Login
Newsletter
Werbung

Thema: Google plant für Chrome weitere Einschränkungen bei HTTP-Inhalten

20 Kommentar(e) || Alle anzeigen ||  RSS || Kommentieren
Kommentare von Lesern spiegeln nicht unbedingt die Meinung der Redaktion wider.
0
Von ManInTheMiddle am Do, 10. Oktober 2019 um 13:38 #

Es reicht,wenn man den Router hackt,
dann kann man http manipulieren und dann Javascript auf den PCs einschleusen.

Mit https kann der Router das nicht.

  • 0
    Von klopskind am Do, 10. Oktober 2019 um 14:07 #

    Wer "den Router hackt", ist MitM. Das heißt, dass man alles machen, was ich bereits beispielhaft angeführt hatte. Etwa die Manipulation der für TLS relevanten Systemzeit via Manipulation auf NTP-Ebene bzw. DHCP-Ebene, falls diese den NTP-Server angibt. HTTPS bringt da also meines Verständnisses nach nichts, siehe hier unter dem Eintrag "In Search of a Secure Time Source" etwa in der Mitte der Seite. Damit wären wir also wieder beim Ausgangspunkt meiner Verständnisfrage.

    • 0
      Von Verfluchtnochmal_5987108 am Fr, 11. Oktober 2019 um 01:10 #

      Einen Scheissdreck kannst du als MITM wenn die Seite nicht von einem Idioten betrieben wird weil spätestens wenn von der Domain einmal etwas geladen wurde Strict-Transport-Security dafür sorgt dass für lange Zeit keine Verbindung auf Port 80 mehr versucht wird, ganz egal was in der URL steht

      Das Ziel steht schon lange fest: Mittelfristig jeglichen unverschlüsselten Traffics im Internet zu verhindern

      Nachdem wir das vor weit über einem Jahr bei hunderten Kunden im Zuge des dsgvo lückenlos umgesetzt haben wundert es mich viel mehr dass es unverschlüsseltes http überhaupt noch wo gibt

      Firefox mag mixed content für Video Ressourcen seit Jahren nicht, damals war das noch ein Problem, mittlerweile kann das ganze Zeug lückenlos https

      • 0
        Von klopskind am Fr, 11. Oktober 2019 um 09:30 #

        Einen Scheissdreck kannst du als MITM wenn die Seite nicht von einem Idioten betrieben wird [...]
        Dieser Fall, denn Sie hier rigoros ausschließen, ist sicherlich noch nie eingetroffen... Und ich erkenne an dieser Stelle mittelfristig keine Besserung dieser Situation - leider.

        [...] weil spätestens wenn von der Domain einmal etwas geladen wurde Strict-Transport-Security dafür sorgt dass für lange Zeit keine Verbindung auf Port 80 mehr versucht wird, ganz egal was in der URL steht
        Ja wunderbar, noch eine weitere Annahme, die Sie so ohne Weiteres blind voraussetzen... Hätte, hätte, Fahradkett.

        Genau darum ging es doch bei meiner Verständnisfrage. Wieso diese ganzen Maßnahmen (siehe Artikel), wenn es im Endeffekt trotzdem anfällig bleibt?

        Das Ziel steht schon lange fest: Mittelfristig jeglichen unverschlüsselten Traffics im Internet zu verhindern
        No shit Sherlock! Wer behauptet das Gegenteil? Ergo: unnötig füllendes Strohmann-Argument.

        Inwiefern ist beantwortet das meine Frage?

        Nachdem wir das vor weit über einem Jahr bei hunderten Kunden im Zuge des dsgvo lückenlos umgesetzt haben wundert es mich viel mehr dass es unverschlüsseltes http überhaupt noch wo gibt
        Ja, ich befürworte Verschlüsselung auch. Aber nur dort, wo es tatsächlich sinnvoll erscheint.

        Verschlüsselung hat ihren Preis:
        - Entwicklungsaufwand (fehlerfreie TLS-Bibliotheken und deren korrekte und verständliche Dokumentation wachsen nicht auf Bäumen),
        - korrekte Umsetzung und Integration ist notwendig (Anwendungsentwickler müssen entsprechend geschult sein und fehlerfrei arbeiten; Wie oft schon wurde die weit verbreitete OpenSSL-API falsch verwendet?)
        - Verwaltung weiterer Softwarekomponente mit dem Risiko weiterer Fehler (Admins müssen ebenfalls im Umgang mit Verschlüsselung entsprechend geschult sein, und sie müssen auf jeden Workflow angepasste und sinnvolle Maßnahmen ergreifen, sowie diese hinreichend kommunizieren und kontrollieren),
        - zusätzliche Rechenzyklen sind notwendig, d.h. mehr Ressourcen für Hardware sind nötig, d.h. potenter (und teurer), sowie mehr elektrische Energie

