1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Dual EC: Wie Cisco, Avast und die NSA…

Ich verstehe nicht

  1. Thema

Neues Thema Ansicht wechseln


  1. Ich verstehe nicht

    Autor: gaym0r 19.12.17 - 19:45

    warum zwanghaft ein Aufbrechen der Verbindung verhindert werden muss. Kann mich jemand aufklären?

  2. Re: Ich verstehe nicht

    Autor: Ipa 19.12.17 - 19:48

    Weil es dafür da ist? Und es sicher sein soll.

  3. Re: Ich verstehe nicht

    Autor: hannob (golem.de) 19.12.17 - 20:05

    Es sind vier Links zu früheren Golem-Artikeln im Text, in denen Sicherheitsprobleme beschrieben werden, die von solchen TLS-"Interception"-Lösungen verursacht wurden. Reicht das nicht als Erklärung?

  4. Re: Ich verstehe nicht

    Autor: gaym0r 19.12.17 - 20:17

    hannob (golem.de) schrieb:
    --------------------------------------------------------------------------------
    > Es sind vier Links zu früheren Golem-Artikeln im Text, in denen
    > Sicherheitsprobleme beschrieben werden, die von solchen
    > TLS-"Interception"-Lösungen verursacht wurden. Reicht das nicht als
    > Erklärung?

    https://www.golem.de/news/superfish-das-adware-imperium-von-komodia-1502-112521.html das zB?

    Also eine Interception-Technik wurde in bösartigen Programmen implementiert, die mit HTTPS-Interception evtl. garnicht in ein Unternehmen gelangt wären? ;-)



    1 mal bearbeitet, zuletzt am 19.12.17 20:21 durch gaym0r.

  5. Re: Ich verstehe nicht

    Autor: gaym0r 19.12.17 - 20:18

    Ipa schrieb:
    --------------------------------------------------------------------------------
    > Weil es dafür da ist? Und es sicher sein soll.

    Du gehst scheinbar davon aus, dass Cisco dann den ganzen weltweiten Traffic problemlos entschlüsseln könne. Das ist falsch.

    Das ist aber irgendwie immer so, wenn ich Leute darauf anspreche... "Datenschutz", "Sicherheit", "NSA" sind dann so Buzzwörter, die die Leute vor sich herstammeln. Schade. Kann ja gut sein, dass ich irgendwas übersehe. Oder das Problem von der falschen Seite betrachte.



    1 mal bearbeitet, zuletzt am 19.12.17 20:22 durch gaym0r.

  6. Re: Ich verstehe nicht

    Autor: fuzzy 19.12.17 - 22:06

    Das Standardverfahren für sowas ist Verbindung am Sicherheitsgateway terminieren und intern mit Root-Zertifikat des Betreibers ins Rennen gehen. Sehe nicht, inwiefern TLS 1.3 das verhindern würde. Man vertraut ja explizit den dynamisch neu generierten Zertifikaten.

    Der Showstopper ist hier nach wie vor, dass diese Middleboxen nicht mal das korrekt können und sich deshalb an TLS 1.3 verschlucken.

    Baumansicht oder Zitieren oder nicht Posten - die Wahl ist eure!

  7. Re: Ich verstehe nicht

    Autor: gaym0r 19.12.17 - 22:41

    fuzzy schrieb:
    --------------------------------------------------------------------------------
    > Das Standardverfahren für sowas ist Verbindung am Sicherheitsgateway
    > terminieren und intern mit Root-Zertifikat des Betreibers ins Rennen gehen.
    > Sehe nicht, inwiefern TLS 1.3 das verhindern würde. Man vertraut ja
    > explizit den dynamisch neu generierten Zertifikaten.
    >
    > Der Showstopper ist hier nach wie vor, dass diese Middleboxen nicht mal das
    > korrekt können und sich deshalb an TLS 1.3 verschlucken.

    Ja, aber warum verschlucken sie sich dran? Weil die Hersteller unfähig sind? Wie haben die es denn für TSL 1.2 geschafft? Da muss also irgendwas an TLS 1.3 sein, das das Ganze unnötig behindert.

  8. Re: Ich verstehe nicht

    Autor: Anonymer Nutzer 19.12.17 - 23:40

    ja, bitte. schreib' doch einfach mal einen artikel, der klar aufzeigt, welche _neuen_ features von tls 1.3 das aufbrechen von verbindungen tatsächlich im vergleich zu tls 1.2 verhindern. sowas ist leider noch nicht gekommen.

    meines wissens ist die verschlüsselung der SNI information die einzige neuerung, die das aufbrechen tatsächlich stark erschwert. aber das steckt noch sehr in den kinderschuhen. es gibt derzeit keine wirklich funktionierende lösung dafür.



    3 mal bearbeitet, zuletzt am 19.12.17 23:53 durch bjs.

  9. Re: Ich verstehe nicht

    Autor: Anonymer Nutzer 20.12.17 - 11:08

    nein, unfähig sind die hersteller nicht. aber sie sind nun mal profitorientiert und machen deshalb nur das minimum für den maximalen gewinn.

  10. Re: Ich verstehe nicht

    Autor: fuzzy 20.12.17 - 20:16

    Nur weil ein Gateway mit TLS 1.2 kann, geht heißt das noch lange nicht, dass der Standard korrekt implementiert wurde. Ganz im Gegenteil muss man davon ausgehen, dass das in aller Regel nicht der Fall ist. Das kann sich in harmloseren Problemen äußern oder eben auch in Sicherheitslücken.

    Dass eine Verbindung wegen Problemen bei der Aushandlung nicht zustande kommt ist eher harmlos, immerhin.

    Baumansicht oder Zitieren oder nicht Posten - die Wahl ist eure!

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Ashampoo GmbH & Co. KG, Rastede
  2. Eurowings Aviation GmbH, Köln
  3. über duerenhoff GmbH, Hochheim am Main
  4. Quentic GmbH, Berlin

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 555,55€ (zzgl. Versandkosten)
  2. (reduzierte Überstände, Restposten & Co.)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Videospiellokalisierung: Lost in Translation
Videospiellokalisierung
Lost in Translation

Damit Videospiele in möglichst viele Länder verkauft werden können, müssen sie übersetzt beziehungsweise lokalisiert werden. Ein kniffliger Job, denn die Textdatei eines Games hat oft auf den ersten Blick keine logische Struktur - dafür aber Hunderte Seiten.
Von Nadine Emmerich

  1. Spielebranche Entwickler können bis 2023 mit Millionenförderung rechnen
  2. Planet Zoo im Test Tierische Tüftelei
  3. Förderung Spielentwickler sollen 2020 nur einen "Ausgaberest" bekommen

Raumfahrt: Mehr Geld für die Raumfahrt reicht nicht aus
Raumfahrt
Mehr Geld für die Raumfahrt reicht nicht aus

Eine mögliche leichte Senkung des deutschen Beitrags zur Esa bringt nicht die Raumfahrt in Gefahr. Deren heutige Probleme sind Resultat von Fehlentscheidungen, die hohe Kosten und Ausgaben nach sich ziehen. Zuerst braucht es Reformen statt noch mehr Geld.
Ein IMHO von Frank Wunderlich-Pfeiffer

  1. Space Rider Neuer Anlauf für eine eigene europäische Raumfähre
  2. Vega Raketenabsturz lässt Fragen offen

Neuer Streamingdienst von Disney: Disney+ ist stark bei Filmen und schwach bei Serien
Neuer Streamingdienst von Disney
Disney+ ist stark bei Filmen und schwach bei Serien

Das Hollywoodstudio Disney ist in den Markt für Videostreamingabos eingestiegen. In den USA hat es beim Start von Disney+ technische Probleme gegeben. Mit Blick auf inhaltliche Vielfalt kann der Dienst weder mit Netflix noch mit Amazon Prime Video mithalten.
Von Ingo Pakalski

  1. Disney+ Disney korrigiert falsches Seitenverhältnis bei den Simpsons
  2. Videostreaming im Abo Disney+ hat 10 Millionen Abonnenten
  3. Disney+ Disney bringt seinen Streaming-Dienst auf Fire-TV-Geräte