Vorschaltseiten in Hotspots funktionieren immer weniger

Screenshot_2014-04-02-10-47-31MarkierungDie meisten Smartphone-Benutzer dürften das kennen: Wenn man auf Bahnhöfen, in Hotels oder an anderen öffentlichen Orten (auch am Rathaus Lüdinghausen) das WLAN nutzen möchte, wird man in der Regel zuerst auf eine Vorschalt-Webseite des Hotspot-Betreibers weitergeleitet.

Häufig kostet das schon Gebühren, manchmal kann man auch durch einen Klick den echten Netzzugang aktivieren, teilweise auch nur für eine kurze Zeitspanne. Diese Vorschaltseiten werden technisch auch als „Captive Portals“ bezeichnet.

Solche Vorschaltseiten mit Rechtstreueerklärung könnten bald gesetzlich vorgeschrieben sein und als einzige Bedingung übrig bleiben, um als Betreiber offener WLANs von der gegen jedes Verständnis von Recht und Gerechtigkeit verstoßenden Störerhaftung, die an die Sippenhaft der Nazis erinnert, befreit zu werden. Daran gab es heftige Kritik, insbesondere aus den Reihen der Freifunk-Bewegung.

Die technische Grundlage von Vorschaltseiten

Technisch funktionieren Captive Portals so, dass vor der Anmeldung HTTP-Zugriffe auf beliebige Webseiten dahingehend manipuliert werden, daß der Nutzer einen HTTP-Weiterleitungscode (HTTP-Code 302, Moved Temporarily – Temporäre Weiterleitung) erhält, der auf die entsprechende Vorschaltseite umleitet.

Dabei ist es übrigens nahezu immer so, dass die DNS-Anfragen des Smartphones schon vor der Anmeldung funktionieren – sonst könnte die Umleitung nicht klappen. Dadurch ist es in aller Regel möglich, den Netzzugang mithilfe eines DNS-Tunnels auch vor der Anmeldung und damit ohne Anmeldung zu nutzen.

Man-in-the-Middle-Angriff auf HTTP-Verbindungen

Im Grunde handelt es sich bei der Umleitung solcher WLAN-Hotspots auf deren Vorschaltseiten um nichts anderes als einen Man-in-the-Middle-Angriff auf HTTP-Verbindungen.

Möglich sind solche Angriffe auch nur deshalb, weil das HTTP-Protokoll keinerlei Gewährleistung für die Echtheit der übertragenen Daten bietet. Damit nutzen Captive Portals im Grunde nur eine Sicherheitslücke im HTTP-Protokoll, um Nutzer auf ihre Startseite umzuleiten.

Technisch vorgesehen war das nie, es gibt auch keinen Standard, der ihre Umsetzung beschreibt. Genau genommen verstößt das Vorgehen sogar gegen geltendes Recht.

HTTPS-Verbindungen lassen sich so nicht mehr kapern

Diese Schwächen von HTTP sind einer der Gründe, warum in letzter Zeit der Ruf nach HTTPS-Verbindungen für alle Internetseiten lauter wird. Google bevorzugt HTTPS-Webseiten in seinem Ranking, Let’s Encrypt will dafür sorgen, dass die Ausstellung von Zertifikaten einfacher wird, und Anbieter wie Cloudflare oder Amazon bieten ihren Kunden inzwischen kostenlos HTTPS-Verbindungen an.

Für Captive Portals wird das dann absehbar zu einem Problem. Schon jetzt haben Nutzer häufig bei der Anmeldung in entsprechenden WLANs die Schwierigkeit, dass viele große Webseiten wie Google, Facebook oder Twitter nur noch über HTTPS erreichbar sind. Dank HSTS ist gewährleistet, dass sich diese Seiten überhaupt nicht mehr unverschlüsselt aufrufen lassen.

Um dieses Problem zu umgehen, gibt es inzwischen Workarounds. Verschiedene Betriebssysteme versuchen, entsprechende Captive Portals zu erkennen, indem das System eine voreingestellte HTTP-URL mit bekanntem Inhalt aufruft. Erkennt das System ein Captive Portal, so wird ein Notification-Icon angezeigt. Doch zuverlässig funktioniert diese Erkennung nicht.

Ausblick ohne Lichtblick

Dass der Gesetzentwurf auch andere Möglichkeiten für die Nutzer vorsieht, um die Rechtstreue zu erklären, ist korrekt.

Aber alle anderen Varianten dürften in der Praxis kaum nutzbar sein, WLAN-Vorschaltseiten dürften häufig die einzige Möglichkeit darstellen – und mittelfristig wegen der zunehmenden Verbreitung von HTTPS immer häufiger nicht funktionieren.

Über Klaus

Ich beschäftige mich schon seit 40 Jahren mit dem Internet. Meine Schwerpunkte sind Seitenerstellung, Programmierung, Analysen, Recherchen und Texte (auch Übersetzungen aus dem Englischen oder Niederländischen), Fotografie und ganz besonders die sozialen Aspekte der "Brave New World" oder in Merkel-Neusprech des "Neulands".
Dieser Beitrag wurde unter Internet, Kommentar, Lokales, Mobilgeräte, News, Politik, Programmierung, Recht, Sicherheit, Soziales, Wirtschaft abgelegt und mit , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.