Kann man mit dem Tor Browser problemlos auf Clear Web Seiten surfen?
Hey, wenn ich jetzt ohne VPN mit dem Tor Browser auf eine normale Internetseite aus dem Clear Web gehe, ist es dann unsicherer als wenn ich z.B. ohne VPN mit Chrome auf diese Seite gehen würde?
4 Antworten
ist es dann unsicherer als wenn ich z.B. ohne VPN mit Chrome auf diese Seite gehen würde?
Unabhängig davon, was für Dich "sicher" heißt: Nein.
Hallo,
um mich franzhartwig, TeamStoffcouch und mompf03231 anzuschließen: Ja, es ist gefährlicher, mit Tor Cleanwebseiten anzusteuern, als mit "Chrome" ohne VPN zu nutzen, weil dann u. A. Deine Accounts gesperrt werden können, weil Tor-IPs recht dubios wirken, weshalb öfters mal Captchas kommen.
LG
Bad Exit nodes könnten versuchen Angriffe durchzuführen z.b. Passwörter zu stehlen. Daher sollte man Tor NICHT für Account logins nutzen die nicht anonym erstellt wurden z.b. PayPal, eBay, Google, ...
Heimlich die https Anfrage durch http ersetzen oder falsche Zertifikate unterschieben und schon läuft die Nummer.
Nur Theorie? Von wegen das ist alles schon vorgekommen was auch bei großen Seiten wie Google, Yahoo, Mozilla etc. funktioniert hat.
Mir sind Angriffe wie SSLStrip usw bekannt und ich weiß dass das keine Theorie ist.
Allerdings ists egal bei welchen Webseiten das gemacht wird, die Webseite hat auf diesen Angriff keinen Einfluss hier kommts drauf an wie die Browser und Nutzer das ganze handhaben.
Beim SSLStrip der eben aus HTTPS zu HTTP macht ist zB beim Tor Browser eingestellt nur HTTPS zu erlauben, dadurch wird zB eine als HTTP nicht mehr angenommen, was im wesentlichen SSLStrip und dergleichen aushebelt solange der Nutzer nicht explizit http erlaubt.
Zertifikat fälschen ist in letzter Zeit auch schwieriger denn auch hier haben die Browser nicht geschlafen.
IdR ist in modernen Browsern der Public CA Key der Zertifikatsausteller hinterlegt was schon mal dazu führt dass der Browser zumindest eine Warnung wirft wenn das Zertifikat vorgibt von einer falschen CA zu stammen scheint. Also muss es sich um eine gültige CA handeln wenn das Zertifikat vom Browser so akzeptiert werden soll.
Es wäre aber immer noch möglich das Originalzertifikat der Seite durch ein gefälschtes zu ersetzen welches von einer gültigen CA kommt.
Hier ist dann schon mal die erste Hürde, denn ohne Private Key kann man selbst erstellte Zertifikate nicht von einer offiziellen CA zertifizieren. Man kann also nur Versuchen das Zertifikat von einer offiziellen CA zu bekommen, allerdings muss man dafür nachweisen, dass man im Besitz der Domain ist, was bei Betreibern die keine automatischen Zertifikate austellen nicht möglich ist. Es würde noch ein dynamisch erstelltes Zertifikat von LetsEncrypt in Frage kommen aber auch hierfür müsste man der Authtentifizierungsstelle von LetsEncrypt vorspielen, dass man im Besitz der Domain von Google ist was schwer ist.
Zudem prüfen moderne Browser (zumindest nach dem was ich mal gelesen habe als ich mich näher mit den SSL Hijacking beschäftigt habe) auch ob die CA ein Zertifikat für die Domain überhaupt ausgestellt hat. Wenn man es zB schafft irgendwie ein SSL Zertifikat für irgendeine Seite so zu fälschen dass die CA es unterzeichnet aber für die falsche Webseite würde der Zertifikatserver der CA immer noch sagen, dass sie kein Zertifikat für google ausgestellt haben womit auch so die Fälschung auffällt.
Das ganze ist also nicht mehr ganz so einfach wie man sichs vorstellt. Angriffe wie SSLStrip oder Certificate counterfeit waren mal möglich sind aber in modernen Browsern entweder gar nicht mehr möglich, oder nur dann wenn der Nutzer es explizit zulässt.
Im Jahr 2011 gab es auch mal einen Angriff wo ein Hacker explizit die Zugangsdaten für die CAs von den Nutzern gestohlen hat und danach die signing requests für sich selbst bestätigt hat. Das geht natürlich immer noch nur muss man die Zugangsdaten haben um die Requests auch bestätigen können was für alle möglichen CAs wohl schwer werden wird. Aber natürlich unmöglich ists nicht, aber mit sehr sehr großen Aufwand verbunden und das auch nur bis die CAs dahinter kommen.
Der unbedarfte Nutzer lässt sich aber gerne mal austricksen und denkt sich dann so "ach passt schon so". Warum also riskieren? Es macht sowieso überhaupt gar keinen Sinn sich mit nicht anonymen Accounts via Tor einzuloggen. Das einzige was passiert ist das ggf. das Konto gesperrt wird.
Kann man mit dem Tor Browser problemlos auf Clear Web Seiten surfen?
Würde ich verneinen. Gibt dauernd Ärger nicht nur mit ständig aufploppenden Captchas und Blokaden sondern auch wegen den oben genannten (unnötigen) Risiko.
Der User ist natürlich immer das Problem, allerdings würde ich die Frage nicht verneinen.
Es steht ohnehin in den Guidelines, dass man sich über TOR nirgendwo anmelden sollte, außer vielleicht auf .onion Domains wo es eben nicht anders geht und ich glaube dass beim TOR Browser zumindest der Zertifikatscheck durch eine Modifikation nicht optional ist. Wenns kein gültiges HTTPS gibt wird die Seite mit einem Fehler nicht angezeigt, man kanns in den Einstellungen natürlich abstellen, aber da ist man nun mal wirklich selbst schuld.
Entsprechende Warnungen gelten natürlich bei auch bei jedem Netzwerk welches man nicht kennt. Also dürfte man danach auch vom Netzwerk in der Schule oder Uni nicht ins Internet.
Der Sinn von Tor im Clearnet ist im Endeffekt der Selbe wie der eines VPNs. Die Webseite kennt dann eben deine IP nicht und genau dafür wurde TOR ja auch gemacht.
Problemlos ist es auf jeden Fall nicht. Die Tor Exit Node IPs sind öffentlich und werden von Cloudflare fast immer mit einem Captcha beantwortet, das wird schnell richtig nervig.
Abgesehen davon kann dein Internetanbieter feststellen, dass du Tor nutzt, und es ist davon auszugehen, dass die US Geheimdienste gehörig Daten sammeln, die haben schon mehrfach Exploits gefunden.
Sofern sie die Ende zu Ende Verschlüsselung der Webseite umgehen können.