Hallo,
ich habe meinen Provider gewechselt und habe jetzt einen Anbieter gefunden, bei dem man über ein Webinterface (mit Roundcube) über jeden Internet-Rechner die Mails abrufen kann.
Leider gibt es keinen SSL-Zugriff, die komplette Übertragung läuft unverschlüsselt. Ist für mich nicht optimal, da ich viel beruflich unterwegs bin und auch an öffentlichen Terminals zeitweise sitze. Zusätzlich benutze ich den Zugang über das Netz meines Arbeitgebers.
Meine Frage ist: Wäre ein Zugang über SSL überhaupt sicherer, wenn jemand eine Man-in-the-middle-Attacke oder ähnliches ausführt? Oder ist das mit einfachen Bordmitteln auch hackbar?
Bin gespannt, was Ihr meint..
Internet-Software, Browser, FTP, SSH 4.708 Themen, 38.981 Beiträge
Eine E-Mail ist wie eine Postkarte. Jeder der sie transpotiert/weiterleitet kann sie auch lesen. Als solche sind E-Mails nicht zum Versand vertraulicher Informationen geeignet. Egal ob über Mail-Client oder über Web-Frontend.
Wenn du die Mails auf einem fremden PC bearbeitest kommt es darauf an wie weit du dem fremden PC vertraust. Egal ob Mail-Client oder Web-Frontend.
Ein wenig mehr Sicherheit bietet evtl ein Browser oder Mail-Client auf einem USB-Stick (Firefox-Portable/Tunderbird-Portable). So kannst du wenigstens sicher sein das keine Daten im Cash zurückbleiben.
Naja, wenn der fremde PC einen Keylogger laufen hat oder ähnliches, hat man ja sowieso verloren, das ist klar.. Aber wenn ich z. B. im Firmennetzwerk meines Arbeitgebers bin, machts denn da einen Unterschied, ob ich mich mit SSL einlogge (also das Paßwort mit SSL übermittelt wird) und ich mit SSL die Nachrichten lese/schreibe, oder ob ich unverschlüsselt bin? Würde eine Man-in-the-middle Attacke hier nicht auch schon Zugriff auf meine Daten erlauben? Gleiches gilt auch für unsichere Netzwerke, z. B. im Hotel.
Derzeit gibt es zwar neue Angriffsmethoden auf SSL-Verbindungen, die Verschlüsselung selbst ist aber sicher. Durch die Verwendung von Diffie-Hellman ist auch Man-in-the-Middle praktisch ausgeschlossen.
Folglich können die Probleme bei Nutzung von SSL zum Abrufen der Mails nur am von dir genutzten Terminal auftreten. Nur durch dessen Manipulation können deine Logindaten oder deine Mails mitgelesen werden.
Natürlich können unverschlüsselte Mails ebenfalls vom Serverbetreiber auf dem Server mitgelesen werden. Ebenfalls kritisch ist die Übertragung von Mailserver zu Mailserver beim Versand, da diese meist unverschlüsselt erfolgt und du als Anwender auch keinen Einfluss darauf hast. Und zuletzt kommt es natürlich auch darauf an, wie dein Kontakt die Mails abruft.
Um all diese Punkte auszumerzen, müsstest du zusätzlich eine Mailverschlüsselung wie S/MIME oder PGP einsetzen. Letztendlich bleibt aber sogar dann noch einsehbar, mit wem du kommuniziert hast.