Google und Konsorten haben uns gezwungen, unsere Webseiten auf https-Verschlüsselung beim Abruf umzustellen. Begründung: Das soll alles sicherer werden.
Anzeige
HTTP-Sites werden als "nicht sicher" gekennzeichnet
Seit Google angekündigt hat, in seinem Browser nur noch per https abgerufene Webseiten als sicher zu klassifizieren, ziehen auch andere Browserhersteller wie Mozilla mit dem Firefox nach. Beim Google-Browser wurde das im Sommer 2018 eingeführt. Der Chrome 68 zeigt die Warnung "Nicht sicher" auf allen HTTP-Seiten an. Die Entwickler hatten dies in einem Blogbeitrag angekündigt, der am 8. Februar 2018 auf Googles Chromium- und Online Security Blogs- veröffentlicht wurde.
Um sicherzustellen, dass die Warnung Not Secure für Seiten in Chrome 68 nicht angezeigt wird, empfehlen die Entwickler den Publishern die Migration ihrer Website auf HTTPS. Der Migrationsleitfaden (https://goo.gl/8DVbPu) enthält Migrationsempfehlungen und geht auf allgemeine Migrationsprobleme wie SEO, Werbeeinnahmen und Performance-Auswirkungen ein.
Inzwischen hat ein Großteil der Webseitenanbieter die Auslieferung ihrer Seiten auf https-Verschlüsselung umgestellt. Wer noch mit http ausliefert, sieht sich dem Problem ausgesetzt, dass Besucher abgeschreckt werden, wenn die Leute im Browser die Webseite als nicht sicher angezeigt bekommen.
Die Phisher haben verstanden
Die Botschaft ist angekommen – zumindest bei den Phishing Site-Betreibern. Mehr als die Hälfte von denen verwendet für Phishing-Kampagnen Hosts, die per https ausliefert – so geht Fortschritt. Catalin Cimpanu weist in folgendem Tweet auf diese Entwicklung hin, wobei sich sein Beitrag auf diesem Artikel von Phishing-Labs basiert.
Anzeige
More Than Half (58%) of Phishing Sites Now Use HTTPShttps://t.co/NbuM1SGDHx pic.twitter.com/OCTWItL0y8
— Catalin Cimpanu (@campuscodi) 20. Juni 2019
Bis Ende des ersten Quartals 2019 haben mehr als die Hälfte aller Phishing-Websites den Einsatz von HTTPS genutzt, der Anteil liegt mittlerweile bis zu 58%. Dies ist ein wichtiger Meilenstein und zeigt, dass die Handlungen der Cyber-Kriminellen sich oft denen der Mehrheit der Nutzer angleichen.
Problem: https-Verschlüsselung heißt nicht Seite ist sicher
Ein großes Problem, es wird nach nachfolgend in den Kommentaren diskutiert: Eine per https ausgelieferte Webseite ist vom Inhalt per se nicht sicherer als eine mit http ausgelieferte Webseite. Die Verwendung des HTTPS-Protokolls bedeutet einfach, dass eine Website beim Senden von Informationen zwischen dem Server und dem Browser eine verschlüsselte Kommunikation verwendet.
Verwendet ein Angreifer nun eine https-Webseite für Phishing, z.B. mit einem gefälschten Anmeldebildschirm für Twitter, kann er über diese Website immer noch die Anmeldeinformationen des Benutzers abgreifen – jetzt zumindest aber ist die Kommunikation des Browsers mit dieser Phishing-Webseite 'sicher'. Die HTTPS-Unterstützung auf einer Phishing-Site ist einfach ein weiteres Social Engineering-Merkmal bzw. ein erforderliches Feature. Der https-Support verhindert schlicht, dass der Besucher vom Browser eine 'rote Warnmeldung, die Seite ist nicht sicher' angezeigt bekommt.
Die Phisher setzen übrigens nicht unbedingt einen eigenen https-Server auf, sondern kapern fremde Webseiten. Wenn deren Anteil mit https-Support steigt, wird auch der Anteil der Phishing-Seiten mit https-Unterstützung steigen.
Ähnliche Artikel:
Chrome 68 mit http-Warnung
Chrome-Bug zeigt https als unsicher an
Neuer Phishing-Trick in Google Chrome für Mobilgeräte
Sennheiser: Software mit Root-Zertifikat bricht https-Sicherheit
Bing/Edge bietet bei der Suche nach Chrome Phishingseite an
Anzeige
Ich würde urteilen: Die Kriminellen bleiben immer am Ball und gehen mit der Zeit.
Auf https Webseiten geht eben mehr und sie fallen weniger auf.
Du missverstehst, wofür HTTPS da ist. Niemand behauptet, HTTPS sei "sicher" oder würde "gegen Phishing" schützen. HTTPS hat schon immer bedeutet, dass die Verbindung zwischen Server und User privat ist und nicht von Dritten abgehorcht werden kann – das kann eben auch eine Verbindung zwischen einem Phisher und dem User sein.
Dass sich der Irrglaube so hält liegt vermutlich auch daran, dass Browser HTTPS falsch kennzeichnen (bzw. HTTP -> "nicht sicher"). Aber das wird sich in Zukunft wohl alles ändern, wenn HTTPS nicht mehr extra als sicher, sondern als standardmäßige Verbindung markiert wird – so wie HTTP heute. Und man nur HTTP extra kennzeichnet.
'Lass ihm doch, der Kleine will nur provozieren' ;-).
Mir ist schon klar, wofür https als Transportprotokoll steht. Aber der normale Nutzer bekommt das i.d.R. nicht mit – ihm wird im Browser der Zugriff auf die Seite verweigert, oder es wird gewarnt, weil unsicher.
Ich denke – so sinnvoll https bei Allem, was den Schutz übertragener Daten (z.B. bei logins) ist – so kontraproduktiv ist die Anzeige 'unsicher' bei allen Webseiten. Im Umkehrschluss suggeriert das dem Nutzer 'https' ist grün und sicher – was aber nur, wie Du das oben richtig ausführst, die Transportverschlüsselung betrifft.
Das ist im obigen Kontext meines Artikels als Aussage zu sehen. Und auf den Umstand, dass die Sicherheitslösung mancher Hersteller dann eigene Zertifikate auf den Clients installieren, um in die verschlüsselten https-Verbindungen rein schauen zu können, im Zweifelsfall aber mit diesen Zertifikaten die TLS-Verschlüsselung bricken, möchte ich erst gar nicht eingehen.
Jetzt nochmal ganz kurz, gibt es ohnehin nicht Filterlisten für uBlock um Phishing-Domains (sofern bereits bekannt) zu Sperren? Ich sehe in meinem uBlock eine Menge filter gegen Malware-Domains die paypal nachahmen.
Der gemeine Hans Hugo nutzt ja nur AdBlock mit Standardfiltern.
Wir könnten es alle so einfach haben, würde die 0815-Nutzer uns zuhören.
Eben, die Anzeige "unsicher" und "sicher" ist das große, ungelöste Problem.
Mein Kommentar sollte jetzt nicht böse gemeint sein oder so :-)
"Niemand behauptet, HTTPS sei "sicher" oder würde "gegen Phishing" schützen."
Habe ich auch nichts von geschrieben. Aber netter Versuch mich aufzuklären :-)
Ich meinte auch nicht dich, sonst hätte ich ja auf dich geantwortet :P
ERROR-40 wie immer.
1) Punycode abstellen https://de.wikipedia.org/wiki/Punycode
2) Paypal / Online Banking nur über korrekte, eigene Bookmarks ausführen
3) Zeritikate ansehen bevor man "irgendwo" sensible Daten eingibt, es um Geld geht
So einfach ist das? Ganz genau!
https://himbeerfarm.wordpress.com/2013/10/05/der-so-einfach-ist-das-mann/
Ja, und dann gibt es Firmen, die ihre Zertifikate nicht rechtzeitig erneuern…
Zum Beispiel:
Diese Verbindung ist nicht sicher
Der Inhaber von http://www.micro-trains.com hat die Website nicht richtig konfiguriert. Firefox hat keine Verbindung mit dieser Website aufgebaut, um Ihre Informationen vor Diebstahl zu schützen.
http://www.micro-trains.com verwendet ein ungültiges Sicherheitszertifikat. Das Zertifikat ist am Sonntag, 23. Juni 2019, 16:17 abgelaufen. Die aktuelle Zeit ist Montag, 24. Juni 2019, 14:16. Fehlercode: SEC_ERROR_EXPIRED_CERTIFICATE
Die Webseite ist übrigens völlig harmlos.