vergrößern anklicken....

Nein es ist ein offenes, nicht-verschlüsseltes WLAN- deswegen auch die Frage, also jeder kann rein in das Netz, die WLAN-Verbindung selbst ist nicht verschlüsselt aber https, sorgt ja dann für die Verschlüsselung. So war die Überlegung der Ausgangsfrage...
Ergänzung ()

Bin jetzt am überlegen, ob ich nicht doch etwas investieren soll. Auf der Computerbild CD ist diesen Monat das "Spyoff", kostet dann 4,5€ für 1 Jahr. Oder doch lieber Cyberghost für 23€ für 1 Jahr.
Was mich an Spyoff ein bisschen stört ist, dass ich noch nie davon gehört habe, der Unternehmenssitz ist ein Kleinststaat (San Marino) bei Cyberghost ists Rumänien, immerhin schon ein richtiges Land und das Unternehmen gibts auch schon ewig. VPN ist irgendwie schon vertrauenssache, den gesamten Datenverkehr da durchzuleiten...
 
Zuletzt bearbeitet:
CED999 schrieb:
Mal blöd gefragt wäre es einem Hacker bei Eingabe von https://www.postbank.de mich aktiv umzuleiten , oder ginge das nur wenn ich www.postbank.de eintippe, oder gehen generell nur Vertipper-Domains?
Ich habe das gerade mal getestet in Realität ist es noch etwas anders, ich habe vor einigen Jahren mal in meinem Passwortmanager die Adresse: https://banking.postbank.de eingetragen, wenn diese geöffnet wird, wird das wohl auf der Postbank-Seite umgeleitet und ich bekomme meist: https://meine.postbank.de/#/login
angezeigt.
Zum Vergrößern anklicken....
Wäre ich der böse Hacker und würde Banking-Logins ausspionieren wollen UND würde ich ein offenes WLAN betreiben, würde ich folgendes tun.

  • "Vertipper-Domain" registrieren z.B. "lostbank.de"
  • anschließend ein let's encrypt Zertifikat erstellen, damit https://lost bank.de im Browser "grün" ist
  • dann mein böses WLAN aufspannen
  • warten bis jemand http(s)://post bank.de aufruft und einen redirekt auf meine lost bank.de machen.
  • lost bank.de würde zufällig genauso aussehen wie post bank.de
  • das Opfer gibt seine Zugangsdaten ein und ich kann sie bei mir abspeichern.
Damit kann ich natürlich noch keine Überweisung in deinem Namen machen, lost bank.de ist nicht besonders kreativ und man muss auch noch mehr Gehirnschmalz in die Details investieren, aber ich möchte hier auch keine Anleitung zum hacken geben.
Zum allgemeinen Verständnis reicht's aber mMn.

Auch hier wieder eine Quelle als Link*: der Pineapple von hak5

Eine URL aus einem Passwortmanager heraus aufrufen könnte dagegen helfen, muss aber nicht.
(Vermutung: Redirect geht immer noch, evtl. meckert aber der PW-Manager, dass die URL geändert wurde und trägt keine Credentials ein.)
Ich würde immer empfehlen aus den Lesezeichen direkt die Loginseite aufzurufen.

CED999 schrieb:
Zusatzfrage sobald ich das grüne Schloss UND die Schrift in Grün sehe bin ich dann aber "sicher" oder? Im Link (der übrigens sehr interessant war) konnte ja nur ein einfaches Zertifikat erstellt werden, was zu einem grpnen Schloss, aber eben nicht zu grün eingefärbter Schrift führt...
Zum Vergrößern anklicken....
Das kann ich gerade nicht mit Quellen belegen, daher als Behauptung aufgestellt:
Darauf würde ich mich nicht verlassen. Selbst wenn selbsterzeugte oder Let's encrypt Zertifikate nicht ausreichen sollten, kann ich für wenige Euro/Dollar/Bitcoin (der Link soll keine Werbung sein, sondern meine Aussage belegen) von Root-CAs Zertifikate kaufen, wo die Identitätsprüfung eher oberflächlich ist und die Schloss und Schrift und wasauchimmer im Browser grün machen.

*) nochmal der ausdrückliche Hinweis: Das sind Pentest-Tools, wer die illegal verwendet, macht sich möglicherweise strafbar.

Edit:
Hab ich im ersten Post leider schon vergessen:
Der erwähnte Switch auf LTE löst auch nach meiner Einschätzung einen Großteil der "WLAN-Probleme", sofern LTE und Volumen noch ausreichen... ;) IMSI-Catcher sind schließlich illegal.
 
  • Gefällt mir
Reaktionen: CED999 und BeBur
Ich kann meinen Beitrag gerade nicht editieren, daher hier:

Die Frage nach dem richtigen VPN-Anbieter kann man nur falsch beantworten, das ist eine Religion (genau wie das richtige Betriebssystem oder das richtige Anti-Viren-Programm).

