1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › TLS: Netgear verteilt private…

Was gibt es als Alternative?

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. Was gibt es als Alternative?

    Autor: MarcusK 20.01.20 - 17:21

    Wie könnte man es dann richtig machen?

    kein https verwenden
    - Browser meckern rum

    https mit selbst generierten Zertifikat
    - Browser meckern rum

    Eventuell ist es doch nicht sinnvoll überall Verschlüsselung zu fordern, eventuell sollte man über ausnahmen im Lokalen Netz nachdenken.

  2. Re: Was gibt es als Alternative?

    Autor: Arsenal 20.01.20 - 17:31

    IP Adresse eingeben.

  3. Re: Was gibt es als Alternative?

    Autor: MarcusK 20.01.20 - 17:32

    Arsenal schrieb:
    --------------------------------------------------------------------------------
    > IP Adresse eingeben.

    Was hat IP mit https oder ohne https zu tun?

    Das Problem bleibt doch das gleiche.

  4. Re: Was gibt es als Alternative?

    Autor: tom.stein 20.01.20 - 17:34

    MarcusK schrieb:
    --------------------------------------------------------------------------------
    > Wie könnte man es dann richtig machen?
    >
    > kein https verwenden
    > - Browser meckern rum
    >
    > https mit selbst generierten Zertifikat
    > - Browser meckern rum
    >
    > Eventuell ist es doch nicht sinnvoll überall Verschlüsselung zu fordern,
    > eventuell sollte man über ausnahmen im Lokalen Netz nachdenken.

    Nicht nur da. *Ich* als Benutzer *muss* entscheiden dürfen, was ich für gut halte - nach angemessener Warnung. Wenn ich eine Webseite wie http://tomstein.de (Warnung: Eigenwerbung ohne kommerzielle Interessen) ohne Verschlüsselung benutze, dann ist eine Warnung angemessen - aber mehr auch nicht. Denn ich bestimmt, welche Informationen ich dort abgebe (keine, die Site hat keinen Speicher dafür) und was man dadurch von mir erfährt (wow, offenbar habe ich mal ein Haus gebaut und interessiere mich um Themen rund ums bauen). Und bloß weil nun jemand neben der Domain auch noch unverschlüsselt sieht, welche Webseiten ich anfordere - das kann ich verkraften.

    Wenn ein Browser wie Chrome unter Apples IOS meint, das explizit ausgewählte Kennwort für die hausinterne(!) Webeite "https://fritz.box" möchte er aus Sicherheitsgründen trotzdem nicht einsetzen, dann hat der eine Vollmeise: Ich habe das Kennwort extra mit Daumenabdruck erlaubt, weil ich die Sicherheit meines hausinternen Routers kenne und meinem Router vertraue (sonst hätte ich noch ganz andere Probleme als das Passwort).

    Tom

  5. Re: Was gibt es als Alternative?

    Autor: Arsenal 20.01.20 - 17:44

    Naja wenn ich eine IP eingebe, bin ich mir ziemlich sicher, dass ich auch auf meinem Router lande. Dann kann der einfach kein Zertifikat haben, dann wird oben "unsicher" angezeigt aber ich hab keine riesen Fehlerpage über ein Zertifikat dem nicht vertraut werden kann.

    Mir sind die Routerdomains etwas suspekt.

  6. Re: Was gibt es als Alternative?

    Autor: Sandeeh 20.01.20 - 17:45

    Let'sEncrypt Zertifikat bei Ersteinrichtung - so wie das Synology bei DSM macht: vollkommen transparent für den Benutzer! :-)

    Grüße, Sandeeh

  7. Re: Was gibt es als Alternative?

    Autor: MarcusK 20.01.20 - 17:48

    Arsenal schrieb:
    --------------------------------------------------------------------------------
    > Naja wenn ich eine IP eingebe, bin ich mir ziemlich sicher, dass ich auch
    > auf meinem Router lande. Dann kann der einfach kein Zertifikat haben, dann
    > wird oben "unsicher" angezeigt aber ich hab keine riesen Fehlerpage über
    > ein Zertifikat dem nicht vertraut werden kann.

    wenn du https davor schreibst, hast du genauso ein Zertifikat am Hals.
    Ob nun Name oder IP - beides lässt sich im Netzt von einem Bösen fälschen.

    > Mir sind die Routerdomains etwas suspekt.
    Bei einen Gerät mag das ja gehen, versuche mal 2 Speedports im selbst Netz anzusprechen.

    Es löst aber das Problem mit dem Browser-Warnungen nicht

  8. Re: Was gibt es als Alternative?

    Autor: zacha 20.01.20 - 17:52

    Zertifikat/CA bei der Ersteinrichtung generieren und Nutzer auffordern, fortan Zertifikat zu vertrauen. Alternativ Nutzer/Admin Zertifikat hinterlegen lassen. Ist halt ein bissel Hazzle beim Verteilen des Zertifikats im LAN. Aber die Frage ist dabei, ob das überhaupt relevant ist, denn welcher Nutzerkreis muss denn auf das Web-Interface des Routers zugreifen. Der private Key muss halt in jedem Fall geheim bleiben. Gegen self signed ist ja prinzipiell nix einzuwenden. Mann muss halt nur den Trust anderweitig sicherstellen.

  9. Re: Was gibt es als Alternative?

    Autor: Der_aKKe 20.01.20 - 17:52

    Boooah bloss nicht. Was soll der Otto Normalverbraucher denn mit lets encrypt und "ich besuche jetzt die unsichere Seite, weil ich weiss was ich tue" (Hilfe meine Internet ist gehackt) anfangen?

  10. Re: Was gibt es als Alternative?

    Autor: MarcusK 20.01.20 - 17:57

    zacha schrieb:
    --------------------------------------------------------------------------------
    > Zertifikat/CA bei der Ersteinrichtung generieren und Nutzer auffordern,
    > fortan Zertifikat zu vertrauen. Alternativ Nutzer/Admin Zertifikat
    > hinterlegen lassen. Ist halt ein bissel Hazzle beim Verteilen des
    > Zertifikats im LAN. Aber die Frage ist dabei, ob das überhaupt relevant
    > ist, denn welcher Nutzerkreis muss denn auf das Web-Interface des Routers
    > zugreifen. Der private Key muss halt in jedem Fall geheim bleiben. Gegen
    > self signed ist ja prinzipiell nix einzuwenden. Mann muss halt nur den
    > Trust anderweitig sicherstellen.

    Dann versuche das mit einen IPhone.

    Selbst Android nervt aller paar tage das ich selbst erstelle Zertifikat habe - das nervt.

  11. Re: Was gibt es als Alternative?

    Autor: zacha 20.01.20 - 18:08

    Naja ob es nervt, war nicht die Frage. Normalerweise würde man die CA halt zentral zB per MDM verteilen. Mir erschließt sich aber noch nicht ganz, warum man alle paar Tage seinen Router von einem iPhone aus verwalten muss. Machbar ist es dennoch. Du musst halt jedes Mal das Zertifikat akzeptieren und vorher den Fingerprint manuell prüfen, wenn Du die CA nicht installiert bekommst. Der Fehler liegt doch hier aber beim iPhone. Warum soll es dem Nutzer nicht möglich sein, seinen eigenen CAs oder aber zumindest einzelnen Zertifikaten zu vertrauen. Hier liegt der Fehler darin, anzunehmen, dass es sicherer wäre, dem Testat eines Dritten zu vertrauen, als sich selbst.



    1 mal bearbeitet, zuletzt am 20.01.20 18:13 durch zacha.

  12. Re: Was gibt es als Alternative?

    Autor: zacha 20.01.20 - 18:31

    Aber Gehirn ausschalten und sicher geht halt nicht zusammen. Wie soll denn irgendein Dritter Deinem Router bescheinigen, Dein Router zu sein, ohne dass er das auch prüft. Das muss doch jedem klar sein, dass das nicht funktionieren kann.

  13. Re: Was gibt es als Alternative?

    Autor: robinx999 20.01.20 - 18:34

    Sandeeh schrieb:
    --------------------------------------------------------------------------------
    > Let'sEncrypt Zertifikat bei Ersteinrichtung - so wie das Synology bei DSM
    > macht: vollkommen transparent für den Benutzer! :-)
    >
    > Grüße, Sandeeh

    Funktioniert zwar, bietet AVM bei der Fritzbox ja auch an, macht es für den Benutzer aber natürlich lästiger weil es dann nicht nur eine kurze Domain ist, sondern mindestens eine subdomain benötigt wird, über die man zugreift

  14. Re: Was gibt es als Alternative?

    Autor: MarcusK 20.01.20 - 18:42

    zacha schrieb:
    --------------------------------------------------------------------------------
    > Aber Gehirn ausschalten und sicher geht halt nicht zusammen. Wie soll denn
    > irgendein Dritter Deinem Router bescheinigen, Dein Router zu sein, ohne
    > dass er das auch prüft. Das muss doch jedem klar sein, dass das nicht
    > funktionieren kann.

    Eventuell will man es ja gar nicht so sicher - da würde einfach http - ohne s reichen und alles ist gut.
    Leute zu zwingend irgendwelche Meldungen zu akzeptieren führt nur dazu, das sie es beim nächsten Banking genauso machen.

  15. Re: Was gibt es als Alternative?

    Autor: kollege 20.01.20 - 19:45

    Was du auf der Seite hast ist egal, wenn die Inhalte via mitm-Angriff beliebig austauschbar sind. Hast du keine Eingaben, werden diese einfach "geschaffen".

  16. Re: Was gibt es als Alternative?

    Autor: tom.stein 20.01.20 - 20:33

    robinx999 schrieb:
    --------------------------------------------------------------------------------
    > Sandeeh schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Let'sEncrypt Zertifikat bei Ersteinrichtung - so wie das Synology bei
    > DSM
    > > macht: vollkommen transparent für den Benutzer! :-)

    Genau, das Zertifikat gibt es frühestens NACH der Ersteinrichtung.
    Und es gibt kein Zertifikat ohne Außenverbindung - so einen Router will man aber vielleicht ohne Cloud und ohne externe Verbindung einrichten und warten.
    Und es gibt kein Zertifikat für "fritz.box", sondern nur für "nx23er90ucsnj723zuedjnh27892hbd.myfritz.de". Viel Spaß beim eintippen.

    Tom

  17. Re: Was gibt es als Alternative?

    Autor: mifritscher 20.01.20 - 21:18

    Einen Ansatz habe ich unter https://forum.golem.de/kommentare/security/tls-netgear-verteilt-private-schluessel-in-firmware/ich-kann-nachvollziehen-wieso-netgear-das-gemacht-hat.../132048,5575135,5575135,read.html#msg-5575135 skizziert.

  18. Re: Was gibt es als Alternative?

    Autor: Eheran 20.01.20 - 23:36

    >Ob nun Name oder IP - beides lässt sich im Netzt von einem Bösen fälschen.
    Wie fälscht man denn eine lokale IP?

  19. Re: Was gibt es als Alternative?

    Autor: wupme 20.01.20 - 23:49

    zacha schrieb:
    --------------------------------------------------------------------------------
    > Naja ob es nervt, war nicht die Frage.

    Doch das ist die Frage. Der Ottonormaluser möchte nicht ständig davon belästigt werden.

    > Normalerweise würde man die CA halt zentral zB per MDM verteilen.

    Wir reden weiter von Normalusern. In einer Firma hat man oft eh eine interne CA die man dann auch ein Zertifikat für den router signen lassen könnte. Darum geht es aber nicht.

    > Mir erschließt sich aber noch nicht ganz,
    > warum man alle paar Tage seinen Router von einem iPhone aus verwalten muss.

    Weil manche zB. in die Telefonliste schauen wollen, die Heimrouter können mehr als nur routing.
    Außerdem hat nicht jeder einen PC Zuhause.

    > Machbar ist es dennoch. Du musst halt jedes Mal das Zertifikat akzeptieren
    > und vorher den Fingerprint manuell prüfen, wenn Du die CA nicht installiert
    > bekommst.

    Ist weiterhin nervig und user eher dazu gegen Zertifikatswarnungen abzustumpfen.

    > Der Fehler liegt doch hier aber beim iPhone. Warum soll es dem
    > Nutzer nicht möglich sein, seinen eigenen CAs oder aber zumindest einzelnen
    > Zertifikaten zu vertrauen. Hier liegt der Fehler darin, anzunehmen, dass es
    > sicherer wäre, dem Testat eines Dritten zu vertrauen, als sich selbst.

    Endlich hast du das Problem verstanden. Die Browser sind das Problem!

  20. Re: Was gibt es als Alternative?

    Autor: robinx999 21.01.20 - 07:51

    Eheran schrieb:
    --------------------------------------------------------------------------------
    > >Ob nun Name oder IP - beides lässt sich im Netzt von einem Bösen fälschen.
    >
    > Wie fälscht man denn eine lokale IP?

    Mit ARP Spoofing durchaus machbar setzt allerdings einen PC oder zumindest eine laufende VM innerhalb des Netzwerkes vorraus
    https://de.wikipedia.org/wiki/ARP-Spoofing

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Europ Assistance, München
  2. Sky Deutschland GmbH, Unterföhring bei München
  3. unimed Abrechnungsservice für Kliniken und Chefärzte GmbH, Wadern
  4. DIEBOLD NIXDORF, Ilmenau

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de


Haben wir etwas übersehen?

E-Mail an news@golem.de


Alphakanal: Gimp verrät Geheimnisse in Bildern
Alphakanal
Gimp verrät Geheimnisse in Bildern

Wer in Gimp in einem Bild mit Transparenz Bildbereiche löscht, der macht sie nur durchsichtig. Dieses wenig intuitive Verhalten kann dazu führen, dass Nutzer ungewollt Geheimnisse preisgeben.


    Login-Dienste: Wer von der Klarnamenpflicht profitieren könnte
    Login-Dienste
    Wer von der Klarnamenpflicht profitieren könnte

    Immer wieder bringen Politiker einen Klarnamenzwang oder eine Identifizierungspflicht für Nutzer im Internet ins Spiel. Doch welche Anbieter könnten von dieser Pflicht am ehesten einen Vorteil erzielen?
    Eine Analyse von Friedhelm Greis

    1. Europäische Netzpolitik Die Rückkehr des Axel Voss
    2. Mitgliederentscheid Netzpolitikerin Esken wird SPD-Chefin
    3. Nach schwerer Krankheit FDP-Netzpolitiker Jimmy Schulz gestorben

    Videostreaming: Was an Prime Video und Netflix nervt
    Videostreaming
    Was an Prime Video und Netflix nervt

    Eine ständig anders sortierte Watchlist, ein automatisch startender Stream oder fehlende Markierungen für Aboinhalte: Oft sind es nur Kleinigkeiten, die den Spaß am Streaming vermiesen - eine Hassliste.
    Ein IMHO von Ingo Pakalski

    1. Dispatch Open-Source-Krisenmanagement à la Netflix
    2. Videostreaming Netflix integriert Top-10-Listen für Filme und TV-Serien
    3. WhatsOnFlix Smartphone-App für bessere Verwaltung der Netflix-Inhalte

    1. Trotz Software-Problemen: VW hält an Terminplan für den ID.3-Start fest
      Trotz Software-Problemen
      VW hält an Terminplan für den ID.3-Start fest

      Angeblich finden Tester täglich Hunderte Fehler in der Software des VW-Elektroautos ID.3. Liegt das am neuen Betriebssystem VW.OS? Doch der Konzern will den Verkaufsstart des Autos nicht verschieben.

    2. Fusion mit Ericsson: Nokia soll zum Verkauf stehen
      Fusion mit Ericsson
      Nokia soll zum Verkauf stehen

      Nokia hat offenbar erhebliche finanzielle Probleme und prüft einen Zusammenschluss mit einem Konkurrenten wie Ericsson. In der Debatte um eine angebliche Bedrohung durch Huawei wirft das Fragen auf.

    3. Blizzard: Von der Maussteuerung bis zur Monsterfamilie in Diablo 4
      Blizzard
      Von der Maussteuerung bis zur Monsterfamilie in Diablo 4

      In Diablo 4 können Spieler auf der linken Maustaste das Angreifen und Bewegen trennen. Gleichzeitig hat Blizzard weitere geplante Änderungen vorgestellt - und eine kannibalistische Monsterfamilie.


    1. 14:02

    2. 13:44

    3. 13:20

    4. 13:03

    5. 12:28

    6. 12:01

    7. 11:52

    8. 11:46