Verbindung zu Google sicher?

  • 14 Antworten
  • Neuester Beitrag
Diskutiere Verbindung zu Google sicher? im T-Mobile G1 Forum im Bereich Weitere HTC Geräte.
T

toor

Neues Mitglied
Ich habe mir gerade gedanken gemacht wie denn mein g1 die Verbindung zu google aufbaut um die Mails zu holen und ich konnte dazu leider nichts finden.

Weiß hier vielleicht jemand ob die Verbindung verschlüsselt ist?

Gruß

toor
 
R

raw

Ambitioniertes Mitglied
vermutlich nicht ... wenn ich mich im web bei googlemail.com einlogge ist das auch keine ssl verbindung, daher vermute ich das googe das nicht ganz so eng sieht.

ich benutze übrigens meinen eigenen mailserver mit SSL (das e-mail-programm K-9 im Android-Market unterstützt auch selbstgemachte ssl-zertifikate)

alles andere, kontakte, termine geht wohl unverschlüsselt zu google.
 
T

toor

Neues Mitglied
Bei googlemail kann man aber in den Einstellungen einstellen das immer ssl verwendet wird, daher kann es doch sein das die Verbindung vom g1 auch verschlüsselt ist.
Ich konnte dazu aber leider gar keine Informationen finden... würde mich aber mal brennende interessieren!
 
enjoy_android

enjoy_android

Experte
Ich bin mir fast sicher das SSL genutzt wird. Beim Webzugang kannst du ja auch SSL dauerhaft wählen. Ich denke das die Einstellungen im Account übernommen werden.
 
T

toor

Neues Mitglied
Ok, dann muss ich mal versuchen zu sniffen, wenn ich im wlan raus gehe bzw. auf der fritzbox ein capture machen.
Wenn ich was rausfinden konnte werd ich es hier posten.
 
R

raw

Ambitioniertes Mitglied
Ich hab es nachgeprüft, in dem ich meine workstation zu einem router gemacht habe und den traffic des G1 über mein wlan geroutet habe:

(teile des bildes zum schutz meiner daten entfernt)



Wie man sieht ist der traffic unverschlüsselt - da ist ein "GoogleLogin"-string welcher mich gegenüber dem google-service identifiziert.

hier habe ich die selbe Anfrage mit meinem firefox abgeschickt:



Wie man sieht kann ich mit dem gestohlenen login-string den google-service nutzen. Das bedeutet, das jemand, der den wlan-traffic mitlauscht in der lage ist, die google-dienste in unserem namen zu nutzen. nicht schön, ist aber so.
 

Anhänge

T

toor

Neues Mitglied
Ok, vielen Dank.

Das ist aber echt sehr sehr unschön!
 
R

raw

Ambitioniertes Mitglied
Das einzige, was da helfen würde wäre ein VPN-Client den es leider noch nicht gibt.
oder was jetzt schon gehen würde: den ganzen datenverkehr via ssh (programm connectBot) über einen eigenen gateway tunneln, allerdings braucht man so einen erstmal.
 
M

micm

Ambitioniertes Mitglied
das heisst wohl in der öffentlichkeit: wlan aus.
 
enjoy_android

enjoy_android

Experte
raw mich würde interessieren ob du im Gmail Account SSL aktiviert hast. (also im Webinterface) Und bei dem besagten Fall geht es ja um den Kalender, mich würde aber viel mehr Email interessieren.

Update:
Wenn ich mir eine Email auf das G1 schicke, dann sehe ich wie die Verbindung zu den Google Servern per SSL geschieht.
 
Zuletzt bearbeitet:
zx128

zx128

Experte
Ist die Anmeldung bei gMail eh nicht immer mit HTTPS?
und nur später je nach Einstellungen HTTP oder HTTPS?

@raw:

Was den Test mit G1->WLAN-Router & Firefox angeht:

ging Firefox über den selben Router wie das G1?
D.h. kamst du bei gMail in beiden Fällen mit einer und den selben IP an?
 
R

raw

Ambitioniertes Mitglied
zx128 schrieb:
Ist die Anmeldung bei gMail eh nicht immer mit HTTPS?
und nur später je nach Einstellungen HTTP oder HTTPS?

@raw:

Was den Test mit G1->WLAN-Router & Firefox angeht:

ging Firefox über den selben Router wie das G1?
D.h. kamst du bei gMail in beiden Fällen mit einer und den selben IP an?
ja, war die selbe ip; wenn jemand im wlan meinen loginstring snifft hat er vermutlich dann auch die selbe ip. eventuell ist der loginstring ja zeitlich begrenzt, so eine art session-id; das hab ich nun nicht probiert.

enjoy_android schrieb:
raw mich würde interessieren ob du im Gmail Account SSL aktiviert hast. (also im Webinterface) Und bei dem besagten Fall geht es ja um den Kalender, mich würde aber viel mehr Email interessieren.

Update:
Wenn ich mir eine Email auf das G1 schicke, dann sehe ich wie die Verbindung zu den Google Servern per SSL geschieht.
Ich habs gerade probiert und feue mich bestätigen zu können, das googleMail über TLSv1/SSL(https) läuft und damit sicher ist! SSL ist im webmail auf googlemail.com nicht aktiviert!

EDIT:
der google-calendar benutzt http://code.google.com/apis/calendar/docs/2.0/developers_guide_protocol.html#AuthClientLogin
ich vermute das dieser authtoken welchen ich anfangs erwähnte also zeitlich und ip-mäßig begrenzt ist. bestenfalls kann jemand aus dem selben wlan also kurzfristig deinen kalendar kontrollieren - einiges an technischem know-how vorrausgesetzt.
 
Zuletzt bearbeitet:
enjoy_android

enjoy_android

Experte
Kannst du bitte mal SSL in Webmail aktivieren und dann nochmal den Kalender sniffen. Es wäre wichtig ob die Settings übernommen werden. Wenn ja dann wäre ja doch alles in Butter.
 
M

micm

Ambitioniertes Mitglied
Wie läuft denn die Authentifizierung in diesem Fall. Würde das G1 dann einen Loginvorgang per HTTP starten und dann als Antwort SSL-Only zurückbekommen, so dass das Passwort erst gar nicht unverschlüsselt versandt wird?