Verbindung zu Google sicher?

[toor]

Ich habe mir gerade gedanken gemacht wie denn mein g1 die Verbindung zu google aufbaut um die Mails zu holen und ich konnte dazu leider nichts finden.

Weiß hier vielleicht jemand ob die Verbindung verschlüsselt ist?

Gruß

toor

 

[raw]

vermutlich nicht ... wenn ich mich im web bei googlemail.com einlogge ist das auch keine ssl verbindung, daher vermute ich das googe das nicht ganz so eng sieht.

ich benutze übrigens meinen eigenen mailserver mit SSL (das e-mail-programm K-9 im Android-Market unterstützt auch selbstgemachte ssl-zertifikate)

alles andere, kontakte, termine geht wohl unverschlüsselt zu google.

 

[toor]

Bei googlemail kann man aber in den Einstellungen einstellen das immer ssl verwendet wird, daher kann es doch sein das die Verbindung vom g1 auch verschlüsselt ist.
Ich konnte dazu aber leider gar keine Informationen finden... würde mich aber mal brennende interessieren!

 

[enjoy_android]

Ich bin mir fast sicher das SSL genutzt wird. Beim Webzugang kannst du ja auch SSL dauerhaft wählen. Ich denke das die Einstellungen im Account übernommen werden.

 

[toor]

Ok, dann muss ich mal versuchen zu sniffen, wenn ich im wlan raus gehe bzw. auf der fritzbox ein capture machen.
Wenn ich was rausfinden konnte werd ich es hier posten.

 

[raw]

Ich hab es nachgeprüft, in dem ich meine workstation zu einem router gemacht habe und den traffic des G1 über mein wlan geroutet habe:

(teile des bildes zum schutz meiner daten entfernt)



Wie man sieht ist der traffic unverschlüsselt - da ist ein "GoogleLogin"-string welcher mich gegenüber dem google-service identifiziert.

hier habe ich die selbe Anfrage mit meinem firefox abgeschickt:



Wie man sieht kann ich mit dem gestohlenen login-string den google-service nutzen. Das bedeutet, das jemand, der den wlan-traffic mitlauscht in der lage ist, die google-dienste in unserem namen zu nutzen. nicht schön, ist aber so.

 

[toor]

Ok, vielen Dank.

Das ist aber echt sehr sehr unschön!

 

[raw]

Das einzige, was da helfen würde wäre ein VPN-Client den es leider noch nicht gibt.
oder was jetzt schon gehen würde: den ganzen datenverkehr via ssh (programm connectBot) über einen eigenen gateway tunneln, allerdings braucht man so einen erstmal.

 

[micm]

das heisst wohl in der öffentlichkeit: wlan aus.

 

[enjoy_android]

raw mich würde interessieren ob du im Gmail Account SSL aktiviert hast. (also im Webinterface) Und bei dem besagten Fall geht es ja um den Kalender, mich würde aber viel mehr Email interessieren.

Update:
Wenn ich mir eine Email auf das G1 schicke, dann sehe ich wie die Verbindung zu den Google Servern per SSL geschieht.

 

[zx128]

Ist die Anmeldung bei gMail eh nicht immer mit HTTPS?
und nur später je nach Einstellungen HTTP oder HTTPS?

@raw:

Was den Test mit G1->WLAN-Router & Firefox angeht:

ging Firefox über den selben Router wie das G1?
D.h. kamst du bei gMail in beiden Fällen mit einer und den selben IP an?

 

[raw]

Ist die Anmeldung bei gMail eh nicht immer mit HTTPS?
und nur später je nach Einstellungen HTTP oder HTTPS?

@raw:

Was den Test mit G1->WLAN-Router & Firefox angeht:

ging Firefox über den selben Router wie das G1?
D.h. kamst du bei gMail in beiden Fällen mit einer und den selben IP an?

ja, war die selbe ip; wenn jemand im wlan meinen loginstring snifft hat er vermutlich dann auch die selbe ip. eventuell ist der loginstring ja zeitlich begrenzt, so eine art session-id; das hab ich nun nicht probiert.

raw mich würde interessieren ob du im Gmail Account SSL aktiviert hast. (also im Webinterface) Und bei dem besagten Fall geht es ja um den Kalender, mich würde aber viel mehr Email interessieren.

Update:
Wenn ich mir eine Email auf das G1 schicke, dann sehe ich wie die Verbindung zu den Google Servern per SSL geschieht.

Ich habs gerade probiert und feue mich bestätigen zu können, das googleMail über TLSv1/SSL(https) läuft und damit sicher ist! SSL ist im webmail auf googlemail.com nicht aktiviert!

EDIT:
der google-calendar benutzt http://code.google.com/apis/calendar/docs/2.0/developers_guide_protocol.html#AuthClientLogin
ich vermute das dieser authtoken welchen ich anfangs erwähnte also zeitlich und ip-mäßig begrenzt ist. bestenfalls kann jemand aus dem selben wlan also kurzfristig deinen kalendar kontrollieren - einiges an technischem know-how vorrausgesetzt.

 

[enjoy_android]

Kannst du bitte mal SSL in Webmail aktivieren und dann nochmal den Kalender sniffen. Es wäre wichtig ob die Settings übernommen werden. Wenn ja dann wäre ja doch alles in Butter.

 

[micm]

Wie läuft denn die Authentifizierung in diesem Fall. Würde das G1 dann einen Loginvorgang per HTTP starten und dann als Antwort SSL-Only zurückbekommen, so dass das Passwort erst gar nicht unverschlüsselt versandt wird?

 

[raw]

laut spezifikation des protokolls wird das passwort via ssl übermittelt; ist also nicht ganz so kritisch. nur "session hijacking" ist drin. die frage die bleibt ist, wie lange diese session hält. ich werd das mal beobachten.

siehe API Developer's Guide: The Protocol - Google Calendar APIs and Tools - Google Code