1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › Netzverschlüsselung: Mythen…

ja, macht mit eurem Aktionismus nur Alles kaputt

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema


  1. ja, macht mit eurem Aktionismus nur Alles kaputt

    Autor: mawa 16.12.14 - 16:23

    Insbesondere der Betrieb von Proxys in Firmen mit schwachem Internetanschluss wird darunter leiden, wenn jeder Honk spon, heise und golem nur noch mit http läd.

    Der erste Schritt wird sein, dass die private Nutzung des Internets in der Firma untersagt wird. Danach werden halt unnötige Seiten wie spontan oder vollem gesperrt. Zum Schluß wird es dann soweit kommen, dass man https mittels man in the middel aufbricht und dem Proxy zuführt. Das dafür notwendige Stammzertifikat wird mittels GPO verteilt und keiner wird das direkt mit bekommen. Das ist bei AV für Mails schon Gang und gebe und wird es für die Zukunft auch für Webtrafic werden.

    Also überlegt euch zweimal, ob ihr wirklich jeden Müll mittels https anrufen wollt. Ich teste bereits privat entsprechend entwickelten Proxy und die Nachfrage von Kunden ist definitiv da.

  2. Re: ja, macht mit eurem Aktionismus nur Alles kaputt

    Autor: cware 16.12.14 - 16:32

    Entsprechende Proxies gibt es schon eine ganze Weile - werden bisher halt eher von Tyranneistaaten eingesetzt, nicht wahr?

    Ich persönlich finde es im Gegensatz sogar gut, dass die ganzen hauseigenen Caches damit obsolet werden. Vielleicht fangen die Unternehmen ja dann endlich mal an, sich bei ihrem Netzanbieter über die viel zu geringe Anbindung zu beschweren, statt in die Internetkommunikation der Arbeitnehmer einzugreifen.

  3. Re: ja, macht mit eurem Aktionismus nur Alles kaputt

    Autor: mawa 16.12.14 - 16:43

    Ah, du meinst also wirklich, das eine Firma bei einem entsprechenden Angebot nicht sofort wechseln würde und gerne viel Geld in die "Beschleunigung" des Internetzuganges steckt. Es gibt für diese Firmen keinen anderen Anschluss, es gibt Gewerbegebiete, die mit 1000/6000 oder weniger zurechtkommen müssen und kein Provider will das ändern.

    Zum zweiten hat der Arbeitnehmer kein Recht auf die private Nutzung des dienstlichen Internetanschlusses. Daher kann der Arbeitgeber da machen was er will. Es wird einfach eine dienstliches Verbot für die private Nutzung ausgesprochen und der Proxy mittels Betriebsvereinbarung legalisiert.

    Und die Technik ist wirklich nicht neu, ich kenne diese aus größeren Firmen, wo der ganze Traffic damit über AV-Systeme getunnelt wird. Im Grunde kann mir die gesamte Entwicklung nur recht sein, bringt neue Kunden und bindet alte Kunden.

  4. Re: ja, macht mit eurem Aktionismus nur Alles kaputt

    Autor: hab (Golem.de) 16.12.14 - 16:51

    Über diese Man-in-the-Middle-Proxies haben wir in einem anderen Thread schon diskutiert:
    https://forum.golem.de/kommentare/security/netzverschluesselung-mythen-ueber-https/http-nutzt-doch-gar-kein-udp-warum-ist-nur-https-sicher/88693,3991915,3991915,read.html#msg-3991915

    Dass Antivirenprogramme Man-in-the-Middle-Angriffe durchführen ist ziemlich fragwürdig. Es ist aber zu hoffen dass das eh nicht mehr lange funktioniert, wenn sich Key Pinning durchsetzt.

  5. Re: ja, macht mit eurem Aktionismus nur Alles kaputt

    Autor: mawa 16.12.14 - 17:21

    Ich habe leider noch keine Zeit gehabt den von dir verlinkten Thread zu lesen, werde das aber später nachholen.

    Key-Pinnig ist uninteressant. Das betrifft nur Apps und Dienste mit festen Servern und weniger Websites und co. Für diese und den Browser Browser sind nur die Stammzertifikate interessant und diese kann ich mittels GPO in einer Firmenumgebung ausrollen. Das dann eventuell irgendwelche Apps nicht mehr funktionieren wird dann halt hingenommen oder mittels WL behoben.

    Auch das absichern der Keys mitteln DNS bringt nichts. In der Firma hat der Admin die Authorität über das DNS und der kann genauso Proxy spielen und bei Bedarf die eigenen Keys bei entsprechenden Anfragen ausliefern. Damit wird sogar die Signatur von Domänen und Sites im DNS obsolet. Zugegeben, diese Technik ist noch nicht ganz so weit, aber auch daran wird gearbeitet.

    Bei den Virenscanner schaut euch doch mal GDATA an. dieser hat einen Button zum exportieren des Stammzertifikates, das man dann in sein Mailclient oder auf seinen Rechner installieren soll. Anders ist es dem AV halt nicht möglich, in den smtp und imap Verkehr reinzuschauen. Das ganze ist auch erst gekommen, nachdem alle Dienste nur noch verschlüsselte Verbindungen zugelassen haben. Vorher war das wohl weniger relevant und es wurden alt die Mails unverschlüsselt ausgetauscht.

    Verstehe mich bitte nicht falsch, ich bin ein großer Freund von Verschlüsselung und auch ssl/tls. Überall dort wo man sich anmelden muss oder persönliche Daten austauscht soll man verschlüsseln. Das gilt aber nicht für den Abruf von Allerweltsseiten wie Spon, golem, Heise, Tagesschau, etc. Wenn jeder jetzt wie gefordert nur noch Abrufe mittels https zulässt, geht der Schuss nach hinten los. Daher bin ich dafür, dort zu verschlüsseln wo es notwendig wird.

    Und um das Problem noch einmal etwas deutlicher zu machen, ich kenne Kunden, da wird der HTTP/HTTPS Verkehr mittels Trafficshaping reguliert. HTTP hat da meistens 50% und https 20% Bandbreite zugewiesen. der Rest wird auf andere Dienste verteilt. Das zieht zwar nur, wenn die Leitung ausgelastet ist. Zeigt aber wo dort die Probleme liegen. Dadurch das HTTP noch einen Cacheproxy nachgeschaltet hat, sind diese Seiten deutlich schneller als mit HTTPS, werbefrei und AV-geprüft sind diese noch obendrein. Schnellere Anschlüsse sind nicht verfügbar, teilweise noch nicht einmal zum Businesstarif.

  6. Re: ja, macht mit eurem Aktionismus nur Alles kaputt

    Autor: gammagaffer 16.12.14 - 20:35

    > Der erste Schritt wird sein, dass die private Nutzung des Internets in der
    > Firma untersagt wird.

    Die ist doch sowieso bald obsolet, wo nun jeder mit eigener mobile flat und i{Phone,Pad} rumläuft. Der Dienst-PC ist lediglich bequemer.

  1. Thema

Neues Thema


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Projektmanager (m/w/d)
    piazza blu 2 GmbH, Köln
  2. Data Engineer / Software-Ingenieur / Informatiker (m/w/d) Automatisierungstechnik / Container-Terminals
    Konecranes GmbH, Düsseldorf
  3. Softwareentwickler*in für Radardatenverarbeitung (w/m/d)
    Hensoldt, Ulm
  4. IT Servicetechniker (w/m/d) Remote Support
    Bechtle Onsite Services GmbH, Chemnitz, Neckarsulm

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (u. a. Switch Sports für 39,99€, Chocobo GP für 26,09€)
  2. (u. a. Little Big Workshop für 9,99€, One Hand Clapping für 11€, Port Royale 4 - Extended...
  3. 30,49€
  4. 47,49€


Haben wir etwas übersehen?

E-Mail an news@golem.de