Ernsthafte Frage, wieso dieser Zwang jetzt zu HTTPS? Viele Seiten brauchen keine Verschlüsselung und keine Sicherheit. Meine Seite, pro-linux.de, usw. z.B. ist HTTPS völlig sinnlos. Dazu kommt, dass ich ein Zertifikat kaufen muss und dass ich nicht verschiedene Seiten auf dem gleichen Server mit einer einzigen IP Adresse betreiben kann. Vielleicht in 20 Jahren, wenn IPv6 endlich allgegenwärtig wird kann ich alle meine Seiten verschlüsseln. Aber heute ist es einfach nur unnötig.
Die automatische Auswertung der exakten Webseite, die aufgerufen wurde und damit der Inhalt, kann nicht mehr durchgeführt werden. Die lauschende Person kann nur noch eine Assoziation zum aufgerufenen Webserver bzw. der ersten URL herstellen. Alles weitere bleibt geheim.
Beispiel: Ich gehe auf Amazon, aber der Geheimdienst weiß nicht, dass ich nach System kritischer Literatur suche.
Beispiel: Ich gehe auf Amazon, aber der Geheimdienst weiß nicht, dass ich nach System kritischer Literatur suche.
Anscheinend hast Du keinen Schimmer, wie kaputt das SSL-System ist (mit System meine ich nicht nur die reine Software, sondern den Haufen Zertifizierungsstellen, die jedem ein Zertifikat ausstellen, der ein Faxgerät und 20 Dollar hat).
So einfach geht es nun auch wieder nicht sich unberechtigterweise ein Zertifikat für eine Domain zu holen. Die Zertifikatsaussteller haben durchaus Leitlinien an die sie sich halten müssen wenn sie nicht aus den Browsern rausgeworfen werden wollen.
z.B. muss in jedem Fall der Inhaber der Domain durch eine von mehreren möglichen Verifizierungsarten verifiziert werden. Eine dieser Arten ist eine Email mit einem Verifizierungscode der an eine vorgegebene Adresse geschickt wird. Hierzu sind folgende Adressen zugelassen
Zusätzlich ist noch die EMail-Adresse gültig die man via WHOIS abfragen kann, was aber nicht bei allen TLDs möglich ist.
Daneben gibt es auch noch DNS Verifzierung und HTTP Verifzierung. Beim ersten muss eine spzielle Subdomain erstellt werden die dann überprüft wird. Beim zweiten wird eine bestimmte Datei auf dem Webspace im Hauptverzeichnis abgelegt und wird überprüft.
Klar können alle diese Methoden auch sicher ausgehebelt werden aber wenn jemand so viel Kontrolle über deine Domain oder deinen Webspace hat, dann hast du ganz andere Probleme als nur ein falsch ausgestelltes Zertifikat.
Generell sehe ich in der Verschlüssel eine Erhöhung der Sicherheit und ich bin keiner von der "Ach bringt doch alles nichts also geben wir auf" Fraktion. Ich tue ich alles um meiner Verantwortung als Seitenbetreiber oder Betreiber von Mailservern gerecht zu werden. Wenn Geheimdienste der Meinung sind sie müssten meinen Nutzern hinterherschnüffeln dann mache ich ihnen das Leben so schwer wie es nur geht und wenn
Hier geht es nicht Aktionismus sondern um Verantwortung gegenüber seinen Nutzern. Jeder Seitenbetreiber der Zugriff auf persönliche Daten nehmen will aber seine Seiten nicht verschlüsselt handelt in meinen Augen einfach nur Verantwortungslos.
Kurzum ist Tür zumachen besser als Tür offen lassen wenn man ss Haus verlässt. Tür abschliessen komm dann auch noch irgendwann wenns bis dahin nicht illegal ist.
Die NSA hat eh Backdoors in allen Verschlüsselungen. Außerdem gibt es auch noch Big-Data, wo viele verschiedene Datensätze wieder zusammen geführt werden. Wenn du also bei Amazona etwas gekauft hast, die aber nicht direkt sehen können was es war, dann schauen die mal in dein Bankkonto, sehen wie viel du bezahlt hast, schwupps, können die schon mal viele Daten filtern, dann Fragen die die Paketverfolgung ab, schwupps können sie nochmals nach Lieferzeit, Größe und Gewicht filtern, dann schauen die noch andere Datensätze, deine Telephonegespräche, SMS, Arbeitsplatz, Einkommen, Spenden ect. an und du bist überrascht, dass die aus dem 1 Mrd. Teile Sortiment mit 98% Wahrscheinlichkeit eine handvoll Produkte rausgefiltert haben, die du tatsächlich gekauft hast.
Die NSA hat eh Backdoors in allen Verschlüsselungen.
Das ist ein Gerücht das die NSA vermutlich sogar selber gestreut hat um Menschen wie dich dazu zu bringen einfach aufzugeben und nicht mehr zu verschlüsseln denn "ist ja eh alles egal". Bei mir weckt das eher den Wunsch denen so viel Arbeit wie möglich zu machen und die Kosten für die Überwachung so richtig schön in die Höhe zu treiben.
Das einzige das bisher an "Hintertüren" festgestellt wurde war ein Schwächung in einem Zufallszahlengenerator der außer von RSA von keinem benutzt wurde.
Hier bestand aber schon länger der Verdacht das da eine Hintertür vorhanden ist und daher wurde der Zufallszahlengenerator auch weitgehend nicht verwendet. Das Witzige dabei ist das der Code für den Generator in OpenSSL von Anfang an kaputt war aber weil ihn keiner benutzt hat war es auch keinem aufgefallen.
Dazu kommt noch das RC4 endgültig zum alten Eisen gelegt wurde, da schon vorher der Verdacht bestand das es zu leicht zu knacken ist. Mit Hintertür hat das aber nichts zu tun sondern eher mit Rechenpower gegen Verschlüsselung.
Generell würde ich sagen, wer mal 15 Minuten Zeit investiert kann für seine Nutzer mehr Sicherheit erreichen.
Wenn der Geheimdienst dich beobachtet, dann gehen die einfach zu Amazon und fragen die Logs direkt ab. SSL ist eher die Illusion von Privatsphäre. Privatsphäre muss politisch geschützt werden, nicht technisch, durch Gesetze die z.B. sagen dass Amazon die Logs nach 1 Woche löschen muss.
SSL ist dazu da damit man dir deine Kreditkartendaten oder Passwörter nicht abfangen kann. Und dies ist bei 99% der Webseiten überflüssig. Die Handvoll Seiten die wichtig wären, wäre Facebook, Twitter, Bank-Seiten, Ebay, PayPal.
Es gibt keine guten Gründe, die gegen eine Verschlüsselung sprechen, aber etliche dafür.
Neben den Seiten, bei denen Sicherheit und Datenschutz offensichtlich notwendig sind, sollten auch 'uninteressante' Seiten verschlüsselt werden. Zum einen sollte niemand Daten darüber sammeln können, worüber du dich informierst, welche Videos du am liebsten auf ****tube schaust, etc. Momentan können das diverse Leute, eventuell im Intranet, dein ISP, diverse Knotenpunkte, usw., und Verschlüsselung ist hier eine einfache Lösung.
Ein weiterer wichtiger Punkt ist, dass dir niemand so einfach Daten unterschieben kann, wenn die Verbindung verschlüsselt ist. Momentan können dir veränderte Webseiten-Inhalte angezeigt werden (Beispiel Zensur in China), oder es können dir z.B. diverse Skripte untergeschoben werden, die dein Browser dann ausführt, z.B. um mit deinem Rechner andere Server zu belasten während du eine Seite aufrufst, oder man könnte dir strafbare Inhalte unterschieben, die nicht gerendert werden, aber in deinem Cache landen, oder man könnte dir Tracking cookies unterschieben (hat Verizon in den USA bereits gemacht), oder oder oder. Das muss einfach nicht sein.
"Neben den Seiten, bei denen Sicherheit und Datenschutz offensichtlich notwendig sind, sollten auch 'uninteressante' Seiten verschlüsselt werden. Zum einen sollte niemand Daten darüber sammeln können, worüber du dich informierst, welche Videos du am liebsten auf ****tube schaust, etc. Momentan können das diverse Leute, eventuell im Intranet, dein ISP, diverse Knotenpunkte, usw., und Verschlüsselung ist hier eine einfache Lösung."