        Den letzten Punkt sollte man nicht unterschätzen, denn außer für AES sind mir nur wenige Hardwareimplementierungen via spezieller Instruktionen für andere Blockchiffren bekannt, und AES-NI bieten fast ausschließlich modernere x86-, ARMv8- oder SPARC-Recheneinheiten.
        Und dann kommt da noch das zu verschlüsselnde Volumen an Daten, die bald verschlüsselt übertragen werden müssen. Ein Youtube oder Netflix mag sich soetwas aufgrund riesiger Rechenzentren zwar leisten können, aber verteuert letztlich das angebotene Produkt (Hardware- & Stromkosten). Kleinere Klitschen und Start-Ups haben dadurch einen höheren Initialaufwand. Reichten die Ressourcen gestern noch für die Übertragung unverschlüsselter Inhalte, so könnte das durch den bald de-facto verpflichtenden, zusätzlichen Verschlüsselungsaufwand in naher Zukunft ganz anders aussehen. Wettbewerbsfreundlicher ist diese Situation also jedenfalls auch nicht.

        Firefox mag mixed content für Video Ressourcen seit Jahren nicht, damals war das noch ein Problem, mittlerweile kann das ganze Zeug lückenlos https
        Inwiefern ist beantwortet das meine Frage?

        • 0
          Von Verfluchtnochmal_5987108 am Fr, 11. Oktober 2019 um 23:48 #

          Welchen Preis hat denn Verschlüsselung 2019?

          Wenn die Seite selbst schon https ist wurde das Thema libraries längst zu den Akten gelegt sonst würdest du gar nicht in den Genuss kommen dass dein Browser irgendwas nachladen und einbinden will

          • 0
            Von klopskind am Sa, 12. Oktober 2019 um 21:00 #

            Und die restlichen Argumente meines Kommentars haben Sie gekonnt ausgeblendet. Eine Glanzleistung Ihrer selektiven Wahrnehmung!

            So argumentiert man 2019. Muss ich mir unbedingt merken!

          0
          Von Verfluchtnochmal_5987108 am Fr, 11. Oktober 2019 um 23:53 #

          aes-ni bieten nur moderne Recheneinheiten?

          mit Verlaub sandybridge ist aus 2011, prinzipiell gab es aes instructions weit früher denn rate mal wofür das "ni" steht

          keine Hardware die 2019 noch Relevanz und Verbreitung besitzt fälltiin deine vertrottelte Argumentation

          • 0
            Von klopskind am Sa, 12. Oktober 2019 um 21:09 #

            Das ist eine Frage der Definition von "modern". Innerhalb meiner Verwandtschaft und Bekanntschaft läuft nicht zu vernachlässigender Anteil an Hardware ohne Instruktionen dieser Art, so z.B. zwei Core2 Duos, ein Phenom II, viele nicht-Exynos-prä-ARMv8-Android-Kommunikatoren usw.

            Das meinte ich an dieser Stelle mit "modern".

            deine vertrottelte Argumentation
            Worthülsen jener Art besitzen eine inhärent disqualifizierende Wirkung. :down:

        0
        Von Kein Azubi am Fr, 11. Oktober 2019 um 18:34 #

        Hoffentlich arbeitest du nicht in der IT den du hast von Tüten und blasen keine Ahnung, wenn jemand deinen Router hackt manipuliert er einfach dein dns und kommst ganz woanders raus.

        • 0
          Von Robert am Fr, 11. Oktober 2019 um 19:10 #

          So ist es, ein ssl terminator nimmt dann einfach anfragen auf Port 443 entgegen und antwortet auf Port 80. Die Seite ist ausgeliefert und dein Browser hat sie geladen.

          0
          Von klopskind am Fr, 11. Oktober 2019 um 19:58 #

          Hoffentlich arbeitest du nicht in der IT den du hast von Tüten und blasen keine Ahnung, [...]
          Ganz unabhängig vom Thema erlaube ich mir an dieser Stelle, die Klärung Ihrer Befürchtung vorwegzunehmen. Verfluchtnochmal schrieb: "Nachdem wir das [Verschlüsselung] vor weit über einem Jahr bei hunderten Kunden im Zuge des dsgvo lückenlos umgesetzt haben".

          Das Wort "Kunden" impliziert eine geschäftliche Beziehung zu einem Arbeitgeber (möglicherweise er selbst), womit er Ihre Sorge bestätigt.

          0
          Von Verfluchtnochmal_5987108 am Fr, 11. Oktober 2019 um 23:44 #

          Und weiter? Was bringt dir der dns wenn du Vollhorst am Ende der Nahrungskette kein gültiges Zertifikat hast? Genau darum geht es beim Thema "everything encrypted"

          Vor wenigen Jahren war es noch kein Problem die Facebook login page nachzuahmen und den dns auf einen eigenen Server umzuleiten

          been there, done that, lustig zu sehen welche Leute im Unternehmen das Passwort der Freundin haben und deren Account probieren wenn der eigene vermeintlich nicht geht

          So, und jetzt kommst du erst wieder angeschissen wenn du eine generische Möglichkeit gefunden hast den Browser xyz nur weil du den dns kontrollierst auf deinen Nachbau umzuleiten und zwar ohne warning

          0
          Von blablabla233 am Sa, 12. Oktober 2019 um 13:04 #

          Hoffentlich arbeitest du nicht in einer Bude wo der router das dns vergiebt (das ist fuer ein haushalt oke, aber im prof umfeld schon recht naiv)

      0
      Von Alzheimer am Fr, 11. Oktober 2019 um 14:12 #

      Wenn man einen Router hackt, dann kann man auch HTTPS-Aufrufe manipulieren, in dem man eigene Inhalte mit Hilfe eines eigenen Zertifikats einschleust. Der Nutzer erhält dann zwar eine Warnmeldung, aber nicht Wenige fügen dann eine Sicherheitsausnahme hinzu.

      Ist ja im Prinzip bei Landing-Pages in öffentlichen WLANs, die über abgelaufene Online-Zeit oder aufgebrauchtes Datenvolumen informieren, auch nichts anderes.

      • 0
        Von klopskind am Fr, 11. Oktober 2019 um 15:18 #

        Danke für diese Klarstellung und die Ergänzung, dass das auch viel direkter geht als ich schrieb.

        Allerdings kann ich deswegen das Argument meines Vorkommentars nicht nachvollziehen, da Ihrer und meiner so nicht korrekt. (Oder missvertehe ich Ihren Kommentar?)

        Demnach stützt Ihr Kommentar auch meine Hypothese, dass MitM auch mit den geplanten Verschlüsselungsmaßnahmen und -richtlinien für Chrome weiterhin quasi genauso potent bleibt wie zuvor.

        • 0
          Von Alzheimer am Fr, 11. Oktober 2019 um 17:57 #

          Zunächst ist der Fall, dass jemand einen Router hackt und dabei dafür sorgt, dass der HTML-Code abgerufener Webseiten mit Schadcode manipuliert wird, zwar nicht unmöglich, aber dennoch sehr theoretisch. Denn dazu müsste man sich nicht nur einen Zugang durch eine Hintertür schaffen, sondern auch noch eine extra zu dem Zweck aufgesetzte Software-Lösung ins System integrieren - beispielsweise durch die Installation eines Proxy-Servers und an geeigneter Stelle unterbrachte Firewall-Regeln, die Webaufrufe an einen lokalen Prozess umleiten.

          Sehr viel wahrscheinlicher ist (und auch einfacher zu realisieren), dass jemand einen Proxy-Server irgendwo im Netz betreibt und ausgewählte Protokolle (entweder per NAT-Redirect oder über ein heimliches VPN) laufen lässt. Das wäre mit HTTPS genauso denkbar, wie mit HTTP. Und auch was so manche andere Dienste betrifft, lässt sich da viel zurecht faken. Selbst wenn man einen SSH-Aufruf umleiten würde, könnte man sehr viele Passwörter abgreifen, da Meldungen wegen veränderten Schlüsseln für Viele alltäglich sind und den Benutzern darum auch nicht spanisch vorkommen.

          Im Gegensatz zu einem manipulierten HTTP-Aufruf würde der Benutzer im Browser merken, dass etwas mit dem Zertifikat nicht stimmt, aber wahrscheinlich würden manche Leute dann "weiter zu unsicherer Seite auswählen". Aber unter Umständen noch nicht einmal das. Denn auch beglaubigte SSL-Zertifikate sind ziemlich einfach und ohne tiefergehende Prüfung zu bekommen. Wahrscheinlich ist es auch garkein Thema, ein Wildcard-Zertifikat für eine Domäne, die einem garnicht gehört, von einer offiziellen Registrierungsstelle zu bekommen. Schließlich muss man ja meist nur irgendwelche Wischiwaschi-Nachweise erbringen, dass man wirklich derjenige ist, für den man sich ausgibt.

          Dann würde im Falle eines manipulierten Aufrufs lediglich die Inhaber-Angaben zum Zertifikat anders sein. Aber wer merkt das schon? Ob da jetzt beim Aufruf des VR-Onlinebankings Fiducia steht (was keiner kennt) oder jemand anderes (den ebenfalls niemand kennt) macht da für einen Laien keinen Unterschied.

          • 0
            Von Verfluchtnochmal_5987108 am Sa, 12. Oktober 2019 um 00:08 #

            Für ein wildcard Zertifikat musst du nicht nur irgendeinen Wischiwaschi Nachweis bringen sondern üblicherweise den dns der Domain zum richtigen Zeitpunkt kontrollieren

            Komm, zeig mal wie du das auf einem öffentlichen access point machst

            natürlich gibt es keine 100%, die gibt es im Kontext it security defacto niemals, aber zumindest kann es nicht jeder Trottel der es schafft einen Plastikrouter anzustecken und nur darauf wartet dass sich jemand mit dem Netz verbindet

        0
        Von Verfluchtnochmal_5987108 am Sa, 12. Oktober 2019 um 00:02 #

        Es ist aber schon noch ein unterschied ob ein Trottel warnungen ignoriert oder gar nicht erst bekommt

Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung