Sicher und anonym surfen
Sicher
Wer im Internet sicher surfen möchte hat es relativ schwer. Es gibt zwei Arten von Webseiten, normale http (Hypertext Transfer Protocol) Webseiten und sichere https (Hypertext Transfer Protocol Secure) Webseiten.
Beispiel in Chrome, Vergleich http mit https
Wofür braucht man also https?
- https benötigt man immer dann, wenn man nicht möchte das die Verbindung zwischen Server und Client (also dem eigenen Computer) abgehört wird.
- Wenn man sich unsicher ist, ob man den Sever vertrauen kann, da https Verbindungen durch ein authentifiziertes Zertifikat lizensiert sind.
Das bedeutet natürlich im Umkehrschluss, dass Verbindungen über das http-Protokoll für Alle sichtbar sind und jeder mitlesen kann (Beispielsweise in einem öffentlichen WLAN).
Wie funktioniert https?
Beim Aufbau zu einer Webseite mit https wird zuerst überprüft, ob die Webseite ein gültiges https Protokoll besitzt. Das bedeutet, dass der Webseiten Betreiber sicher bei einer Authentifizierungsstelle für https angemeldet hat und dort seine Identität verifiziert wurde. Dies ist besonders wichtig um Man-In-The-Middle-Angriffe zu unterbinden.
Wenn der Server sicher authentifiziert werden konnte gibt es wieder zwei Möglichkeiten wie eine Verbindung aufgebaut wird.
- Der Browser des Benutzers schickt dem Server, eine mit dem öffentlichen Schlüssel des Servers verschlüsselte Zufallszahl.
- Es wird ein Diffie-Hellman-Schlüsselaustausch durchgeführt. Dieser findet unverschlüsselt statt und am Ende entsteht eine geheime Zahl.
Aus der Zahl die beiden bekannt ist wird ein einer geheimer Schlüssel abgeleitet, damit wird das Gespräch zwischen Server und einem selbst symmetrisch verschlüsselt und ist damit sicher. Warum symmetrisch? Weil beiden der geheime Schlüssel bekannt ist, wir kommen bei der E-Mail Verschlüsselung später zu asymmetrischen Verfahren.
Probleme mit der Methode
Leider ist die Methode nicht perfekt, besonders manche Zertifizierungsstellen für https-Zertifikate sind nicht vertrauenswürdig. Somit kann es doch sein das ein https Zertifikat gefälscht wird und ein Man-In-The-Middle Angriff stattfindet. Falls der Angreifer Zugriff auf den Server hat kann er den geheimen Schlüssel von dort auch entwenden und damit das Gespräch entschlüsseln.
Das angenehme ist, das geht alles automatisch, das heißt wir müssen nur überprüfen ob das wirklich eine https-Verbindung ist und ob das Zertifikat stimmt
Anonym
Durch https sind wir also halbwegs sicher unterwegs aber noch nicht anonym. An der IP-Adresse, an unserem Browser und an Cookies kann man uns schnell erkennen. Es gibt jetzt verschiedene Möglichkeiten sich anonym im Internet zu bewegen, entweder über Premium VPN Dienste die Geld kosten (darauf gehe ich nicht näher ein) oder über das TOR (The Onion Routing) Netzwerk.
Erstmal kurz eine kleine Einführung wann wir Anonym sein wollen. Wir wollen Anonym sein, wenn wir den Webseiten Betreiber nicht vertrauen, vertrauenswürdig mit unseren Daten umzugehen.
Wer auf Facebook surft, der kann sich von Anonymität verabschieden, ich würde auch keinen empfehlen über das TOR-Netzwerk dort zu surfen, da im schlimmsten Fall der Account gesperrt wird. (warum das passieren kann, darauf kommen wir später)
Wer nicht seinen eigenen Browser umstellen möchte, der lädt sich am besten ein Tor Browser Bundle, entpackt dieses und packt die Datei in den Programm-Ordner.
Nach dem Programmstart startet Vidalia, die grafische Oberfläche von Tor. Nachdem Vidalia die Verbindung zum Tor Netzwerk initialisiert hat startet der Browser.
Mit diesem Browser kann man Anonym surfen. Da kommen wir auch schon zum Problem. Viele Benutzen mit diesem Programm die gleiche IP-Adresse wie man selbst. Leider gibt es auch Personen, die das Tor-Netwerk missbrauchen. Dadurch werden manche IP-Adressen von Webservern auf die Blacklist gesetzt, das führt dazu, dass wenn man sich mit seinem Facebook Account und einer solchen IP anmeldet er gesperrt werden kann.
Außerdem ist die Verbindung etwas langsam, es ist also nicht möglich traffic intensive Arbeiten durchzuführen.