Wissen wir nicht seit spätestens Snowden dass Verschlüsselung in solchen Fällen garnicht greift? Da werden munter verschlüsselte Verbindungen abgehört dass es ne Freude ist.
"Ein weiterer wichtiger Punkt ist, dass dir niemand so einfach Daten unterschieben kann, wenn die Verbindung verschlüsselt ist. Momentan können dir veränderte Webseiten-Inhalte angezeigt werden (Beispiel Zensur in China), oder es können dir z.B. diverse Skripte untergeschoben werden, die dein Browser dann ausführt, z.B. um mit deinem Rechner andere Server zu belasten während du eine Seite aufrufst, oder man könnte dir strafbare Inhalte unterschieben, die nicht gerendert werden, aber in deinem Cache landen, oder man könnte dir Tracking cookies unterschieben (hat Verizon in den USA bereits gemacht), oder oder oder. Das muss einfach nicht sein."
Auch ein guter Punkt, aber auch das wird heute schon umgangen.
Man könnte auch sagen ein Virenscanner erhöht die Sicherheit. Ja in gewissen Maße tut er das auch. Sicher ist dadurch aber noch lange nichts.
Die Information das man pro Zertifikat eine eigene IP braucht ist veraltet. Inzwischen beherrscht jeder Browser SNI. Damit ist es möglich mehrere Zertifikate unter einer IP laufen zu lassen.
Was die Kosten für das Zertifikat angeht, so wird das nicht mehr lange ein Thema sein. Zum einen gibt es bereits jetzt mit StartSSL.org einen Anbieter der kostenlose Zertifikate ausstellt und zum anderen werden Mozilla und die EFF vermutlich noch in diesem Sommer anfangen mit dem Let's Encrypt Projekt kostenlose Zertifikate auszustellen, und ja die werden von jedem aktuellen Browser akzeptiert.
Übrigens gibt es auch gute Gründe auch bei Seiten eine Verschlüsselung zu verwenden bei der scheinbar keine sensiblen Daten übermittelt werden. Es erschwert diverse Angriffe wie z.B. das stehlen von Cookies oder Cross Site Scripting Angriffe. Vor allem aber das Einschleusen von Skripten durch Man in the Middle Attacken können damit deutlich erschwert werden sofern man auch entsprechende Maßnahmen zur Erkennung verwendet wie z.B. DANE oder Public Key Pinning (HPKP). So ein Angriff war z.B. der DDOS auf Github durch die "Great Cannon" von China.
Zum einen gibt es bereits jetzt mit StartSSL.org einen Anbieter der kostenlose Zertifikate ausstellt
Wie "kostenlos" die dann wirklich sind wenn es darauf ankommt, konnte man seit Heartbleed sehen...
und zum anderen werden Mozilla und die EFF vermutlich noch in diesem Sommer anfangen mit dem Let's Encrypt Projekt kostenlose Zertifikate auszustellen, und ja die werden von jedem aktuellen Browser akzeptiert.
Bleibt zu hoffen, dass die es besser machen. Die Hoffnung stirbt bekanntlich zuletzt.
Es ist so nötig dass jeder seit der Erfindung von Emails seine mails verschlüsselt, ah, Moment, so gut wie niemand verschlüsselt seine Emails obwohl GNU PG seit 1999 für alle verfügbar ist. Und es wird auch so die nächsten 50 Jahre bleiben, weil niemand Email Verschlüsselung für nötig hält.
Es halten genügend Leute Verschlüsselung für sinnvoll.
Leider konnten sich die relevanten Mitspieler am Emai-Markt noch nicht auf ein automatisch verschlüsseltes Protokoll einigen.
Wave von Google wäre sowas gewesen, nur vermute ich, dass es da einen Wink von "oben" gegeben hat, diese Software nicht fertig zu entwickeln. Alles was gefehlt hat um Wave zum Durchbruch zu verhelfen, wäre eine Schnittstelle Wave-->Email und Email-->Wave gewesen.
Ach komm, der Mensch ist bequem und GnuPG wirft zu viele Probleme auf die man ohne nicht hätte. Eine Sache die viele Theoretiker halt nicht mögen: das Produkt bringts halt nicht (für die breite Masse). SSL ist eine gänzlich andere Sache - es läuft größtenteils unsichtbar für den Anwender.
Komplizierte Bedienung. Man muss asymmetrische Verschlüsselung verstanden haben, um GPG/PGP sicher verwenden zu können, aber die ist sehr schwer zu erklären. Personen ohne mathematischen oder IT-Hintergrund haben überhaupt kaum eine Chance, sie zu verstehen.
Man braucht immer zwei Schlüssel, den eigenen privaten und den öffentlichen der Gegenstelle. Dieses Problem ist gelöst (Public Key Infrastructure), es gibt aber ein neues:
Auf den Schlüsselservern liegen gefälschte Schlüssel herum, die sich von den echten nur im Fingerabdruck unterscheiden. Hat man zum ersten Mal Kontakt zu einer Person, kann man sehr leicht den falschen erwischen (war mal ganz groß in der c't[1]).
Ersteres ist das Hauptproblem, das bisher noch niemand lösen konnte.
Ersteres ist das Hauptproblem, das bisher noch niemand lösen konnte.
Haben sogar mehrer schon gelöst. Siehe z.B. Threema.
Auch läßt sich die asymmetrishe Verschlüsselung sehr leicht erklären. Der ganze Mathematische und IT-Hintergrund für den Anwender uninteressant. Der muss nur wissen, das es funktionert und wie er es verwenden kann. In einer hübschen GUI verpackt, und schon kann das jeder.
Dann mach mal: Wo ist der Unterschied zwischen dem privaten und dem öffentlichen Schlüssel, warum braucht man unbedingt beide und wie kommt es, dass die Gegenstelle meinen Text entschlüsseln kann, obwohl wir unterschiedliche/gegensätzliche Schlüsselpaare verwenden?
Man könnte das jetzt wie im Chaosradio anhand eines Schlosses mit zwei Schlüssellöchern erklären, aber spätestens bei der driten Frage ist man damit am Ende.
Wo ist der Unterschied zwischen dem privaten und dem öffentlichen Schlüssel? - den öffentlichen gibst du weiter, den privaten behälst du.
warum braucht man unbedingt beide? - ist halt so.
und wie kommt es, dass die Gegenstelle meinen Text entschlüsseln kann, obwohl wir unterschiedliche/gegensätzliche Schlüsselpaare verwenden? - das haben sich irgendwelche Mathematiker so ausgedacht, weil es so sinnvoll ist; wir benutzen es einfach und es funktioniert.
Man könnte das jetzt wie im Chaosradio anhand eines Schlosses mit zwei Schlüssellöchern erklären, aber spätestens bei der driten Frage ist man damit am Ende.
- Selber schuld, wenn man alles unnötig detailliert erklären möchte. Das, was man als Anwender davon verstehen muss ist lediglich:
- Man hat zwei Schlüssel, mit dem einen kann man verschlüsseln (public), mit dem anderen kann man entschlüsseln (private), ich gebe also nur den öffentlichen zum verschlüsseln weiter, den privaten behalte ich.
Fertig, mehr braucht man da zur Benutzung nicht zu erklären.
Man könnte sich natürlich auch bei der Benutzung von EMail damit aufhängen, warum man nur die Adresse weiter gibt, aber nicht das Passwort, das wäre in etwa das gleiche.
Wo ist der Unterschied zwischen dem privaten und dem öffentlichen Schlüssel?
Technisch, meine ich. Dass man einen hergibt und den anderen behält, lässt sich im Zweifelsfall aus dem Namen ableiten.
warum braucht man unbedingt beide? - ist halt so.
Sehr schöne Antwort, geradezu lehrbuchtauglich. Ich glaube, da bevorzuge ich eher deine andere Erklärung: »das haben sich Mahtematiker so ausgedacht«
Man könnte sich natürlich auch bei der Benutzung von EMail damit aufhängen, warum man nur die Adresse weiter gibt, aber nicht das Passwort, das wäre in etwa das gleiche.
Das ist jetzt ziemlich aus der Luft gegriffen. Das Passwort der Absenderadresse ist zum Lesen der Mail nicht nötig und geht außer der Person, der die Absenderadresse gehört, niemanden was an.
"Das Passwort der Absenderadresse ist zum Lesen der Mail nicht nötig und geht außer der Person, der die Absenderadresse gehört, niemanden was an." Genauso beim privaten Schlüssel. Ist für den anderen nicht relevant, hat ihn also nicht zu interessieren. Der Schlüssel wird von mir gebraucht um verschlüsselte Mails zu lesen (ähnlich dem Zugriff auf's eigene Mail-Konto, sprich das Passwort).
Wenn nur Systemkritische/Regimekritische/Finanztechnische Seiten verschlüsselt werden, dann ist es für ein totalitäres Regime wie in Russland oder China viel einfacher, genau herauszufinden WER da systemkritisch/regimekritisch ist. Wenn so gut wie alle Seiten verschlüsselt sind, dann ist hat man ein viel stärker verrauschtes Signal. Die Annahme "der verschlüsselt was, also hat er was zu verbergen" trifft dann nicht mehr zu.
Für Email wäre das gleiche zutreffend. Wenn jede "bitte vergiss nicht, den Hund zu füttern" Email vollautomatisch verschlüsselt übertragen wird, dann kommen die Geheimdienste mit dem Überwachen des Emailverkehrs nicht mehr nach, selbst wenn sie große Rechenleistungen einsetzen. Dann können sie nämlich nicht so einfach die unwichtigen von den wichtigen Meldungen unterscheiden.
[Ironie] Erinnert mich auch an diesen blöden TÜV. Was haben die immer nur mit ihren funktionierenden Bremsen. Die finde ich völlig unnötig. Notfalls kann ich auch mit dem Fuß von 100 km/h auf 0 bremsen. [Ironie aus]
Wenn du mal den Artikel liest geht es darum die Nutzer zu schützen und auch darum den Seitenbetreibern mal etwas Verantwortungsbewusstsein beizubringen.
Es werden nur Funktionen abgeschaltet die mit der Sicherheit und der Privatsphäre der Nutzer zu tun haben. Aber wenn du auf Sicherheit und Privatsphäre verzichten willst kannst du ja gerne einen anderen Browser verwenden.
Dieser Beitrag wurde 2 mal editiert. Zuletzt am 01. Mai 2015 um 16:49.
das war es dann für den Einsatz von Proxys. Durch https-zwang verlieren diese ihren Zweck, den Traffic zu minimieren. Ausser, der Proxy bricht die Verschlüsselung als MITM auf. Dann hat man aber nichts gewonnen und gefährdet sogar die Sicherheit.
Proxies sind heute eigentlich nur noch dazu gut den Zugriff auf Seiten einzuschränken oder die Zugriffe von Mitarbeitern in Firmen zu überwachen.
Es gibt zwar Proxies die den Zugriff beschleunigen indem sie alles komprimieren aber in Sachen Privatsphäre sind solche Proxies eine Katastrophe da die Betreiber buchstäblich alles mitlesen können was die Nutzer aufrufen.
Daher bin ich froh das Seitenbetreiber dazu gedrängt werden das sie ihre Seiten mit Verschlüsselung absicher wenn sie schon auf Javascript Funktionen zurückgreifen über die persönliche Daten abgefragt werden können.
Deine Aussage zu Proxies kann man so nicht stehen lassen.
Mit Adzapper gibt es z.B. einen der besten Werbeblocker für Squid, wo der Müll zentral fürs ganze Hausnetz ausgefiltert wird, unabhängig des Clients oder Browsers. Dabei muss man sich auch nicht mit fragwürdigen Geschäftspraktiken herumschlagen.
Des weiteren gibt es reichlich Leute mit langsamen Internetzugängen. Ich durfte mich auch lange Zeit dazuzählen und weiß deshalb aus erster Hand, welche massive Erleichterung ein Proxy bringen kann.
So sehe ich das auch. Betreibe meinen RPI als Proxy, der filtert mir schon mal das fiese zeugs raus. Selbst 16 Mbit können manchmal ganz schön langsam sein. Bei Volumen basierten bzw. Drossel-Tarifen wie unter LTE kommt dem Datenverbrauch nochmals eine besondere Bedeutung zu.
Dazu käme auch noch yacy, welches man als Proxy einrichten und die besuchten Seiten in der Suchmaschine gleich indexieren lassen kann.
https-Zwang beim normalen surfen empfinde ich als fehl geleiteten Aktionismus. Das Konzept ist eh kaputt. Wirkliche Sicherheit bringt es kaum. Strapaziert dafür die Nerven der normalen Anwender mit Warnungen, welche diese nicht mal verstehen.
> Proxies sind heute eigentlich nur noch dazu gut den Zugriff auf Seiten einzuschränken oder die Zugriffe von Mitarbeitern in Firmen zu überwachen.
Diese Aussage kann so nicht stehenbleiben. Auch hier in Mitteleuropa gibt es noch heute Gegenden und Regionen in denen aufgrund fehlender Infrastruktur mehr als ISDN nicht drin ist und geographisch/topologisch bedingt auch keine brauchbare GSM/UMTS/LTE Abdeckung besteht. Beispiel eines Bildungsträgers in der Nähe von Düsseldorf, dort gibt es nur zwei gebündelte ISDN-Anschlüsse, also 256k/256k, für insgesamt 190 Auszubildende und Lehrer. Jedes Kb das nicht übertragen werden muss, ist ein Gewinn. Mit https fällt jeder Proxy natürlich flach, schon jetzt ist dessen zunehmende Verwendung auf immer mehr großen Seiten deutlich bemerkbar.
Von Walter aus den Bergen am Fr, 1. Mai 2015 um 18:46 #
Ich sehe das anders. Hier besteht weniger ein technisches Problem, eher ein politisches. Ja bitte warum müssen wir uns heute vor unseren eigenen Regierungen bzw. deren Diensten mehr schützen als vor bösen, bösen,bösen Jungs (und Mädels) aus dem Internet die man als Cyberkrims bezeichnet. Die ganze Verschlüsselung ist für den A...., wenn die Daten dann schon beim Absender oder Empfänger abgefangen werden. Siehe Google, Facebook und Zusammenarbeit mit NSA. Dann noch die Sache mit den sogenannten Bundestrojaner, usw. usw.
> Die ganze Verschlüsselung ist für den A...., wenn die Daten dann schon beim Absender oder Empfänger abgefangen werden.
Das macht die Sache aber wesentlich aufwendiger. Momentan können Milliarden von Verbindungen überwacht werden, indem man einige Knotenpunkte mit ein wenig Aufwand anzapft. Bei dem großflächigen Einsatz von Verschlüsselung wird die Sache viel/exponentiell aufwändiger und lässt sich kaum automatisieren, da steht der Aufwand dann hoffentlich in keinem irgendwie rechtfertigbaren Verhältnis mehr zum Nutzen.
Große Dienste wie Facebook wird man dann zwar immer noch versuchen zu überwachen, aber das ist dann eher ein problem der Zentralisierung des Internets.
Die Überwachung ist unabhängig von https. Große Portale wie Facebook sind kein Argument. Diese nutzen sowieso https. Als Angriffsziel sind die Daten, welche bei FB selbst liegen. Diese können durch FB oder entsprechende Behörden direkt genutzt werden. Das Nutzerverhalten wird sowieso durch die vielfältigen Tracker erfasst, auch da hilft https nicht. Hier will Moz sogar zukünftig selber mit mischen.
Also bleiben nur langweilige Blogs und Info/Nachrichten-Seiten wie pro-linux, heise, wikipedia, ... übrig. Das bläht höchstens die Daten der Geheimdienste auf. Die wichtigen Daten holen die sich auf anderen Wegen.
Wie bewerkstelligt man Zugriff über https auf einen Server im lokalen Netz? Also unter 192.168.... Für solche Server kriegt man doch gar kein Zertifikat, oder?
Als Domainname habe ich einfach * verwendet. Es sollte alle Hostnamen abdecken. Das Zertifikat ist in der Datei server.crt und der Schlüssel in server.key.
Beim ersten Aufruf muss man noch eine Ausnahmegenehmigung machen aber dann gilt das Zertifikat für die nächsten 10 Jahre.
Man kann sich auch eine eigene kleine CA aufmachen und für jeden Host ein eigenes Zertifikat erstellen das man dann mit dieser CA signiert. Die CA muss dann einfach nur noch in die Browser importiert werden und schon akzeptieren sie jedes Zertifikat das mit dieser CA signiert wurde ohne zu fragen.
Dieser Beitrag wurde 1 mal editiert. Zuletzt am 01. Mai 2015 um 21:31.
Das war ja eine schnelle Antwort! Vielen Dank, vor allem für das Beispiel. Wenn man als Domainnamen * verwendet, könnten dann auch externe Server das Zertifikat benutzen? Oder kennen die meinen Schlüssel nicht?
Die kennen deinen Schlüssel nicht. Zudem ist es wie gesagt ein selbstsigniertes Zertifikat Jeder kann sich sowas ausstellen.
Der einzige Grund warum man sich Zertifikate kauft ist damit keine Warnmeldung kommt wie das bei selbstsignierten Zertifikaten eben der Fall ist. Daher ist das Zertifikat im Grunde für keinen von Interesse.
Mozilla versucht Webseiten mit SSL zu puschen (also https) auf der anderen Seite ist aber https auch nicht wirklich sicher.
War da nicht mal wo ein Cyberspace-Einbruch wo so SSL Zertifikate gestohlen wurden ? Ich finde den Ansatz ja nicht schlecht aber meines Erachtens wird der Normal User in nicht vorhandene Sicherheit gewiegt.
Du könntest genauso argumentieren das es trotz Airbags und Sicherheitsgurten tödliche Autounfälle gibt und daher sollten wir sie abschaffen da sie dem Autofahrer nur ein falsches Gefühl der Sicherheit geben.
HTTPS hat generell eine solide Basis. Die modernen Algorithmen sind im Grunde nicht zu knacken wenn man sie denn entsprechend einsetzt. Hier hilft z.B. der Konfigurationsgenerator von Mozilla
Zusätzlich kann man sein Nutzer mit Verfahren gegen Man-in-the-Middle Angriffe schützen wie z.B. DANE oder HTTP Public Key Pinning.
Diese Verfahren helfen auch wenn ein Zertifikat unberechtigterweise ausgestellt wurde oder das Zertifikat + Key gestohlen und durch neue ersetzt wurden wenn das bemerkt wurde.
Dieser Beitrag wurde 3 mal editiert. Zuletzt am 01. Mai 2015 um 23:47.
Du könntest genauso argumentieren das es trotz Airbags und Sicherheitsgurten tödliche Autounfälle gibt und daher sollten wir sie abschaffen da sie dem Autofahrer nur ein falsches Gefühl der Sicherheit geben.
Da habe ich so meine eigene (morbide) Theorie. Nach dieser würde die Anzahl der tödlichen Autounfälle deutlich sinken, wenn an Stelle von Airbägs 20 cm lange Stahldorne aus dem Lenkrad aller Autos ragen würden. Einfach so als Motivator für defensives Autofahren.
Nun Software Sicherheitsbedenken mit einem Airbag oder Sicherheitsgurt im Auto zu vergleichen nun ja ...
Klar https hat eine grundsolide Basis das will ich auch nicht bestreiten. Nur wollte ich aufzeigen das auch dieses im jetzigen zustand einfach noch zu schwach ist.
Das Problem ist aber grundgesetzlich das Normal-User die Software nur benützen und sich um den ganzen (Software)Aufbau nicht interessiert. (Was auch ok ist). Leider aber auch auf alles mit "OK" klicken und somit das ganze https genauso sinnlos wieder ist. Und wie ich in einem Kommentar hier schon gelesen habe sobald es zu Anzeigen Problemen kommt wird auf einen anderen Browser gewechselt.
Nun was bringt es mir wen zwischen Punkt A (user) und Punkt B (server) alles super schon verschlüsselt wird, wenn im Nachhinein der User unterwandert wird oder der Server schlecht eingestellt wurde.
Nun Software Sicherheitsbedenken mit einem Airbag oder Sicherheitsgurt im Auto zu vergleichen nun ja ...
Wieso nicht ? Ich sehe da durchaus Gemeinsamkeiten. Sowohl Verschlüsselung als auch Airbag/Sicherheitsgurt wurden geschaffen um für mehr Sicherheit zu sorgen und beides kann durchaus versagen. Das heißt aber nicht das sie nutzlos sind, sondern nur das die Sicherheitstechnik sowohl im Auto als auch in der IT noch weiter verbessert werden muss.
Klar https hat eine grundsolide Basis das will ich auch nicht bestreiten. Nur wollte ich aufzeigen das auch dieses im jetzigen zustand einfach noch zu schwach ist.
Es ist nicht von Anfang an perfekt also wird aufgegeben ? Woher kommt nur diese Einstellung ? Das kann ich absolut nicht nachvollziehen.
Das Problem ist aber grundgesetzlich das Normal-User die Software nur benützen und sich um den ganzen (Software)Aufbau nicht interessiert. (Was auch ok ist). Leider aber auch auf alles mit "OK" klicken und somit das ganze https genauso sinnlos wieder ist. Und wie ich in einem Kommentar hier schon gelesen habe sobald es zu Anzeigen Problemen kommt wird auf einen anderen Browser gewechselt.
Da alle Browserhersteller hier an einem Strang ziehen dürfte der Wechsel bald nichts mehr bringen.
Die Entwickler von Chrome z.B. wollen in Zukunft HTTP generell als unsicher markieren und da Blink inzwischen die Basis für Opera ist müssen die auch mitziehen.
Bleibt noch der Internet Explorer unter Windows aber da sieht es auch so aus als würde Microsoft immer mehr in Richtung mehr Sicherheit gehen.
Nun was bringt es mir wen zwischen Punkt A (user) und Punkt B (server) alles super schon verschlüsselt wird, wenn im Nachhinein der User unterwandert wird oder der Server schlecht eingestellt wurde.
Und damit die Verschlüsselung schlechter gestellt als die Unverschlüsselte Übertragung ?
Ich würde sagen ganz im Gegenteil. Vielleicht ist mal ein Server schlecht eingestellt oder vielleicht wird ein Nutzer unterwandert aber das betrifft doch nicht alle zur gleichen Zeit.
Aktuell ist so viel in Bewegung rund um Verschlüsselung und Sicherheit. Seit der Veröffentlichung der Snowden Dokumente ist viel mehr los in dem Bereich als in den 10 Jahren davor.
Im Moment werden alte und unsichere Verschlüsselungsverfahren aussortiert und an neuen und vereinfachten Möglichkeiten gearbeitet für den Benutzer alles sicherer zu machen.
Es geht darum eine Mauer zu errichten die hoch genug ist damit nur wenig, wenn nicht sogar keiner mehr drüber kann. Und wie baut man eine Mauer ? Einfach Stein auf Stein und Schicht um Schicht.
Es tut mir echt Leid aber Software mit Autoteile zu vergleichen ist einfach Schwachsinn. Man könnte es eventuell mit einer Firewall, Virenscanner oder ganz einfach mit einer Verschlüsselungssoftware vergleichen.
Das Firewalls, Virenscanner zum teil recht nutzlos sind kann man ja per Google oder sonst einem Suchanbieter raus suchen. Hier mal ein kleiner anreizt. ( http://www.ulm.ccc.de/PersonalFirewalls oder https://www.youtube.com/watch?v=1tK9hqpLIU0 )
Ok bei Verschlüsselungssoftware sollte man genauer hin gucken wie wurde es implementiert und wie gut kennt sich der User damit aus und wie genau und penibel wurde es programmiert. Aber was bringt es mir wenn ich die Viren statt über "http" über "https" herunterlade oder untergejubelt bekomme ? Https löst absolut keine Probleme im Gegenteil sie werden nur verschoben und damit noch schwerer in den griff zu bekommen.
//@RipClaw Aber wenn du auf dein Vergleich Software Auto bleibst dann sollten alle Personen die einen PC, Smartphone, Laptop usw. auch einen hmm PC-Führerschein besitzen, und genauso Punkte bekommen und Strafe zahlen wenn zb. ohne Firewall oder sonstiger Sicherheit surfen. Möglichkeit zur Überprüfung könnte zb. der Internet-Betreiber machen.
Ernsthafte Frage, wieso dieser Zwang jetzt zu HTTPS? Viele Seiten brauchen keine Verschlüsselung und keine Sicherheit. Meine Seite, pro-linux.de, usw. z.B. ist HTTPS völlig sinnlos. Dazu kommt, dass ich ein Zertifikat kaufen muss und dass ich nicht verschiedene Seiten auf dem gleichen Server mit einer einzigen IP Adresse betreiben kann. Vielleicht in 20 Jahren, wenn IPv6 endlich allgegenwärtig wird kann ich alle meine Seiten verschlüsseln. Aber heute ist es einfach nur unnötig.
Eigene IP pro Seite ist dank SNI nicht mehr nötig. Ich selbst frage mich allerdings auch was diese SSL-Only Geschichte soll.
Die automatische Auswertung der exakten Webseite, die aufgerufen wurde und damit der Inhalt, kann nicht mehr durchgeführt werden. Die lauschende Person kann nur noch eine Assoziation zum aufgerufenen Webserver bzw. der ersten URL herstellen. Alles weitere bleibt geheim.
Beispiel: Ich gehe auf Amazon, aber der Geheimdienst weiß nicht, dass ich nach System kritischer Literatur suche.
Beispiel: Ich gehe auf Amazon, aber der Geheimdienst weiß nicht, dass ich nach System kritischer Literatur suche.
Anscheinend hast Du keinen Schimmer, wie kaputt das SSL-System ist (mit System meine ich nicht nur die reine Software, sondern den Haufen Zertifizierungsstellen, die jedem ein Zertifikat ausstellen, der ein Faxgerät und 20 Dollar hat).
So einfach geht es nun auch wieder nicht sich unberechtigterweise ein Zertifikat für eine Domain zu holen.
Die Zertifikatsaussteller haben durchaus Leitlinien an die sie sich halten müssen wenn sie nicht aus den Browsern rausgeworfen werden wollen.
Kann man hier nachlesen:
https://cabforum.org/wp-content/uploads/BRv1.2.5.pdf
z.B. muss in jedem Fall der Inhaber der Domain durch eine von mehreren möglichen Verifizierungsarten verifiziert werden.
Eine dieser Arten ist eine Email mit einem Verifizierungscode der an eine vorgegebene Adresse geschickt wird.
Hierzu sind folgende Adressen zugelassen
admin@
administrator@
webmaster@
hostmaster@
postmaster@
Zusätzlich ist noch die EMail-Adresse gültig die man via WHOIS abfragen kann, was aber nicht bei allen TLDs möglich ist.
Daneben gibt es auch noch DNS Verifzierung und HTTP Verifzierung. Beim ersten muss eine spzielle Subdomain erstellt werden die dann überprüft wird.
Beim zweiten wird eine bestimmte Datei auf dem Webspace im Hauptverzeichnis abgelegt und wird überprüft.
Klar können alle diese Methoden auch sicher ausgehebelt werden aber wenn jemand so viel Kontrolle über deine Domain oder deinen Webspace hat, dann hast du ganz andere Probleme als nur ein falsch ausgestelltes Zertifikat.
Generell sehe ich in der Verschlüssel eine Erhöhung der Sicherheit und ich bin keiner von der "Ach bringt doch alles nichts also geben wir auf" Fraktion.
Ich tue ich alles um meiner Verantwortung als Seitenbetreiber oder Betreiber von Mailservern gerecht zu werden. Wenn Geheimdienste der Meinung sind sie müssten meinen Nutzern hinterherschnüffeln dann mache ich ihnen das Leben so schwer wie es nur geht und wenn
Hier geht es nicht Aktionismus sondern um Verantwortung gegenüber seinen Nutzern. Jeder Seitenbetreiber der Zugriff auf persönliche Daten nehmen will aber seine Seiten nicht verschlüsselt handelt in meinen Augen einfach nur Verantwortungslos.
Kurzum ist Tür zumachen besser als Tür offen lassen wenn man ss Haus verlässt. Tür abschliessen komm dann auch noch irgendwann wenns bis dahin nicht illegal ist.
Die NSA hat eh Backdoors in allen Verschlüsselungen. Außerdem gibt es auch noch Big-Data, wo viele verschiedene Datensätze wieder zusammen geführt werden. Wenn du also bei Amazona etwas gekauft hast, die aber nicht direkt sehen können was es war, dann schauen die mal in dein Bankkonto, sehen wie viel du bezahlt hast, schwupps, können die schon mal viele Daten filtern, dann Fragen die die Paketverfolgung ab, schwupps können sie nochmals nach Lieferzeit, Größe und Gewicht filtern, dann schauen die noch andere Datensätze, deine Telephonegespräche, SMS, Arbeitsplatz, Einkommen, Spenden ect. an und du bist überrascht, dass die aus dem 1 Mrd. Teile Sortiment mit 98% Wahrscheinlichkeit eine handvoll Produkte rausgefiltert haben, die du tatsächlich gekauft hast.
Wenn du also bei Amazona etwas gekauft hast, die aber nicht direkt sehen können was es war
rofl, der war gut
Das ist ein Gerücht das die NSA vermutlich sogar selber gestreut hat um Menschen wie dich dazu zu bringen einfach aufzugeben und nicht mehr zu verschlüsseln denn "ist ja eh alles egal". Bei mir weckt das eher den Wunsch denen so viel Arbeit wie möglich zu machen und die Kosten für die Überwachung so richtig schön in die Höhe zu treiben.
Das einzige das bisher an "Hintertüren" festgestellt wurde war ein Schwächung in einem Zufallszahlengenerator der außer von RSA von keinem benutzt wurde.
http://www.heise.de/security/meldung/NSA-Affaere-Generatoren-fuer-Zufallszahlen-unter-der-Lupe-1953716.html
Hier bestand aber schon länger der Verdacht das da eine Hintertür vorhanden ist und daher wurde der Zufallszahlengenerator auch weitgehend nicht verwendet.
Das Witzige dabei ist das der Code für den Generator in OpenSSL von Anfang an kaputt war aber weil ihn keiner benutzt hat war es auch keinem aufgefallen.
Dazu kommt noch das RC4 endgültig zum alten Eisen gelegt wurde, da schon vorher der Verdacht bestand das es zu leicht zu knacken ist. Mit Hintertür hat das aber nichts zu tun sondern eher mit Rechenpower gegen Verschlüsselung.
Generell würde ich sagen, wer mal 15 Minuten Zeit investiert kann für seine Nutzer mehr Sicherheit erreichen.
Ich empfehle folgende Seiten hierzu:
https://bettercrypto.org/
https://wiki.mozilla.org/Security/Server_Side_TLS
https://mozilla.github.io/server-side-tls/ssl-config-generator/
Versehentlicher Doppelpost. Bitte diesen hier löschen wenn möglich.
Dieser Beitrag wurde 1 mal editiert. Zuletzt am 03. Mai 2015 um 11:28.Wenn der Geheimdienst dich beobachtet, dann gehen die einfach zu Amazon und fragen die Logs direkt ab. SSL ist eher die Illusion von Privatsphäre. Privatsphäre muss politisch geschützt werden, nicht technisch, durch Gesetze die z.B. sagen dass Amazon die Logs nach 1 Woche löschen muss.
SSL ist dazu da damit man dir deine Kreditkartendaten oder Passwörter nicht abfangen kann. Und dies ist bei 99% der Webseiten überflüssig. Die Handvoll Seiten die wichtig wären, wäre Facebook, Twitter, Bank-Seiten, Ebay, PayPal.
Wenn der Geheimdienst dich beobachtet
Warum sollten sie den ausgerechnet ihn nicht beobachten?
dass Amazon die Logs nach 1 Woche löschen muss
rofl nochmal
Es gibt keine guten Gründe, die gegen eine Verschlüsselung sprechen, aber etliche dafür.
Neben den Seiten, bei denen Sicherheit und Datenschutz offensichtlich notwendig sind, sollten auch 'uninteressante' Seiten verschlüsselt werden. Zum einen sollte niemand Daten darüber sammeln können, worüber du dich informierst, welche Videos du am liebsten auf ****tube schaust, etc. Momentan können das diverse Leute, eventuell im Intranet, dein ISP, diverse Knotenpunkte, usw., und Verschlüsselung ist hier eine einfache Lösung.
Ein weiterer wichtiger Punkt ist, dass dir niemand so einfach Daten unterschieben kann, wenn die Verbindung verschlüsselt ist. Momentan können dir veränderte Webseiten-Inhalte angezeigt werden (Beispiel Zensur in China), oder es können dir z.B. diverse Skripte untergeschoben werden, die dein Browser dann ausführt, z.B. um mit deinem Rechner andere Server zu belasten während du eine Seite aufrufst, oder man könnte dir strafbare Inhalte unterschieben, die nicht gerendert werden, aber in deinem Cache landen, oder man könnte dir Tracking cookies unterschieben (hat Verizon in den USA bereits gemacht), oder oder oder. Das muss einfach nicht sein.
"Neben den Seiten, bei denen Sicherheit und Datenschutz offensichtlich notwendig sind, sollten auch 'uninteressante' Seiten verschlüsselt werden. Zum einen sollte niemand Daten darüber sammeln können, worüber du dich informierst, welche Videos du am liebsten auf ****tube schaust, etc. Momentan können das diverse Leute, eventuell im Intranet, dein ISP, diverse Knotenpunkte, usw., und Verschlüsselung ist hier eine einfache Lösung."
Wissen wir nicht seit spätestens Snowden dass Verschlüsselung in solchen Fällen garnicht greift? Da werden munter verschlüsselte Verbindungen abgehört dass es ne Freude ist.
"Ein weiterer wichtiger Punkt ist, dass dir niemand so einfach Daten unterschieben kann, wenn die Verbindung verschlüsselt ist. Momentan können dir veränderte Webseiten-Inhalte angezeigt werden (Beispiel Zensur in China), oder es können dir z.B. diverse Skripte untergeschoben werden, die dein Browser dann ausführt, z.B. um mit deinem Rechner andere Server zu belasten während du eine Seite aufrufst, oder man könnte dir strafbare Inhalte unterschieben, die nicht gerendert werden, aber in deinem Cache landen, oder man könnte dir Tracking cookies unterschieben (hat Verizon in den USA bereits gemacht), oder oder oder. Das muss einfach nicht sein."
Auch ein guter Punkt, aber auch das wird heute schon umgangen.
Man könnte auch sagen ein Virenscanner erhöht die Sicherheit. Ja in gewissen Maße tut er das auch. Sicher ist dadurch aber noch lange nichts.
Also ich bin auch für Verschlüsselung, aber ein gutes Gegenargument ist bestimmt der Stromverbrauch und Latenz.
Die Information das man pro Zertifikat eine eigene IP braucht ist veraltet. Inzwischen beherrscht jeder Browser SNI.
Damit ist es möglich mehrere Zertifikate unter einer IP laufen zu lassen.
Was die Kosten für das Zertifikat angeht, so wird das nicht mehr lange ein Thema sein. Zum einen gibt es bereits jetzt mit StartSSL.org einen Anbieter der kostenlose Zertifikate ausstellt und zum anderen werden Mozilla und die EFF vermutlich noch in diesem Sommer anfangen mit dem Let's Encrypt Projekt kostenlose Zertifikate auszustellen, und ja die werden von jedem aktuellen Browser akzeptiert.
Übrigens gibt es auch gute Gründe auch bei Seiten eine Verschlüsselung zu verwenden bei der scheinbar keine sensiblen Daten übermittelt werden. Es erschwert diverse Angriffe wie z.B. das stehlen von Cookies oder Cross Site Scripting Angriffe.
Vor allem aber das Einschleusen von Skripten durch Man in the Middle Attacken können damit deutlich erschwert werden sofern man auch entsprechende Maßnahmen zur Erkennung verwendet wie z.B. DANE oder Public Key Pinning (HPKP). So ein Angriff war z.B. der DDOS auf Github durch die "Great Cannon" von China.
Wie "kostenlos" die dann wirklich sind wenn es darauf ankommt, konnte man seit Heartbleed sehen...
Bleibt zu hoffen, dass die es besser machen. Die Hoffnung stirbt bekanntlich zuletzt.
Das ist genauso unnötig wie die Verschlüsselung von Emails.
Ergo ist es verdammt nötig.
Es ist so nötig dass jeder seit der Erfindung von Emails seine mails verschlüsselt,
ah, Moment, so gut wie niemand verschlüsselt seine Emails obwohl GNU PG seit 1999 für alle verfügbar ist. Und es wird auch so die nächsten 50 Jahre bleiben, weil niemand Email Verschlüsselung für nötig hält.
Es halten genügend Leute Verschlüsselung für sinnvoll.
Leider konnten sich die relevanten Mitspieler am Emai-Markt noch nicht auf ein automatisch verschlüsseltes Protokoll einigen.
Wave von Google wäre sowas gewesen, nur vermute ich, dass es da einen Wink von "oben" gegeben hat, diese Software nicht fertig zu entwickeln. Alles was gefehlt hat um Wave zum Durchbruch zu verhelfen, wäre eine Schnittstelle Wave-->Email und Email-->Wave gewesen.
Selbst wenn automatisch verschlüsselt wird, mußt du dich immer noch um eine "eigene" Verschlüsselung kümmern, sonst läufst Gefahr das jemand mitliest.
Ach komm, der Mensch ist bequem und GnuPG wirft zu viele Probleme auf die man ohne nicht hätte. Eine Sache die viele Theoretiker halt nicht mögen: das Produkt bringts halt nicht (für die breite Masse).
SSL ist eine gänzlich andere Sache - es läuft größtenteils unsichtbar für den Anwender.
Die da wären?
Ersteres ist das Hauptproblem, das bisher noch niemand lösen konnte.
Grueße
Ignatz
Links:
[1] http://www.heise.de/security/meldung/l-f-Noch-mehr-PGP-Frust-2559055.html
Haben sogar mehrer schon gelöst. Siehe z.B. Threema.
Auch läßt sich die asymmetrishe Verschlüsselung sehr leicht erklären. Der ganze Mathematische und IT-Hintergrund für den Anwender uninteressant. Der muss nur wissen, das es funktionert und wie er es verwenden kann. In einer hübschen GUI verpackt, und schon kann das jeder.
Dann mach mal: Wo ist der Unterschied zwischen dem privaten und dem öffentlichen Schlüssel, warum braucht man unbedingt beide und wie kommt es, dass die Gegenstelle meinen Text entschlüsseln kann, obwohl wir unterschiedliche/gegensätzliche Schlüsselpaare verwenden?
Man könnte das jetzt wie im Chaosradio anhand eines Schlosses mit zwei Schlüssellöchern erklären, aber spätestens bei der driten Frage ist man damit am Ende.
Grueße
Ignatz
Wo ist der Unterschied zwischen dem privaten und dem öffentlichen Schlüssel?
- den öffentlichen gibst du weiter, den privaten behälst du.
warum braucht man unbedingt beide?
- ist halt so.
und wie kommt es, dass die Gegenstelle meinen Text entschlüsseln kann, obwohl wir unterschiedliche/gegensätzliche Schlüsselpaare verwenden?
- das haben sich irgendwelche Mathematiker so ausgedacht, weil es so sinnvoll ist; wir benutzen es einfach und es funktioniert.
Man könnte das jetzt wie im Chaosradio anhand eines Schlosses mit zwei Schlüssellöchern erklären, aber spätestens bei der driten Frage ist man damit am Ende.
- Selber schuld, wenn man alles unnötig detailliert erklären möchte. Das, was man als Anwender davon verstehen muss ist lediglich:
- Man hat zwei Schlüssel, mit dem einen kann man verschlüsseln (public), mit dem anderen kann man entschlüsseln (private), ich gebe also nur den öffentlichen zum verschlüsseln weiter, den privaten behalte ich.
Fertig, mehr braucht man da zur Benutzung nicht zu erklären.
Man könnte sich natürlich auch bei der Benutzung von EMail damit aufhängen, warum man nur die Adresse weiter gibt, aber nicht das Passwort, das wäre in etwa das gleiche.
Sehr schöne Antwort, geradezu lehrbuchtauglich. Ich glaube, da bevorzuge ich eher deine andere Erklärung: »das haben sich Mahtematiker so ausgedacht«
Das ist jetzt ziemlich aus der Luft gegriffen. Das Passwort der Absenderadresse ist zum Lesen der Mail nicht nötig und geht außer der Person, der die Absenderadresse gehört, niemanden was an.
Grueße
Ignatz
"Das Passwort der Absenderadresse ist zum Lesen der Mail nicht nötig und geht außer der Person, der die Absenderadresse gehört, niemanden was an."
Genauso beim privaten Schlüssel. Ist für den anderen nicht relevant, hat ihn also nicht zu interessieren. Der Schlüssel wird von mir gebraucht um verschlüsselte Mails zu lesen (ähnlich dem Zugriff auf's eigene Mail-Konto, sprich das Passwort).
Sehr einfach:
Wenn nur Systemkritische/Regimekritische/Finanztechnische Seiten verschlüsselt werden, dann ist es für ein totalitäres Regime wie in Russland oder China viel einfacher, genau herauszufinden WER da systemkritisch/regimekritisch ist.
Wenn so gut wie alle Seiten verschlüsselt sind, dann ist hat man ein viel stärker verrauschtes Signal. Die Annahme "der verschlüsselt was, also hat er was zu verbergen" trifft dann nicht mehr zu.
Für Email wäre das gleiche zutreffend. Wenn jede "bitte vergiss nicht, den Hund zu füttern" Email vollautomatisch verschlüsselt übertragen wird, dann kommen die Geheimdienste mit dem Überwachen des Emailverkehrs nicht mehr nach, selbst wenn sie große Rechenleistungen einsetzen. Dann können sie nämlich nicht so einfach die unwichtigen von den wichtigen Meldungen unterscheiden.
Das erinntert an Microsoft, als die noch was zu melden hatten, glaubten sie auch sie können den Leuten alles vorschreiben.
[Ironie]
Erinnert mich auch an diesen blöden TÜV. Was haben die immer nur mit ihren funktionierenden Bremsen.
Die finde ich völlig unnötig. Notfalls kann ich auch mit dem Fuß von 100 km/h auf 0 bremsen.
[Ironie aus]
Wenn du mal den Artikel liest geht es darum die Nutzer zu schützen und auch darum den Seitenbetreibern mal etwas Verantwortungsbewusstsein beizubringen.
Es werden nur Funktionen abgeschaltet die mit der Sicherheit und der Privatsphäre der Nutzer zu tun haben. Aber wenn du auf Sicherheit und Privatsphäre verzichten willst kannst du ja gerne einen anderen Browser verwenden.
Dieser Beitrag wurde 2 mal editiert. Zuletzt am 01. Mai 2015 um 16:49.das war es dann für den Einsatz von Proxys. Durch https-zwang verlieren diese ihren Zweck, den Traffic zu minimieren. Ausser, der Proxy bricht die Verschlüsselung als MITM auf. Dann hat man aber nichts gewonnen und gefährdet sogar die Sicherheit.
Proxies sind heute eigentlich nur noch dazu gut den Zugriff auf Seiten einzuschränken oder die Zugriffe von Mitarbeitern in Firmen zu überwachen.
Es gibt zwar Proxies die den Zugriff beschleunigen indem sie alles komprimieren aber in Sachen Privatsphäre sind solche Proxies eine Katastrophe da die Betreiber buchstäblich alles mitlesen können was die Nutzer aufrufen.
Daher bin ich froh das Seitenbetreiber dazu gedrängt werden das sie ihre Seiten mit Verschlüsselung absicher wenn sie schon auf Javascript Funktionen zurückgreifen über die persönliche Daten abgefragt werden können.
Deine Aussage zu Proxies kann man so nicht stehen lassen.
Mit Adzapper gibt es z.B. einen der besten Werbeblocker für Squid, wo der Müll zentral fürs ganze Hausnetz ausgefiltert wird, unabhängig des Clients oder Browsers. Dabei muss man sich auch nicht mit fragwürdigen Geschäftspraktiken herumschlagen.
Des weiteren gibt es reichlich Leute mit langsamen Internetzugängen. Ich durfte mich auch lange Zeit dazuzählen und weiß deshalb aus erster Hand, welche massive Erleichterung ein Proxy bringen kann.
So sehe ich das auch. Betreibe meinen RPI als Proxy, der filtert mir schon mal das fiese zeugs raus. Selbst 16 Mbit können manchmal ganz schön langsam sein. Bei Volumen basierten bzw. Drossel-Tarifen wie unter LTE kommt dem Datenverbrauch nochmals eine besondere Bedeutung zu.
Dazu käme auch noch yacy, welches man als Proxy einrichten und die besuchten Seiten in der Suchmaschine gleich indexieren lassen kann.
https-Zwang beim normalen surfen empfinde ich als fehl geleiteten Aktionismus. Das Konzept ist eh kaputt. Wirkliche Sicherheit bringt es kaum. Strapaziert dafür die Nerven der normalen Anwender mit Warnungen, welche diese nicht mal verstehen.
> Proxies sind heute eigentlich nur noch dazu gut den Zugriff auf Seiten einzuschränken oder die Zugriffe von Mitarbeitern in Firmen zu überwachen.
Diese Aussage kann so nicht stehenbleiben. Auch hier in Mitteleuropa gibt es noch heute Gegenden und Regionen in denen aufgrund fehlender Infrastruktur mehr als ISDN nicht drin ist und geographisch/topologisch bedingt auch keine brauchbare GSM/UMTS/LTE Abdeckung besteht. Beispiel eines Bildungsträgers in der Nähe von Düsseldorf, dort gibt es nur zwei gebündelte ISDN-Anschlüsse, also 256k/256k, für insgesamt 190 Auszubildende und Lehrer. Jedes Kb das nicht übertragen werden muss, ist ein Gewinn.
Mit https fällt jeder Proxy natürlich flach, schon jetzt ist dessen zunehmende Verwendung auf immer mehr großen Seiten deutlich bemerkbar.
Ich sehe das anders.
Hier besteht weniger ein technisches Problem, eher ein politisches. Ja bitte warum müssen wir uns heute vor unseren eigenen Regierungen bzw. deren Diensten mehr schützen als vor bösen, bösen,bösen Jungs (und Mädels) aus dem Internet die man als Cyberkrims bezeichnet.
Die ganze Verschlüsselung ist für den A...., wenn die Daten dann schon beim Absender oder Empfänger abgefangen werden. Siehe Google, Facebook und Zusammenarbeit mit NSA.
Dann noch die Sache mit den sogenannten Bundestrojaner, usw. usw.
> Die ganze Verschlüsselung ist für den A...., wenn die Daten dann schon beim Absender oder Empfänger abgefangen werden.
Das macht die Sache aber wesentlich aufwendiger. Momentan können Milliarden von Verbindungen überwacht werden, indem man einige Knotenpunkte mit ein wenig Aufwand anzapft. Bei dem großflächigen Einsatz von Verschlüsselung wird die Sache viel/exponentiell aufwändiger und lässt sich kaum automatisieren, da steht der Aufwand dann hoffentlich in keinem irgendwie rechtfertigbaren Verhältnis mehr zum Nutzen.
Große Dienste wie Facebook wird man dann zwar immer noch versuchen zu überwachen, aber das ist dann eher ein problem der Zentralisierung des Internets.
Die Überwachung ist unabhängig von https. Große Portale wie Facebook sind kein Argument. Diese nutzen sowieso https. Als Angriffsziel sind die Daten, welche bei FB selbst liegen. Diese können durch FB oder entsprechende Behörden direkt genutzt werden. Das Nutzerverhalten wird sowieso durch die vielfältigen Tracker erfasst, auch da hilft https nicht. Hier will Moz sogar zukünftig selber mit mischen.
Also bleiben nur langweilige Blogs und Info/Nachrichten-Seiten wie pro-linux, heise, wikipedia, ... übrig. Das bläht höchstens die Daten der Geheimdienste auf. Die wichtigen Daten holen die sich auf anderen Wegen.
Ja, das meinte ich mit der Zentralisierung. Aber das ist kein Argument gegen Verschlüsselung, sondern gegen Datenkraken.
Dann poste halt "verschlüsselt" auf Fratzenbuch, damit können es nur die lesen, die auch auch ein Schlüssel dafür haben xD
Wie bewerkstelligt man Zugriff über https auf einen Server im lokalen Netz? Also unter 192.168.... Für solche Server kriegt man doch gar kein Zertifikat, oder?
Wenn es nur für dich selber ist kannst du einfach selbstsignierte Zertifikate erstellen.
Das ist nicht mal so schwer.
Das ist hier z.B. ist ein Kommando das einen Serverschlüssel und ein selbstsigniertes Zertifikat in einem erzeugt:
openssl req -keyout server.key -nodes -newkey rsa:2048 -x509 -days 3650 -sha256 -out server.crt -subj "/CN=*"
Als Domainname habe ich einfach * verwendet. Es sollte alle Hostnamen abdecken. Das Zertifikat ist in der Datei server.crt und der Schlüssel in server.key.
Beim ersten Aufruf muss man noch eine Ausnahmegenehmigung machen aber dann gilt das Zertifikat für die nächsten 10 Jahre.
Man kann sich auch eine eigene kleine CA aufmachen und für jeden Host ein eigenes Zertifikat erstellen das man dann mit dieser CA signiert. Die CA muss dann einfach nur noch in die Browser importiert werden und schon akzeptieren sie jedes Zertifikat das mit dieser CA signiert wurde ohne zu fragen.
Dieser Beitrag wurde 1 mal editiert. Zuletzt am 01. Mai 2015 um 21:31.Das war ja eine schnelle Antwort! Vielen Dank, vor allem für das Beispiel. Wenn man als Domainnamen * verwendet, könnten dann auch externe Server das Zertifikat benutzen? Oder kennen die meinen Schlüssel nicht?
Die kennen deinen Schlüssel nicht. Zudem ist es wie gesagt ein selbstsigniertes Zertifikat Jeder kann sich sowas ausstellen.
Der einzige Grund warum man sich Zertifikate kauft ist damit keine Warnmeldung kommt wie das bei selbstsignierten Zertifikaten eben der Fall ist.
Daher ist das Zertifikat im Grunde für keinen von Interesse.
Mozilla versucht Webseiten mit SSL zu puschen (also https) auf der anderen Seite ist aber https auch nicht wirklich sicher.
War da nicht mal wo ein Cyberspace-Einbruch wo so SSL Zertifikate gestohlen wurden ?
Ich finde den Ansatz ja nicht schlecht aber meines Erachtens wird der Normal User in nicht vorhandene Sicherheit gewiegt.
Du könntest genauso argumentieren das es trotz Airbags und Sicherheitsgurten tödliche Autounfälle gibt und daher sollten wir sie abschaffen da sie dem Autofahrer nur ein falsches Gefühl der Sicherheit geben.
HTTPS hat generell eine solide Basis. Die modernen Algorithmen sind im Grunde nicht zu knacken wenn man sie denn entsprechend einsetzt.
Hier hilft z.B. der Konfigurationsgenerator von Mozilla
Zusätzlich kann man sein Nutzer mit Verfahren gegen Man-in-the-Middle Angriffe schützen wie z.B. DANE oder HTTP Public Key Pinning.
Diese Verfahren helfen auch wenn ein Zertifikat unberechtigterweise ausgestellt wurde oder das Zertifikat + Key gestohlen und durch neue ersetzt wurden wenn das bemerkt wurde.
Dieser Beitrag wurde 3 mal editiert. Zuletzt am 01. Mai 2015 um 23:47.Da habe ich so meine eigene (morbide) Theorie. Nach dieser würde die Anzahl der tödlichen Autounfälle deutlich sinken, wenn an Stelle von Airbägs 20 cm lange Stahldorne aus dem Lenkrad aller Autos ragen würden. Einfach so als Motivator für defensives Autofahren.
Deutlich sinken aber es gäb noch immer welche trotz der 20 cm lange Stahldornen!
Nun Software Sicherheitsbedenken mit einem Airbag oder Sicherheitsgurt im Auto zu vergleichen nun ja
...
Klar https hat eine grundsolide Basis das will ich auch nicht bestreiten. Nur wollte ich aufzeigen das auch dieses im jetzigen zustand einfach noch zu schwach ist.
Das Problem ist aber grundgesetzlich das Normal-User die Software nur benützen und sich um den ganzen (Software)Aufbau nicht interessiert. (Was auch ok ist). Leider aber auch auf alles mit "OK" klicken und somit das ganze https genauso sinnlos wieder ist. Und wie ich in einem Kommentar hier schon gelesen habe sobald es zu Anzeigen Problemen kommt wird auf einen anderen Browser gewechselt.
Nun was bringt es mir wen zwischen Punkt A (user) und Punkt B (server) alles super schon verschlüsselt wird, wenn im Nachhinein der User unterwandert wird oder der Server schlecht eingestellt wurde.
Wieso nicht ? Ich sehe da durchaus Gemeinsamkeiten. Sowohl Verschlüsselung als auch Airbag/Sicherheitsgurt wurden geschaffen um für mehr Sicherheit zu sorgen und beides kann durchaus versagen. Das heißt aber nicht das sie nutzlos sind, sondern nur das die Sicherheitstechnik sowohl im Auto als auch in der IT noch weiter verbessert werden muss.
Es ist nicht von Anfang an perfekt also wird aufgegeben ? Woher kommt nur diese Einstellung ? Das kann ich absolut nicht nachvollziehen.
Da alle Browserhersteller hier an einem Strang ziehen dürfte der Wechsel bald nichts mehr bringen.
Die Entwickler von Chrome z.B. wollen in Zukunft HTTP generell als unsicher markieren und da Blink inzwischen die Basis für Opera ist müssen die auch mitziehen.
Bleibt noch der Internet Explorer unter Windows aber da sieht es auch so aus als würde Microsoft immer mehr in Richtung mehr Sicherheit gehen.
Und damit die Verschlüsselung schlechter gestellt als die Unverschlüsselte Übertragung ?
Ich würde sagen ganz im Gegenteil. Vielleicht ist mal ein Server schlecht eingestellt oder vielleicht wird ein Nutzer unterwandert aber das betrifft doch nicht alle zur gleichen Zeit.
Aktuell ist so viel in Bewegung rund um Verschlüsselung und Sicherheit. Seit der Veröffentlichung der Snowden Dokumente ist viel mehr los in dem Bereich als in den 10 Jahren davor.
Im Moment werden alte und unsichere Verschlüsselungsverfahren aussortiert und an neuen und vereinfachten Möglichkeiten gearbeitet für den Benutzer alles sicherer zu machen.
Es geht darum eine Mauer zu errichten die hoch genug ist damit nur wenig, wenn nicht sogar keiner mehr drüber kann. Und wie baut man eine Mauer ? Einfach Stein auf Stein und Schicht um Schicht.
Es tut mir echt Leid aber Software mit Autoteile zu vergleichen ist einfach Schwachsinn. Man könnte es eventuell mit einer Firewall, Virenscanner oder ganz einfach mit einer Verschlüsselungssoftware vergleichen.
Das Firewalls, Virenscanner zum teil recht nutzlos sind kann man ja per Google oder sonst einem Suchanbieter raus suchen.
Hier mal ein kleiner anreizt. ( http://www.ulm.ccc.de/PersonalFirewalls oder https://www.youtube.com/watch?v=1tK9hqpLIU0 )
Ok bei Verschlüsselungssoftware sollte man genauer hin gucken wie wurde es implementiert und wie gut kennt sich der User damit aus und wie genau und penibel wurde es programmiert. Aber was bringt es mir wenn ich die Viren statt über "http" über "https" herunterlade oder untergejubelt bekomme ? Https löst absolut keine Probleme im Gegenteil sie werden nur verschoben und damit noch schwerer in den griff zu bekommen.
//@RipClaw
Aber wenn du auf dein Vergleich Software Auto bleibst dann sollten alle Personen die einen PC, Smartphone, Laptop usw. auch einen hmm PC-Führerschein besitzen, und genauso Punkte bekommen und Strafe zahlen wenn zb. ohne Firewall oder sonstiger Sicherheit surfen. Möglichkeit zur Überprüfung könnte zb. der Internet-Betreiber machen.