Ich wurde neulich stark an die Gefährlichkeit von unsicheren Websites erinnert.
Ich nutze Xfinity als Internetdienstanbieter und sie stellen mir ein Gerät zur Verfügung, das sowohl ein Kabelmodem als auch ein Router ist.
Hier ist eine kleine Hintergrundgeschichte. Ich benutze ein VPN und stellte fest, dass das VPN nicht funktionierte, wenn ich direkt das Modem des Anbieters verwendete. Ich bin mir nicht sicher warum. Ich habe nicht weiter nachgeforscht, da ich ein eigenes Modem besitze, das ich lieber verwende. Also habe ich dieses angeschlossen, was funktionierte... aber nicht besonders gut. Die Verbindung war fleckig und langsam, selbst direkt in meinem eigenen Haus.
Ich glaube (vielleicht?), dass es mit konkurrierenden WLAN-Signalen von den beiden Routern zusammenhing, die direkt nebeneinander standen. Zitieren Sie mich nicht darauf. Der Grund, warum ich das denke, ist, dass ich glücklicherweise den Router auf dem Xfinity-Gerät ausschalten konnte und das Problem behoben war. Die Geschwindigkeit und Konnektivität waren wiederhergestellt. Zu ihrem Verdienst war es *wirklich* schnell. Das Xfinity-Gerät hat eine Funktion namens „Bridge Mode“, die speziell zum Ausschalten des Routers dient, damit Sie Ihren eigenen verwenden können. Ich konnte das aktivieren, meinen eigenen Router verwenden, die Geschwindigkeit wiederherstellen und eine Verbindung zum VPN herstellen.
Gewonnen! Das hielt ein paar Monate an. Dann gab es kürzlich eine seltsame, große Internetunterbrechung in unserem Gebiet. Xfinity informierte uns darüber. Sie mussten einige Updates oder Ähnliches auf unser Gerät übertragen, und das hat alles wieder kaputt gemacht. Ich habe tagelang damit gekämpft, aber was letztendlich funktionierte, war das Ausschalten des Bridge Mode und das erneute Einschalten (ist es nicht immer so?).
In diesen Zwischenzeiten war das Einzige, was ich tun konnte, um online zu gehen, mich mit dem SSID „xfinitywifi“ zu verbinden, das dieser Router zu senden schien. Dieses „xfinity“-Netzwerk ist ungewöhnlich, da es sich ähnlich wie ein Hotspot in einem Café oder einer Universität verhält, bei dem ein seltsames Browser-Modal erscheint und Sie sich mit Ihren (Xfinity)-Zugangsdaten anmelden müssen. Es ist eine Mehrwertfunktion für ihren Service. Ihre Router sind überall verteilt, daher erhalten Kunden von ihnen an vielen Orten Internet (kostenlos). Meine Verlobte war neulich beim Arzt und hat es dort benutzt.
Wenn Sie mit diesem Netzwerk verbunden sind, **führt Xfinity Man-in-the-Middle-Angriffe auf Websites durch**, um Ihnen Nachrichten zu senden. Hier ist ein Beispiel, wie ich nur eine (nicht sichere) Website aufrufe.
Man-in-the-Middle, was bedeutet, dass diese Website keinen solchen Popup in ihrem Code hatte. Xfinity hat die Anfrage abgefangen, gesehen, dass es sich um eine Website handelte, und gewaltsam eigenen Code in die Website eingefügt. In diesem Fall, um für eine App zu werben und Sie über Sicherheit zu informieren. Triefend vor Ironie.
Wenn sie das tun können, stellen Sie sich vor, was sie sonst noch tun können. (Sehr empfehlenswertes Hören: ShopTalk #250) Sie könnten aggressiver mit Werbung umgehen. Bestehende Werbung durch eigene ersetzen. Einen Keylogger installieren. Über Ihre Aktivitäten und Ihren Standort berichten. Sie wissen vielleicht nicht einmal, ob etwas passiert.
Das mag ein wenig nach Aluhut klingen, aber bedenken Sie: Sie wurden bereits dazu angeregt, dies zu tun. Alle Anreize sind vorhanden, um aus dieser Superkraft, die sie besitzen, weiterhin Wert zu schöpfen.
Einige gute Nachrichten: **Einzelne Websites können dies mit HTTPS verhindern.** Das ist ein massiv guter Schritt. Mit HTTPS sind die Datenpakete verschlüsselt und Xfinity kann sie nicht effektiv lesen oder manipulieren. Über Metadaten können sie möglicherweise erraten, was es ist (z. B. wissen, dass Sie streamen, und die Geschwindigkeit drosseln), aber viel mehr können sie nicht tun.
Es ist nicht nur diese einzelne Unhöflichkeit, Xfinity nutzt diese Taktik auch, um Ihnen andere Nachrichten zu senden.
@chriscoyier @XFINITY So warnen sie Sie auch vor Bandbreiten- oder Abrechnungsproblemen. Nicht lustig.
— David Bisset (@dimensionmedia) 24. Februar 2017
@chriscoyier @XFINITY Ich habe gesehen, wie ein ISP Anzeigen zur Bing-Startseite hinzugefügt hat. 😕
— AKT (@itsakt) 25. Februar 2017
Das ist diese doppelte Portion an Schrecklichem
- Ernsthaft?! Sie verlangen von mir, dass ich eine Box in meinem Haus habe, die einen öffentlichen WLAN-Hotspot sendet,
den ich nicht ausschalten kann?Sie sind automatisch angemeldet, aber Sie können ihn ausschalten. - Ernsthaft?! Sie nutzen diesen Hotspot, um Man-in-the-Middle-Angriffe auf jeden durchzuführen, der ihn nutzt?
Ich bin sicher, dass es nicht nur Xfinity ist, es ist nur das, was ich jetzt benutze und jetzt mit eigenen Augen gesehen habe. Um es klar zu sagen, ich bin sicher, ich habe etwas unterschrieben, das es ihnen erlaubt, alles zu tun, was sie tun, und ich glaube nicht, dass das, was sie tun, technisch illegal ist (nochmal, zitieren Sie mich nicht darauf).
Wütend auf sie zu sein und sie darüber zu informieren, ist ein guter Schritt. Zurückkämpfen ist ein weiterer. Internetzugang ist lebenswichtig, also müssen Sie etwas nutzen, aber wenn Sie eine Wahl haben, gibt es dann einen ISP, der das nicht tut? Nutzen Sie diesen. Geld spricht.
Nochmals, HTTPS löst dies auf Website-Basis. Jeff Atwood fasst dies gut zusammen
Sie haben ein unveräußerliches Recht auf Privatsphäre, sowohl in der realen Welt als auch online. Und **ohne HTTPS haben Sie keinerlei Online-Privatsphäre** – gegenüber jedem anderen in Ihrem WLAN, gegenüber Ihrem Netzwerkbetreiber, gegenüber Website-Betreibern, gegenüber großen Unternehmen, gegenüber der Regierung.
**Die Leistungseinbuße von HTTPS ist verschwunden**, tatsächlich performt HTTPS auf modernen Geräten sogar besser als HTTP.
**Die Nutzung von HTTPS bedeutet, dass niemand den Inhalt Ihres Webbrowsers manipulieren kann.** Dies war vor fünf Jahren eine eher abstrakte Sorge, aber heutzutage gibt es immer mehr Fälle, in denen Upstream-Anbieter aktiv die Daten manipulieren, die durch ihre Leitungen fließen. Wenn Comcast beispielsweise feststellt, dass Sie einen Urheberrechtsverstoß haben, fügen sie **Banner in Ihren Webinhalt ein** ... Ihren *gesamten* Webinhalt! Und das ist, wie das gute Szenario aussieht – oder zumindest ein Unternehmen, das versucht, die Regeln einzuhalten. Stellen Sie sich vor, wie es aussieht, wenn jemand oder ein großes Unternehmen beschließt, dass die Regeln nicht für sie gelten?
Der Wechsel zu HTTPS ist nicht trivial und führt zu etwas komplizierten Abhängigkeiten. Es ist leicht, zu vergessen, Ihr Zertifikat zu erneuern und Ihre gesamte Website damit lahmzulegen. Ich argumentiere nicht gegen HTTPS (genau das Gegenteil), aber Sie sollten wissen, dass es etwas Vorabarbeit und sorgfältige Wartung erfordert.
Wenn Sie wie ich auf WordPress sind, habe ich aufgeschrieben, wie ich vor fast zwei Jahren zu komplettem HTTPS umgestellt habe. Es beinhaltete sogar ein wenig Datenbankarbeit, um URLs an die richtigen Stellen zu lenken.
