1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Netzverschlüsselung: Mythen über HTTPS

ja, macht mit eurem Aktionismus nur Alles kaputt

  1. Thema

Neues Thema Ansicht wechseln


  1. ja, macht mit eurem Aktionismus nur Alles kaputt

    Autor: mawa 16.12.14 - 16:23

    Insbesondere der Betrieb von Proxys in Firmen mit schwachem Internetanschluss wird darunter leiden, wenn jeder Honk spon, heise und golem nur noch mit http läd.

    Der erste Schritt wird sein, dass die private Nutzung des Internets in der Firma untersagt wird. Danach werden halt unnötige Seiten wie spontan oder vollem gesperrt. Zum Schluß wird es dann soweit kommen, dass man https mittels man in the middel aufbricht und dem Proxy zuführt. Das dafür notwendige Stammzertifikat wird mittels GPO verteilt und keiner wird das direkt mit bekommen. Das ist bei AV für Mails schon Gang und gebe und wird es für die Zukunft auch für Webtrafic werden.

    Also überlegt euch zweimal, ob ihr wirklich jeden Müll mittels https anrufen wollt. Ich teste bereits privat entsprechend entwickelten Proxy und die Nachfrage von Kunden ist definitiv da.

  2. Re: ja, macht mit eurem Aktionismus nur Alles kaputt

    Autor: cware 16.12.14 - 16:32

    Entsprechende Proxies gibt es schon eine ganze Weile - werden bisher halt eher von Tyranneistaaten eingesetzt, nicht wahr?

    Ich persönlich finde es im Gegensatz sogar gut, dass die ganzen hauseigenen Caches damit obsolet werden. Vielleicht fangen die Unternehmen ja dann endlich mal an, sich bei ihrem Netzanbieter über die viel zu geringe Anbindung zu beschweren, statt in die Internetkommunikation der Arbeitnehmer einzugreifen.

  3. Re: ja, macht mit eurem Aktionismus nur Alles kaputt

    Autor: mawa 16.12.14 - 16:43

    Ah, du meinst also wirklich, das eine Firma bei einem entsprechenden Angebot nicht sofort wechseln würde und gerne viel Geld in die "Beschleunigung" des Internetzuganges steckt. Es gibt für diese Firmen keinen anderen Anschluss, es gibt Gewerbegebiete, die mit 1000/6000 oder weniger zurechtkommen müssen und kein Provider will das ändern.

    Zum zweiten hat der Arbeitnehmer kein Recht auf die private Nutzung des dienstlichen Internetanschlusses. Daher kann der Arbeitgeber da machen was er will. Es wird einfach eine dienstliches Verbot für die private Nutzung ausgesprochen und der Proxy mittels Betriebsvereinbarung legalisiert.

    Und die Technik ist wirklich nicht neu, ich kenne diese aus größeren Firmen, wo der ganze Traffic damit über AV-Systeme getunnelt wird. Im Grunde kann mir die gesamte Entwicklung nur recht sein, bringt neue Kunden und bindet alte Kunden.

  4. Re: ja, macht mit eurem Aktionismus nur Alles kaputt

    Autor: hab (Golem.de) 16.12.14 - 16:51

    Über diese Man-in-the-Middle-Proxies haben wir in einem anderen Thread schon diskutiert:
    https://forum.golem.de/kommentare/security/netzverschluesselung-mythen-ueber-https/http-nutzt-doch-gar-kein-udp-warum-ist-nur-https-sicher/88693,3991915,3991915,read.html#msg-3991915

    Dass Antivirenprogramme Man-in-the-Middle-Angriffe durchführen ist ziemlich fragwürdig. Es ist aber zu hoffen dass das eh nicht mehr lange funktioniert, wenn sich Key Pinning durchsetzt.

  5. Re: ja, macht mit eurem Aktionismus nur Alles kaputt

    Autor: mawa 16.12.14 - 17:21

    Ich habe leider noch keine Zeit gehabt den von dir verlinkten Thread zu lesen, werde das aber später nachholen.

    Key-Pinnig ist uninteressant. Das betrifft nur Apps und Dienste mit festen Servern und weniger Websites und co. Für diese und den Browser Browser sind nur die Stammzertifikate interessant und diese kann ich mittels GPO in einer Firmenumgebung ausrollen. Das dann eventuell irgendwelche Apps nicht mehr funktionieren wird dann halt hingenommen oder mittels WL behoben.

    Auch das absichern der Keys mitteln DNS bringt nichts. In der Firma hat der Admin die Authorität über das DNS und der kann genauso Proxy spielen und bei Bedarf die eigenen Keys bei entsprechenden Anfragen ausliefern. Damit wird sogar die Signatur von Domänen und Sites im DNS obsolet. Zugegeben, diese Technik ist noch nicht ganz so weit, aber auch daran wird gearbeitet.

    Bei den Virenscanner schaut euch doch mal GDATA an. dieser hat einen Button zum exportieren des Stammzertifikates, das man dann in sein Mailclient oder auf seinen Rechner installieren soll. Anders ist es dem AV halt nicht möglich, in den smtp und imap Verkehr reinzuschauen. Das ganze ist auch erst gekommen, nachdem alle Dienste nur noch verschlüsselte Verbindungen zugelassen haben. Vorher war das wohl weniger relevant und es wurden alt die Mails unverschlüsselt ausgetauscht.

    Verstehe mich bitte nicht falsch, ich bin ein großer Freund von Verschlüsselung und auch ssl/tls. Überall dort wo man sich anmelden muss oder persönliche Daten austauscht soll man verschlüsseln. Das gilt aber nicht für den Abruf von Allerweltsseiten wie Spon, golem, Heise, Tagesschau, etc. Wenn jeder jetzt wie gefordert nur noch Abrufe mittels https zulässt, geht der Schuss nach hinten los. Daher bin ich dafür, dort zu verschlüsseln wo es notwendig wird.

    Und um das Problem noch einmal etwas deutlicher zu machen, ich kenne Kunden, da wird der HTTP/HTTPS Verkehr mittels Trafficshaping reguliert. HTTP hat da meistens 50% und https 20% Bandbreite zugewiesen. der Rest wird auf andere Dienste verteilt. Das zieht zwar nur, wenn die Leitung ausgelastet ist. Zeigt aber wo dort die Probleme liegen. Dadurch das HTTP noch einen Cacheproxy nachgeschaltet hat, sind diese Seiten deutlich schneller als mit HTTPS, werbefrei und AV-geprüft sind diese noch obendrein. Schnellere Anschlüsse sind nicht verfügbar, teilweise noch nicht einmal zum Businesstarif.

  6. Re: ja, macht mit eurem Aktionismus nur Alles kaputt

    Autor: gammagaffer 16.12.14 - 20:35

    > Der erste Schritt wird sein, dass die private Nutzung des Internets in der
    > Firma untersagt wird.

    Die ist doch sowieso bald obsolet, wo nun jeder mit eigener mobile flat und i{Phone,Pad} rumläuft. Der Dienst-PC ist lediglich bequemer.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Consultant IT-Security (m/w/d)
    operational services GmbH & Co. KG, Wolfsburg, Hannover
  2. Cloud Security Consult / Cloud Sicherheitsarchitekt (m/w/d)
    Deutsche Bundesbank, Frankfurt am Main
  3. Softwareentwickler Frontend (m/w/d)
    eLearning Manufaktur GmbH, Düsseldorf, Kleve
  4. IT Consultant Business Automation (w/m/d)
    dmTECH GmbH, Karlsruhe

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. Über 3400 Angebote mit bis zu 90 Prozent Rabatt
  2. 29,99€
  3. (u. a. Train Sim World 2 für 11,50€, Train Simulator 2021 für 8,99€)
  4. (u. a. Rocksmith für 8,99€, Star Trek Bridge Crew für 9,50€, Tales of Berseria für 6,99€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


DJI FPV im Test: Adrenalin und Adlerauge
DJI FPV im Test
Adrenalin und Adlerauge

Die DJI FPV verpackt ein spektakuläres Drohnen-Flugerlebnis sehr einsteigerfreundlich. Wir haben ein paar Runden mit 100 km/h gedreht.
Ein Test von Martin Wolf

  1. Quadcopter DJI Air 2S mit großem Sensor für 5,4K-Videos erschienen
  2. DJI Drohnenhersteller plant offenbar Einstieg ins Autogeschäft
  3. Drohne DJI Air 2s soll mit 20 Megapixeln fliegend fotografieren

Wasserstoff: Der Kampf um die Gasnetze
Wasserstoff
Der Kampf um die Gasnetze

Die Gasindustrie will künftig mit Wasserstoff heizen, viele Fachleute lehnen das ab. An der Frage entscheidet sich die Zukunft der Gasnetze.
Von Hanno Böck

  1. Erneuerbare Energien Wasserstoff-Megaprojekt in Australien ausgebremst
  2. Klimakrise Grüner Wasserstoff für die Gas-Therme
  3. Wasserstoff Kawasaki stellt ersten Wasserstofftanker fertig

Rückschau E3 2021: Galaktisch gute Spiele-Aussichten
Rückschau E3 2021
Galaktisch gute Spiele-Aussichten

E3 2021 Es hat sich selten wie eine E3 angefühlt - dennoch haben Spiele- und Hardware-Ankündigungen Spaß gemacht. Meine persönlichen Highlights.
Von Peter Steinlechner

  1. Xbox Microsoft mit Trailern, Terminen und Top Gun