1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Internet-Protokoll: Quic soll der…

Aus aktuellem Anlass

Das Wochenende ist fast schon da. Zeit für Quatsch!
  1. Thema

Neues Thema Ansicht wechseln


  1. Aus aktuellem Anlass

    Autor: Kenterfie 07.11.16 - 12:08

    Rein aus aktuellem Anlass kann ich solch eine Protokoll-Entwicklung nicht verstehen, aber QUIC gibt es ja wie der Artikel schreibt schon etliche Jahre ohne groß an Bedeutung zuzunehmen und ich hoffe, dass dies auch so bleibt. Das Internet hat erst vor einigen Tagen wieder erlebt was Verbindungslose-Protokolle für Schaden anrichten können. Pakete die keinerlei Validierung brauchen, um ein paar Millisekunden zu sparen, da reiben sich die DDoS Kiddies jetzt schon die Hände.

  2. Re: Aus aktuellem Anlass

    Autor: dabbes 07.11.16 - 12:21

    Wobei das ja nicht das Problem ist, sondern mangelhaft geschützte billig Hardware, mit der dann Schindluder getrieben wird.

  3. Re: Aus aktuellem Anlass

    Autor: NitroX007 07.11.16 - 12:23

    Kenterfie schrieb:
    --------------------------------------------------------------------------------
    > Rein aus aktuellem Anlass kann ich solch eine Protokoll-Entwicklung nicht
    > verstehen, aber QUIC gibt es ja wie der Artikel schreibt schon etliche
    > Jahre ohne groß an Bedeutung zuzunehmen und ich hoffe, dass dies auch so
    > bleibt. Das Internet hat erst vor einigen Tagen wieder erlebt was
    > Verbindungslose-Protokolle für Schaden anrichten können. Pakete die
    > keinerlei Validierung brauchen, um ein paar Millisekunden zu sparen, da
    > reiben sich die DDoS Kiddies jetzt schon die Hände.

    Ich glaub da hat jemand UTP gelesen, aber quic nicht verstanden.

  4. Re: Aus aktuellem Anlass

    Autor: Mingfu 07.11.16 - 12:24

    Das Protokoll ist doch gar nicht verbindungslos. Die Verbindung wird halt lediglich auf einer höheren Ebene organisiert.

    Nebenbei dürfte Google das Phänomen von DDoS über nicht ausreichend verifizierte Absenderdaten auch bekannt sein. Ich gehe deshalb davon aus, dass in dem Protokoll Maßnahmen getroffen wurden, die im unauthentifizierten Zustand eine Vervielfachung des Verkehrs vermeiden - man also nicht einfach ein einzelnes kleines UDP-Paket an einen Server schicken kann, der dann mit einem großen Paket oder gar einer Vielzahl von Paketen antwortet ohne vorher zu verifizieren, dass der Empfänger der Pakete auch der Absender der Anfrage ist. Wenn man (im Gegensatz zum klassischen DNS) derartige Vorsichtsmaßnahmen trifft, ist UDP diesbezüglich auch nicht schlechter als TCP.

  5. Re: Aus aktuellem Anlass

    Autor: sleeksorrow 07.11.16 - 12:34

    Ich kenn ja nen tollen UDP Witz, aber ich weiß nicht, ob der ankommt.....

  6. Re: Aus aktuellem Anlass

    Autor: Arystus 07.11.16 - 12:41

    Lass ihn vom Stapel und wir werden es sehen ;)

    Edit:
    Ok hatte ne lange Leitung ^^



    1 mal bearbeitet, zuletzt am 07.11.16 12:44 durch Arystus.

  7. Re: Aus aktuellem Anlass

    Autor: sleeksorrow 07.11.16 - 12:43

    Arystus schrieb:
    --------------------------------------------------------------------------------
    > Lass ihn vom Stapel und wir werden es sehen ;)

    Ich seh schon, er ist leider nicht angekommen :o)

  8. Re: Aus aktuellem Anlass

    Autor: Moe479 07.11.16 - 12:52

    Ich habe noch ein ganz anderes Problem, und das ist in meinem Mangel an Vertrauen in die Urherber, Befürworter, Entscheidern und Implementierer solcher Technologien begründet.

    Der Zweifel ob das alles so gut ist, wie dargestellt, schwindet bei mir nicht unbedingt dadurch, dass z.B. Google dahintersteht, klar hat dieses Unternehmen Interesse an der 'Sicherheit' der Daten seiner Nutzer, aber auch nur soweit wie es ihm nützt, es bleibt ein Unternehmen dessen Geschäft es ist, möglichst viel über möglichst viele in Erfahrung zu bringen und diese Informationen gewinnbringend zu verarbeiten.

    Datensicherheit und Datenschutz sind zwei Paar Schuhe, letzteres gehört wesentlich enger geschürt.

    Viele der Beteiligten, inkl. EFF sind in den USA ansässig, und haben sich damit auch der dortigen Gesetzgebung und den Verfahrensweisen der dortigen staatlichen Dienste zu unterwerfen, inklusive unter Verschluss zu haltender Anweisungen, und wie kaprizös das eigene Recht dort von den Diensten dort wie hier dabei ausgelegt wird, wissen wir spätesten genauer seit Snowden, die Aluhüte hatten mal wieder recht!

    Nungut, wie war das, mann kann nicht nur die Kirschen haben wenn man den Kuchen backt, es sei denn man backt Zitronenkuchen ... oder so ähnlich!?! ;-)



    1 mal bearbeitet, zuletzt am 07.11.16 12:53 durch Moe479.

  9. Re: Aus aktuellem Anlass

    Autor: frostbitten king 07.11.16 - 13:05

    Und du verwechselst UTP mit UDP, fyi.

  10. Re: Aus aktuellem Anlass

    Autor: Mingfu 07.11.16 - 13:09

    Diese Argumentation halte ich für an den Haaren herbeigezogen. Die Spezifikationen liegen offen, die kann jeder unabhängig prüfen. Da braucht man keinerlei Vertrauen in die Verfahrensbeteiligten, denn das ist keine Blackbox.

  11. Re: Aus aktuellem Anlass

    Autor: Neuro-Chef 07.11.16 - 16:53

    frostbitten king schrieb:
    > Und du verwechselst UTP mit UDP, fyi.
    UDP über UTP ist erstmal wenig empfehlenswert, weil die Fehlerkorrektur fehlt^^

    -> Heul' doch! ¯\_(ツ)_/¯

    » Niemand ist vollkommen, aber irre sind ganz sicher viele. « – Vollkommen Irrer ಠ_ಠ

    Verifizierter Top 500 Poster!

  12. Re: Aus aktuellem Anlass

    Autor: Moe479 07.11.16 - 20:03

    tut das auch jeder? und wer garantiert, dass diese von jedem auch so umgesetzt werden? ms, apple. mozzilla oder google? es werden bis heute immer wieder fehler in hornalten kernel-modulen entdeckt, offenlegung bedeutet nicht unbedingt, dass da eine menge leute rüberschauen, sie können es nur aber müssen nicht ;-)

  13. Re: Aus aktuellem Anlass

    Autor: tingelchen 07.11.16 - 20:20

    Wobei das eigentlich nicht fair ist gegenübe UDP :) Das Protokoll kann ja nichts dafür wenn die Entwickler zu doof sind eine ordentliche Fehlerkorrektur zu implementieren ^^

  14. Re: Aus aktuellem Anlass

    Autor: tingelchen 07.11.16 - 20:28

    Ein Fehler in der Implementierung ist aber was anderes als absichtlich eine Hintertür ein zu bauen. Es würde aus Sicht von Google auch gar keinen Sinn ergeben. Da sie Empfänger der Datenpakete sind, können sie die auch entschlüsseln. Sie bekommen ihre Daten also so oder so. Egal ob über UDP, TCP, HTTPS, Quic oder Wuselpuschel. Hauptsache beide Seiten können sich auf ein Protokoll einigen.

    Quic entkräftet im übrigen deine Aussagen. Denn zum einen wird sorge getragen das nicht nur der Inhalt verschlüsselt wird, sondern auch ein Teil der Meta Daten und zum anderen werden diese signiert. So das der Klartextteil nicht nach gut dünken von jedem Hanswurst manipuliert werden kann. Erhöht also sowohl Datensicherheit als auch Datenschutz auf Protokollebene.

    Wie Google dann mit deinen Daten umgeht, steht auf einem anderen Blatt. Aber das ist nicht Aufgabe eines Kommunikationsprotokolls.

  15. Re: Aus aktuellem Anlass

    Autor: Proctrap 08.11.16 - 10:48

    Bedenkt man aber die letzten Erkentnisse zum Thema "sichere Primzahlen" so kann es gut sein dass du eine Schwachstelle nicht kennst. Der unsichere Zufallsgenerator der NSA war ja auch ein offener Standard.

    ausgeloggt kein JS für golem = keine Seitenhüpfer

  16. Re: Aus aktuellem Anlass

    Autor: Moe479 09.11.16 - 11:49

    Im Endresultat können leider Bugs und Backdoors das Gleiche sein, der Schaden am Schutz der Daten ist dann ggf. so oder so da., es spielt praktisch keine Rolle wie man das schimpft.

  17. Re: Aus aktuellem Anlass

    Autor: tingelchen 09.11.16 - 18:00

    Das ist soweit richtig und dagegen sage ich auch nichts. Generell sind Implementierungsfehler auch der Hauptgrund wie Software gehackt werden kann. Du kannst aber nicht hergehen und in einem Kommunikationsprotokoll den Datenschutz in vollem Umfang implementieren. Was auch einfach nicht die Aufgabe eines Kommunikationsprotokolls ist.

    Darüber hinaus gibt es die gleichen Möglichkeiten zu Fehlern in der Implementierung bei HTTPS. Es gibt etliche Implementierungen auf HTTPS Ebene wo die Zertifikate gar nicht geprüft werden. Schon gar nicht rekursiv. Wir haben also derzeit doppelten Overhead und damit einen nicht zu verachtenden Kostenfaktor. Im übrigen auch für den Endkonsumenten selbst. Denn der Overhead ist Teil deines Freivolumens von z.B. deinem Mobil Tarifs.

    Ob Quic der Weisheit letzter Schluss ist? Sicher nicht. Aber ein Schritt in die richtige Richtung allemal.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. ITSCare - IT-Services für den Gesundheitsmarkt GbR, Stuttgart
  2. Stadtverwaltung Bocholt, Bocholt
  3. Universität Passau, Passau
  4. Jedox AG, Freiburg im Breisgau

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. Anno 1800 für 26,99€, Railway Empire für 14,99€, Code Vein für 16,99€)
  2. 119,90€ (Bestpreis mit Amazon)
  3. (AMD Ryzen 9 5950X + Radeon RX 6900 XT)
  4. (u. a. TU7199 58 Zoll für 559€, Q80T QLED 49 Zoll für 859€, TU7199 75 Zoll für 899€, Q60T...


Haben wir etwas übersehen?

E-Mail an news@golem.de


The Legend of Zelda: Das Vorbild für alle Action-Adventures
The Legend of Zelda
Das Vorbild für alle Action-Adventures

The Legend of Zelda von 1986 hat das Genre geprägt. Wir haben den 8-Bit-Klassiker erneut gespielt - und waren hin- und hergerissen.
Von Benedikt Plass-Fleßenkämper


    Surface Duo im Test: Microsoft, bitte bring ein Surface Duo 2!
    Surface Duo im Test
    Microsoft, bitte bring ein Surface Duo 2!

    Microsofts neuer Ausflug in die Smartphone-Welt ist gewagt - das Konzept stimmt aber. Nicht stimmig hingegen sind Software, Hardware und Preis.
    Ein Test von Tobias Költzsch

    1. Error 1016 Windows-Händler Lizengo ist online nicht mehr erreichbar
    2. Kubernetes Microsofts einfache Cloud-Laufzeitumgebung Dapr wird stabil
    3. Microsoft Surface Duo kostet in Deutschland ab 1.550 Euro

    Videokonferenzen: Bessere Webcams, bitte!
    Videokonferenzen
    Bessere Webcams, bitte!

    Warum sehen in Videokonferenzen immer alle schlecht aus? Die Webcam-Hersteller sind (oft) schuld.
    Ein IMHO von Martin Wolf

    1. Webcam im Eigenbau Mit wenigen Handgriffen wird die Pi HQ Cam zur USB-Kamera