Julian Hofmann: SSL - Ab wann verschlüsselt?

Hallo, liebe Gemeinde.

Ab wann sind übertragene Daten bei SSL eigentlich genau verschlüsselt?

Hintergrund ist folgender: Auf der Homepage der HypoVereinsbank ist die Login-Möglichkeit für Internetbanking auf der normalen (Start-)Seite. erst die Zieladresse des Formualrs geht auf eine "https://.."-Adresse. Das heißt doch, dass bei der erstmaligen Übertragung von Daten (also dem Login) diese Daten noch unverschlüsselt durchs Netz jagen, oder?

Wollte mich nur nochmal vergewissern bevor ich denen mal maile...

Grüße aus Würzburg
Julian

  1. Hi Julian,

    Hintergrund ist folgender: Auf der Homepage der HypoVereinsbank ist die Login-Möglichkeit für Internetbanking auf der normalen (Start-)Seite. erst die Zieladresse des Formualrs geht auf eine "https://.."-Adresse. Das heißt doch, dass bei der erstmaligen Übertragung von Daten (also dem Login) diese Daten noch unverschlüsselt durchs Netz jagen, oder?

    das eingesetzte Protokoll wirkt ab dem Senden durch Deinen Browser - nicht erst am dem Empfangen durch den Server. Wenn Dein Browser einen URL der Methode "https" ansprechen will, dann reagiert dieser Server sinnvollerweise nur auf Anforderungen, die bereits SSL-verschlüsselt sind - eben genau, um das von Dir befürchtete Problem gar nicht entstehen zu lassen.

    Überhaupt sind Zugriffe in Protokollen wie HTTP und HTTPS ja gedächtnislos. Du könntest sehr wohl eine bookmark auf dem SSL-URL gesetzt und diesen nach Browser-Start direkt angesprochen haben. Dann gab es kein "vorher" ...

    Viele Grüße
          Michael

    --
    T'Pol: I apologize if I acted inappropriately.
    V'Lar: Not at all. In fact, your bluntness made me reconsider some of my positions. Much as it has now.
    1. Hallo Michael.

      das eingesetzte Protokoll wirkt ab dem Senden durch Deinen Browser - nicht erst am dem Empfangen durch den Server.

      Hm. Weiß aber nicht mein Browser erst nach dem Empfangen per https wie verschlüsselt wird. Oder ist das Zertifikat das bei dem ganzen Spaß genutzt wird ausschließlich der Beleg dafür, dass ich an den richtigen Server schicke und von der Verschlüsselung ganz unabhängig.

      Hab mich zugegebener Maßen noch nie so richtig mit SSL/https befasst, muss jetzt aber bankmäßig damit arbeiten.

      Grüße aus Würzburg
      Julian

      1. Hi Julian,

        Hm. Weiß aber nicht mein Browser erst nach dem Empfangen per https wie verschlüsselt wird.

        um mit dem SSL-Server dieses Verfahren auszuhandeln, muß er ja noch keine echten Formular-Inhalte senden.

        Hab mich zugegebener Maßen noch nie so richtig mit SSL/https befasst

        Ich auch nicht. Aber wenn SSL als Betriebsvoraussetzung einen _vorherigen_ Handshake benötigt, dann wird der eben vorher statt finden und nicht mittendrin.

        Viele Grüße
              Michael

        --
        T'Pol: I apologize if I acted inappropriately.
        V'Lar: Not at all. In fact, your bluntness made me reconsider some of my positions. Much as it has now.
        1. Hallo Michael.

          Aber wenn SSL als Betriebsvoraussetzung einen _vorherigen_ Handshake benötigt, dann wird der eben vorher statt finden

          Hm, klingt irgendwie auch logisch. Und, ja ich schäme mich, eine ganz simple Suche unter http://www.ssl.de erklärt das auch ganz schön. Bevor Daten übertragen werden, wird wirklich erst mal die Verbindung entsprechend geklärt zwischen Browser und Server.

          Danke auf jeden Fall. Jetzt kann ich ja beruhigt ins Bett gehen.

          Grüße aus Würzburg
          Julian

  2. Hallo Julian,

    Hintergrund ist folgender: Auf der Homepage der HypoVereinsbank ist die Login-Möglichkeit für Internetbanking auf der normalen (Start-)Seite. erst die Zieladresse des Formualrs geht auf eine "https://.."-Adresse. Das heißt doch, dass bei der erstmaligen Übertragung von Daten (also dem Login) diese Daten noch unverschlüsselt durchs Netz jagen, oder?

    Nein, die Daten werden schon verschlüsselt, das ist nicht das Problem. Das Problem ist eher, dass das Formular nicht über SSL übertragen wird. SSL stellt nicht nur Verschlüsselung zur Verfügung, sondern auch die Authentifizität des Gegenübers über Zertifikate. (d.h. der Webserver kann sozusagen »beweisen«, dass er wirklich zur Bank und nicht zum Dieb gehört) Wenn das Formular aber nicht über SSL übertragen wird, dann könnte jemand das Formular fälschen und somit die Zieladresse manipulieren, ohne dass der Benutzer etwas merkt. Dadurch würde der Benutzer auf eine andere Seite umgeleitet werden, ohne dass er es sofort merkt (wer schaut schon jedes Mal in den Source?) und würde seine Daten preisgeben. In der aktuellen iX stand genau zu dem Thema etwas, ich glaube sogar, dass die HypoVereinsbank als Beispiel erwähnt wurde.

    Daher: _Alle_ kritischen Seiten, auch Formulare, sollten über SSL zu erreichen sein. Lieber ein Click mehr (um auf die Login-Seite zu kommen) als ein leeres Konto.

    Christian

    --
    Ich bitte darum, dass ein Themenbereich (BARRIEREFREIHEIT) eingerichtet wird.