1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › IETF: TLS 1.3 ist zu sicher für…

selektive sicherheit ist das problem...

  1. Thema

Neues Thema


  1. selektive sicherheit ist das problem...

    Autor: Anonymer Nutzer 02.11.17 - 15:40

    fasst man den text von cisco und co zusammen, so sieht man schnell, dass nicht das aufbrechen aller tls 1.3 verbindungen das problem ist, sondern dass es richtlinien geben kann, durch die das aufbrechen mancher verbindungen nicht erlaubt ist. beispiele kann es benutzern erlaubt sein, ihr online banking tls verschlüsselt ohne aufbrechen zu erledigen, youtube aber zb aufgebrochen werden muss.

    ursache des problems ist, dass mit tls 1.3 der passende hostname für das mitm-zertifikate, das dynamisch durch die middle boxes erstellt wird, tatsächlich nur durch aufbrechen der tls verbindung erkannt werden kann, sofern https://datatracker.ietf.org/doc/draft-huitema-tls-sni-encryption zur anwendung kommt. verschlüsselt der client sein sni nicht, ist es auch mit tls 1.3 kein problem, einzelne hostnames auszunehmen (allerdings sollte die middle box dann prüfen, ob der hostname im sni tatsächlich zur ip adresse passt, zu der sich der client verbinden will, aber das ist wohl eine andere geschichte...).

  2. Re: selektive sicherheit ist das problem...

    Autor: tingelchen 02.11.17 - 16:53

    Mal abgesehen davon das man auf der Arbeit nicht auf Youtube unterwegs sein sollte ^^ Darf man eine Verbindung zu YT nicht einfach aufbrechen. Denn dies würde unweigerlich dazu führen das Account Informationen (User/Pwd) im Klartext lesbar sind. Diese Middletboxen untergraben Systematisch die Kommunikationssicherheit. Darum erachtet auch jeder, der bei klarem Verstand ist, diese als Negativ.

    Positiv sehen nur jene diese, die damit ein Geschäft machen. TLS1.3 unterwandert also deren Produkte. Oder einfacher ausgedrückt: "mimimimi... mit TLS1.3 wird mein Produkt sinnlos!".

    Nicht TLS1.3 ist zu sicher. Sondern die Boxen sind einfach zu schlecht ;)

  3. Re: selektive sicherheit ist das problem...

    Autor: gaym0r 02.11.17 - 16:57

    Darum unterschreiben Arbeitnehmer auch entsprechende Schreiben. Wenn sie dann dennoch auf der Arbeit privat surfen UND sensible Login-Daten eingeben, haben sie halt Pech.

    Bei uns wird das ganz klar kommuniziert: "Wir brechen jeglichen Traffic (außer Online-Banking) auf und gucken rein. Hast du ein Problem damit? Surf halt zu Hause!"

  4. Re: selektive sicherheit ist das problem...

    Autor: Anonymer Nutzer 02.11.17 - 17:01

    und genau das ist das problem mit tls 1.3. "außer online banking" ist nicht mehr möglich. es muss alles aufgebrochen werden, da man sonst das aufbrechen als solches nicht umsetzen kann.

  5. Re: selektive sicherheit ist das problem...

    Autor: tingelchen 02.11.17 - 17:02

    Daher ist auch jetzt schon die Aussage "außer Onlinebanking" kompletter Unfug :)

  6. Re: selektive sicherheit ist das problem...

    Autor: Neuro-Chef 02.11.17 - 18:10

    tingelchen schrieb:
    > Mal abgesehen davon das man auf der Arbeit nicht auf Youtube unterwegs sein
    > sollte ^^
    Kann man so pauschal nicht sagen. Es kann sogar Teil der Arbeit sein oder diese unterstützen.

    > Diese Middletboxen untergraben Systematisch die
    > Kommunikationssicherheit. Darum erachtet auch jeder, der bei klarem
    > Verstand ist, diese als Negativ.
    Rischtisch.

    ¯\_(ツ)_/¯

    » Niemand ist vollkommen, aber irre sind ganz sicher viele. « – Vollkommen Irrer ಠ_ಠ

    (war mal) Verifizierter Top 500 Poster!

  7. Re: selektive sicherheit ist das problem...

    Autor: gaym0r 02.11.17 - 18:47

    tingelchen schrieb:
    --------------------------------------------------------------------------------
    > Daher ist auch jetzt schon die Aussage "außer Onlinebanking" kompletter
    > Unfug :)

    "Jetzt schon"? Warum?

  8. Re: selektive sicherheit ist das problem...

    Autor: gaym0r 02.11.17 - 18:47

    Neuro-Chef schrieb:
    --------------------------------------------------------------------------------
    > > Diese Middletboxen untergraben Systematisch die
    > > Kommunikationssicherheit. Darum erachtet auch jeder, der bei klarem
    > > Verstand ist, diese als Negativ.
    > Rischtisch.

    Falsch?

  9. Re: selektive sicherheit ist das problem...

    Autor: Neuro-Chef 02.11.17 - 19:58

    gaym0r schrieb:
    > Falsch?
    Bitte? Kannst du auch ganze Sätze reden? Das macht jedenfalls keinen Sinn was du da sagst.

    ¯\_(ツ)_/¯

    » Niemand ist vollkommen, aber irre sind ganz sicher viele. « – Vollkommen Irrer ಠ_ಠ

    (war mal) Verifizierter Top 500 Poster!

  10. Re: selektive sicherheit ist das problem...

    Autor: Apfelbrot 03.11.17 - 02:54

    tingelchen schrieb:
    --------------------------------------------------------------------------------
    > Daher ist auch jetzt schon die Aussage "außer Onlinebanking" kompletter
    > Unfug :)

    Das einzige was Unfug ist, ist jede Aussage von dir zu diesem Thema.

  11. Re: selektive sicherheit ist das problem...

    Autor: Apfelbrot 03.11.17 - 02:56

    Neuro-Chef schrieb:
    --------------------------------------------------------------------------------
    > gaym0r schrieb:
    > > Falsch?
    > Bitte? Kannst du auch ganze Sätze reden? Das macht jedenfalls keinen Sinn
    > was du da sagst.

    Es macht sinn wenn man mal seinen Verstand anstrengt.

    Der Admin will das Firmennetzwerk schützen, zB. gegen Browser Exploits. Das geht nur wenn er in den Traffic reinschauen kann.

    Damit wird keinerlei Sicherheit untergraben, sondern geschaffen.
    Privates Surfen hat außerdem am Arbeitsplatz absolut gar nichts verloren.

  12. Re: selektive sicherheit ist das problem...

    Autor: divStar 03.11.17 - 09:49

    Apfelbrot schrieb:
    --------------------------------------------------------------------------------
    > Neuro-Chef schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > gaym0r schrieb:
    > > > Falsch?
    > > Bitte? Kannst du auch ganze Sätze reden? Das macht jedenfalls keinen
    > Sinn
    > > was du da sagst.
    >
    > Es macht sinn wenn man mal seinen Verstand anstrengt.
    >
    > Der Admin will das Firmennetzwerk schützen, zB. gegen Browser Exploits. Das
    > geht nur wenn er in den Traffic reinschauen kann.
    >
    > Damit wird keinerlei Sicherheit untergraben, sondern geschaffen.
    > Privates Surfen hat außerdem am Arbeitsplatz absolut gar nichts verloren.

    Das kommt ganz darauf an was im Vertrag steht und was als privates Surfen angesehen wird. Wenn ich als Entwickler auf Stackoverflow unterwegs bin - mit meinem privaten Account - dann ist das ebenso wie lesen von IT-bezogenen Websites bei uns durchaus gestattet. Und ich würde es nicht so gerne haben, dass mir dabei in den traffic geschaut wird.

    Also dein "außerdem" kannste dir definitiv sparen. Außerdem sollten die Firmen Vorkehrungen getroffen haben was die Absicherung der Infrastruktur angeht - inkl. Backups, Richtlinien usw. Ich kann dem Reinsehen in den Traffic nichts positives abgewinnen. Man sollte irgendwo auch den Mitarbeitern vertrauen - immerhin sind die für den Bockmist, den sie absichtlich verzapfen könnten ja durchaus haftbar und haben entsprechende Erklärungen unterzeichnet.

  13. Re: selektive sicherheit ist das problem...

    Autor: Neuro-Chef 03.11.17 - 15:13

    Apfelbrot schrieb:
    > Der Admin will das Firmennetzwerk schützen, zB. gegen Browser Exploits. Das
    > geht nur wenn er in den Traffic reinschauen kann.
    Wie sollen denn unbekannte Exploits erkant werden?
    Und wenn sie bekannt sind, warum forciert man nicht das Einspielen von Browser-Updates?

    ¯\_(ツ)_/¯

    » Niemand ist vollkommen, aber irre sind ganz sicher viele. « – Vollkommen Irrer ಠ_ಠ

    (war mal) Verifizierter Top 500 Poster!

  14. Re: selektive sicherheit ist das problem...

    Autor: FreiGeistler 04.11.17 - 15:55

    Apfelbrot schrieb:
    --------------------------------------------------------------------------------
    > Neuro-Chef schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > gaym0r schrieb:
    > > > Falsch?
    > > Bitte? Kannst du auch ganze Sätze reden? Das macht jedenfalls keinen Sinn was du da sagst.
    >
    > Es macht sinn wenn man mal seinen Verstand anstrengt.
    >
    > Der Admin will das Firmennetzwerk schützen, zB. gegen Browser Exploits. Das
    > geht nur wenn er in den Traffic reinschauen kann.
    Macht ebenfalls keinen Sinn.
    Wenn ein Browser-Exploit bekannt ist, sollte der Admin die Browser updaten.
    Oder seid ihr auf eine interne Frickellösung angewiesen, die noch IE 8.0 voraussetzt?
    Auch ganz falsch gemacht.

    > Damit wird keinerlei Sicherheit untergraben, sondern geschaffen.
    > Privates Surfen hat außerdem am Arbeitsplatz absolut gar nichts verloren.
    Dann wäre die sicherste Lösung, alle internen Web-GUIS auf PHP (non-js) zu entwickeln und im Browser js zu deaktivieren. ;-)
    Warum macht das bloss niemand?

    edit: typo



    1 mal bearbeitet, zuletzt am 04.11.17 15:58 durch FreiGeistler.

  1. Thema

Neues Thema


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. IT-Service Desk Manager und IT & OT -Device Administrator (m/w/d) Kennziffer 23/37 | Vollzeit
    SONAX GmbH, Neuburg an der Donau
  2. Teamleitung »Support und Bereitstellung« (m/w/d)
    ekom21 - KGRZ Hessen, Darmstadt, Gießen, Kassel, Fulda
  3. IT-Projektmanager:in in der Softwareentwicklung (m/w/d)
    STRABAG BRVZ GMBH, Wien, Spittal/Drau, Villach, Stuttgart
  4. IT-Revisor (m/w/d)
    Ifina Beteiligungsgesellschaft mbH, Porta Westfalica

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote


Haben wir etwas übersehen?

E-Mail an news@golem.de


Digitale-Dienste-Gesetz: Regierung bessert bei der Störerhaftung nach
Digitale-Dienste-Gesetz
Regierung bessert bei der Störerhaftung nach

Bei der Umsetzung des DSA in deutsches Recht soll der Schutz vor kostenpflichtigen Abmahnungen nun doch beibehalten bleiben.
Ein Bericht von Friedhelm Greis

  1. Störerhaftung Verbraucherschützer befürchten neue Abmahnwelle bei WLANs

Powerstream-Wechselrichter: Mein Balkonkraftwerk, mein Strom
Powerstream-Wechselrichter
Mein Balkonkraftwerk, mein Strom

Mit dem Powerstream-Wechselrichter hat Ecoflow ein Gerät, das verschiedene Powerstationen des Herstellers als Energiespeicher nutzen kann. Wie gut das funktioniert und wie wirtschaftlich es ist, haben wir ein halbes Jahr lang getestet.
Von Mario Keller

  1. Erleichterungen bei Balkonkraftwerken Bundestag tritt bei Solarpaket auf die Bremse
  2. Juristisches Gutachten Wer haftet bei Schäden durch ein Balkonkraftwerk?
  3. Eigentümer und Mieter Anspruch auf Balkonkraftwerke kommt im Frühjahr 2024

Zbox Pico PI430AJ: Flotter Mini-PC mit Solid-State-Kühlung
Zbox Pico PI430AJ
Flotter Mini-PC mit Solid-State-Kühlung

Die fast lautlosen Kühler von Frore Systems funktionieren gut. Mehr Leistung auf so kleinem Raum ist kaum möglich. Eine ARM-CPU wäre aber spannend.
Ein Test von Martin Böckmann