Aus aktuellem Anlass

Rein aus aktuellem Anlass kann ich solch eine Protokoll-Entwicklung nicht verstehen, aber QUIC gibt es ja wie der Artikel schreibt schon etliche Jahre ohne groß an Bedeutung zuzunehmen und ich hoffe, dass dies auch so bleibt. Das Internet hat erst vor einigen Tagen wieder erlebt was Verbindungslose-Protokolle für Schaden anrichten können. Pakete die keinerlei Validierung brauchen, um ein paar Millisekunden zu sparen, da reiben sich die DDoS Kiddies jetzt schon die Hände.

Wobei das ja nicht das Problem ist, sondern mangelhaft geschützte billig Hardware, mit der dann Schindluder getrieben wird.

Kenterfie schrieb:
--------------------------------------------------------------------------------
> Rein aus aktuellem Anlass kann ich solch eine Protokoll-Entwicklung nicht
> verstehen, aber QUIC gibt es ja wie der Artikel schreibt schon etliche
> Jahre ohne groß an Bedeutung zuzunehmen und ich hoffe, dass dies auch so
> bleibt. Das Internet hat erst vor einigen Tagen wieder erlebt was
> Verbindungslose-Protokolle für Schaden anrichten können. Pakete die
> keinerlei Validierung brauchen, um ein paar Millisekunden zu sparen, da
> reiben sich die DDoS Kiddies jetzt schon die Hände.

Ich glaub da hat jemand UTP gelesen, aber quic nicht verstanden.

Das Protokoll ist doch gar nicht verbindungslos. Die Verbindung wird halt lediglich auf einer höheren Ebene organisiert.

Nebenbei dürfte Google das Phänomen von DDoS über nicht ausreichend verifizierte Absenderdaten auch bekannt sein. Ich gehe deshalb davon aus, dass in dem Protokoll Maßnahmen getroffen wurden, die im unauthentifizierten Zustand eine Vervielfachung des Verkehrs vermeiden - man also nicht einfach ein einzelnes kleines UDP-Paket an einen Server schicken kann, der dann mit einem großen Paket oder gar einer Vielzahl von Paketen antwortet ohne vorher zu verifizieren, dass der Empfänger der Pakete auch der Absender der Anfrage ist. Wenn man (im Gegensatz zum klassischen DNS) derartige Vorsichtsmaßnahmen trifft, ist UDP diesbezüglich auch nicht schlechter als TCP.

Ich kenn ja nen tollen UDP Witz, aber ich weiß nicht, ob der ankommt.....

Lass ihn vom Stapel und wir werden es sehen ;)

Edit:
Ok hatte ne lange Leitung ^^



1 mal bearbeitet, zuletzt am 07.11.16 12:44 durch Arystus.

Arystus schrieb:
--------------------------------------------------------------------------------
> Lass ihn vom Stapel und wir werden es sehen ;)

Ich seh schon, er ist leider nicht angekommen :o)

Ich habe noch ein ganz anderes Problem, und das ist in meinem Mangel an Vertrauen in die Urherber, Befürworter, Entscheidern und Implementierer solcher Technologien begründet.

Der Zweifel ob das alles so gut ist, wie dargestellt, schwindet bei mir nicht unbedingt dadurch, dass z.B. Google dahintersteht, klar hat dieses Unternehmen Interesse an der 'Sicherheit' der Daten seiner Nutzer, aber auch nur soweit wie es ihm nützt, es bleibt ein Unternehmen dessen Geschäft es ist, möglichst viel über möglichst viele in Erfahrung zu bringen und diese Informationen gewinnbringend zu verarbeiten.

Datensicherheit und Datenschutz sind zwei Paar Schuhe, letzteres gehört wesentlich enger geschürt.

Viele der Beteiligten, inkl. EFF sind in den USA ansässig, und haben sich damit auch der dortigen Gesetzgebung und den Verfahrensweisen der dortigen staatlichen Dienste zu unterwerfen, inklusive unter Verschluss zu haltender Anweisungen, und wie kaprizös das eigene Recht dort von den Diensten dort wie hier dabei ausgelegt wird, wissen wir spätesten genauer seit Snowden, die Aluhüte hatten mal wieder recht!

Nungut, wie war das, mann kann nicht nur die Kirschen haben wenn man den Kuchen backt, es sei denn man backt Zitronenkuchen ... oder so ähnlich!?! ;-)



1 mal bearbeitet, zuletzt am 07.11.16 12:53 durch Moe479.

Und du verwechselst UTP mit UDP, fyi.

Diese Argumentation halte ich für an den Haaren herbeigezogen. Die Spezifikationen liegen offen, die kann jeder unabhängig prüfen. Da braucht man keinerlei Vertrauen in die Verfahrensbeteiligten, denn das ist keine Blackbox.

frostbitten king schrieb:
> Und du verwechselst UTP mit UDP, fyi.
UDP über UTP ist erstmal wenig empfehlenswert, weil die Fehlerkorrektur fehlt^^

-> Heul' doch! ¯\_(ツ)_/¯

» Niemand ist vollkommen, aber irre sind ganz sicher viele. « – Vollkommen Irrer ಠ_ಠ

Verifizierter Top 500 Poster!

tut das auch jeder? und wer garantiert, dass diese von jedem auch so umgesetzt werden? ms, apple. mozzilla oder google? es werden bis heute immer wieder fehler in hornalten kernel-modulen entdeckt, offenlegung bedeutet nicht unbedingt, dass da eine menge leute rüberschauen, sie können es nur aber müssen nicht ;-)

Wobei das eigentlich nicht fair ist gegenübe UDP :) Das Protokoll kann ja nichts dafür wenn die Entwickler zu doof sind eine ordentliche Fehlerkorrektur zu implementieren ^^

Ein Fehler in der Implementierung ist aber was anderes als absichtlich eine Hintertür ein zu bauen. Es würde aus Sicht von Google auch gar keinen Sinn ergeben. Da sie Empfänger der Datenpakete sind, können sie die auch entschlüsseln. Sie bekommen ihre Daten also so oder so. Egal ob über UDP, TCP, HTTPS, Quic oder Wuselpuschel. Hauptsache beide Seiten können sich auf ein Protokoll einigen.

Quic entkräftet im übrigen deine Aussagen. Denn zum einen wird sorge getragen das nicht nur der Inhalt verschlüsselt wird, sondern auch ein Teil der Meta Daten und zum anderen werden diese signiert. So das der Klartextteil nicht nach gut dünken von jedem Hanswurst manipuliert werden kann. Erhöht also sowohl Datensicherheit als auch Datenschutz auf Protokollebene.

Wie Google dann mit deinen Daten umgeht, steht auf einem anderen Blatt. Aber das ist nicht Aufgabe eines Kommunikationsprotokolls.

Bedenkt man aber die letzten Erkentnisse zum Thema "sichere Primzahlen" so kann es gut sein dass du eine Schwachstelle nicht kennst. Der unsichere Zufallsgenerator der NSA war ja auch ein offener Standard.

ausgeloggt kein JS für golem = keine Seitenhüpfer

Im Endresultat können leider Bugs und Backdoors das Gleiche sein, der Schaden am Schutz der Daten ist dann ggf. so oder so da., es spielt praktisch keine Rolle wie man das schimpft.

Das ist soweit richtig und dagegen sage ich auch nichts. Generell sind Implementierungsfehler auch der Hauptgrund wie Software gehackt werden kann. Du kannst aber nicht hergehen und in einem Kommunikationsprotokoll den Datenschutz in vollem Umfang implementieren. Was auch einfach nicht die Aufgabe eines Kommunikationsprotokolls ist.

Darüber hinaus gibt es die gleichen Möglichkeiten zu Fehlern in der Implementierung bei HTTPS. Es gibt etliche Implementierungen auf HTTPS Ebene wo die Zertifikate gar nicht geprüft werden. Schon gar nicht rekursiv. Wir haben also derzeit doppelten Overhead und damit einen nicht zu verachtenden Kostenfaktor. Im übrigen auch für den Endkonsumenten selbst. Denn der Overhead ist Teil deines Freivolumens von z.B. deinem Mobil Tarifs.

Ob Quic der Weisheit letzter Schluss ist? Sicher nicht. Aber ein Schritt in die richtige Richtung allemal.