HTTPS für das gesamte Forum

Begrüße diesen Vorschlag sehr.
Mittlerweile bekommt man ja sehr gute Zertifikate mittlerweile Kostenlos, von daher ist es eigentlich nur eine Sache der Verwaltung und Mühe.

LG

Muss nicht seit dem 25. Mai jede Website, die persönliche Nutzerdaten abfragt, über eine sichere SSL-Verbindung verfügen?
Ist das auf Hifi-Forum.de etwa nicht der Fall?

GT und dann noch lmgtfy

Was soll denn bei einem Forum außer dem Login durch tls abgesichert werden?

https dient der Verschlüsselung des Datenverkehrs, um ein Auslesen unterwegs zu verhindern. Bei einem Forum macht das überhaupt keinen Sinn, weil die Informationen erstens sowieso öffentlich sind, und zweitens steht die URL im Klartext da und jedermann kann dieser folgen und lesen.

Man kann das Ergebnis des Postings lesen, aber man kann nicht ablesen, von welcher IP aus ein Beitrag verfasst wurde.
Noch dazu gibt es PNs.

Insofern ist das Verschlüsseln durchaus sinnvoll.

Hier mal die Antwort des Datenschutzbeauftragten des Hifi-Forums, die ich freundlicherweise per E-Mail erhalten habe, zum Thema.

(…) die DSGVO fordert lediglich die Einhaltung von Sicherheitsstandards. Einzelne Maßnahmen wie SSL-Verschlüsselung sind indessen nicht explizit vorgeschrieben. Der Login-Prozess auf Hifi.de ist durch eine SSL-Verbindung gesichert, so dass insbesondere Ihr Passwort nur verschlüsselt übertragen wird. Soweit aber öffentlich einsehbare Daten übertragen werden, etwa Forenbeiträge von Ihnen, erfolgt noch keine SSL-Verschlüsselung. Die Anforderungen an die Sicherheit sind hier niedriger, da diese Daten ja ohnehin veröffentlicht werden. Die Umstellung des gesamten Dienstes auf SSL-Verschlüsselung ist jedoch bereits begonnen worden. (…)

Gibts zu dem Thema was neues ist ja nun schon eine Weile her?

Ich glaube das Forum wird selbst im Jahr 2033 wenn alle Browser keine HTTP-Verbindungen mehr zulassen noch kein Zertifikat besitzen.

Hallo zusammen,

dazu muss der Betreiber sich melden. Ich habe ihn auf den Thread hingewiesen.

Viele Grüße
Frank
-Moderation Hifi-Forum-

Gibt es dazu etwas Neues? In 2019 ist das wirklich nicht mehr zeitgemäss; abseits dessen würde das Forum auch bessere Rankings z.B. von google erhalten, bzw. verliert im Ranking durch das Fehlen von SSL Verschlüsselung.

Ciao, Daniel

Das ist mein erster Beitrag hier. Ich bin Informatiker und eine Art Sicherheitsfanatiker (nichts Ernstes, keine Krankheit). Ich werde mal den Vorgang des Logins und des Betretens dieser Seite mit Wireshark unter die Lupe nehmen und mich bald zurück melden.

Bei einem öffentlich einsehbaren Forum ist https tatsächlich nicht zwingend. Die SSL-Geschichte beim Login hingegen schon, genauso wie die Speicherung der Passwörter in vorzugsweise "gesalzenen" Hashtables. In die Datenbank kann ich nicht hinein blicken aber ob meine Login-Daten verschlüsselt über das Netz gehen sehe ich auch mit Wireshark. In den deutschen IT-Infrastrukturen gibt es leider zu viele Datenbänke, die die Passwörter im Klartext speichern. Da kann man gleich auf Passwörter verzichten.

Da brauchst du kein Wireshark für, schau dir den Quelltext des Login-Formulars an. Wird alles verschlüsselt an https://login.hifi-forum.de/index.php geschickt:

Request URL: https://login.hifi-f...eadId=0&userAction=0 Request Method: POST Status Code: 200 OK Remote Address: 91.250.74.60:443

Die gilt allerdings nicht für die Formulare zum Rücksetzen des Passworts, oder für die Registrierung. Die Daten gehen unverschlüsselt raus.

