WLAN im ICE: HTTPS-Verbindungen zu Paypal sind nicht sicher

PCGH-Redaktion

PCGH-Redaktion

Kommentar-System
Teammitglied
Jetzt ist Ihre Meinung gefragt zu WLAN im ICE: HTTPS-Verbindungen zu Paypal sind nicht sicher

Der Heise-Verlag berichtet über eine Merkwürdigkeit in den kostenlosen WLAN-Netzen der Deutschen Bahn, die in der ICE-Flotte als "WIFIonICE" angeboten werden. Mindestens im Falle von Paypal wird keine sichere HTTPS-Verbindung aufgebaut, was Zahlungsvorgänge verhindert beziehungsweise unsicher macht. Möglicherweise wird der Fehler durch eine falsche DNS-Konfiguration verursacht.

Bitte beachten Sie: Der Kommentarbereich wird gemäß der Forenregeln moderiert. Allgemeine Fragen und Kritik zu Online-Artikeln von PC Games Hardware sind im Feedback-Unterforum zu veröffentlichen und nicht im Kommentarthread zu einer News. Dort werden sie ohne Nachfragen entfernt.

lastpost-right.png
Zurück zum Artikel: WLAN im ICE: HTTPS-Verbindungen zu Paypal sind nicht sicher
 
Bankgeschäfte über öffentlich Netze abwickeln?
Ich verstehe das nicht. So viele Daten werden da doch noch übertragen, also gibt es doch sowohl vom Volumen, als auch von der Geschwindigkeit her wenig Gründe, auf offene/fremde Wlan-Netze zurückzugreifen.
 
Eben, würde nie auf die Idee kommen. Vor allem nachdem wir im Kurs zum Fachinformatiker mit Sniffern rumgespielt und diese in öffentlichen WLANs getestet haben, um zu sehen, was wir so alles an Daten abfangen können. Eigentlich müsste man für sowas auch privat VPNs verwenden.
Aber wie schon oft gesagt, es gibt genug Dumme, die sich auf öffentlichen Rechnern in ihre Online-Banking-, Amazon- und verbundene E-Mail-Accounts einloggen und teilweise nicht mal mehr ausloggen. Auf Rechnern, bei denen schon festgestellt wurde, dass z.B. installierte Programme einfach verschwinden und die Betreiber plötzlich Panik schieben, wenn man dies an sie weiter gibt.
 
Und was genau konntet Ihr in Eurem Kurs bei einer HTTPS-gesicherten Verbindung (ohne MITM-Attack) genau "abfangen"? Bevor Du andere als "dumm" bezeichnest, solltest Du evtl. erst einmal das Prinzip verstehen. Bei einer Verbindung mit einem validen Zertifikat liest Du genau gar nichts mit. Das ist Sinn der Sache. Dabei ist es auch egal, ob Du im ICE oder bei Dir zu Hause bist. Das hat auch rein gar nichts mit VPN zu tun. Das hier beschriebene Problem ist ein anderes und in der Praxis kaum relevant. Jeder sollte in der Lage sein, zu verstehen, wenn der Browser mitteilt, dass dem Zertifikat nicht vertraut wird.

@Topic:

Mal wieder Symantec. Ich bin mal gespannt, wie sie das erklären. (Chrome soll ab sofort Zertifikate von Symantec herabstufen |
heise Security)
 
Ich hab trotzdem ein Abo für Freedom von F secure für öffentliche Wlans wenn man denn mal drauf angewiesen ist.
 
Und warum vertraust Du F-Secure mehr als dem Anbieter des WLAN? Wenn VPN, dann selbst aufbauen und über eigene Infrastruktur nutzen. Alles andere verlagert das Problem nur an eine andere Stelle.
 
Weil ich Laie mir denke dass ich im VPN weniger Mithörer habe als im offenen Wlan? Oder ist das ein Trugschluß bezüglich meinetwegen Gmail und was sonst so persönlich überträgt?
 
Wenn Du GMail aufrufst, ist die Verbindung ja verschlüsselt, falls Du das Webmail via https aufrufst oder anderweitig eine verschlüsselte Verbindung zum Mailserver aufbaust. Das kannst Du ja im Mailprogramm einstellen. Dann kann auch niemand in diesem WLAN mithören. Ich will damit nicht sagen, dass ein VPN überflüssig ist, aber es ist nicht unbedingt nötig und im Fall eines externen Anbieters hast Du auch keinerlei Kontrolle, was mit Deinen Daten passiert. Welche Daten hast Du aufgerufen, werden Deine Daten mitgelesen (MITM)... usw. Wirklich sicher kannst Du Dir nur sein, wenn Du ein eigenes VPN aufsetzt.
 
Also ich ging schon davon aus dass der Anbieter a la F Secure mitlesen kann, aber dass er mich eben nicht abzockt wie wenn ein unbekannter Dritter mitlesen könnte.

Ohne Vertrauen in die "Großen" dürfte man ja auch deren AVs nicht installieren weil sie alles mitbekommen.

Aber ok, kann man das Abo also auch auslaufen lassen.

Bisher ging ich eben davon aus, liegste mal zwei tage in der Klinik, wer weiß wer in deren Wlan alles nebenan vom Laptop snifft?

Zugangsdaten Sky go meinetwegen...
 
keinnick schrieb:
Und warum vertraust Du F-Secure mehr als dem Anbieter des WLAN? Wenn VPN, dann selbst aufbauen und über eigene Infrastruktur nutzen. Alles andere verlagert das Problem nur an eine andere Stelle.
Zum Vergrößern anklicken....

Um den Anbieter des WLANs geht es garnicht, sondern darum dass in einem öffentlichem WLAN jeder Depp mithören kann. Die wirklich wichtigen Dinge sind über HTTPS geschützt, wer allerdings ein Problem damit hat dass jeder Honk verfolgen kann welche Pornoseiten er benutzt, der sollte auf soetwas ausweichen. Ein VPN selbst aufsetzen erfordert einiges an Wissen und wenn man es falsch macht, dann ist man doch ungeschützt im Netz unterwegs. Für "Normalos" ist das auch nur bedingt eine Lösung, zumal der Heimrechner dann 24/7 mitlaufen muß.

keinnick schrieb:
Wenn Du GMail aufrufst, ist die Verbindung ja verschlüsselt, falls Du das Webmail via https aufrufst oder anderweitig eine verschlüsselte Verbindung zum Mailserver aufbaust. Das kannst Du ja im Mailprogramm einstellen. Dann kann auch niemand in diesem WLAN mithören. Ich will damit nicht sagen, dass ein VPN überflüssig ist, aber es ist nicht unbedingt nötig und im Fall eines externen Anbieters hast Du auch keinerlei Kontrolle, was mit Deinen Daten passiert. Welche Daten hast Du aufgerufen, werden Deine Daten mitgelesen (MITM)... usw. Wirklich sicher kannst Du Dir nur sein, wenn Du ein eigenes VPN aufsetzt.
Zum Vergrößern anklicken....

Wie gesagt, es geht um die Unverschlüsselten Inhalte, außerdem sorgt es noch für eine weitere schützende Ebene. Wirklich sicher ist man nur wenn man es ganz sein läßt.
 
Vielleicht bin ich ja altmodisch, aber ich wäre nie im Leben auf die Idee gekommen, in einem ICE eine Seite mit wirklich wertvollen oder sensiblen Daten aufzurufen. Wenn es beruflich ist, erwarte ich von meinem Arbeitgeber die Bereitstellung einer entsprechenden Internetanbindung über einen WLAN-Stick.

Für den privaten Gebrauch verzichte ich einfach auf so einen Mist. Muss man wirklich von überall Dinge kaufen, die man sonst gar nicht gekauft hätte, wenn man gerade nicht gelangweilt im Zug sitzt? Die Blauäugigkeit in der breiten Masse der Bevölkerung ist einfach nur noch schockierend.
 
Pu244 schrieb:
Um den Anbieter des WLANs geht es garnicht, sondern darum dass in einem öffentlichem WLAN jeder Depp mithören kann. Die wirklich wichtigen Dinge sind über HTTPS geschützt, wer allerdings ein Problem damit hat dass jeder Honk verfolgen kann welche Pornoseiten er benutzt, der sollte auf soetwas ausweichen.
Zum Vergrößern anklicken....

Wobei das auch jeder sehen würde, der hinter einem sitzt.
 
Pu244 schrieb:
[...] Ein VPN selbst aufsetzen erfordert einiges an Wissen und wenn man es falsch macht, dann ist man doch ungeschützt im Netz unterwegs. Für "Normalos" ist das auch nur bedingt eine Lösung, zumal der Heimrechner dann 24/7 mitlaufen muß.
Zum Vergrößern anklicken....

Es gibt inzwischen auch genug Router die einen VPN Server bereitstellen, und der läuft im Normalfall eh 24/7. Abgesehen davon, dass man ein VPN ja nicht nur nach Hause aufbauen kann.

BMWDriver2016 schrieb:
Einfach ein sicheres System wie iOS, MacOS oder Linux verwenden!
Zum Vergrößern anklicken....

Wie jetzt ein Unix Derivat dabei hilft, wenn man ein fremdes Zertifikat untergeschoben bekommt, würde mich jetzt auch mal interessieren...

DKK007 schrieb:
Wobei das auch jeder sehen würde, der hinter einem sitzt.
Zum Vergrößern anklicken....
:ugly:
4ec85b7e02d2bae894b0ca2f8fc4545e.jpg
 
Zuletzt bearbeitet:
AW: WLAN im ICE: Paypal-Nutzung ist ein Risiko

unverständlich...jedes 0815 Hotel im Ausland bietet kostenloses WLAN mit https.
 
