1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › TLS: Netgear verteilt private…

Ich kann nachvollziehen, wieso Netgear das gemacht hat...

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. Ich kann nachvollziehen, wieso Netgear das gemacht hat...

    Autor: mifritscher 20.01.20 - 19:57

    .. nämlich weil die beiden großen Browserhersteller (Google und Mozilla) immer arroganter werden. Die nehmen überhaupt keine Rücksicht darauf, dass Browser durchaus auch in rein lokalen Umgebungen verwendet werden, und machen es willkürlich immer umständlicher. Ohne das (ziemlich löchrige, nebenbei bemerkt) CA-System wird man in 2 Jahren vermutlich nichtmal mehr statisches html im Browser lesen dürfen, oder dass zwischen jeder Zeile 10 Zeilen Warnungen kommen, die man explizit wegklicken muss.

    Das was Netgear da fabriziert hat war meines Erachtens eine Verzweiflungstat. Das wird wohl auch einer der Gründe sein, wieso immer mehr Geräte (u.a. auch Webcams) keine Weboberfläche mehr haben, sondern auf eigene Apps oder was cloudbasierendes setzen - beides sicherheitstechnisch regelmäßig noch viel schlimmer. Google ist das wohl auch eher nur recht so, das will ja am liebsten alles im öffentlichen Internet sehen.

    Dabei gäbe es so einige pragmatische Ansätze das Problem gründlich zu lösen. Beispielsweise kann man jedem Router sein eigenes selbstsigniertes Zert geben, desen Fingerabdruck auf dem Gerät abgedruckt wird (passiert heute schon mit Passwörtern etc., also machbar). Dieses Zert wird normal verwendet, hat aber noch ein Flag für "ist ein Gerät, dessen Fingerabdruck vom User ablesbar ist". Beim ersten Verbindungsaufbau wird der dann dem User gezeigt, der den dann mit dem Abdruck auf dem Gerät abgleichen muss. Wenn man unbedingt "allesabnicker" bremsen will kann man ja dem User dazu zwingen, dass er z.B. Ziffern 4-8 eingeben muss. Der Browser speichert dann intern, dass das Zertifikat bestätigt wurde - und verwendet das für genau diese IP und Hostname. Ganz ehrlich, dieser Validierung würde ich sogar um einiges mehr vertrauen als dem allseits bekanntem CA System.



    1 mal bearbeitet, zuletzt am 20.01.20 20:14 durch mifritscher.

  2. Re: Ich kann nachvollziehen, wieso Netgear das gemacht hat...

    Autor: Hotohori 20.01.20 - 20:12

    Interessante Sichtweise, das kann ich so auch nachvollziehen.

  3. Re: Ich kann nachvollziehen, wieso Netgear das gemacht hat...

    Autor: konglumerat 20.01.20 - 20:15

    sicher ist das ca-system absurd, da soll man firmen, institutionen etc. vertrauen deren struktur und organisation ... personen man nicht ansatzweise kennt ... mit einem wort undurchsichtig bzw. nicht vertrauenswürdig und wirklich haften tun die merkwürdiger weise auch nie egal wie schlecht sie verkacken, ist so wie microsoft oder adobe zu vertrauen ... völliger bullshit ...

    nur hast Du eine andere lösung auf lager die die leute kaufen würden?



    1 mal bearbeitet, zuletzt am 20.01.20 20:27 durch konglumerat.

