Frage von SYSCrashTV, 21

Sind Verbindungen auf die Router-Weboberfläche via HTTP unsicher / unverschlüsselt?

Hallo,

ich greife auf meine FRITZ!Box immer über HTTPS zu, da ich hierfür ein gültiges Zertifikat generiert habe und auch im internen Netz nicht möchte, dass jemand die Verbindung mitschneidet, besonders wenn ich mit dem Handy auf der Verwaltungsseite bin.

Als ich nun mal ein wenig in einem anderen Forum gewesen bin ist mir aufgefallen, dass das Forum gar kein HTTPS hat und somit die Verbindung selbst auch nicht verschlüsselt war... Entsprechend habe ich mir nun Gedanken gemacht, ob es auch eine Möglichkeit gibt, dass die Website selbst die Übertragung "sichert" ohne dabei HTTPS als Verbindungsmethode zu verwenden.

Ist der FRITZ!Box-Login (oder auch der Login auf mein OpenWRT-System) ohne HTTPS trotzdem "sicher"?

Antwort
von LeonardM, 13

Wenn die frage lautet "ist http sicher" im sinne von abhörsicher: nein. Du kannst http wie auch https inkl den ganzen Schlüsselaustausch mithören. Bei http wird alles eben in plaintext übertragen in anführungsstrichen was dem Angreifer die arbeit stark erleichtert.. aber theoretisch kann sofern vom schlüsselaustausch bis zu application data übergabe mitgehört wurde je nach cipher suite auch wieder vom angreifer entschlüsselt werden.

Expertenantwort
von suessf, Community-Experte für Netzwerk, 11

HTTP ist unverschlüsselt und HTTPS (S = secure) ist verschlüsselt. Das ist mal völlig klar.

Was ich aber nicht wirklich verstehe: Erstens warum du anscheinend ständig in der Konfiguration deiner FritzBox herumturnst. Zweitens in welcher Umgebung du dich befindest, wenn du in ständiger Angst lebst, dass andere Mitbewohner (internes Netzwerk) deine Zugriffe abhören, mitschneiden, auswerten, etc. könnten. Sorry, aber das tönt schon ein wenig paranoid :-)

Ach ja, noch was: Auch wenn der Datenverkehr unverschlüsselt ist, ist es nicht ganz so einfach, diesen mitzuschneiden. Vor allem nicht wenn du in einer geswitchten Umgebung arbeitest..... aber das ist wieder ein anderes Thema.

Kommentar von SYSCrashTV ,

Nun, es muss nicht immer die Routeroberfläche sein, die habe ich hier mal als Beispiel reingehauen. So habe ich hier im LAN noch einige andere WLAN-APs laufen, einen Webserver, Smarthome-Controller, welcher auch über Web gesteuert wird. Alle sind über HTTP erreichbar, da ich mal mit LetsEncrypt angefangen habe, habe ich allen einfach ein gültiges Zertifikat verpasst und verwende seitdem HTTPS.

Dass die Verbindung über LAN schlechter abhörbar ist war mir schon klar, jedoch verwende ich ja auch WLAN, wo der Datenverkehr ja mitgeschnitten werden "kann". Es geht mir hier auch weniger um meinen Fall, sondern eher um die Theorie allgemein, für mich macht es keinen Unterschied, ob das über HTTP oder HTTPS läuft, HTTPS konnte ich ohne großen Mehraufwand implementieren und somit verwende ich das.

Nun ist mir nur letztens die Frage aufgekommen, als Seiten im Internet unverschlüsselt sind, wo man sich mit Benutzerdaten authentifizieren muss. Ein Beispiel wäre da: http://www.win-10-forum.de/ - dort gibt es kein HTTPS und auch mit dem Login wird die Verbindung nicht damit gesichert. Daher die Frage ob hier vielleicht eine gesicherte Übertragung eingerichtet ist, welche nicht über HTTPS geht...

Keine passende Antwort gefunden?

Fragen Sie die Community