SSL-Zertifikate (die Hauptvoraussetzung für HTTPS) kosteten traditionell Geld. Nicht mehr! Let’s Encrypt ist da
Lets Encrypt ist eine kostenlose, automatisierte und offene Zertifizierungsstelle.
Es gibt ein in Bearbeitung befindliches WordPress-Plugin dafür. Hoffen wir, dass das Fahrt aufnimmt. Erst vor wenigen Tagen habe ich die Let’s Encrypt Plesk-Erweiterung verwendet, um HTTPS auf der Website von ShopTalk einzurichten, und es hat etwa 5 Minuten gedauert. Das werde ich bald aufschreiben müssen.
Schauen Sie sich auch den wirklich hervorragenden Moving To HTTPS Guide an.
Eine Community-Website, die Website-Betreibern hilft, mit einem einfachen, getesteten Prozess zu HTTPS zu migrieren. Ermöglicht Ihnen, den Plan nach mehreren Plattformen (WordPress, Magento und mehr), Hosting-Umgebungen (cPanel, Apache und mehr) sowie dem Grad der Kontrolle / des Zugriffs, den Sie über die Website haben, zu filtern.
Zu „verlangen, dass ich eine Box habe“ – Sie können Ihr eigenes Modem verwenden, solange es ihren Spezifikationen entspricht (viele DOCSIS 3 tun das). Hat nichts mit Ihrem Hauptpunkt zu tun, nämlich dass ihre Praktiken vermieden werden sollten, aber ich dachte, ich erwähne es.
Sie haben es zunehmend schwieriger gemacht, besonders wenn Sie ein gebündeltes digitales Telefon haben und ein unterstütztes Modem finden müssen.
Ich erhielt gerade eine Fehlermeldung, als ich versuchte, dieses dumme öffentliche WLAN zu deaktivieren, und dann erinnerte mich Ihr Kommentar daran, dass ich mein eigenes Modem benutze.
Mein mobiler ISP (SFR in Frankreich) lässt mich mein Handy als WLAN-Router verwenden. Das ist cool, außer dass es das nicht ist: Sie tun dasselbe und ändern den Code von HTML-Dateien, die im Browser heruntergeladen werden. Schlimmer noch, das ist nicht sichtbar. Sie zeigen keine Popups, sie „optimieren“ nur den Code der Seite.
Aber sie machen das sehr schlecht: Sie betten den Inhalt aller CSS- und JS-Dateien in ``- und ``-Tags ein. Warum? WTF weiß es, ich glaube, es soll die Anzahl der HTTP-Anfragen reduzieren, aber dadurch zwingen sie mich, alle CSS- und JS-Dateien von allen Websites bei jedem Klick herunterzuladen ... sogar Bibliotheken wie jQuery!
Sie ändern auch alle `![]()
`-Srcs, damit alle Bilder über einen Webproxy-Server laufen, der sie stärker komprimiert (und sie hässlich macht und manchmal kaputt). Das ist verrückt. Und ich kämpfe seit 5 Jahren mit ihnen deswegen. Und sie haben nichts geändert. HTTPS ist sicher die Lösung dafür.
Und um das „Problem“ zu umgehen, zwingt Comcast die Benutzer, ein „Xfinity Security Protection“-Stammzertifikat zu installieren…
Geben wir ihnen keine Ideen. ;P
Es scheint ziemlich wahrscheinlich, dass Comcast die Idee bereits hat, besonders wenn sie ein Stammzertifikat installieren. Wenn der Router als Proxy konfiguriert ist, kann er den durch ihn fließenden SSL-Datenverkehr entschlüsseln. Hier ist eine Erklärung: http://community.lightspeedsystems.com/lessons/ssl-explained-trusted-man-in-the-middle-proxy/
@Sam, was Sie über die Entschlüsselung von SSL-Datenverkehr sagten, ist schlichtweg erschreckend. Ich hatte keine Ahnung, dass der Webfilter das ursprüngliche Zertifikat abfangen und dann ein eigenes Zertifikat basierend auf dem ursprünglichen Zertifikat erstellen kann. Sicher muss es eine Art Schutz davor geben, hochsichere Websites und Zertifikate kosten viel, und ich bin sicher, wenn Zertifikatanbieter keinen Weg finden, damit umzugehen, wird es schnell zu einem Geldverlust kommen, glücklicherweise reagieren Unternehmen dort am schnellsten im Gegensatz zu Gilles aus Frankreich, der wahrscheinlich mittlerweile der Running Gag im Supportzentrum dieses kaputten französischen ISP ist. Das sind einige ziemlich beunruhigende Entwicklungen. Ich zähle auf die Community und Open-Source-Verfechter von freier Meinungsäußerung und vor allem von Privatsphäre, um zurückzukämpfen. Das Netz gehört uns.