  4. Re: Ich kann nachvollziehen, wieso Netgear das gemacht hat...

    Autor: treysis 20.01.20 - 20:32

    mifritscher schrieb:
    --------------------------------------------------------------------------------
    > .. nämlich weil die beiden großen Browserhersteller (Google und Mozilla)
    > immer arroganter werden. Die nehmen überhaupt keine Rücksicht darauf, dass
    > Browser durchaus auch in rein lokalen Umgebungen verwendet werden, und
    > machen es willkürlich immer umständlicher. Ohne das (ziemlich löchrige,
    > nebenbei bemerkt) CA-System wird man in 2 Jahren vermutlich nichtmal mehr
    > statisches html im Browser lesen dürfen, oder dass zwischen jeder Zeile 10
    > Zeilen Warnungen kommen, die man explizit wegklicken muss.
    >
    > Das was Netgear da fabriziert hat war meines Erachtens eine
    > Verzweiflungstat. Das wird wohl auch einer der Gründe sein, wieso immer
    > mehr Geräte (u.a. auch Webcams) keine Weboberfläche mehr haben, sondern auf
    > eigene Apps oder was cloudbasierendes setzen - beides sicherheitstechnisch
    > regelmäßig noch viel schlimmer. Google ist das wohl auch eher nur recht so,
    > das will ja am liebsten alles im öffentlichen Internet sehen.
    >
    > Dabei gäbe es so einige pragmatische Ansätze das Problem gründlich zu
    > lösen. Beispielsweise kann man jedem Router sein eigenes selbstsigniertes
    > Zert geben, desen Fingerabdruck auf dem Gerät abgedruckt wird (passiert
    > heute schon mit Passwörtern etc., also machbar). Dieses Zert wird normal
    > verwendet, hat aber noch ein Flag für "ist ein Gerät, dessen Fingerabdruck
    > vom User ablesbar ist". Beim ersten Verbindungsaufbau wird der dann dem
    > User gezeigt, der den dann mit dem Abdruck auf dem Gerät abgleichen muss.
    > Wenn man unbedingt "allesabnicker" bremsen will kann man ja dem User dazu
    > zwingen, dass er z.B. Ziffern 4-8 eingeben muss. Der Browser speichert dann
    > intern, dass das Zertifikat bestätigt wurde - und verwendet das für genau
    > diese IP und Hostname. Ganz ehrlich, dieser Validierung würde ich sogar um
    > einiges mehr vertrauen als dem allseits bekanntem CA System.

    Oder einfach die Zertifikatswarnung bei Verbindungen ins lokale Netz im Browser nicht mehr anzeigen. Eigentlich sollten die Browser das so machen.

  5. Re: Ich kann nachvollziehen, wieso Netgear das gemacht hat...

    Autor: LoopBack 20.01.20 - 20:46

    mifritscher schrieb:
    --------------------------------------------------------------------------------
    > Dabei gäbe es so einige pragmatische Ansätze das Problem gründlich zu
    > lösen. Beispielsweise kann man jedem Router sein eigenes selbstsigniertes
    > Zert geben, desen Fingerabdruck auf dem Gerät abgedruckt wird (passiert
    > heute schon mit Passwörtern etc., also machbar). Dieses Zert wird normal
    > verwendet, hat aber noch ein Flag für "ist ein Gerät, dessen Fingerabdruck
    > vom User ablesbar ist". Beim ersten Verbindungsaufbau wird der dann dem
    > User gezeigt, der den dann mit dem Abdruck auf dem Gerät abgleichen muss.

    Es gibt sicher eine Menge theoretische Lösungsansätze. Man könnte sogar gleich eine Lösung bauen wo ein 8-stelliger code auf dem Router als Authentifizierung für *beide* genutzt wird (also als Ersatz für das Passwort zur Authentifizierung des Nutzers und als Ersatz für die CA zur Authentifizierung des Routers). Davon würde dann wahrscheinlich sogar Sicherheit der Router profitieren.

    Meiner Auffassung nach sind aber die Router-Hersteller auch gar nicht an guten Lösungen interessiert. Wer sowas wie Netgear hier baut, macht ja alles nur noch schlimmer. Solange es gute Gründe gibt nicht-CA-basierte Zertifikate zu benutzen, werden Browser dafür irgendeine Unterstützung anbieten. Browser-Hersteller haben nämlich auch kein Interesse daran, dass Nutzer einen anderen Browser zur Konfiguration des Routers benutzen müssen (weil der gewünschte Browser entweder blockiert oder unnötig viele Warnungen anzeigt). Die Router-Hersteller meinen aber, dass sie das Problem lieber im Alleingang lösen, statt einen gemeinsamen Standard aufzubauen - und das funktioniert eben nicht.

    Der ganze Unfug mit den Domains für das Router-Web-Interface verringert ja auch nur die Sicherheit. Woher soll der Nutzer (oder der Browser) denn wissen ob hinter einer solcher Domain ein lokales Gerät sein sollte? Bei einer lokalen IP-Adresse ist das viel eindeutiger.

  6. Re: Ich kann nachvollziehen, wieso Netgear das gemacht hat...

    Autor: mifritscher 20.01.20 - 21:16

    Die Unterstützung seitens der Browserhersteller ist schlicht nicht vorhanden. Und das Problem ist jetzt nicht eben neu. Eigene CAs oder (viel sinnvoller) Zertifikate in einen Browser zu laden ist keinem Normalo zuzumuten. Die Domain ist halt viel benutzerfreundlicher, und das wird mit meinem Ansatz gleich mitgefixt. Geschickter wäre natürlich dafür den .local Bereich zu verwenden.

  7. Re: Ich kann nachvollziehen, wieso Netgear das gemacht hat...

    Autor: tirox 20.01.20 - 21:16

    LoopBack schrieb:
    --------------------------------------------------------------------------------
    > mifritscher schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Dabei gäbe es so einige pragmatische Ansätze das Problem gründlich zu
    > > lösen. Beispielsweise kann man jedem Router sein eigenes
    > selbstsigniertes
    > > Zert geben, desen Fingerabdruck auf dem Gerät abgedruckt wird (passiert
    > > heute schon mit Passwörtern etc., also machbar). Dieses Zert wird normal
    > > verwendet, hat aber noch ein Flag für "ist ein Gerät, dessen
    > Fingerabdruck
    > > vom User ablesbar ist". Beim ersten Verbindungsaufbau wird der dann dem
    > > User gezeigt, der den dann mit dem Abdruck auf dem Gerät abgleichen
    > muss.
    >
    > Es gibt sicher eine Menge theoretische Lösungsansätze. Man könnte sogar
    > gleich eine Lösung bauen wo ein 8-stelliger code auf dem Router als
    > Authentifizierung für *beide* genutzt wird (also als Ersatz für das
    > Passwort zur Authentifizierung des Nutzers und als Ersatz für die CA zur
    > Authentifizierung des Routers). Davon würde dann wahrscheinlich sogar
    > Sicherheit der Router profitieren.
    >
    > Meiner Auffassung nach sind aber die Router-Hersteller auch gar nicht an
    > guten Lösungen interessiert. Wer sowas wie Netgear hier baut, macht ja
    > alles nur noch schlimmer. Solange es gute Gründe gibt nicht-CA-basierte
    > Zertifikate zu benutzen, werden Browser dafür irgendeine Unterstützung
    > anbieten. Browser-Hersteller haben nämlich auch kein Interesse daran, dass
    > Nutzer einen anderen Browser zur Konfiguration des Routers benutzen müssen
    > (weil der gewünschte Browser entweder blockiert oder unnötig viele
    > Warnungen anzeigt). Die Router-Hersteller meinen aber, dass sie das Problem
    > lieber im Alleingang lösen, statt einen gemeinsamen Standard aufzubauen -
    > und das funktioniert eben nicht.
    >
    > Der ganze Unfug mit den Domains für das Router-Web-Interface verringert ja
    > auch nur die Sicherheit. Woher soll der Nutzer (oder der Browser) denn
    > wissen ob hinter einer solcher Domain ein lokales Gerät sein sollte? Bei
    > einer lokalen IP-Adresse ist das viel eindeutiger.

    ^ this

    Unterm Strich hat man sich einfach gescheut damit näher auseinanderzusetzen. Warum auch - die Mehrheit der Kunden die Netgear Produkte kaufen, ist das vermutlich auch nach der Meldung der Sicherheitslücke egal.

    Habe von Netgear noch nie hohe Standards gesehen, außer bei der Wahl der Hardware, Anzahl der Antennen und aussehen.

  8. Re: Ich kann nachvollziehen, wieso Netgear das gemacht hat...

    Autor: thymythos 20.01.20 - 22:23

    Gibt durchaus Arbeitsgruppen, die daran arbeiten, das zu standardisieren: (Leider darf ich keine Links posten) www:w3:org/ community/ httpslocal/

  9. Re: Ich kann nachvollziehen, wieso Netgear das gemacht hat...

    Autor: Eheran 20.01.20 - 23:35

    >Die Domain ist halt viel benutzerfreundlicher
    Ob man eine völlig unbekannte Domain oder IP eingibt ist doch quasi identisch? Beide werden vom 0815 Nutzer vom Papier abgetippt. Und dann gibts noch die, die auch das nicht selbst können und der Techniker es machen muss. Aber ob man nun eine Zeichenfolge oder Zahlenfolge abtippt... das spielt keine Rolle.

  10. Re: Ich kann nachvollziehen, wieso Netgear das gemacht hat...

    Autor: wupme 20.01.20 - 23:41

    > egal wie schlecht sie verkacken, ist so wie microsoft oder adobe zu
    > vertrauen ... völliger bullshit ...

    *gähn*

  11. Re: Ich kann nachvollziehen, wieso Netgear das gemacht hat...

    Autor: wupme 20.01.20 - 23:43

    > Unterm Strich hat man sich einfach gescheut damit näher
    > auseinanderzusetzen.

    Du hast also eine Lösung für die du demnächst ein Whitepaper erstellen wirst parat die Ottonormaluser anwenden kann ohne irgendetwas extra installieren zu müssen?

  12. Re: Ich kann nachvollziehen, wieso Netgear das gemacht hat...

    Autor: Schattenwerk 21.01.20 - 01:36

    Es gibt Intranet-Anwendungen wo ich dennoch ein valides Zertifikat haben möchte, wenn auch nur von einer eigenen CA.

    Und dann will ich sehr wohl eine Warnmeldung für unbedarfte Nutzer, wenn sich hier intern jmd. einen "Spaß" erlaubt.

  13. Re: Ich kann nachvollziehen, wieso Netgear das gemacht hat...

    Autor: Astorek 21.01.20 - 07:36

    Eheran schrieb:
    --------------------------------------------------------------------------------
    > >Die Domain ist halt viel benutzerfreundlicher
    > Ob man eine völlig unbekannte Domain oder IP eingibt ist doch quasi identisch?

    Bleibt trotzdem meist benutzerfreundlicher, erst recht wenn Router unterschiedliche IP-Adressen haben. Fritzboxen haben bspw. die Angewohnheit, mal eine 2er-IP (192.168.2...), mal eine 1er-IP und gelegentlich mal eine 178er-IP zu haben je nach Modell, aber alle sind idR. unter der Domain "fritz.box" erreichbar. Nimm dann noch den Telefonsupport mit, wo du vom Nutzer nicht erwarten kannst, dass dieser ein CMD-Fenster öffnet und das Standard-Gateway nach Eingabe von "ipconfig" absucht, schon hast du ein wenig Zeit und Nerven gespart...

  14. Re: Ich kann nachvollziehen, wieso Netgear das gemacht hat...

    Autor: Eheran 21.01.20 - 07:57

    Das ist auch wieder ein hausgemachtes Problem der Hersteller. Was soll mich das kümmern, dass die es nicht gebacken bekommen, immer die selbe IP zu nutzen? Vergleichbar mit der Taste um ins BIOS oder in den Bootloader zu kommen. Warum sind das so viele unterschiedliche ihr dämlichen Hersteller?

  15. Re: Ich kann nachvollziehen, wieso Netgear das gemacht hat...

    Autor: forenuser 21.01.20 - 08:45

    Schattenwerk schrieb:
    --------------------------------------------------------------------------------
    > Es gibt Intranet-Anwendungen wo ich dennoch ein valides Zertifikat haben
    > möchte, wenn auch nur von einer eigenen CA.
    >
    > Und dann will ich sehr wohl eine Warnmeldung für unbedarfte Nutzer, wenn
    > sich hier intern jmd. einen "Spaß" erlaubt.

    Der "unbedarfte" Nutzer ist mit all diesen Meldungen von Computer, Mob.-Tel., Apps und Webseiten eher vollkommen überfordert und klickt schlussendlich alles nur noch weg.

    --
    Für Computerforen: Ich nutze RISC OS - und wünsch' es bleibt auch so.
    Für Mob.-Tel.-Foren: Ich nutze <del>Windows 10 Mobile</del> iOS - und bin froh, dass es kein Android ist. Aber es ist leider auch kein Windows 10 Mobile oder gar webOS.

  16. Re: Ich kann nachvollziehen, wieso Netgear das gemacht hat...

    Autor: ibsi 21.01.20 - 08:50

    Nicht das ich das schon einmal gesehen habe (ich kenne von der FritzBox nur 192.168.178.X).

    Die Box hat leider nur irgendwann ein Problem, wenn jemand die Domain .box kauft ;)

  17. Re: Ich kann nachvollziehen, wieso Netgear das gemacht hat...

    Autor: Silent_GSG9 21.01.20 - 09:22

    @Astorek @Eheran
    Beide liegt ihr falsch.
    Wenn die Fritzbox OHNE Branding kommt ist es imer 192.168.0.1. Erst wenn ein Branding im Spiel ist (192.168.178 müsste 1und1 sein) weichen die IP Einstellungen ab. Somit ist das ein Problem der Provider und nicht des Herstellers .....



    1 mal bearbeitet, zuletzt am 21.01.20 09:23 durch Silent_GSG9.

  18. Re: Ich kann nachvollziehen, wieso Netgear das gemacht hat...

    Autor: forenuser 21.01.20 - 09:33

    Vielleicht sollte man dem "Ottonormaluser" etwas mehr Wissen rund um das Thema Internet/Netzwerk abverlangen...

    Ich rede nicht von Ingenieurwissenschaften sondern den Grundlagen.
    Ein KFZ darf man doch auch nicht ohne Kenntnisse führen - und einen "Internetführerschein" fordere ich gar nicht mal sonder das was man im Straßenverkehr jedem Teilnehmer abverlangen kann - und muss.

    --
    Für Computerforen: Ich nutze RISC OS - und wünsch' es bleibt auch so.
    Für Mob.-Tel.-Foren: Ich nutze <del>Windows 10 Mobile</del> iOS - und bin froh, dass es kein Android ist. Aber es ist leider auch kein Windows 10 Mobile oder gar webOS.

  19. Re: Ich kann nachvollziehen, wieso Netgear das gemacht hat...

    Autor: Elmenhorster 21.01.20 - 12:50

    Silent_GSG9 schrieb:
    --------------------------------------------------------------------------------
    > @Astorek @Eheran
    > Beide liegt ihr falsch.
    > Wenn die Fritzbox OHNE Branding kommt ist es imer 192.168.0.1. Erst wenn
    > ein Branding im Spiel ist (192.168.178 müsste 1und1 sein) weichen die IP
    > Einstellungen ab. Somit ist das ein Problem der Provider und nicht des
    > Herstellers .....

    Kann auch nicht sein. Hab eine Fritzbox fürs Kabelnetz ohne Branding (6591) und diese hat auch das 178er Netz,

  20. Re: Ich kann nachvollziehen, wieso Netgear das gemacht hat...

    Autor: forenuser 21.01.20 - 13:48

    Alles, was mir als Fritz!Box in die Finger gekommen, war 192.168.178.1 - ohne Ausnahme.

    --
    Für Computerforen: Ich nutze RISC OS - und wünsch' es bleibt auch so.
    Für Mob.-Tel.-Foren: Ich nutze <del>Windows 10 Mobile</del> iOS - und bin froh, dass es kein Android ist. Aber es ist leider auch kein Windows 10 Mobile oder gar webOS.