Auch das man ein Passwort im Klartext per Mail bekommt ist seit vielen Jahren nicht mehr Stand der Technik, viele werden dieses Passwort einfach beibehalten.

Ciao, Daniel

Ok. Das ist nicht gut. Ich habe selbst einige https-Verbindungen eingerichtet. ein Glaubwürdiges Zertifikat ist da schon Pflicht, dann muss der Webserver auf https-rewrite konfiguriert werden und evtl. noch einige Sachen. Das war allerdings meine Infrastruktur.

Sofern ich das http für den Normalbetrieb hier akzeptieren kann, ist die unverschlüsselte Übertragung der Daten bei PW-Reset wirklich übel und muss schnell geändert werden.

Neue Passwörter in unverschlüsselter E-Mail sind nicht soooo tragisch, denn das erste was man danach tut, ist das Passwort zu ändern. Das darf jedoch kein Klartext mehr sein.

Noneatme (Beitrag #9) schrieb:

Ich glaube das Forum wird selbst im Jahr 2033 wenn alle Browser keine HTTP-Verbindungen mehr zulassen noch kein Zertifikat besitzen. :X

Damit könntest du recht haben, auch wenn ich glaube das die Browser schon wesentlich (!) früher keine http Verbindungen mehr erlauben werden.

Wirklich schade das hier nichts passiert.

Ciao, Daniel

Wieder 3 Monate rum, gibts schon was neues?

Nein - zumal in diesen Zeiten.

Okay dann frage ich in 3 Monaten nochmal.

Hüb' (Beitrag #17) schrieb:

Nein - zumal in diesen Zeiten. :prost

Das man seit einigen Wochen anderes und besseres zu tun hat steht völlig ausser Frage. Das dieses Thema seit Jahren verschlafen wurde und der Betreiber überhaupt nichts dazu verlauten lässt kann man aber auch nicht von der Hand weisen.

Ciao, Daniel

dan_oldb (Beitrag #19) schrieb:

(…) der Betreiber überhaupt nichts dazu verlauten lässt kann man aber auch nicht von der Hand weisen.

Dann lies bitte noch mal Beitrag #7.

George_Lucas (Beitrag #20) schrieb:

Dann lies bitte noch mal Beitrag #7. ;)

#7 erstellt: 13. Nov 2018, 21:17

2018 ...
das waren noch Zeiten ...

Nun, 2020, ist Port 80 obsolete!

Wer heute, 2020, seinem Router/Netzwerk noch ausgehend Port 80 erlaubt, der/die sollte sich das ganz ganz genau überlegen!

Selbst Updateserver für Betriebssysteme sind via https, also Port 443, erreichbar.

Leider muss ich ab und zu, nur um hier zu posten, ausgehend Port 80 öffnen.

Schön ist das nicht!

heini_001 (Beitrag #21) schrieb:

Leider muss ich ab und zu, nur um hier zu posten, ausgehend Port 80 öffnen. Schön ist das nicht! :(

Ja, leider etwas sehr Oldschool. Hat der Betreiber denn kein Interesse an seinem Google Ranking? Das wird ja deswegen auch schlechter - nur mal so angemerkt.

ManwithDog (Beitrag #22) schrieb:

Ja, leider etwas sehr Oldschool. Hat der Betreiber denn kein Interesse an seinem Google Ranking?

Die Werbung wird doch ausgeliefert, soweit man das (per Router) nicht unterdrückt ... und im Proxy noch sieht und dort ebenfalls nicht unterdrückt.

Nix gegen Werbung, aber bitte nicht über externe URLs!

Was aber interessant ist, ist das Zertifikat für https!

https://hifi-forum.de/

Da hat doch jemand gepennt.

https://login.hifi-forum.de
und
https://hifi.de

funktiionieren doch.

heini_001 (Beitrag #23) schrieb:

Die Werbung wird doch ausgeliefert, soweit man das (per Router) nicht unterdrückt ... und im Proxy noch sieht und dort ebenfalls nicht unterdrückt. Nix gegen Werbung, aber bitte nicht über externe URLs!