Wirklich, ISPs, die Inhalte in HTML-Seiten einspeisen, ist sehr hinterhältig. Das sollte gesetzlich verboten werden. Oder zumindest optional gemacht werden.
Für die USA wird das niemals passieren, mit Ajit Pai an der Spitze der FCC. In Europa gibt es noch eine Chance.
Wenn Sie „EU“ meinen, bedenken Sie, dass die Gesetze vieler Staaten (wie fast aller außer den Niederlanden) die Datenspeicherung zu einer zwingenden Realität machen. Wenn Sie den Kontinent meinen, nun ja, es gibt immer noch die Schweiz und Island. Die Gesetze dort sind ziemlich gut.
Aber verlassen Sie sich nicht auf die EU für sehr datenschutzfreundliche Entscheidungen.
Hallo Chris, danke für die Unterstützung des Leitfadens zum Umstieg auf HTTPS!
Wenn Sie Ideen zur Verbesserung haben, lassen Sie es mich wissen
Interessante Geschichte. Ich benutze auch Xfinity, aber mit meinem eigenen Modem. Nur Internet! Ich benutze VoIP für Telefonie und wir haben kein Fernsehen. Es lohnt sich nicht, für Werbung zu bezahlen. Also Netflix.
Allerdings habe ich einen eigenen dedizierten Server für einige Websites. Ich habe vor etwa einem halben Jahr HTTPS mit Letsencrypt integriert. Es erneuert Ihr Zertifikat automatisch, sodass es eine mühelose Lösung ist. Ich habe einige WordPress-Blogs und CMS-gesteuerte Websites mit HTTPS versehen. Es erfordert ein wenig Arbeit, kann aber in 10 Minuten erledigt werden.
Googeln Sie auch HTTPS-Interception. Soweit ich das verstehe, ist selbst das nicht sicher! Und was die Privatsphäre angeht... Wir sind am Arsch!
Aber ehrlich gesagt, waren Sie jemals so naiv? Es gibt keine Sicherheit oder Privatsphäre im Internet! Alles kann und wird irgendwann gebrochen oder entschlüsselt werden, es ist nur eine Frage von Zeit und Aufwand.
Ich habe auch Comcast und die Vorstellung, dass nicht nur Comcast Code einschleusen kann, sondern potenziell auch jeder andere, der ihr öffentliches WLAN nutzt, ist etwas beunruhigend. Und während nur das Surfen auf sicheren Websites hilft, ist das keine garantierte Privatsphäre. Und es ist definitiv eine gute Idee, den öffentlichen WLAN-Hotspot Ihres Routers auszuschalten.
Danke fürs Teilen, Chris! Ich benutze Xfinity und ja, es ist Mist, was sie tun, aber nicht wirklich alarmierend, eher irgendwie erwartet. War nie ein Fan von ihnen, aber wo ich bin, hatte ich keine Wahl, und ich bin sicher, sie sind nicht die Einzigen, die das tun. HTTPS ist bei weitem keine perfekte Lösung, aber es ist besser als gar keine. Ich hätte lieber ein Schloss an meiner Haustür als keins... Danke auch für den Leitfaden, ich habe ihn an ein paar Leute weitergegeben!
SSL auf Ihrer Website einzurichten ist einfach – aber all diese JS- und CSS-Assets im Griff zu behalten, ganz zu schweigen von bereits veröffentlichten Inhalten, z. B. dank der unglücklichen Angewohnheit vieler CMS, absolute Bild-URLs statt relativer / dynamischer hinzuzufügen – ist ein harter Kampf.
Aber wenn es für normale Entwickler, die zumindest ein paar Sysadmin-Tricks kennen sollten, schon eine steile Hürde ist, was ist mit normalen Website-Besitzern und „Hobby“-Programmierern oder Webdesignern? Viel „Spaß“ war garantiert.
cu, w0lf.