Sind Websites mit Adresse "Http" immer gefährlich?
Leute, ich war vor einer Seite die die Adresse "Http//" hatte also eigentlich als unsicher.
Aber als ich auf die Seite ging hatte sie einen Schloss auf der Adresse der für "Sicher" steht
Also es war so "🔒http//www.com"
Ist ja komisch oder? Ist das schlimm?
Ich gebe auch mal Bild dazu damit ihr seht welche Webseite ich meine
Und als ich auf die Website ging war auf einmal dieser Schloss obwohl die Webseite wie auf dem letzten Bild mit 'Http" gekennzeichnet ist
Ich hoffe ihr konnt mir das erklären😁
7 Antworten
Wenn du im Browser nochmal auf die Adresszeile klickst, siehst du, dass aus dem http ein https geworden ist. Die meisten Webseiten werden automatisch von http auf https weitergeroutet, ohne dass man das als Benutzer mitkriegt.
Http ist auch nicht per se unsicher. Wenn das eine Webseite ist, auf der du keine persönlichen Daten eingibst, sondern nur liest, kann das auch problemlos eine http-Seite sein. Es geht nur darum, dass die Verbindung halt nicht verschlüsselt ist und jemand mitlesen könnte, was du auf der Seite eingibst.
Das würde ich nur in Verbindung mit HSTS so unterschreiben. Es gibt auch Man-In-The-Middle Angriffe, bei denen der Angreifer zum Server und zum Client jeweils eine eigene verschlüsselte Verbindung aufbaut und so zwischendrin den Datenstrom entschlüsseln und verändern kann. Das ist (ohne dass etwas verändert wird) z.B. gängige Praxis bei Hardware-Firewalls, damit die auch verschlüsselte Verbindungen auf Malware scannen können.
Bei HSTS kann man dem Client sagen "Der Server benutzt noch die nächsten 300 Tage das Zertifikat xyz. Wenn du ein anderes Zertifikat kriegst, ist die Verbindung nicht sicher"
Das würde ich nur in Verbindung mit HSTS so unterschreiben. Es gibt auch Man-In-The-Middle Angriffe, bei denen der Angreifer zum Server und zum Client jeweils eine eigene verschlüsselte Verbindung aufbaut und so zwischendrin den Datenstrom entschlüsseln und verändern kann.
Das geht aber nicht, ohne dass der Angegriffene das bemerkt. Man bekommt eine unübersehbare Zertifikatswarnung.
Das ist (ohne dass etwas verändert wird) z.B. gängige Praxis bei Hardware-Firewalls, damit die auch verschlüsselte Verbindungen auf Malware scannen können.
Richtig, ist mein tägliches Brot. Voraussetzung ist die Installation eines Stammzertifikats auf dem Endgerät. Das geht also nur in Unternehmensumgebungen bei den vom Unternehmen verwalteten Endgeräten.
Bei HSTS kann man dem Client sagen "Der Server benutzt noch die nächsten 300 Tage das Zertifikat xyz. Wenn du ein anderes Zertifikat kriegst, ist die Verbindung nicht sicher"
Auch das ist für das o. g. Szenario kein Problem. HSTS ist TOFU, Trust on first use. Im Zweifel setzt der MitM den HSTS-Header - oder er lässt es sein.
Das ist bisher die einzige Antwort, die auf die Frage eingeht und richtig beantwortet. Die erste URL ist auch kein Google-Treffer sondern eine Anzeige (steht ja auch daneben). Hier werden oft die http-Adressen angezeigt. Die eigentlichen Websites werden dann in der Regel immer über https:// aufgerufen bzw. dahin umgeleitet.
Nein, das muss nicht zwingend ein Zeichen für einen unsicheren Link (oder Anbieter) sein:
Übliche Websites verwenden lediglich das HTTP-Verfahren. Wenn es jedoch um persönliche Daten geht, wie beim Online-Banking oder in Online-Shops, verfügen diese über eine HTTPS-Verschlüsselung.
https://praxistipps.chip.de/http-und-https-wo-ist-der-unterschied_11772
LG Lexikonroboter, über nette Rückmeldungen freue ich mich gerne jederzeit.
Übliche Websites verwenden lediglich das HTTP-Verfahren
Schon lange nicht mehr. Seitdem Google in den Suchmaschinen https-Seiten einer ansonsten gleichwertigen http-Seite vorzieht, hat die letzte Dorfpizzeria in der Regel eine https-Seite.
Dankeschön!
Sorry der Artikel ist von 2013.
Peinlich, da war ich wohl zu schnell 😬
Aber an der Sicherheit ändert das laut anderen Userm auch nicht viel.
Sind Websites mit Adresse "Http" immer gefährlich?
Nein.
Ebenso wenig wie Adressen mit "Https" immer ungefährlich sind. Das Protokoll Https bedeutet, dass Eingaben, die Du (zum Beispiel über ein Kontaktformular) machst, genau so auf dem Server ankommen, wie Du sie gemacht hast und "unterwegs" nicht abgefangen werden können.
Bei einer Http Seite hast Du diese Gewissheit nicht, da könnten Kredikartendaten oder Passwörter die Du eingibst, von Dritten abgefangen werden.
Eine Https Seite kann aber dennoch Dateien bereitstellen, die Viren, Trojaner, Würmer und dgl. enthalten oder kann dennoch ein Fakeshop oder die Seite eines Betrügers sein.
Alex
HTTP und HTTPS. Beides ist das selbe, außer dass es bei einem ein S gibt. Warum ist das so?
HTTP bedeutet Hypertext Transfer Protocol und HTTPS bedeutet Hypertext Transfer Protocol Secure
Also ist schon mal zu erkennen, das es sich um genau die selben Protokolle handelt. Das S steht für Secure. Hierbei geht es darum, dass der jeweilige Server ein Zertifikat mit bringt, damit Anfragen zu seinem Server und zurück verschlüsselt ablaufen können
Ist es wichtig verschlüsselt zu sein? Nein mit ABER. Überall, wo man sensible Daten angeben kann oder soll, dort warten auch gefahren, dass ein anderer diese Daten abgreift. Deshalb gibt es diesen Schutz. Hat man also eine Website, wo man Bankdaten, Logins, Adressen, Telefonnummern, usw. eingibt, dann sollte diese unbedingt HTTPS haben. Hat sie es nicht, geht die Welt nicht unter, es können dann aber Angreifer kommen und die Daten abfangen und das ist eher unschön. Beim Aufruf einer Seite mit HTTP ohne das S, da hat man keine sensiblen Informationen, weshalb hierbei auch auf ein Zertifikat verzichtet werden kann. Es gibt aber immer mehr Browser, die dahin gehen, Seiten ohne Zertifikate zu blocken. Der trend geht deshalb, auch wenn nicht bei jeder Seite nötig, in Richtung Zertifikat.
Zertifikate für Website Betreiber gibt es von 0€ - ~ € von daher kann selbst der kleinste Website Betreiber für sich eines anfordern
Manchmal haben Website Betreiber auch beides aktiviert. In solchen Fällen existiert meist aber auch eine Umleitung, welche direkt von http auf https geht. Nur selten bleibt http dann auch wirklich aktiv
FAZIT: Ich fasse nochmal zusammen: Hat eine Website keines, ist das nicht schlimm. In dem Fall gib aber keine persönlichen oder andere geheime Daten an
Ist es wichtig verschlüsselt zu sein? Nein mit ABER.
Nein, nicht nein mit aber. Sondern: Ja!
Hat sie es nicht, geht die Welt nicht unter, es können dann aber Angreifer kommen und die Daten abfangen und das ist eher unschön.
Die abgerufenen Daten können ohne HTTPS verfälscht werden. Zudem kann man sehen, was Du abrufst. Beides ist nicht zwingend nur unschön.
Beim Aufruf einer Seite mit HTTP ohne das S, da hat man keine sensiblen Informationen, weshalb hierbei auch auf ein Zertifikat verzichtet werden kann.
Deine Definition von "sensiblen Informationen" ist etwas lasch. Alle Informationen, die ich per Browser abrufe, sind potenziell sensibel. Denn diese spiegeln meine Interessen wider. Das kann das Backrezept für Hanfkekse sein, die Informationen über Krankheiten, die Informationen über eine sexuelle oder politische Orientierung, was auch immer. Das geht niemanden was an.
Nein.
http und https sind die Standartprotokolle zur Übertragung von Webseiten.
http ist dabei die unverschlüsselte und https die verschlüsselte Version.
Solange also keine wichtigen Daten wie z.B. Passwörter übertragen werden ist es auch nicht unbedingt nötig die Verbindung zu verschlüsseln.
Solange also keine wichtigen Daten wie z.B. Passwörter übertragen werden ist es auch nicht unbedingt nötig die Verbindung zu verschlüsseln.
Warum wird eigentlich immer nur an eine Übertragungsrichtung gedacht? Es ist auch wichtig, dass die Informationen, die der Webserver liefert, unverfälscht sind. Das leistet HTTPS ebenfalls im Gegensatz zu HTTP. Es geht also nicht nur um persönliche Daten. Zudem ist mit HTTPS nicht sichtbar, welche Inhalte Du abrufst.
Das ist nicht alles. HTTPS verhindert auch, dass Inhalte auf dem Transportweg verfälscht werden. Wenn Du z. B. etwas herunterlädst, kann das unterwegs verfälscht werden. Mit HTTPS ist das nicht möglich bzw. es fällt auf. Auch das steckt in dem Ausdruck "Diese Webseite ist unsicher".