Das wirst Du nicht verhindern können wenn Platz für Werbung verkauft wird. Aber man kann da ja mit einem Pi-Hole was dagegen machen. Gehört m. E. sowieseo zur guten Netzhygiene dazu

ManwithDog (Beitrag #24) schrieb:

Das wirst Du nicht verhindern können wenn Platz für Werbung verkauft wird. Aber man kann da ja mit einem Pi-Hole was dagegen machen. Gehört m. E. sowieseo zur guten Netzhygiene dazu :)

Ich denke eher der Router* sollte das unterdrücken!

Hast du dir mal den Source-Code von Pi-Hole angeguckt?


* DNS-Filter

Wenn du ne "Plastetebox" aus Berlin oder gar einen Router von deinem ISP einsetzt ist das natürlich ein Problem.

Aber einfach zu sagen "Pi-Hole" einsetzen ist auch sehr fragwürdig!

K.A. warum der Betreiber von "hifi-forum.de" kein SSL, im Gegensatz zu "hifi.de" einsetzt ...

Evtl. wird seine Werbung nicht ausgeliefert?

heini_001 (Beitrag #25) schrieb:

Aber einfach zu sagen "Pi-Hole" einsetzen ist auch sehr fragwürdig!

Was ist an Pi Hole fragwürdig?

Der Betreiber wird einfach ne Menge Geld mit dieser Plattform verdienen, das ist alles.
Schaut euch doch an was uMatrix und uBlock rauswerfen. Sämtliche genannten Produkte in allen Freds sind mit den ganz "Großen" verknüpft". Jeder der hier mit macht und schreibt trägt im Wesentlichen dazu bei, bei den Großen sein Profil zu erweitern. So gerne man sich auch öffnet und Dinge teilt... ich kann nur davon abraten hier allzu persönliche Dinge zu posten.
Wer nochmal wissen will was https bringt, schaut hier nach https://www.eff.org/pages/tor-and-https
Bei Tor sieht das dann nochmal anders aus.

ManwithDog (Beitrag #26) schrieb:

Was ist an Pi Hole fragwürdig?

Die eigenen DNS-Server.

Guck dir mal die "Panik-Verkäufe" der Lancom 178x an.

Nur weil diese kein VDSL können heißt das noch lange nicht das sie dir dein (zweites) Netzwerk via xDSL nicht schützen können.

dns-filter funktioniert auch hier mit z.B.:

*.*-track.*

Da nutze ich doch lieber einen Router von Lancom, für ca. 40 Euro (mit aktueller Firmware), als sekundäres Gateway.

[quote="heini_001 (Beitrag #28)"][quote="ManwithDog (Beitrag #26)"]
Was ist an Pi Hole fragwürdig?[/quote]

[b]Die eigenen DNS-Server.[/b]/quote]
Sorry, aber das verstehe ich nicht. Ich nutze die DNS von Digitalcourage und CCC

Mir ist heute auch aufgefallen, dass dieses Forum die einzige Webseite ist, von den vielen, die ich seit vielen Monaten besuche, die noch kein HTTPS nutzt.

Sorry aber damit ist dieses Forum für mich gestorben.
Damit reit sich diese Webseite in die immer kleiner werdende Gruppe "dubioser Webseiten" ein, die keine vollständige Verschlüsselung nutzen.

Ich nutze mittlerweile überall entsprechende "Blocker", die mich garnicht erst auf HTTP Seiten mehr lassen und musste diese hier erstmal entblocken. Dadurch ist mir das auch sofort aufgefallen. Denn diese Warnung sehe ich wie gesagt wenn überhaupt nur alle par Monate einmal.



Ihr wisst aber schon, dass ihr damit die Privatsphäre eurer User preisgebt? Das Foren "ohnehin öffentlich sind", ist doch garkeine Ausrede! Die ForenUser sind hier nämlich ansonsten größtenteils anonym unterwegs.

