1. Foren
  2. Kommentare
  3. Internet
  4. Alle Kommentare zum Artikel
  5. › Internet-Abfragen: Cloudflare will…

User-Tracking?

  1. Thema

Neues Thema Ansicht wechseln


  1. User-Tracking?

    Autor: Wulf 14.05.21 - 10:42

    Der Zweck von FIDO bzw. Webauthn ist doch gerade, User zu authentifizieren.
    Vielleicht ist es damit dann möglich, User ganz bequem zu tracken: Selber Fido-Stick->Selber User.

  2. Re: User-Tracking?

    Autor: zampata 14.05.21 - 11:12

    Captcha kann man ja einfach verwenden.
    So ein Token muss man erst mal kaufen und dann auch immer dabei haben.
    Ich hätte überhaupt keine Lust jedesmal ein Token irgendwo rein stecken oder ein Handy an den Rechner zu halten nur um eine Webseite verwenden zu können.

  3. Re: User-Tracking?

    Autor: Termuellinator 14.05.21 - 11:22

    das war auch mein erster Gedanke...
    Zumal ein Bot-Rechner ja auch einfach einen Stick eingesteckt haben kann?

  4. Re: User-Tracking?

    Autor: Muhaha 14.05.21 - 11:26

    Wulf schrieb:
    --------------------------------------------------------------------------------

    > Vielleicht ist es damit dann möglich, User ganz bequem zu tracken: Selber
    > Fido-Stick->Selber User.

    Das ist nach dem aktuellen U2F-Standard nicht möglich, weil der Stick für jeden Dienst, bei dem Du Dich einloggen willst, ein seperates Schlüsselpaar erzeugt und der geheime Schlüssel den Stick nie verlässt, der Stick sich nicht überall gleich identifiziert. Auf dem Stick selbst ist auch nichts, was Dich als Person eindeutig identifiziert.

    Das ist schon eine ziemlich schlaue Sache und man kann nur hoffen, dass immer mehr User so etwas verwenden.



    2 mal bearbeitet, zuletzt am 14.05.21 11:28 durch Muhaha.

  5. Re: User-Tracking?

    Autor: Wuestenschiff 14.05.21 - 11:40

    Das tönt ja schon mal gut aber dann kann es auch nciht als captcha eingesetzt werden. Ein Bot kann dann einfach einen Fido simulieren. Ausser du hast den Stick bereits ei dieser Seite registiert was dann wieder einem Login gleichkommt was man nicht will / einem doch wieder trackt

  6. Re: User-Tracking?

    Autor: Muhaha 14.05.21 - 11:49

    Wuestenschiff schrieb:
    --------------------------------------------------------------------------------
    > Das tönt ja schon mal gut aber dann kann es auch nciht als captcha
    > eingesetzt werden.

    Soll es auch gar nicht. Der Stick soll Captchas unnötig machen.

    > Ein Bot kann dann einfach einen Fido simulieren.

    Ein Bot, ein Stick, eine Anfrage. Was nicht das ist, was Bot-User beabsichtigen. Und U2F ist ohne Hardware meines Wissens (noch) nicht möglich.

    > Ausser
    > du hast den Stick bereits ei dieser Seite registiert was dann wieder einem
    > Login gleichkommt was man nicht will / einem doch wieder trackt

    Bei U2F wird aber nichts getrackt. Da gibt es kein heimliches Super-Cookie oder ähnliches. Das ist doch das Tolle daran :)

  7. Re: User-Tracking?

    Autor: sg (Golem.de) 14.05.21 - 11:52

    Termuellinator schrieb:
    --------------------------------------------------------------------------------
    > das war auch mein erster Gedanke...
    > Zumal ein Bot-Rechner ja auch einfach einen Stick eingesteckt haben kann?

    Das User-Presence-Feature verlangt explizit eine Interaktion. Üblicherweise ein kurzes Anfassen/Antippen des Keys mit einem Finger.

    ---------
    Sebastian Grüner

    Golem.de

  8. Re: User-Tracking?

    Autor: M.P. 14.05.21 - 11:57

    Wenn ein Bot "einfach einen Fido-Stick simulieren" könnte würde ich auch Angst haben, dass er einfach deine Banking-Karte simulieren könnte ...

  9. Re: User-Tracking?

    Autor: Wuestenschiff 14.05.21 - 12:55

    Sorry aber denkt ihr auch mit bevor ihr hier schreibt?

    Fido Sticks sind keine magischen Dinger sondern relativ einfache Krypto. Die Sicherheit kommt einzig von der tatsache das der Key den Stick nie verlässt.

    Wenn nun die Webseite meinen public key nicht kennt wie hier im captcha usecase. Kann ich den Stick durch belibige Software emulieren. Dann kann die Software auch behaupten es hätte user interaktion gehabt.

    Das ganze kann also nur gehen wenn die Website oder cloudflare mein Stick schon kennt. Und wuerde dann deanomisierung und oder tracking erlauben

  10. Re: User-Tracking?

    Autor: RFZ 14.05.21 - 13:50

    Musst du nicht. Dein Smartphone und dein Rechner haben so sowas ziemlich sicher schon eingebaut. Nennt sich Trusted Platform Module (TPM). Kannst du auf webauthn.io testen.

  11. Re: User-Tracking?

    Autor: RFZ 14.05.21 - 14:18

    > Das ist nach dem aktuellen U2F-Standard nicht möglich, weil der Stick für
    > jeden Dienst, bei dem Du Dich einloggen willst, ein seperates Schlüsselpaar
    > erzeugt und der geheime Schlüssel den Stick nie verlässt, der Stick sich
    > nicht überall gleich identifiziert. Auf dem Stick selbst ist auch nichts,
    > was Dich als Person eindeutig identifiziert.
    >
    > Das ist schon eine ziemlich schlaue Sache und man kann nur hoffen, dass
    > immer mehr User so etwas verwenden.

    AFAIK wird die Attestation (Nachweiß dass ein authentischer Security-Key verwendet wird) aber nur freigegeben wenn man ein Key-Pair für den Service registriert.
    Fragt sich ob alle Implementierungen mit unendlich Key-Pairs zurecht kommen, sie also dynamisch erzeugen, oder diese tatsächlich speichern müssen. Letztere wären dann sehr schnell voll...

  12. Re: User-Tracking?

    Autor: Muhaha 14.05.21 - 14:24

    RFZ schrieb:
    --------------------------------------------------------------------------------

    > AFAIK wird die Attestation (Nachweiß dass ein authentischer Security-Key
    > verwendet wird) aber nur freigegeben wenn man ein Key-Pair für den Service
    > registriert.

    Korrekt. Du musst Dich zuerst bei einer Webseite registriert haben, erst dann funktioniert der Login, bzw. der Nachweis, dass Du höchstwahrscheinlich ein Mensch bist. Wenn nicht, halt wieder Rückgriff auf Captchas.

  13. Re: User-Tracking?

    Autor: T_D 15.05.21 - 07:17

    Nö. Es geht darum mit Schikane die User zu Bezahlabos zu drängen. Keine Sau interessiert ob Bots Daten runterladen. Sonst könnten auch simple, kostenfreie Mini KI Programme angeboten werden die diese Chaptas in Verbindung mit großen Onlinedatenbanken automatisch lösen.
    Als Bsp zum Beweis, in der Anfangszeit gab's ja nur Textchaptas. Mittels eines Schrifterkennungstools (Bsp Abby Finereader) und einem entsprechenden Plugin im Downloader (Bsp bei JDownloader) brauchtest du bis auf seltene Ausnahmen nie einen Finger zu rühren.
    Heutzutage könnten vielfach die Mustererkennungsprogramme dafür verwendet werden die von Pkw oder staatlicher, öffentlicher Platzüberwachung eingesetzt werden. Es gibt nur einen Grund warum es das nicht gibt. Kohle, Reibach, Zaster. Die Onlinedatenbanken wollen ihre Premiumaccounts vermieten, wo es keine Chaptas gibt. Die ehemaligen Anbieter der Selbstlösung von Chaptas wollen Geld für ihre Smartservices kassieren, dann geht's auch. Und das im Artikel beschriebene läuft ebenfalls darauf hinaus.
    Einzig echte Lösung wäre, wie zur Anfangszeit, idealistische Programmierer die nicht auf Kohle aus sind und die Chaptas mit den beschriebenen Mitteln aushebeln.

  14. Re: User-Tracking?

    Autor: Tyrola 15.05.21 - 14:03

    Wuestenschiff schrieb:
    --------------------------------------------------------------------------------
    > Sorry aber denkt ihr auch mit bevor ihr hier schreibt?

    Du anscheinend nicht.

    > Wenn nun die Webseite meinen public key nicht kennt wie hier im captcha
    > usecase. Kann ich den Stick durch belibige Software emulieren. Dann kann
    > die Software auch behaupten es hätte user interaktion gehabt.

    Cloudflare in dem Beispiel akzeptiert die Zertifikate aktuell nur von bestimmten Herausgebern z.B. Yubico. FaceID von Apple wird z.B. aktuell nicht unterstützt.

    Also ein selbstsigniertes Zertifikat von einem Bot der konformes FIDO2 spricht wird also nicht akzeptiert da nicht ausreichend sichergestellt werden kann, dass die Challenge tatsächlich von einem Menschen durchgeführt wurde.

    Aber auch Cloudflare selbst sagt, dass es natürlich möglich wäre das ein Yubikey von einem "automatisierten" Daumen bestätigt wird, allerdings wäre es immer noch möglich einzelne FIDO2 Zertifikate zu tracken und zu limitieren. Ergo bräuchte ein Botnetz echt viele von diesen zertifizierten FIDO2 Sticks und Roboterdaumen, ergo nicht wirtschaftlich.

    Die Lösung ist also immer noch besser als nerviges Captchas die heutzutage von Bots in Windeseile gelöst werden können.

    Schlagt also noch was besseres vor. Die Lösung ist auf jeden Fall ein Schritt in die richtige Richtung, selbst getestet übrigens, geht sogar schneller als die angegeben von 5 Sekunden.

    Muhaha schrieb:
    --------------------------------------------------------------------------------
    > Korrekt. Du musst Dich zuerst bei einer Webseite registriert haben, erst
    > dann funktioniert der Login, bzw. der Nachweis, dass Du
    > höchstwahrscheinlich ein Mensch bist. Wenn nicht, halt wieder Rückgriff auf
    > Captchas.

    Nein eben nicht, das würde auch genau so zuverlässig funktionieren bei Neuregistrierungen. Es wird nicht der User validiert sondern der Stick selbst, sprich der Hausgeber des Zertifikates. Das ist schon bei der allerersten Nutzung gegeben.



    4 mal bearbeitet, zuletzt am 15.05.21 14:07 durch Tyrola.

  15. Re: User-Tracking?

    Autor: RFZ 15.05.21 - 14:19

    > Aber auch Cloudflare selbst sagt, dass es natürlich möglich wäre das ein
    > Yubikey von einem "automatisierten" Daumen bestätigt wird, allerdings wäre
    > es immer noch möglich einzelne FIDO2 Zertifikate zu tracken und zu
    > limitieren.

    Wie soll das funktionieren? Eine ganze Geräteklasse hat ja das gleiche Zertifikat/Key-Pair. Das ist auch nötig damit man eben nicht Nutzer/Sticks tracken kann. Wenn so ein Zertifikat auf der Blacklist landet, sind potentiell hunderttausende Geräte raus.

    > Nein eben nicht, das würde auch genau so zuverlässig funktionieren bei
    > Neuregistrierungen. Es wird nicht der User validiert sondern der Stick
    > selbst, sprich der Hausgeber des Zertifikates. Das ist schon bei der
    > allerersten Nutzung gegeben.

    Ich glaub da wurde generell etwas missverstanden. Ich meinte mit Neuregistrierung nicht die Anmeldung bei irgendeinem Service, sondern die Registrierung eines Services beim Token.
    Damit sich ein Token überhaupt ausweist (attestation) muss man ihm sagen "Hey, hier ist Dienst X und Nutzer Z, bitte generier ein neues Key-Pair". Und nur dann macht er das und sagt "Hey, ich bin Token Y, hier ist mein Ausweis, und das ist der Public-Key den ich für Z generiert habe".
    Cloudflare macht aber keinen Login/Registrierung und interessiert sich daher auch nicht für den Public-Key. Würden sie das tun, wäre der Nutzer ja trackbar...
    Stößt der User wieder auf die Seite, dann muss Cloudflare wieder einen neuen Key erzeugen... "Hey, hier ist Dienst X und Nutzer A, bitte generier ein Key-Pair". Und der Stick weist sich wieder aus.
    Normalerweise generieren die Sticks immer neue Key-Pairs ... Was passiert wenn Clourflare die gleiche Dienst- und Nutzerkennung nochmal präsentiert weiß ich ehrlich gesagt nicht... 🤔
    Cloudflare muss hier schon drauf achten dass kein Tracking passiert.
    Auch sind die UIs die die Betriebssysteme/Browser aktuell für WebAuthN erzeugen alles andere als selbsterklärend, grade für diesen Anwendungsfall... Bin gespannt.

  16. Re: User-Tracking?

    Autor: BangerzZ 15.05.21 - 14:47

    Wuestenschiff schrieb:
    --------------------------------------------------------------------------------
    > Sorry aber denkt ihr auch mit bevor ihr hier schreibt?
    >
    > Fido Sticks sind keine magischen Dinger sondern relativ einfache Krypto.
    > Die Sicherheit kommt einzig von der tatsache das der Key den Stick nie
    > verlässt.
    >
    > Wenn nun die Webseite meinen public key nicht kennt wie hier im captcha
    > usecase. Kann ich den Stick durch belibige Software emulieren. Dann kann
    > die Software auch behaupten es hätte user interaktion gehabt.
    >
    > Das ganze kann also nur gehen wenn die Website oder cloudflare mein Stick
    > schon kennt. Und wuerde dann deanomisierung und oder tracking erlauben

    Anstatt Leute zu beleidigen könnte man ja auch einfach Mal den Blogpost von Cloudflare lesen. Da steht drin das nur Dido Sticks von freigegebene Herstellern akzeptiert werden. Dadurch kann eine Anonymisierung bis zur Charge des Sticks erreicht werden ohne daß es per Software automatisiert werden kann.

  17. Re: User-Tracking?

    Autor: Tyrola 15.05.21 - 15:34

    RFZ schrieb:
    --------------------------------------------------------------------------------
    > > Aber auch Cloudflare selbst sagt, dass es natürlich möglich wäre das ein
    > > Yubikey von einem "automatisierten" Daumen bestätigt wird, allerdings
    > wäre
    > > es immer noch möglich einzelne FIDO2 Zertifikate zu tracken und zu
    > > limitieren.
    >
    > Wie soll das funktionieren? Eine ganze Geräteklasse hat ja das gleiche
    > Zertifikat/Key-Pair. Das ist auch nötig damit man eben nicht Nutzer/Sticks
    > tracken kann. Wenn so ein Zertifikat auf der Blacklist landet, sind
    > potentiell hunderttausende Geräte raus.

    Ich hätte im öffentlichen Zertifikat wenigstens eine Art Serial erwartet mit der man so etwas lösen könnte. Umso besser natürlich wenn man den Key nicht zurückverfolgen kann, weniger gut natürlich für Cloudflare. Aber die haben noch andere Informationen wie IPs, Browser Fingerprints etc. um eventuell sich einem reim aus ner Sache machen zu können.

    RFZ schrieb:
    > Ich glaub da wurde generell etwas missverstanden. Ich meinte mit
    > Neuregistrierung nicht die Anmeldung bei irgendeinem Service, sondern die
    > Registrierung eines Services beim Token.
    > Damit sich ein Token überhaupt ausweist (attestation) muss man ihm sagen
    > "Hey, hier ist Dienst X und Nutzer Z, bitte generier ein neues Key-Pair".
    > Und nur dann macht er das und sagt "Hey, ich bin Token Y, hier ist mein
    > Ausweis, und das ist der Public-Key den ich für Z generiert habe".
    > Cloudflare macht aber keinen Login/Registrierung und interessiert sich
    > daher auch nicht für den Public-Key. Würden sie das tun, wäre der Nutzer ja
    > trackbar...
    > Stößt der User wieder auf die Seite, dann muss Cloudflare wieder einen
    > neuen Key erzeugen... "Hey, hier ist Dienst X und Nutzer A, bitte generier
    > ein Key-Pair". Und der Stick weist sich wieder aus.
    > Normalerweise generieren die Sticks immer neue Key-Pairs ... Was passiert
    > wenn Clourflare die gleiche Dienst- und Nutzerkennung nochmal präsentiert
    > weiß ich ehrlich gesagt nicht... 🤔
    > Cloudflare muss hier schon drauf achten dass kein Tracking passiert.
    > Auch sind die UIs die die Betriebssysteme/Browser aktuell für WebAuthN
    > erzeugen alles andere als selbsterklärend, grade für diesen
    > Anwendungsfall... Bin gespannt.

    Okay, ich ging jetzt einfach darauf aus, dass Cloudflare das Response nach der Prüfung der "AAGUID" verwirft, genau aus diesem Grund.

    Da es wie von dir auch gesagt am Ende keine Registrierung gibt, müsste es immer neue Zertifikate geben, da der Yubikey nur das selbe Zertifikat sendet wenn die Website vorher eine Liste mit möglichen Schlüsseln an den Nutzer sendet.

    Wenn Cloudflare immer eine leere Liste mit bekannten Keys schickt, sollte es immer wie ein "neuer" Nutzer wirken und daher zumindest nicht trackbar sein.



    2 mal bearbeitet, zuletzt am 15.05.21 15:42 durch Tyrola.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. IT-Spezialist (m/w/d)
    Dan Produkte GmbH, Siegen
  2. Data Base Engineer (m/w/d)
    unimed Abrechnungsservice für Kliniken und Chefärzte GmbH, deutschlandweit (Home-Office)
  3. Product Owner (m/w/d) Vertriebssysteme/CRM
    Württembergische Versicherung AG, Stuttgart
  4. Informatikerin / Webentwicklerin (m/w/d) - Python, SQL, HTML, CSS
    Helmholtz Zentrum München - Deutsches Forschungszentrum für Gesundheit und Umwelt, Neuherberg bei München

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. mit 150,90€ neuer Bestpreis auf Geizhals
  2. gratis (bis 29.07.)
  3. gratis (bis 29.07.)


Haben wir etwas übersehen?

E-Mail an news@golem.de