Internet-Software, Browser, FTP, SSH 4.708 Themen, 38.981 Beiträge

Sicherheit bei mobilem E-Mail-Zugriff über Web-Frontend

mark.mde / 3 Antworten / Baumansicht Nickles

Hallo,

ich habe meinen Provider gewechselt und habe jetzt einen Anbieter gefunden, bei dem man über ein Webinterface (mit Roundcube) über jeden Internet-Rechner die Mails abrufen kann.

Leider gibt es keinen SSL-Zugriff, die komplette Übertragung läuft unverschlüsselt. Ist für mich nicht optimal, da ich viel beruflich unterwegs bin und auch an öffentlichen Terminals zeitweise sitze. Zusätzlich benutze ich den Zugang über das Netz meines Arbeitgebers.

Meine Frage ist: Wäre ein Zugang über SSL überhaupt sicherer, wenn jemand eine Man-in-the-middle-Attacke oder ähnliches ausführt? Oder ist das mit einfachen Bordmitteln auch hackbar?

Bin gespannt, was Ihr meint..

bei Antwort benachrichtigen
Jens2001 mark.mde „Sicherheit bei mobilem E-Mail-Zugriff über Web-Frontend“
Optionen

Eine E-Mail ist wie eine Postkarte. Jeder der sie transpotiert/weiterleitet kann sie auch lesen. Als solche sind E-Mails nicht zum Versand vertraulicher Informationen geeignet. Egal ob über Mail-Client oder über Web-Frontend.

Wenn du die Mails auf einem fremden PC bearbeitest kommt es darauf an wie weit du dem fremden PC vertraust. Egal ob Mail-Client oder Web-Frontend.

Ein wenig mehr Sicherheit bietet evtl ein Browser oder Mail-Client auf einem USB-Stick (Firefox-Portable/Tunderbird-Portable). So kannst du wenigstens sicher sein das keine Daten im Cash zurückbleiben.

bei Antwort benachrichtigen
mark.mde Jens2001 „Eine E-Mail ist wie eine Postkarte. Jeder der sie transpotiert/weiterleitet kann...“
Optionen

Naja, wenn der fremde PC einen Keylogger laufen hat oder ähnliches, hat man ja sowieso verloren, das ist klar.. Aber wenn ich z. B. im Firmennetzwerk meines Arbeitgebers bin, machts denn da einen Unterschied, ob ich mich mit SSL einlogge (also das Paßwort mit SSL übermittelt wird) und ich mit SSL die Nachrichten lese/schreibe, oder ob ich unverschlüsselt bin? Würde eine Man-in-the-middle Attacke hier nicht auch schon Zugriff auf meine Daten erlauben? Gleiches gilt auch für unsichere Netzwerke, z. B. im Hotel.

bei Antwort benachrichtigen
the_mic mark.mde „Naja, wenn der fremde PC einen Keylogger laufen hat oder ähnliches, hat man ja...“
Optionen

Derzeit gibt es zwar neue Angriffsmethoden auf SSL-Verbindungen, die Verschlüsselung selbst ist aber sicher. Durch die Verwendung von Diffie-Hellman ist auch Man-in-the-Middle praktisch ausgeschlossen.

Folglich können die Probleme bei Nutzung von SSL zum Abrufen der Mails nur am von dir genutzten Terminal auftreten. Nur durch dessen Manipulation können deine Logindaten oder deine Mails mitgelesen werden.
Natürlich können unverschlüsselte Mails ebenfalls vom Serverbetreiber auf dem Server mitgelesen werden. Ebenfalls kritisch ist die Übertragung von Mailserver zu Mailserver beim Versand, da diese meist unverschlüsselt erfolgt und du als Anwender auch keinen Einfluss darauf hast. Und zuletzt kommt es natürlich auch darauf an, wie dein Kontakt die Mails abruft.
Um all diese Punkte auszumerzen, müsstest du zusätzlich eine Mailverschlüsselung wie S/MIME oder PGP einsetzen. Letztendlich bleibt aber sogar dann noch einsehbar, mit wem du kommuniziert hast.

cat /dev/brain > /dev/null
bei Antwort benachrichtigen