Login
Newsletter
Werbung

Thema: Google plant für Chrome weitere Einschränkungen bei HTTP-Inhalten

13 Kommentar(e) || Alle anzeigen ||  RSS || Kommentieren
Kommentare von Lesern spiegeln nicht unbedingt die Meinung der Redaktion wider.
0
Von Verfluchtnochmal_5987108 am Fr, 11. Oktober 2019 um 01:10 #

Einen Scheissdreck kannst du als MITM wenn die Seite nicht von einem Idioten betrieben wird weil spätestens wenn von der Domain einmal etwas geladen wurde Strict-Transport-Security dafür sorgt dass für lange Zeit keine Verbindung auf Port 80 mehr versucht wird, ganz egal was in der URL steht

Das Ziel steht schon lange fest: Mittelfristig jeglichen unverschlüsselten Traffics im Internet zu verhindern

Nachdem wir das vor weit über einem Jahr bei hunderten Kunden im Zuge des dsgvo lückenlos umgesetzt haben wundert es mich viel mehr dass es unverschlüsseltes http überhaupt noch wo gibt

Firefox mag mixed content für Video Ressourcen seit Jahren nicht, damals war das noch ein Problem, mittlerweile kann das ganze Zeug lückenlos https

  • 0
    Von klopskind am Fr, 11. Oktober 2019 um 09:30 #

    Einen Scheissdreck kannst du als MITM wenn die Seite nicht von einem Idioten betrieben wird [...]
    Dieser Fall, denn Sie hier rigoros ausschließen, ist sicherlich noch nie eingetroffen... Und ich erkenne an dieser Stelle mittelfristig keine Besserung dieser Situation - leider.

    [...] weil spätestens wenn von der Domain einmal etwas geladen wurde Strict-Transport-Security dafür sorgt dass für lange Zeit keine Verbindung auf Port 80 mehr versucht wird, ganz egal was in der URL steht
    Ja wunderbar, noch eine weitere Annahme, die Sie so ohne Weiteres blind voraussetzen... Hätte, hätte, Fahradkett.

    Genau darum ging es doch bei meiner Verständnisfrage. Wieso diese ganzen Maßnahmen (siehe Artikel), wenn es im Endeffekt trotzdem anfällig bleibt?

    Das Ziel steht schon lange fest: Mittelfristig jeglichen unverschlüsselten Traffics im Internet zu verhindern
    No shit Sherlock! Wer behauptet das Gegenteil? Ergo: unnötig füllendes Strohmann-Argument.

    Inwiefern ist beantwortet das meine Frage?

    Nachdem wir das vor weit über einem Jahr bei hunderten Kunden im Zuge des dsgvo lückenlos umgesetzt haben wundert es mich viel mehr dass es unverschlüsseltes http überhaupt noch wo gibt
    Ja, ich befürworte Verschlüsselung auch. Aber nur dort, wo es tatsächlich sinnvoll erscheint.

    Verschlüsselung hat ihren Preis:
    - Entwicklungsaufwand (fehlerfreie TLS-Bibliotheken und deren korrekte und verständliche Dokumentation wachsen nicht auf Bäumen),
    - korrekte Umsetzung und Integration ist notwendig (Anwendungsentwickler müssen entsprechend geschult sein und fehlerfrei arbeiten; Wie oft schon wurde die weit verbreitete OpenSSL-API falsch verwendet?)
    - Verwaltung weiterer Softwarekomponente mit dem Risiko weiterer Fehler (Admins müssen ebenfalls im Umgang mit Verschlüsselung entsprechend geschult sein, und sie müssen auf jeden Workflow angepasste und sinnvolle Maßnahmen ergreifen, sowie diese hinreichend kommunizieren und kontrollieren),
    - zusätzliche Rechenzyklen sind notwendig, d.h. mehr Ressourcen für Hardware sind nötig, d.h. potenter (und teurer), sowie mehr elektrische Energie

    Den letzten Punkt sollte man nicht unterschätzen, denn außer für AES sind mir nur wenige Hardwareimplementierungen via spezieller Instruktionen für andere Blockchiffren bekannt, und AES-NI bieten fast ausschließlich modernere x86-, ARMv8- oder SPARC-Recheneinheiten.
    Und dann kommt da noch das zu verschlüsselnde Volumen an Daten, die bald verschlüsselt übertragen werden müssen. Ein Youtube oder Netflix mag sich soetwas aufgrund riesiger Rechenzentren zwar leisten können, aber verteuert letztlich das angebotene Produkt (Hardware- & Stromkosten). Kleinere Klitschen und Start-Ups haben dadurch einen höheren Initialaufwand. Reichten die Ressourcen gestern noch für die Übertragung unverschlüsselter Inhalte, so könnte das durch den bald de-facto verpflichtenden, zusätzlichen Verschlüsselungsaufwand in naher Zukunft ganz anders aussehen. Wettbewerbsfreundlicher ist diese Situation also jedenfalls auch nicht.

    Firefox mag mixed content für Video Ressourcen seit Jahren nicht, damals war das noch ein Problem, mittlerweile kann das ganze Zeug lückenlos https
    Inwiefern ist beantwortet das meine Frage?

    • 0
      Von Verfluchtnochmal_5987108 am Fr, 11. Oktober 2019 um 23:48 #

      Welchen Preis hat denn Verschlüsselung 2019?

      Wenn die Seite selbst schon https ist wurde das Thema libraries längst zu den Akten gelegt sonst würdest du gar nicht in den Genuss kommen dass dein Browser irgendwas nachladen und einbinden will

      • 0
        Von klopskind am Sa, 12. Oktober 2019 um 21:00 #

        Und die restlichen Argumente meines Kommentars haben Sie gekonnt ausgeblendet. Eine Glanzleistung Ihrer selektiven Wahrnehmung!

        So argumentiert man 2019. Muss ich mir unbedingt merken!

      0
      Von Verfluchtnochmal_5987108 am Fr, 11. Oktober 2019 um 23:53 #

      aes-ni bieten nur moderne Recheneinheiten?

      mit Verlaub sandybridge ist aus 2011, prinzipiell gab es aes instructions weit früher denn rate mal wofür das "ni" steht

      keine Hardware die 2019 noch Relevanz und Verbreitung besitzt fälltiin deine vertrottelte Argumentation

      • 0
        Von klopskind am Sa, 12. Oktober 2019 um 21:09 #

        Das ist eine Frage der Definition von "modern". Innerhalb meiner Verwandtschaft und Bekanntschaft läuft nicht zu vernachlässigender Anteil an Hardware ohne Instruktionen dieser Art, so z.B. zwei Core2 Duos, ein Phenom II, viele nicht-Exynos-prä-ARMv8-Android-Kommunikatoren usw.

        Das meinte ich an dieser Stelle mit "modern".

        deine vertrottelte Argumentation
        Worthülsen jener Art besitzen eine inhärent disqualifizierende Wirkung. :down:

    0
    Von Kein Azubi am Fr, 11. Oktober 2019 um 18:34 #

    Hoffentlich arbeitest du nicht in der IT den du hast von Tüten und blasen keine Ahnung, wenn jemand deinen Router hackt manipuliert er einfach dein dns und kommst ganz woanders raus.

    • 0
      Von Robert am Fr, 11. Oktober 2019 um 19:10 #

      So ist es, ein ssl terminator nimmt dann einfach anfragen auf Port 443 entgegen und antwortet auf Port 80. Die Seite ist ausgeliefert und dein Browser hat sie geladen.

      0
      Von klopskind am Fr, 11. Oktober 2019 um 19:58 #

      Hoffentlich arbeitest du nicht in der IT den du hast von Tüten und blasen keine Ahnung, [...]
      Ganz unabhängig vom Thema erlaube ich mir an dieser Stelle, die Klärung Ihrer Befürchtung vorwegzunehmen. Verfluchtnochmal schrieb: "Nachdem wir das [Verschlüsselung] vor weit über einem Jahr bei hunderten Kunden im Zuge des dsgvo lückenlos umgesetzt haben".

      Das Wort "Kunden" impliziert eine geschäftliche Beziehung zu einem Arbeitgeber (möglicherweise er selbst), womit er Ihre Sorge bestätigt.

      0
      Von Verfluchtnochmal_5987108 am Fr, 11. Oktober 2019 um 23:44 #

      Und weiter? Was bringt dir der dns wenn du Vollhorst am Ende der Nahrungskette kein gültiges Zertifikat hast? Genau darum geht es beim Thema "everything encrypted"

      Vor wenigen Jahren war es noch kein Problem die Facebook login page nachzuahmen und den dns auf einen eigenen Server umzuleiten

      been there, done that, lustig zu sehen welche Leute im Unternehmen das Passwort der Freundin haben und deren Account probieren wenn der eigene vermeintlich nicht geht

      So, und jetzt kommst du erst wieder angeschissen wenn du eine generische Möglichkeit gefunden hast den Browser xyz nur weil du den dns kontrollierst auf deinen Nachbau umzuleiten und zwar ohne warning

      0
      Von blablabla233 am Sa, 12. Oktober 2019 um 13:04 #

      Hoffentlich arbeitest du nicht in einer Bude wo der router das dns vergiebt (das ist fuer ein haushalt oke, aber im prof umfeld schon recht naiv)

Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung