Abo
  • Services:
Anzeige
Kostenlose, offene WLAN-Zugänge sind in Deutschland selten verfügbar. Wird das so bleiben?
Kostenlose, offene WLAN-Zugänge sind in Deutschland selten verfügbar. Wird das so bleiben? (Bild: Bence Damokos/Wikimedia Commons/CC-BY-SA 3.0)

Captive Portals: Ein Workaround, der bald nicht mehr funktionieren wird

Kostenlose, offene WLAN-Zugänge sind in Deutschland selten verfügbar. Wird das so bleiben?
Kostenlose, offene WLAN-Zugänge sind in Deutschland selten verfügbar. Wird das so bleiben? (Bild: Bence Damokos/Wikimedia Commons/CC-BY-SA 3.0)

Sogenannte Captive Portals, Vorschaltseiten, die in vielen WLANs zum Einsatz kommen, sind ein fragwürdiger Hack, der bald zu technischen Problemen führen wird. Trotzdem will die Bundesregierung ihnen jetzt Gesetzesrang verschaffen.

Es dürfte den meisten Anwendern bekannt sein: Wer auf Bahnhöfen, in Hotels oder an anderen öffentlichen Orten das WLAN nutzt, wird meist zunächst auf eine Webseite des Betreibers weitergeleitet. Häufig kostet das WLAN Gebühren, manchmal kann man durch einen Klick den echten Netzzugang aktivieren. Diese Vorschaltseiten werden technisch auch als "Captive Portals" bezeichnet. Derartige Vorschaltseiten mit Rechtstreueerklärung könnten bald gesetzlich verpflichtend sein und als einzige Bedingung übrig bleiben, um als Betreiber offener WLANs von der Störerhaftung befreit zu werden. Daran gab es einige Kritik, vor allem aus den Reihen der Freifunk-Bewegung.

Anzeige

Technisch funktionieren diese Captive Portals so, dass vor der Anmeldung HTTP-Zugriffe auf beliebige Webseiten manipuliert werden und der Nutzer einen HTTP-Weiterleitungscode (HTTP-Code 302) erhält, der auf die entsprechende Vorschaltseite umleitet. Fast immer ist es dabei übrigens so, dass DNS-Anfragen bereits vor der Anmeldung funktionieren. Dadurch ist es in vielen Fällen möglich, den Netzzugang mittels eines DNS-Tunnels auch vor der Anmeldung zu nutzen.

Man-in-the-Middle-Angriff auf HTTP-Verbindungen

Im Grunde handelt es sich um nichts anderes als einen Man-in-the-Middle-Angriff auf HTTP-Verbindungen. Möglich sind diese Angriffe nur deshalb, weil das HTTP-Protokoll keinerlei Gewährleistung für die Echtheit der übertragenen Daten bietet. Letztendlich nutzen Captive Portals eine Sicherheitslücke im HTTP-Protokoll, um Nutzer auf ihre Seiten umzuleiten. Technisch vorgesehen waren sie nie. Es gibt keinen Standard, der ihre Umsetzung beschreibt.

Die Schwächen von HTTP sind bekannt und sie sind einer der Gründe, warum in letzter Zeit der Ruf nach HTTPS-Verbindungen für alle Webseiten lauter wird. Google bevorzugt HTTPS-Webseiten in seinem Ranking, Let's Encrypt will dafür sorgen, dass die Ausstellung von Zertifikaten einfacher wird, und Anbieter wie Cloudflare oder Amazon bieten ihren Kunden inzwischen kostenlos HTTPS-Verbindungen an.

Für Captive Portals wird das absehbar zu einem Problem. Schon jetzt haben Nutzer häufig bei der Anmeldung in entsprechenden WLANs die Schwierigkeit, dass viele große Webseiten wie Google, Facebook oder Twitter nur noch über HTTPS erreichbar sind. Dank HSTS ist gewährleistet, dass sich diese Seiten überhaupt nicht mehr unverschlüsselt aufrufen lassen.

Um dieses Problem zu umgehen, gibt es inzwischen Workarounds. Verschiedene Betriebssysteme versuchen, entsprechende Captive Portals zu erkennen, indem das System eine voreingestellte HTTP-URL mit bekanntem Inhalt aufruft. Erkennt das System ein Captive Portal, so wird ein Notification-Icon angezeigt. Doch zuverlässig funktioniert diese Erkennung nicht.

Arbeitsgruppe listet Probleme auf

Eine Arbeitsgruppe bei der IETF (Internet Engineering Task Force) beschäftigt sich inzwischen mit Captive Portals. Langfristig könnte hier möglicherweise ein Standard entstehen, der eine bessere Lösung für das Login in derartigen Netzen entwickelt. Doch auf allzu schnelle Abhilfe sollte man hier nicht hoffen: Bislang gibt es lediglich eine Wiki-Seite, die die erheblichen Probleme der bestehenden Lösungen aufzählt.