Stellt euch mal folgendes praktisches Beispiel vor: Ein Forenuser sitzt in einem Caffee und nutzt dort das WLAN um den wertvollen mobilen Traffic zu sparen. Ein Fremder der das WLAN übernommen hat oder auch der Betreiber selbst (evtl. sogar ein Honeypot von einem Hacker eingerichtet) können ganz einfach alle unverschlüsselten Daten mitlesen. Private Nachrichten, das Profil, die eMailadresse und noch vieles mehr (je nachdem was dort alles preisgegeben wurde). Das anonyme Forenprofil kann jetzt der realen Person dahinter zugeordnet werden.
Theoretisch kann man auf diese Weise auch automatisiert ein Bewegungsprofil erstellen, in dem verfolgt wird, in welchen Netzwerken oder wann sich der entsprechende Hifi-Account einloggt, solange dieser, weil unverschlüsselt immer wieder erkannt werden kann (selbst wenn sich die IP oder das Gerät mit dem gesurft wird ändert).

Zweites Beispiel: Wenn Hacker sich in Firmennetzwerken einklinken wollen, wenden sie immer häufiger das sogenannte Social-Profiling ein. Die Mitarbeiter werden überwacht und Daten gesammelt, soweit dies denn möglich ist, um mit ihnen in Kontakt zu treten und sie dazu zu bringen, unbewusst Schadcode auf dem Firmenrechner zu installieren. Wenn die Interessen eines Mitarbeiters bekannt sind, können diese missbraucht werden. Der wird dann z.B. per Mail oder über dieses Forum entsprechend angeschrieben und bemerkt die List garnicht.
In Gang getreten wurde das dann z.B. weil der Mitarbeiter dessen Leitung überwacht wurde, sich in diesem Forum angemeldet hat und der Hacker plötzlich aufgrund der fehlenden Verschlüsselung alles mitlesen konnte. Über eine Firma eine unsichere Webseite wie diese hier aufzurufen ist ein Sicherheitsrisiko
für Firmennetzwerke. Weil viele Arbeitnehmer sich mit Cybersecurity nicht auskennen, ist denen das fast egal welche Webseiten sie von Firmenrechnern ansteuern ("ist ja das Hifi-Forum, dem vertraue ich...").

Das sind halt auch Beispiele dafür, dass der Spruch "ich hab ja nichts zu verbergen" einfach nur unglaublich dumm ist.

Wer seine eigene Privtsphäre nicht schützt, gefährdert in der heutigen Zeit damit auch viele andere, was z.B. in Firmenstrukturen schnell zu millionen Schäden wegen Werksspionage führen kann. Oder bestes privates Beispiel: Whatsapp, wo die Realnamen, Geburtsdaten etc. Anderer (Freunde, Famile) ohne deren Einwilligung großen Konzernen und Werbenetzwerken verraten werden, obwohl diese selber Whatsapp garnicht nutzen.

Ausserdem ist dieses Forum damit generell ein potentieller Tummelplatz für angehende Pentester oder halt schlimmeres. Sowas kann man in der heutigen Zeit einfach nicht mehr bringen. Und wenn dieses Forum schon nichtmal komplett verschlüsselt ist, wer weiß was hier noch für Lücken warten, die man missbrauchen kann, weil auch diese verschlafen wurden. Zumindest schadet es dem Ruf dieses Forums, zumindest bei denjenigen, für die das Internet kein völliges Neuland ist.

Sorry, aber ihr verschlaft dieses Forum kaputt, wenn ihr nicht bald was tut.

Vorgestern feierte dieser Thread seinen zweiten Geburtstag. Die letzte Reaktion des Betreibers ist 21 Monate her. Getan hat sich seitdem: nichts.

Eigentlich wurde hier ja schon alles gesagt, aber ich melde mich trotzdem nochmal hier zu um zu zeigen, dass es noch mehr Leute gibt, die das Forum gerne mit Zertifikat nutzen möchten.
Meinetwegen kann das auch eins von LetsEncrypt sein, aber wir haben 2020. Eine unverschlüsselte Webseite ist einfach nicht mehr zeitgemäß.

Das Problem mit dem Ausliefern von Werbung trotz https hat eigentlich jede Seite inzwischen irgendwie gelöst. auch auf hifi.de ist das Problem augenscheinlich gelöst.

2018 hat der Datenschutzbeauftragte doch folgendes geschrieben:

Die Umstellung des gesamten Dienstes auf SSL-Verschlüsselung ist jedoch bereits begonnen worden.

Wo liegt das Problem?

elidor (Beitrag #32) schrieb:

Wo liegt das Problem?

Am leeren Sparschwein...

Hallo!

Die vollständige Umstellung auf SSL wird auf jeden Fall in absehbarer Zeit erfolgen, was noch unklar ist, ist der Zeitpunkt.

LG Andreas

Ich würde mich auch freuen, wenn die 15! website übergreifenden tracker, die duckduckgo glücklicher Weise blockiert, nicht mehr zum Einsatz kämen.
Für mich ein no go.
Alles Gute

ak2 (Beitrag #34) schrieb:

Hallo! Die vollständige Umstellung auf SSL wird auf jeden Fall in absehbarer Zeit erfolgen, was noch unklar ist, ist der Zeitpunkt. LG Andreas :prost

Ist dir das, mit der Aussage, nicht peinlich ?

Wir haben den 03.10.2020.

Erinnert mich irgendwie an den BER.

Egal ob ihr jetzt einen Apache2 oder Nginx einsetzt.

Sie liefern alles was ihr haben wollt.

Für was noch die ganzen externe Tracker?

Ich bitte um Klärung!

Liebe Leute. Wir haben in den vergangen grob 10 Jahren, die ich in meiner jetzigen IT Firma arbeite, grob 100-200 Kunden (mit jeweils 1-50 Webauftritten) auf HTTPS umgestellt. In den letzten Jahren natürlich weniger, denn das ist mittlerweile ein uralter Hut, ein Nobrainer, eine Selbstverständlichkeit. Diese Umstellungen dauern typischerweise 30 Minuten, manchmal 2 Stunden, bei ganz schlecht programmierter eigener Software und sehr seltsamen Rahmenbedingungen auch mal einen Tag. Aber dann ist das Thema durch, erledigt, aus der Welt geschaffen.
Und ihr schafft es nicht in 2 Jahren nachdem dieser Wunsch aufkam das umzusetzen, sondern arbeitet daran seit Monaten/Jahren? Es geht mich nichts an, aber vielleicht könnt ihr ein wenig Glaubwürdigkeit herstellen wenn ihr kurz beschreibt warum das bei einem Forum so ein Akt ist. Vielleicht wendet ihr euch aber auch an einen Dienstleister der das für euch übernimmt, dann seit ihr damit demnächst durch.

Hatte leider übersehen, dass es hier schon einen Oldie-Thread zur Verschlüsselung der Website gibt, mein gerade erstellter Thread wurde daher (verständlicherweise) gelöscht, mit dem Hinweis ich soll mich hier (bei Bedarf) anhängen.

Was ich mal mach, auch wenns wahrscheinlich nichts ändert

Lg

Ich hab grad mal just4fun einen logout + login gemacht und den chromium debugger nebenbei laufen lassen.
Da ist _nichts_ mit SSL Verschlüsselung. Oders anders formuliert: der Betreiber der Seite verstösst gegen die DSGVO.

Das Login erfolgt über ein Javascript, welches auf einem externen verschlüsselten Server liegt.

Ich kenn mich da leider überhaupt nicht aus, aber sofern die Logindaten grundsätzlich auf dem Betreiberserver gespeichert werden, müssen diese ja auch wieder von dem externen Server mit dem Betreiberserver abgeglichen werden und das würde doch wieder über http laufen?