Du missverstehst da etwas. Das "https", bzw. das Zertifikat kommt nicht vom Betreiber des WLAN, sondern i. d. R. vom Zielserver. Im Fall der DB kommt das falsche Zertifikat wohl aber vom CDN-Anbieter Akamai:
Update vom 19. Mai, 18 Uhr: Ein zugfahrender Leser hat weiter nachgeforscht und festgestellt, dass im WIFIonICE der Name Bargeldloses Bezahlen - Online Shopping | PayPal DE zu einem Content-Delivery-Server von Akamai mit der IP-Adresse 23.46.119.241 aufgelöst wird. Ein Sprecher der Deutschen Bahn erklärte gegenüber heise Security unterdessen: "Wir haben den Fehler nachvollziehen können und arbeiten daran, ihn schnellstmöglich zu beheben."
Quelle: Vorsicht beim Shoppen im Zug: WIFIonICE manipuliert PayPal |
heise Security
Zum Vergrößern anklicken....

Ein User im Heise-Forum hat da auch eine interessante und IMHO recht plausible Vermutung: Akamai | Forum - heise online
 
AW: WLAN im ICE: Paypal-Nutzung ist ein Risiko

sonny1606 schrieb:
unverständlich...jedes 0815 Hotel im Ausland bietet kostenloses WLAN mit https.
Zum Vergrößern anklicken....

Ich glaube hier muss jemand nochmal dringend recherchieren...
Niemand kann alles wissen, aber wenn man (offensichtlich!) keine Ahnung hat, sollte man vielleicht nicht vorschnell urteilen.
 
The-GeForce schrieb:
Vielleicht bin ich ja altmodisch, aber ich wäre nie im Leben auf die Idee gekommen, in einem ICE eine Seite mit wirklich wertvollen oder sensiblen Daten aufzurufen. Wenn es beruflich ist, erwarte ich von meinem Arbeitgeber die Bereitstellung einer entsprechenden Internetanbindung über einen WLAN-Stick.

Für den privaten Gebrauch verzichte ich einfach auf so einen Mist. Muss man wirklich von überall Dinge kaufen, die man sonst gar nicht gekauft hätte, wenn man gerade nicht gelangweilt im Zug sitzt? Die Blauäugigkeit in der breiten Masse der Bevölkerung ist einfach nur noch schockierend.
Zum Vergrößern anklicken....

manchmal ist es auch einfach der Unsinn den andere verzapfen der völlig schockierend ist!!!

Der beste Stick bringt dir nichts im ICE:

- kein Stick aus dem Handel macht eine Kanalbündelung über alle Netzprovider
- kein Stick aus dem Handel kann etwas gegen die Scheiben im ICE machen

Und warum sollte man nicht PayPal im ICE nutzen? Du vlt nicht...du nutzt den ICE evtl mal für den Urlaub, andere benutzen den ICE täglich wie die S-Bahn. Zumal die Sicherheit einer Seite per se erstmal nichts mit dem WLAN zu tun hat, sondern mit dem SSL Zertifikat für die HTTPS Verbindung. Ist diese sauber, würde ich auch ein Wlan in Nordkorea nutzen. Jeder aktuelle Browser wird beim Handshake die höchste Sicherheit mit der Server aushandeln, also zb. TLS 1.2 mit AES256 und einer elliptischen Kurve. Dazu geben gesicherte Server an, welche Reihenfolge an Ciphersuiten sie dem Client / Browser anbieten wollen, usw..

In diesem konkreten Fall signalisiert ebenfalls der Browser durch ein rotes und durch gestrichenes HTTPS das mit der Verbindung etwas nicht passt... Das Problem bei der Bahn gab es aber schon seit der Einführung des kostenlosen WLAN vornehmlich passierte es immer dann, wenn eine SSL Verbindung aufgebaut werden sollte, man sich aber noch nicht in der Bahn Website auf "online gehen" geklickt hat....

Das alles ist es jetzt auch gar nicht so dramatisch, man meldet den Fehler und dieser wird korrigiert...das passiert in der IT nunmal. Hier kam ja kein HTTPS Proxy mit nem man in the middle in den Einsatz ^^

Also bitte denk erstmal drüber nach, bevor du etwas schreibst.....
 
Einloggen o. Registrieren zum Antworten.

Ähnliche Themen

PCGH-Redaktion
News Windows 11: Neues Feature erlaubt endlich WLAN-Verbindung per QR-Code
Antworten
0
Aufrufe
132
PCGH-Redaktion
PCGH-Redaktion
PCGH-Redaktion
News Gigabyte Eagle Ice: Supervarianten mit 4070 (Ti) zeigen sich in Weiß
Antworten
2
Aufrufe
424
ΔΣΛ
ΔΣΛ
PCGH-Redaktion
News Tracking trotz VPN: Fehler in ExpressVPN führte zur Offenlegung von DNS-Anfragen
Antworten
4
Aufrufe
662
empy
E
Tyler
VPN by Google One und Simple DNSCrypt
Antworten
1
Aufrufe
11K
Tyler
Tyler
PCGH-Redaktion
News Ihr Paypal-Konto ist vorübergehend eingeschränkt: Verbraucherzentrale warnt vor Phishing-Mail
Antworten
17
Aufrufe
1K
T-MAXX
T-MAXX
Oben Unten
Zurück