Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
Dank https haste beim Banking und Co immer noch nen zusätzlichen Schutz, also Passwort in Klartext is nicht. VPN gibt einem dann nochmal ne Verschlüsselung oben drauf und wer auch immer das WLAN kontrolliert kann auch net sehen wohin man surft.
Setzte daher auf 2 VPN: Einen um GeoIP sperren zu umgehen und einen eigenen Zuhause nur für Sicherheitskritische Dinge.
Son Käse. Beschäftige dich mal mit Kryptografie. Bei ssl mit Zertifikaten wie es jede Bank einsetzt ist kein MITM Angriff möglich da siehste direkt im Browser wenn da was net stimmt.
Das pw wird eben nie im Klartext dabei übertragen, das ist ja auch der Sinn der ganzen Geschichte.
Dass du dich als Deutsche Bank ausgeben kannst bei einem MITM Angriff MIT gültigem Zertifikat will ich sehen..
Oder natürlich: sslsniff. sslsniff is designed to create man-in-the-middle (MITM) attacks for SSL/TLS connections, and dynamically generates certs for the domains that are being accessed on the fly.
Zertifikate erzeugen ist keine Kunst. Die Sache ist die dass sie aber nicht echt sind und der Computer nicht jeder dahergelaufenen falschen CA traut sondern nur bestimmte.
SSL allein hilft nicht gegen MITM Attacken, das ist aber schon immer so gewesen. Mit Zertificaten kann man aber sicherstellen dass man auch tatsächlich mit dem kommuniziert mit dem man glaubt zu kommunizieren.
sslsniff erstellt nen Zertifikat und der Browser spuckt dann daraufhin ne Wahnmeldung aus dass er der Stelle die das Teil ausgestellt hat nicht vertraut.
Wo bitte schön ist da was geknackt? Wenn die Adresszeile im Browser sich rot färbt muss man schon blind sein um das nicht zu bemerken oder 0 Ahnung haben was es zu bedeuten hat.
Wenn du aber beispielsweise bei FF links in grün stehen haste wer da am anderen Ende ist dann ist da alles sicher bei einem aktuellen System.
Man kann mit sslsniff verschlüsselten Verkehr mitlesen, aber dazu ist mehr nötig als nur das WLAN abzuhören, du musst die Zertifikate auch auf den Client bekommen und den Client dazu bekommen der eigenen erstellten CA zu vertrauen.
Man braucht also Zugriff auf den Client dafür, den hat der Admin eines Hotspots aber nicht.
Eignet sich daher nur zum Mitlesen bei eigenen Geräten, wenn ich wissen will was eine Anwendung oder App so über ssl rausschickt.
Steht auch alles im Netz daher solltest selbst drauf kommen warum das nicht funktioniert wie du das denkst.
Oder natürlich: sslsniff. sslsniff is designed to create man-in-the-middle (MITM) attacks for SSL/TLS connections, and dynamically generates certs for the domains that are being accessed on the fly.
Ja damit kann man trotz SSL mitlesen und ein MITM Angriff machen. Der Haken dadran ist aber dass du den Client vorher "modifiziert" haben musst damit es nicht auffällt.
Funktioniert also nicht so wie du dir das denkst.
Würdest du es als Revolution ansehen wenn dir einer sagt "ich kann verschlüsselten Datenverkehr mitlesen wenn ich dem Client vorher sage welchen Schlüssel er benutzen soll" ?
We have certificate for Sectechno.com; it is the last link at the certificate chaining (Root CA- Intermediate CA – Intermediate CA – Sectechno.com). Why don’t we make the site also as an intermediate? For example paypal.com or whatever the chain will looks like this (Root CA – Intermediate CA- Intermediate CA – Sectechno.com – paypal.com).
So here the browser will not check the value of these fields and he will determine it as a Root CA for paypal.com website and you can create certificate to any domain without the browser suspect that it is not a valid one.
Du brauchst nur eine gültiges Zertifikat für deine eigene Domain, mehr ist nicht nötig. Damit signierst du gefälschte Certs.
Wie sieht so eine Zertifizierung auf Serverseite aus? Der Webserver weiß, irgendwo liegen das Zertifikat, der Key und die Chain. Teilweise ist die Chain in der Zertifikatsdatei eingebaut. Kann man halten wie man will. Fragt jetzt jemand an, sendet der Server das Zertifikat sowie, falls vorhanden, die Chain raus.
Und hier greift der Client: Er guckt sich Zertifikat und Chain an. Wenn hier alles sauber aussieht, wird es wohl auch sauber sein.
Hast du ein sauberes Zertifikat, kannst du damit weitere Zertifikate signieren udn die Chain etwas verlängern. Solange du jetzt die neuen, manipulierten Zertifikate zusammen mit der Chain überträgst, wird der Client nicht stutzig. Er sieht ein Cert, er sieht eine Chain, beides passt, er weiß es nicht besser...
Und schon hast du deine grüne Adressleiste mit Schloss.
Du zitierst einen Artikel zu der Black Hat Veranstaltung im Jahr 2009. Da steht doch ganz klar drinnen das die dort eine Lücke von der Microsoft CryptoAPI ausgenutzt haben. Glaubst du wirklich das MS das nicht inzwischen gefixt hat nach 5 Jahren?
Das dies aber ein Problem ist was du geschildert hast und das es möglich ist, hat ja der Iran mit Google dezent vorgemacht.