Das Login erfolgt über ein Formular das einen ganz klassischen Post an https://login.hifi-forum.de/ schickt, und das ist auch korrekt verschlüsselt. Ob das Logout auch verschlüsselt erfolgt habe ich nicht getestet, ist aber auch nicht sonderlich relevant weil dabei keine sensiblen Daten übertragen werden.
Der Login-"Server" steht auch nicht extern, sondern hat nur eine andere Subdomain als das Forum, es ist aber der gleiche Server bzw. hat die gleiche IP.
Es werden aber zusätzlich diverse Informationen zum Tracking an weitere Server übermittelt, z.B. an google Analytics, aber auch jede Menge detailierte Informationen zum Standort des Anschluss des Benutzers oder Details über den Browser etc. an ioam.de, was zu https://www.infonline.de/ gehört. Die werden aber auch explizit in der Datenschutzerklärung aufgeführt.

DSGVO-konform ist das Forum trotzdem nicht, da in der Datenschutzerklärung mehrfach u.A. auf das US Privacy Shield Abkommen verwiesen wird, welches seit fast einem halben Jahr für ungültig erklärt ist: https://de.wikipedia.org/wiki/EU-US_Privacy_Shield. Die Weitergabe von Daten an US Dienstleister ist daher so nicht gesetzeskonform möglich.

stimmt, mich hatte der code irritiert:
<form action="index.php?action=login_ssl&mode=verify&forumId=0&threadId=0&userAction=0" method="post" name="login">

weil dort nichts von https://... steht sondern auf die aktuelle url verwiesen wird, welche im falle von www.hifi-forum.de eben nicht ssl geschuetzt ist.
aber login.hifi-forum ist https, daher ist das ausfuehren des logins auch verschluesselt

Was kommt eher, Verfügbarkeit für allgemeinen Impfstoff gegen Covid-19 (SARS-CoV-2) für die Menschheit oder SSL für "hifi-forum.de" ?

Ich würd ja lachen, wenns nicht so traurig wäre ...

Nach den ganzen Trackern hier im Forum ...

Nein, man muss noch "funding choices messages" einbauen ...

Gehts noch!

Es gibt einfach keine Ausrede mehr, warum man ssl nicht zur Verfügung stellt.
Es folgt eine ganze Reihe problematischer Dinge aus diesem Verhalten:
- PM werden im Klartext übertragen, in einem Shared Medium wie WiFi unter "normalen Umständen" (also WPA2 ohne weitere innere Verschlüsselung) kann also jeder Nutzer vollkommen problemlos die PM mitlesen
- Inhalte können auf dem Weg verändert werden. SSL schützt nicht nur die Übertragung vor dem Einblick anderer, sondern auch vor der Veränderung. Es ist also vollkommen problemlos, mir einfach irgendetwas unterzuschieben, was der Seiten"betreiber" nicht vorsieht
- Kein Schutz vor Phishing. Wenn jemand meinen DNS beeinflusst merke ich das unter Umständen nicht einmal. Das betrifft schlimmstfall dann auch den Login-Bereich, denn der Nutzer ist die Warnung auf dieser Webseite ja leider schon gewohnt und ignoriert sie schlimmstenfalls auch noch bei der Passworteingabe. Wenn der Angreifer nicht auch das Zertifikat gestohlen hat, bekäme ich unter normalen Umständen (ja, https ist der normale Umstand heute) eine Warnung meines Browsers.

Und das sind nur die wichtigsten. Viele Firmennetzwerke gewähren den Zugriff auf derlei Seiten zurecht nicht mehr. Der Verlust des Google-Rankings ist auch vollkommen gerechtfertigt. Das Zusenden des Initialpassworts im Klartext ist auch wirklich nicht mehr Zeitgemäß, wenn darauf nicht eine zwingende (!!) Änderung des Passworts beim ersten Login erfolgt. Vollkommener Wahnsinn dieses Verhalten. Man sollte jedem die Rechte entziehen eine Webseite zu betreiben, der das so handhabt. Wie können diese 30 Minuten Umstellung ein Problem darstellen? Kosten sind damit auch keine mehr verbunden. Woran also scheitert es? An Engstirnigkeit oder Desinteresse? Mehr Gründe, außer wirklich die blankste Form der Inkompetenz, fallen mir nicht ein.

Hi,

unabhängig allfällig anderer Kritik ist das einfach falsch:

MBurock (Beitrag #44) schrieb:

- PM werden im Klartext übertragen, in einem Shared Medium wie WiFi unter "normalen Umständen" (also WPA2 ohne weitere innere Verschlüsselung) kann also jeder Nutzer vollkommen problemlos die PM mitlesen

selbstverständlich sind in per IEEE 802.11i (WPA2) geschützten Netzen die Übertragungen verschlüsselt. Das war schon per WEP so, nur dass man durch Aufzeichnen größerer Datenmengen die Schlüssel erraten konnte und danach die Daten entschlüsseln konnte.

Zar gab es auch schon Lücken in WPA2 Implementierungen, aber grundsätzlich verläuft der Funkdatenaustausch immer verschlüsselt.

Siehe: https://de.wikipedia.org/wiki/WPA2


LG Tom

soweit ich weis kann man sehr wohl traffic mit sniffen in einem regulaeren wifi netz.
ausprobieren waere relativ simpel (nur leider habe ich kein wlan :D)
wireshark installieren, wpa2 key hinzufuegen, ins netz verbinden und happy sniffing

sehe da ehrlich gesagt kein problem. bei firmennetzen mag das nochmal anders sein (radius server etc.), aber bei standard wpa2 sehe ich kein problem den traffic mitzulesen.

https://wiki.wireshark.org/HowToDecrypt802.11

[quote]
Hi,

unabhängig allfällig anderer Kritik ist das einfach falsch:

selbstverständlich sind in per IEEE 802.11i (WPA2) geschützten Netzen die Übertragungen verschlüsselt. Das war schon per WEP so, nur dass man durch Aufzeichnen größerer Datenmengen die Schlüssel erraten konnte und danach die Daten entschlüsseln konnte.

Zar gab es auch schon Lücken in WPA2 Implementierungen, aber grundsätzlich verläuft der Funkdatenaustausch immer verschlüsselt.

Siehe: https://de.wikipedia.org/wiki/WPA2


LG Tom
[/quote]


Ja, vor Außenstehenden. Der Schlüssel in WPA2 ist aber für alle Teilnehmer gleich. Das heißt jeder im Netzwerk kann mitlesen. Der verlinkte Artikel wäre da nicht der schlechtmöglichste Startpunkt um sich zu informieren.^

edit: mir ist unklar, warum das Zitat nicht funktioniert. Evtl ein dead char drin?

MBurock (Beitrag #47) schrieb:

edit: mir ist unklar, warum das Zitat nicht funktioniert. Evtl ein dead char drin?

Wenn du "Bearbeiten" anklickst, das Häckchen ins Kästchen "HF-Code aktivieren" setzt und den Beitrag abschickst, wird es funktionieren.

Der HF-Code wird dekaktiviert, wenn im HF-Code ein Fehler ist. Es reicht dann nicht denn Fehler zu beseitigen, sondern man muss zusätzlich den HF-Code wieder aktivieren.


Gruß

Uwe

Hi,

MBurock (Beitrag #47) schrieb:

Ja, vor Außenstehenden. Der Schlüssel in WPA2 ist aber für alle Teilnehmer gleich. Das heißt jeder im Netzwerk kann mitlesen. Der verlinkte Artikel wäre da nicht der schlechtmöglichste Startpunkt um sich zu informieren.^

hmmm ..... mag sein, aber nicht in Echtzeit, also man muss den Datenaustausch aufzeichnen und die jeweiligen Schlüssel auslesen.


Ich kenne das Problem nicht, weil ich mit OpenWRT mehrere SSIDs habe, mit unterschiedlichen Schlüsseln.

LG Tom

Nein, vollkommen in Echtzeit. Absolut problemlos. Man muss lediglich den promiscuous mode gehen mit dem Adapter. Vor anderen Teilnehmern des selben Netzes sind die Pakete schlicht ungeschützt.