Zum Einlesen ein Tipp: Link
 
CED999 schrieb:
Mal blöd gefragt wäre es einem Hacker bei Eingabe von https://www.postbank.de mich aktiv umzuleiten , oder ginge das nur wenn ich www.postbank.de eintippe, oder gehen generell nur Vertipper-Domains?
Zum Vergrößern anklicken....
Um das zusätzlich zu carnivals guten Ausführungen noch explizit zu beantworten:
Das geht immer, auch wenn du https:// vorne schreibst. Weil zu allererst die Domain einer IP zugeordnet werden muss und diese Zuordnung schon gefälscht wird.
Ausnahme ist, wenn die Seite HSTS einsetzt, dann geht das nicht.
Vielleicht kennst du diese Wifis, wo du egal welche Domain du eintippst erstmal zu der Wifi-Registrierung geleitet wirst. Das funktioniert allerdings nicht, wenn du google.de ansurfst, weil die HSTS verwenden und dein Browser eben genau dieses umleiten verbietet.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: CED999 und eigs
h00bi schrieb:
Wenn das WLAN verschlüsselt ist und halbwegs vertrauenswürdig ist das okay.
Zum Vergrößern anklicken....

Was für einen Unterschied macht es ob das WLAN nun per PSK abgesichert ist oder nicht? Das ist für den Traffic vollkommen unerheblich.
Der Betreiber kann den Traffic mitsniffen, auch wenn ein PSK auf dem WLAN ist. Und wenn da HTTP-Traffic dabei ist, hat er alles schön im Klartext.

hildefeuer schrieb:
Sicher ist https schon, allerdings kann der Provider die aufgerufene Seite loggen. Das geht bei VPN nicht.
Zum Vergrößern anklicken....

Wenn der Betreiber des WLANs lokale DNS-Server hat, kann er natürlich auch da die Seitenaufrufe mitloggen. Einfach nur VPN einschalten hilft da nicht - da ist noch mehr Arbeit nötig.
 
  • Gefällt mir
Reaktionen: BeBur
gaym0r schrieb:
Der Betreiber kann den Traffic mitsniffen, auch wenn ein PSK auf dem WLAN ist. Und wenn da HTTP-Traffic dabei ist, hat er alles schön im Klartext.
Zum Vergrößern anklicken....
klar, es ging hier aber um https
In ein WLAN mit Verschlüssung musst du aktiv rein und dich darum kümmern dass du das pw bekommst, nicht einfach das handy zücken und auf den "oh guck mal gratis wifi ohne passwort" honeypot reinfallen.
Wenn ich mich in die S-Bahn setze und einen WLAN Hotspot ohne pw einrichte habe ich in kürzester Zeit etliche Geräte in meinem Netz.
Setzt du dich zum Italiener und findest dort das verschlüsselte Netz "Giovanni-Gast" dann machst du einfach ein "Giovanni-gratis" Netz auf und die Leute wählen dein Netz ausstatt das des Italieners.
 
@h00bi
Es ging um öffentliche WLANs, d.h. auch ein eventueller PSK ist jedem bekannt. Ein PSK sagt rein garnichts aus über die Sicherheit eines WLAN-Netzes. Auch "halbwegs vertrauenswürdig" ist ein sehr schwammiger Begriff - was soll das sein?
Auch in halbwegs vertrauenswürdigen WLANs kann ich deinen Traffic mitlesen - auch wenn ich nichtmal der Betreiber des Netzes bin.
 
gaym0r schrieb:
Wenn der Betreiber des WLANs lokale DNS-Server hat, kann er natürlich auch da die Seitenaufrufe mitloggen. Einfach nur VPN einschalten hilft da nicht
Zum Vergrößern anklicken....
Die VPN Programme die ich nutze leiten DNS Anfragen über den VPN Server.
h00bi schrieb:
Setzt du dich zum Italiener und findest dort das verschlüsselte Netz "Giovanni-Gast"
Zum Vergrößern anklicken....
Das kann jeder aufmachen indem er die selbe SSID und das selbe Passwort nimmt.
 
eigs schrieb:
Die VPN Programme die ich nutze leiten DNS Anfragen über den VPN Server.
Zum Vergrößern anklicken....

Das kommt doch ganz drauf an. Bei dir ist es so, bei mir ist es so. Aber Grundsätzlich und standardmäßig? Nein. Gegen diese Pauschalaussage wollte ich etwas einwenden.
 
gaym0r schrieb:
Gegen diese Pauschalaussage wollte ich etwas einwenden.
Zum Vergrößern anklicken....
Indem du mit einer Pauschalaussage das Gegenteil behauptest?

Je nach VPN Software gibt es verschiedene Standardeinstellungen und Einstellungsmöglichkeiten.
Z.B. verschlüsselt vs unverschlüsselt, DNS leak protection, kill switch, split tunneling, kein Standardgateway (nur interner Traffic über VPN)
 
@eigs
Ich hab generell von VPN gesprochen. Dass irgendwelche Programme nette features haben die bestimmte Probleme umgehen ändert daran nichts.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

D
Mullvad VPN Tunnel - FritzBox Wireguard
Antworten
4
Aufrufe
3.294
Daniel Albert
D
M
VPN Tunnel bleibt nicht aktiv
Antworten
6
Aufrufe
3.494
Michi777
M
V
Verständnisfrage VPN Tunnel (Zugeordnete IP)
Antworten
7
Aufrufe
2.323
Raijin
Raijin
1
Speedtest über VPN-Tunnel
Antworten
17
Aufrufe
3.348
riversource
R
duAffentier
VPN Tunnel zweier Fritzboxen / NAS Datenaustausch über Synology Drive Share sync sehr langsam
Antworten
18
Aufrufe
2.708
duAffentier
duAffentier
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz