1. Foren
  2. Kommentare
  3. Internet
  4. Alle Kommentare zum Artikel
  5. › Mikko Hypponen: "Microsoft ist nicht…

Mit Microsoft macht er halt am meisten Gewinn...

  1. Thema

Neues Thema Ansicht wechseln


  1. Mit Microsoft macht er halt am meisten Gewinn...

    Autor: LX 21.06.16 - 13:01

    ...deswegen lobt er die über den grünen Klee, obwohl sie bspw. erst kürzlich beim W3C ein Addenum zum HTML5 DRM Standard "Encrypted Media Extensions", nach dem Sicherheitsforscher von DMCA-Klagen geschützt bleiben sollten, solange sie sich an vernünftige Regeln halten, abgelehnt haben (siehe http://lists.w3.org/Archives/Public/public-html-media/2016May/0050.html).

    Microsoft befürwortet damit eine ganz kritische Unsicherheit für alle Nutzer, da es ohne diese Erweiterung nicht möglich ist, verschlüsselten Code zu entschlüsseln, so dass er untersucht werden kann, um bspw. Ransomware (wie diese: https://www.golem.de/news/raa-javascript-ransomware-kopiert-auch-passwoerter-1606-121618.html) zu erkennen.

  2. Re: Mit Microsoft macht er halt am meisten Gewinn...

    Autor: TheUnichi 21.06.16 - 15:06

    Wär nur geil gewesen, wenn du dir EME auch mal reingefahren hättest.

    Das ist für Media-DRM, nicht für Code-Verschlüsselung.

    Aber Hauptsache blöken.

  3. Re: Mit Microsoft macht er halt am meisten Gewinn...

    Autor: LX 21.06.16 - 15:21

    Ich bin Frontend Developer und habe etwas mehr Ahnung von der Materie, als du mir zugestehen willst.

    EME ist lediglich eine Schnittstelle, um das Verschlüsseln von Content zu abstrahieren. Was hier als Content letztlich verwendet wird, bleibt dem Anbieter überlassen; der Kunde - und noch schlimmer, der Sicherheitsforscher - hat hier keine Möglichkeit, Einsicht zu nehmen. Das gleiche gilt für die Messages innerhalb der Protokolle oder dem Content Decryption Module, welches als Binary Blob auf dem System installiert wird und sicher stellen soll, dass nur bei den Aktionen entschlüsselt wird, die der Anbieter zulässt. So viel zur Sicherheit des ganzen Unterfangens.

  4. Re: Mit Microsoft macht er halt am meisten Gewinn...

    Autor: TheUnichi 21.06.16 - 17:21

    LX schrieb:
    --------------------------------------------------------------------------------
    > Ich bin Frontend Developer und habe etwas mehr Ahnung von der Materie, als
    > du mir zugestehen willst.

    Jajaja, genau, das sieht man daran, wie gut du deine Standards kennst.

    Ich bin Backend-Developer und kenne dein Frontend anscheinend besser als du.

    Du hast keine Möglichkeit, Code o.ä. mit EME zu verschlüsseln, zu verifizieren und anschließend auszuführen.

    Lies dir doch einfach die verdammte RFC durch und laber hier keinen Mist.

    EME ist für Video und Audio gedacht und lässt sich im Endeffekt auch nur darauf anwenden.

    Kannst jetzt gerne noch weitere, möchtegern-geistreiche Worte dazublubbern, das macht deine Aussage/Vermutung nicht korrekter.

    Weiterhin, wie hirnverbrannt wäre es, vor jedem Aufruf seinen gesamten Code zu verschlüsseln und dann auf dem Client wieder zu entschlüsseln? Um sich vor was genau zu schützen? Deinen Server-Code kann der Client sowieso nicht sehen und die APIs macht man so dicht wie möglich. Das wäre einfach nur sinnlose Performance-Verschwendung.

    Dazu kommt, dass du spätestens im Debugging die gesamte JS-Runtime überwachen kannst und spätestens da an den Code kommst.

    Nicht mal Binaries werden irgendwo verschlüsselt oder durch irgendwelche aufwendigen Schlüsselaustausche geschützt, also warum sollte man das mit Webanwendungen wollen?

    Du kannst dir IDA Pro/Ollydbg schnappen und fucken Microsoft Word reversen wenn du lustig bist.

    Was du laberst ist einfach paranoider, ahnungsloser Müll.



    1 mal bearbeitet, zuletzt am 21.06.16 17:30 durch TheUnichi.

  5. Re: Mit Microsoft macht er halt am meisten Gewinn...

    Autor: LX 21.06.16 - 17:50

    Tja, wärst du doch nur beim Backend geblieben, dann würdest du jetzt nicht so einen gequirlten Blödsinn von dir geben. Es gibt nämlich sehr wohl die Möglichkeit, Code in Medien zu packen, bspw. in verlustfrei gepackte Bilder, die erst versteckt in der Seite geladen und dann in ein HTML5-Canvas übertragen und von dort wieder ausgelesen werden. Und bevor Du erneut Einwände erhebst, dass es nur für Audio und Video gedacht sei: laut Standard kommt alles, was ein source-Attribut hat, für EME in Frage - da gehört auch das <picture>-Element dazu.

    Abgesehen davon zu deiner Frage, warum man Webanwendungen verschlüsseln wollen sollte: da du kein Frontend Entwickler bist, bist du wahrscheinlich von den aberhunderten Anforderungen verschont geblieben, dass der Code bitte so verschlüsselt werden soll, dass man ihn nicht kopieren kann. Mit WebApps wandert immer mehr Business-Logik ins Frontend - da klingeln den Managern natürlich die Ohren, wenn sie von einem Standard wie EME hören.

    Bleib' bitte einfach im Backend. Rede lieber über Sachen, von denen du den Hauch einer Ahnung hast.

  6. Re: Mit Microsoft macht er halt am meisten Gewinn...

    Autor: Milber 21.06.16 - 19:01

    Es ist wie immer: die sogenannten IT-Profis haben von nichts eine Ahnung.
    Wisst Ihr, dass die Sicherheitslücken wegen solcher Spezialisten wie Ihr es seid überhaupt erst existieren? Da seid Ihr überrascht, oder?
    Keinen Plan was sie tun aber Leute anblöken die es irgend wie doch besser wissen.

  7. Re: Mit Microsoft macht er halt am meisten Gewinn...

    Autor: cyzz 21.06.16 - 20:18

    Milber schrieb:
    --------------------------------------------------------------------------------
    > Es ist wie immer: die sogenannten IT-Profis haben von nichts eine Ahnung.
    > Wisst Ihr, dass die Sicherheitslücken wegen solcher Spezialisten wie Ihr es
    > seid überhaupt erst existieren? Da seid Ihr überrascht, oder?
    > Keinen Plan was sie tun aber Leute anblöken die es irgend wie doch besser
    > wissen.

    Nicht zu vergessen: Diese Typen wollen min. 65.000¤ im Jahr.
    18Jährige Freaks haben mehr drauf als ihr zwei Eier.

  8. Re: Mit Microsoft macht er halt am meisten Gewinn...

    Autor: LX 21.06.16 - 23:23

    Aber du weisst es besser, wie?

    Mit "solche Spezialisten, wie Ihr es seid" meinst du vermutlich Entwickler - und damit hättest du sogar teilweise recht - denn letztlich implementieren diese den Code, in dem dann nachher die Sicherheitslöcher drin stecken.

    Allerdings scheinst du fälschlicherweise anzunehmen, es gäbe so etwas wie 100% sicheren Code. Damit Sicherheitsmängel gefunden werden können, muss der Code getestet werden. Da kein Unternehmen der Welt so viele so hochkarätige Security-Leute hat (es gibt eben leider nur einen Bruce Schneier), ist man hier auf externe Experten angewiesen.

    Wenn diese legal arbeitenden Leute durch die Drohung, nach DMCA verurteilt zu werden, ihren Job nie wieder auszuüben, davon abgehalten werden, das Ergebnis zu testen, ist das Ergebnis bestimmt nicht mehr Sicherheit - denn Kriminelle lassen sich durch diese Drohung nicht abhalten. Eine solche Drohung hätte das W3C abwenden können, doch das wurde durch ein Veto von Microsoft gestoppt.

    Du hast noch weniger Plan als TheUnichi, der versteht wenigstens etwas vom Backend und Software-Entwicklung.

  9. Re: Mit Microsoft macht er halt am meisten Gewinn...

    Autor: LX 21.06.16 - 23:25

    Ich habe schon einige 18jährige Freaks kennengelernt, die haben das auch geglaubt; wenn auch nur sehr wenige zu Recht. Man zahlt guten, erfahrenen Entwicklern nicht umsonst Top-Gehälter - und gute Entwickler sind inzwischen sauschwer zu finden.

  10. Re: Mit Microsoft macht er halt am meisten Gewinn...

    Autor: TheUnichi 22.06.16 - 13:48

    LX schrieb:
    --------------------------------------------------------------------------------
    > Tja, wärst du doch nur beim Backend geblieben, dann würdest du jetzt nicht
    > so einen gequirlten Blödsinn von dir geben. Es gibt nämlich sehr wohl die
    > Möglichkeit, Code in Medien zu packen, bspw. in verlustfrei gepackte
    > Bilder, die erst versteckt in der Seite geladen und dann in ein
    > HTML5-Canvas übertragen und von dort wieder ausgelesen werden. Und bevor Du
    > erneut Einwände erhebst, dass es nur für Audio und Video gedacht sei: laut
    > Standard kommt alles, was ein source-Attribut hat, für EME in Frage - da
    > gehört auch das -Element dazu.

    Ich seh da aber immer noch nichts von Code verschlüsseln.
    Audio und Video, ist das, was ich gesagt habe.

    Ich will sehen (und bitte, erkläre es mir mit deiner erhabenen Frontend-Erfahrung), wie du ein verdammtes JavaScript mit EME verschlüsselst, mit Code-Beispielen, hier und jetzt. Ansonsten ist alles, was du sagst, einfach nur heiße Luft und du gibst nur das wieder, was ich dir hier die ganze Zeit predige.

    > da du kein Frontend Entwickler bist, bist du wahrscheinlich
    > von den aberhunderten Anforderungen verschont geblieben,

    Da hat noch nie jemand im Backend gearbeitet wie es scheint.
    http://www.catonmat.net/images/lol-browserling-com/full-stack.png

    Ich nehme Frontend-Entwickler nicht mal richtig ernst, weil sie in meinen 12 Jahren Berufserfahrung bisher grundsätzlich _immer_ lausige, ahnungslose Entwickler waren die gerade so wissen, wie sie mit jQuery eine Animation zustande kriegen (aber z.B. das Event-System, die Asynchronität und Callbacks überhaupt nicht rallen)

    Ich kann dein Frontend wahrscheinlich nicht schlechter entwickeln als du, meine Frontend-Fertigkeiten sind überragend, es ist nur einfach zu langweilig, als dass ich mich "Frontend-Entwickler" schimpfen wollen würde.
    Du programmierst ja nicht richtig, du _definierst_ ja nur.
    Du bist Definierer, kein Programmierer.

    > dass der Code bitte so verschlüsselt werden soll, dass man ihn nicht kopieren kann. Mit
    > WebApps wandert immer mehr Business-Logik ins Frontend - da klingeln den
    > Managern natürlich die Ohren, wenn sie von einem Standard wie EME hören.

    Wenn bei dir Business-Logik ins Frontend kommt, dann zweifel ich nun wirklich endgültig an deinen Fähigkeiten.

    Es gibt nie, an keinem Ort, zu keinem Zeitpunkt dieser Welt, einen Grund für Business-Logik im Frontend. Da kannst du ja auch Schadensberechnungen für ein Spiel, dass du schreibst, auf dem Client durchführen. Da kannst du verschlüsseln so viel du willst, spätestens im RAM pwn ich die Werte dann.

    Vielleicht _solltest_ du dich mal mit dem Backend beschäftigen, damit du was von richtiger Programmierung erfährst und auch irgendwann versteht, wann man verschlüsselt und warum.

    > Bleib' bitte einfach im Backend. Rede lieber über Sachen, von denen du den
    > Hauch einer Ahnung hast.

    Jo, sag mir doch mal so, als letztes Argument, du Pro, warum PEs nicht verschlüsselt sind und auch nie werden, auch nicht "weil der Kunde es so möchte". Wahrscheinlich musst du "PE" jetzt auch erstmal googeln.

    Ganz einfach:
    Es kostet sinnlos Performance und spätestens im RAM lässt es sich trotzdem pwnen


    Du kannst obfuskieren. Das hilft auch, damit man den Code nicht einfach nur kopiert und selbst nutzt (Kann man machen, hilft einem aber halt nicht, weil man es demnach auch nicht anpassen/erweitern kann und da man keinen Support erhält, ist man arm dran)

    Alles andere ist einfach nur sinnlos, schwachsinnig und kann nur von ahnungslosen Leuten stammen.

  11. Re: Mit Microsoft macht er halt am meisten Gewinn...

    Autor: LX 22.06.16 - 15:55

    Ich habe auch schon eine Menge selbsternannter Frontend Developer gesehen, die gerade noch jQuery-Plugins installieren und nutzen konnten, aber mit einfachen Anforderungen in VanillaJS überfordert waren. Ich behaupte nicht, backend-mäßig in deiner Liga zu spielen und muss über deine anmaßende Behauptung, dass das Umgekehrte der Fall sei, zumindest herzhaft schmunzeln - mal ganz abgesehen davon, dass ich vor meiner Spezialisierung zum Frontend Developer als Full Stack Developer gearbeitet und dementsprechend von "richtiger" Programmierung ebenfalls Ahnung habe. Vielleicht solltest du dich weniger darauf konzentrieren, deine jeweiligen Gegenüber in einer Diskussion herabsetzen zu wollen und eher mal zuhören/lesen, was derjenige meint - und warum er vielleicht doch Recht haben könnte.

    Nun das grobe Vorgehen wie folgt: ich übertrage den source vom picture-Element via EME, lade das darin befindliche Bild mit ctx.drawImage() in ein verstecktes Canvas, hole mir die rgba-Daten (je 8bit) per ctx.getImageData(), mappe das Ergebnis mit [].map.call(imgdata, function(x){return String.fromCharCode(x)}).join('') und jage das Ergebnis durch (new Function(result))() - ich hätte zwar auch eval() nehmen können, aber das wäre einem Laien vermutlich zu sehr aufgefallen. Wenn ich das alles in einer Zeile mache, dürfte das Debuggen noch zusätzlich erschwert werden (richtig, ganz unmöglich ist es nicht - der Decrypter von EME könnte aber bspw. auch das Entschlüsseln verweigern, wenn die Debug-Tools offen sind - früher oder später findet sich sicher auch ein valider Use-Case).

    Ein weiteres Einfalltor für Sicherheitsprobleme ist außerdem immer noch der binary blob zum Entschlüsseln. Da wir hier von einer Black Box reden, die nach DMCA noch nicht mal von Außenstehenden getestet werden darf, ist nahezu garantiert, dass hier Sicherheitsmängel existieren, wie es regelmäßig bei Security through Obscurity der Fall ist.

  12. Re: Mit Microsoft macht er halt am meisten Gewinn...

    Autor: Milber 22.06.16 - 16:00

    Ich habe es mir gerade bestätigen lassen: Ihr habt BEIDE keine Ahnung, schön.
    Es lebe die Sicherheit in der IT.

  13. Re: Mit Microsoft macht er halt am meisten Gewinn...

    Autor: TheUnichi 22.06.16 - 16:58

    LX schrieb:
    --------------------------------------------------------------------------------
    > Ich habe auch schon eine Menge selbsternannter Frontend Developer gesehen,
    > die gerade noch jQuery-Plugins installieren und nutzen konnten, aber mit
    > einfachen Anforderungen in VanillaJS überfordert waren. Ich behaupte nicht,
    > backend-mäßig in deiner Liga zu spielen und muss über deine anmaßende
    > Behauptung, dass das Umgekehrte der Fall sei, zumindest herzhaft schmunzeln
    > - mal ganz abgesehen davon, dass ich vor meiner Spezialisierung zum
    > Frontend Developer als Full Stack Developer gearbeitet und dementsprechend
    > von "richtiger" Programmierung ebenfalls Ahnung habe. Vielleicht solltest
    > du dich weniger darauf konzentrieren, deine jeweiligen Gegenüber in einer
    > Diskussion herabsetzen zu wollen und eher mal zuhören/lesen, was derjenige
    > meint - und warum er vielleicht doch Recht haben könnte.

    Ich konzentriere mich lieber darauf, dich herabzusetzen, weil ich binnen Sekunden deine "Idee" im Kopf umsetze und direkt sehe, woran es scheitert. Da brauch ich nicht groß versuchen zu verstehen, was du meinst. Ich weiß genau, was du meinst.

    > Nun das grobe Vorgehen wie folgt: ich übertrage den source vom
    > picture-Element via EME, lade das darin befindliche Bild mit
    > ctx.drawImage() in ein verstecktes Canvas, hole mir die rgba-Daten (je
    > 8bit) per ctx.getImageData(), mappe das Ergebnis mit [].map.call(imgdata,
    > function(x){return String.fromCharCode(x)}).join('') und jage das Ergebnis
    > durch (new Function(result))() - ich hätte zwar auch eval() nehmen können,
    > aber das wäre einem Laien vermutlich zu sehr aufgefallen. Wenn ich das
    > alles in einer Zeile mache, dürfte das Debuggen noch zusätzlich erschwert
    > werden (richtig, ganz unmöglich ist es nicht - der Decrypter von EME könnte
    > aber bspw. auch das Entschlüsseln verweigern, wenn die Debug-Tools offen
    > sind - früher oder später findet sich sicher auch ein valider Use-Case).

    Okay, cool. Die Idee an sich ist ja schon fast lobenswert.

    Ich starte also meine Chrome-Webtools, gucke mir die Prozedur einmal an, führe sie selbst aus (Kann den Code wenn ich will Zeile für Zeile ausführen) und kurz vor dem Aufruf der Funktion (Du kannst sie nicht partiell aufrufen, demnach ist der Code zur Erstellung der Funktion vollständig) logge ich mir den Code, der an new Function/eval übergeben wird. Ende.

    Verschlüsselung aufgehoben. Wenn man das Verschlüsseln nennen kann. Im Endeffekt ist es auch nur Obfuskation, denn eine Verschlüsselung wäre Ende-zu-Ende. Der Browser ist hier der beste Man-in-the-middle.

    Nun sag mir bitte, was es dir als Entwickler/Auftraggeber gebracht hat, jeden User deiner Seite mit unnötigen Ladezeiten zu belästigen, während selbst ein Laie die "Verschlüsselung" binnen Sekunden aufheben kann.

    > Ein weiteres Einfalltor für Sicherheitsprobleme ist außerdem immer noch der
    > binary blob zum Entschlüsseln. Da wir hier von einer Black Box reden, die
    > nach DMCA noch nicht mal von Außenstehenden getestet werden darf, ist
    > nahezu garantiert, dass hier Sicherheitsmängel existieren, wie es
    > regelmäßig bei Security through Obscurity der Fall ist.

    Unsicherheit existiert in jedem System. Das sollte uns nicht davon abhalten, neue Standards zu fördern.

    Ich behaupte hier auch nicht, EME ist gut und fertig zur Verabschiedung.
    Alles was ich sage ist, dass es schwachsinnig und nutzlos ist, JavaScript mit Mitteln wie EME verschlüsseln zu wollen.

    Dafür müsste erst eine JavaScript-Engine her, die _vor_ irgend einer Ausführung von JavaScript bereits die notwendigen Handshakes durchführt und anschließend den noch verschlüsselten Code ausführt. Und selbst da kann man mit diversen RAM-Angriffen (sofern das ganze nicht sequentiell entschlüsselt und ausgeführt wird) den Code rausholen.

  14. Re: Mit Microsoft macht er halt am meisten Gewinn...

    Autor: LX 29.06.16 - 08:53

    Was Dich daran hindert, das ganze in Webtools auszuführen? Nun, vielleicht der Binary Blob, der die Verwendung der image-Daten verweigert, solange auch nur ein Haltepunkt gesetzt ist. Immerhin würde ein solcher Haltepunkt Ansatzpunkte bieten, die Verschlüsselung zu umgehen - und das ist nur ein mögliches Szenario (auch wenn Du es für unwahrscheinlich hältst). Aber selbst wenn nicht: es ist eine Black Box und die Entscheidung von Microsoft hat die Unsicherheit derselben zu einer unlösbaren Aufgabe gemacht. Des weiteren arbeitet Microsoft fieberhaft daran, diesen unfertigen Standard verabschieden zu können, damit sie uns schon wieder unfertige Technik aufs Auge drücken können.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Solution Engineer (m/f/d)
    Usercentrics GmbH, München
  2. Fachgruppenleitung Informations- und Kommunikationstechnologien (w/m/d)
    Bundesinstitut für Risikobewertung, Berlin
  3. Cloud Security Engineer (w/m/x)
    ALDI International Services GmbH & Co. oHG, Mülheim an der Ruhr
  4. Mathematiker (m/w/d) Produktrealisierung Leben
    VPV Versicherungen, Stuttgart

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. Sennheiser HD 450BT kabelloser Kopfhörer mit ANC für 99€)
  2. (u. a. HyperX Cloud II Kopfhörer für 51,29€, Razer Basilisk V2 Maus für 45,49€, Corsair K55...
  3. (u. a. Philips Ambilight TV 55OLED805/12 55 Zoll OLED für 999€)
  4. (u. a. Sony KE-85XH8096 / KD-85XH8096 Bravia 85 Zoll für 1.499,95€)


Haben wir etwas übersehen?

E-Mail an news@golem.de