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Greenpeace e.V., Hamburg
  2. Deloitte, Düsseldorf, Frankfurt am Main
  3. Diehl Stiftung & Co. KG, Nürnberg
  4. Matoki GmbH, Weiterstadt

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. RU7099 70 Zoll (178 cm) für 729,90€ (Vergleich 838€), RU7179 75 Zoll (189 cm) für 889...
  2. (Arthouse Cnma, RTL Crime, StarzPlay jeweils 3 Monate für 0,99€/Monat)
  3. 649,00€ (Vergleichspreise ab 718,99€)
  4. (aktuell u. a. MSI Optik MAG271CP Gaming-Monitor für 279,00€, Corsair Gaming Void Pro 7.1...


Haben wir etwas übersehen?

E-Mail an news@golem.de


Nasa: Boeing umging Sicherheitsprozeduren bei Starliner
Nasa
Boeing umging Sicherheitsprozeduren bei Starliner

Vergessene Tabelleneinträge, fehlende Zeitabfragen und störende Mobilfunksignale sollen ursächlich für die Probleme beim Testflug des Starliner-Raumschiffs gewesen sein. Das seien aber nur Symptome des Zusammenbruchs der Sicherheitsprozeduren in der Softwareentwicklung von Boeing. Parallelen zur Boeing 737 MAX werden deutlich.
Von Frank Wunderlich-Pfeiffer

  1. Nasa Boeings Starliner hatte noch einen schweren Softwarefehler
  2. Boeing 777x Jungfernflug für das größte zweistrahlige Verkehrsflugzeug
  3. Boeing 2019 wurden mehr Flugzeuge storniert als bestellt

Kommunikation per Ultraschall: Nicht hörbar, nicht sichtbar, nicht sicher
Kommunikation per Ultraschall
Nicht hörbar, nicht sichtbar, nicht sicher

Nachdem Ultraschall-Beacons vor einigen Jahren einen eher schlechten Ruf erlangten, zeichnen sich mittlerweile auch einige sinnvolle Anwendungen ab. Das größte Problem der Technik bleibt aber bestehen: Sie ist einfach, ungeregelt und sehr anfällig für Missbrauch.
Eine Analyse von Mike Wobker


    Frauen in der Technik: Von wegen keine Vorbilder!
    Frauen in der Technik
    Von wegen keine Vorbilder!

    Technik, also auch Computertechnik, war schon immer ein männlich dominiertes Feld. Das heißt aber nicht, dass es in der Geschichte keine bedeutenden Programmiererinnen gab. Besonders das Militär zeigte reges Interesse an den Fähigkeiten von Frauen.
    Von Valerie Lux

    1. Arbeit Warum anderswo mehr Frauen IT-Berufe ergreifen
    2. Arbeit Was IT-Recruiting von der Bundesliga lernen kann
    3. Arbeit Wer ein Helfersyndrom hat, ist im IT-Support richtig

    1. SpaceX: Falcon 9 scheitert am Versuch der 50. Landung
      SpaceX
      Falcon 9 scheitert am Versuch der 50. Landung

      Das Jubiläum fiel buchstäblich ins Wasser. Nach dem Start von 60 weiteren Starlink-Satelliten tat die erste Raketenstufe, was bei anderen Raketen normal ist: Sie landete im Meer.

    2. Microsoft: WSL2 könnte von Windows-Updates getrennt verteilt werden
      Microsoft
      WSL2 könnte von Windows-Updates getrennt verteilt werden

      Neuerungen für das Windows Subsystem für Linux (WSL) gibt es bisher nur mit großen Updates für Windows selbst. Dank der Architektur des neuen WSL2 könnte sich dies aber bald ändern, was einige Nutzer fordern.

    3. Luftfahrt: DLR-Forscher entwerfen elektrisches Regionalflugzeug
      Luftfahrt
      DLR-Forscher entwerfen elektrisches Regionalflugzeug

      Noch können hybrid-elektrische Regionalflugzeuge nicht mit konventionell angetriebenen Flugzeugen konkurrieren. Das wird sich aber ändern. Forscher des DLR und des Vereins Bauhaus Luftfahrt arbeiten bereits am Elektroflugzeug der Zukunft.


    1. 18:11

    2. 17:00

    3. 16:46

    4. 16:22

    5. 14:35

    6. 14:20

    7. 13:05

    8. 12:23