Wir haben beim Bundeswirtschaftsministerium nachgefragt, ob dort die technischen Probleme von derartigen WLAN-Vorschaltseiten bekannt sind und ob man dort über die Arbeit der entsprechenden IETF-Arbeitsgruppe informiert ist. Beantwortet hat das Ministerium unsere Fragen nicht, wir erhielten lediglich eine ausweichende Stellungnahme. "Eine Vorschaltseite stellt in diesem Zusammenhang lediglich eine von zahlreichen denkbaren Möglichkeiten dar", erklärte eine Ministeriumssprecherin Golem.de. "Andere wären z. B. die Zustimmung zu AGB oder die mündliche Zusicherung etwa im privaten Umfeld."

Dass der Gesetzentwurf auch andere Möglichkeiten für die Nutzer vorsieht, um die Rechtstreue zu erklären, ist korrekt. Doch alle anderen Varianten dürften kaum praktikabel sein. In der Praxis dürften WLAN-Vorschaltseiten häufig die einzige Möglichkeit darstellen - und mittelfristig dank der Verbreitung von HTTPS zu immer mehr Problemen führen.


eye home zur Startseite
neocron 17. Mär 2016

darfst du auch gern so sehen, ich halte da alle fuer gleich inkompetent/kompetent...

mixedfrog 09. Feb 2016

Wenn man das alles nutzen will, dann macht man einmal den Browser auf, besucht das...

Perma 08. Feb 2016

...das wird noch einige Zeit funktionieren hab ich die Befürchtung.

SteamKeys 08. Feb 2016

weil sie in 99% der fälle auf iptables angewiesen sind.

Golressy 08. Feb 2016

Vielleicht noch mit Captcha? Jeder wer schon mal ein Captcha mit einer Smartphone...



Anzeige

Stellenmarkt
  1. Sedus Stoll AG, Dogern bei Waldshut
  2. DBE, Peine
  3. über Robert Half Technology, Düsseldorf
  4. Heinzmann GmbH & Co. KG, Schönau


Anzeige
Hardware-Angebote
  1. 699,00€
  2. 1.299,00€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Kritische Bereiche der IT-Sicherheit in Unternehmen
  2. Globale SAP-Anwendungsunterstützung durch Outsourcing
  3. Mehr dazu im aktuellen Whitepaper von IBM


  1. Denza 400

    Chinesische Mercedes-B-Klasse fährt 400 km elektrisch

  2. Microsoft

    Office für Mac 2016 auf 64 Bit aufgerüstet

  3. Warenzustellung

    Schweizer Post testet autonome Lieferroboter

  4. Playstation auf Windows

    PC-Offensive von Sony

  5. Mongoose

    Samsung erklärt M1-Kerne des Galaxy S7 und Note 7

  6. Summit Ridge

    Das kann AMDs CPU-Architektur Zen

  7. Sandscout

    Angriff auf Apples Sandkasten

  8. Analogue Nt mini

    Neue NES-Famicom-Konsole kostet 450 US-Dollar

  9. Ministertreffen

    Kryptische Vorschläge zur Entschlüsselung von Kommunikation

  10. Microsoft

    Outlook 2016 versteht Ünicöde nicht so richtig



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Xfel: Riesenkamera nimmt Filme von Atomen auf
Xfel
Riesenkamera nimmt Filme von Atomen auf
  1. US Air Force Modifikation der Ionosphäre soll Funk verbessern
  2. Teilchenbeschleuniger Mögliches neues Boson weist auf fünfte Fundamentalkraft hin
  3. Materialforschung Glas wechselt zwischen durchsichtig und schwarz

Wiper Blitz 2.0 im Test: Kein spießiges Rasenmähen mehr am Samstag (Teil 2)
Wiper Blitz 2.0 im Test
Kein spießiges Rasenmähen mehr am Samstag (Teil 2)
  1. Lockheed Martin Roboter Spider repariert Luftschiffe
  2. Kinderroboter Myon Einauge lernt, Einauge hat Körper
  3. Landwirtschaft 4.0 Swagbot hütet das Vieh

8K- und VR-Bilder in Rio 2016: Wenn Olympia zur virtuellen Realität wird
8K- und VR-Bilder in Rio 2016
Wenn Olympia zur virtuellen Realität wird
  1. 400 MBit/s Telefónica und Huawei starten erstes deutsches 4.5G-Netz
  2. Medienanstalten Analoge TV-Verbreitung bindet hohe Netzkapazitäten
  3. Mehr Programme Vodafone Kabel muss Preise für HD-Einspeisung senken

  1. Re: Bringt bitte eine Linux Version

    Steffo | 08:39

  2. Re: Mathematik verbieten ...

    frostbitten king | 08:39

  3. Re: Golem kann anscheinend auch kein ÜNICÖDE

    LukasDörr | 08:38

  4. An sich sind die Chips von Samsung echt gute...

    Graveangel | 08:34

  5. Re: PS4 Controller + Bluetooth

    HxR | 08:31


  1. 08:28

  2. 07:59

  3. 07:50

  4. 07:37

  5. 07:21

  6. 02:45

  7. 17:30

  8. 17:15


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel