eTLS oder wenn man-in-the-middle zum Securitystandard erklärt werden soll

Re(7): eTLS oder wenn man-in-the-middle zum Securitystandard erklärt werden soll

thE — Tue, 05 Mar 2019 16:15:25 GMT

deiner antivirensoftware/Endpoint security lösung ?

Geht genauso wenig verschlüsselter Traffic was an, wie irgendwelchen Geheimdiensten..

Arbeitest du bei einem Anti-Viren Hersteller, welcher Root-Zertifkate einspielt oder verschlüsselte Pakete öffnet und verpfuscht neu signiert? Deine Antworten hören sich nämlich so an..

Und tut mir Leid, aber "Terroristen" finden so kreative Wege, dass die beste Verschlüsselung nix bringt. Schickens halt wieder Briefe.

Re: eTLS oder wenn man-in-the-middle zum Securitystandard erklärt werden soll

Lazy Jones — Fri, 01 Mar 2019 14:18:09 GMT

https://www.heise.de/newsticker/meldung/Europaeische-Standards-Organisation-warnt-USA-vor-TLS-1-3-4324155.html

Ein Wahnsinn, diese nordkoreanischen Sicherheitsexperten, äh, EU-Normierungsorganisationen mit dem Segen des EU-Zentralkommitees...

Re(9): eTLS oder wenn man-in-the-middle zum Securitystandard erklärt werden soll

Fly — Fri, 18 Jan 2019 09:24:24 GMT

Du hast mich persönlich gefragt was bei mir zuhause sein wird, also hab ich Dir geantwortet.

Re(8): eTLS oder wenn man-in-the-middle zum Securitystandard erklärt werden soll

Desolationrob — Fri, 18 Jan 2019 09:21:20 GMT

es mag dir erschreckend vorkommen, aber es gibt so 1,2 user außer dir geben die auf anderen Systemen arbeiten

Re(7): eTLS oder wenn man-in-the-middle zum Securitystandard erklärt werden soll

Fly — Thu, 17 Jan 2019 15:58:04 GMT

Sobald's für Linux mal brauchbare Viren gibt die aus meiner Sandbox rauskommen reden wir drüber, ok?

Re(6): eTLS oder wenn man-in-the-middle zum Securitystandard erklärt werden soll

Desolationrob — Thu, 17 Jan 2019 13:53:25 GMT

was ist mi dir zuhause ? deiner antivirensoftware/Endpoint security lösung ? wann soll die den Inhalt prüfen, wenn der Inhalt schon ausgeführt wird oder vielleicht doch lieber schon vorher ?

Re(12): eTLS oder wenn man-in-the-middle zum Securitystandard erklärt werden soll

Desolationrob — Thu, 17 Jan 2019 13:52:14 GMT

gut, der Brief ist ein versiegelter Behälter...und du bekomst ihn nicht privat, du bekommst ihn als Angestellter in die Firma....wie schauts dann aus ?

Re(5): eTLS oder wenn man-in-the-middle zum Securitystandard erklärt werden soll

Fly — Thu, 17 Jan 2019 13:03:06 GMT

Dann gibt's dafür eine einfache Lösung, alle Firmen können gern die unsichere MITM-bare Variante einsetzen und wer tatsächlich Sicherheit braucht kann ja die echte verwenden.

It's just so win-win...

Re(11): eTLS oder wenn man-in-the-middle zum Securitystandard erklärt werden soll

mko — Thu, 17 Jan 2019 11:43:22 GMT

doch tust du, du willst einerseits Schutz für deine Daten, lehnst aber eine
Komponente die dafür nötig sein könnte ist komplett ab.

Natürlich will ich Sicherheit für meine Daten, aber nicht auf Kosten der Sicherheit von Datenübertragungen. Wenn es eine andere Möglichkeit gibt, wunderbar. Wenn nicht, Pech gehabt.

Und es gibt genügend Fälle, da kannst dir die Grundrechte (wo genau wurde da
von wem genau festgehalten das eine verschlüsselte Verbindung jeglicher Art
nur zwischen Sender und Empfänger sein darf?) schenken.

Das ist ja das traurige.
Übrigens: https://dejure.org/gesetze/MRK/8.html
Leider sind da in Artikel 2 einige Ausnahmen definiert, die beliebig auslegbar sind.

Um es in die physische Welt zu übertragen, du bekommst eine Briefbombe, darfst
die dann auch nur du aufmachen weils ja an dich adressiert ist ? Oder wenns eh
nur Anthrax is ? Gibt ja schließlich ein Briefgeheimnis.

Das ist nicht genau vergleichbar, denn einen Brief kann ich auf Sprengstoff oder Anthrax überprüfen ohne ihn zu öffnen oder dessen Inhalt zu erfahren. Das ist bei einer Netzwerkübertragung so nicht möglich, würde ich sagen. Aber im Zweifel lebe ich lieber mit dem Risiko eine Briefbombe oder Anthrax zu bekommen. Genauso wie ich lieber mit dem Risiko leben würde, dass mein Flugzeug explodiert, als dass ich diese Pseudo-Sicherheitsüberprüfungen über mich ergehen lasse.

Re(10): eTLS oder wenn man-in-the-middle zum Securitystandard erklärt werden soll

Desolationrob — Thu, 17 Jan 2019 11:26:40 GMT

doch tust du, du willst einerseits Schutz für deine Daten, lehnst aber eine Komponente die dafür nötig sein könnte ist komplett ab.

Und es gibt genügend Fälle, da kannst dir die Grundrechte (wo genau wurde da von wem genau festgehalten das eine verschlüsselte Verbindung jeglicher Art nur zwischen Sender und Empfänger sein darf?) schenken.
Um es in die physische Welt zu übertragen, du bekommst eine Briefbombe, darfst die dann auch nur du aufmachen weils ja an dich adressiert ist ? Oder wenns eh nur Anthrax is ? Gibt ja schließlich ein Briefgeheimnis.

Re(9): eTLS oder wenn man-in-the-middle zum Securitystandard erklärt werden soll

mko — Thu, 17 Jan 2019 11:20:17 GMT

dann widersprichst du dir ja nur selbst.

Nein tue ich nicht. Entweder es gibt eine andere Lösung oder eben nicht.

Was ich mir einreden lasse, ist das TLS MITM für den User transparent
geschieht

Besser als nichts.

wenn man mit der gleichen Technik Anschläge auf tausende Leute verhindert

Ich bin trotzdem dagegen, das ist für mich ein Eingriff in die Grundrechte und Privatsphäre von Menschen, der durch nichts gerechtfertigt werden kann.

Re(8): eTLS oder wenn man-in-the-middle zum Securitystandard erklärt werden soll

Desolationrob — Thu, 17 Jan 2019 10:17:29 GMT

dann widersprichst du dir ja nur selbst.

Mir wäre keine andere Möglichkeit bekannt als die die es jetzt schon gibt bzw. zur Diskussion stehen. Was ich mir einreden lasse, ist das TLS MITM für den User transparent geschieht, also im Sinn von er weiß das es passiert, nicht das es unbemerkt passiert.

Ja, mir wurde eine CA untergeschoben der ich vertraue, JA mir ist bewusst das dann https://schmoo.ru eventuell nicht am Ziel entpackt wird und mein Securitykiste schauen kann was da passiert.

genau das was man aktuell eben so tut, nur leider oft nicht wirklich transparent

Halt dann bled mit pinning und co, aber das nutzen eh net viele

Die Diskussion kann man auch anders führen, wen interessiert schon dein geleakter Gesundheitsakt wenn man mit der gleichen Technik Anschläge auf tausende Leute verhindert wurde ? Das sind Dinge die mit Technik erst mal nix zu tun haben

Re(7): eTLS oder wenn man-in-the-middle zum Securitystandard erklärt werden soll

mko — Thu, 17 Jan 2019 09:39:48 GMT

dann fehlt dir der nötige Weitblick.

Dasselbe kann ich von dir behaupten. Unsichere Verschlüsselung bzw. Verschlüsselung "mit Backdoor" ist durch nichts zu rechtfertigen und wird uns (oder irgendjemandem) früher oder später sehr hart auf den Kopf fallen.

Für deine Securitybedenken muss und kann man andere Lösungen finden.

Ich nenne nur mal die tausenden PCs bei irgendwelchen Arztpraxen, da lagern
unzählige, sensible Daten elektronisch und werden auch haufenweise versendet
und empfangen.

Abgesehen davon, dass Datensicherheit in üblichen Arztpraxen (leider) wohl keine Rolle spielt, habe ich auch kein Interesse, dass der Staat oder wer auch immer meine Gesundheitsdaten hat.

Re(6): eTLS oder wenn man-in-the-middle zum Securitystandard erklärt werden soll

Desolationrob — Thu, 17 Jan 2019 09:22:05 GMT

dann fehlt dir der nötige Weitblick.

Ich nenne nur mal die tausenden PCs bei irgendwelchen Arztpraxen, da lagern unzählige, sensible Daten elektronisch und werden auch haufenweise versendet und empfangen. Wäre es nicht gscheit, verehr der da hin und her geht, auch über Securitylösungen laufen zu lassen die verhindern das man sich schön TLS gesichert die Malware dort runterlädt die dann wiederum schön TLS gesichert diese Daten durch die Weltgeschichte schickt ?
Beispiele wie dieses gibt es unzählige, es ist nicht einfach nur das pöhse Regierungsregime und die kapitalistischen Schweinefirmen die sehen wollen was du auf GH postest, also krasses aus der Luft gegriffenes Beispiel.

Re(5): eTLS oder wenn man-in-the-middle zum Securitystandard erklärt werden soll

mko — Thu, 17 Jan 2019 09:04:31 GMT

doch natürlich, oder wie soll zB in einer Firma dann DLP oder sandboxing
gemacht werden ?

Das könnte man dann halt nicht zentral machen, eine sichere Verschlüsselung ist m.E. wichtiger als Interessen von Firmen.

Re(4): eTLS oder wenn man-in-the-middle zum Securitystandard erklärt werden soll

Desolationrob — Thu, 17 Jan 2019 08:57:51 GMT

doch natürlich, oder wie soll zB in einer Firma dann DLP oder sandboxing gemacht werden ? Das muss dann alles am Client, dort wo es womöglich schon zu spät ist, dem die Puste dabei ausgeht, der leichter kompromitierbar ist usw usf

Re(3): eTLS oder wenn man-in-the-middle zum Securitystandard erklärt werden soll

mko — Thu, 17 Jan 2019 08:55:33 GMT

auf der anderen müsste man Security und eben auch Überwachungsfunktionen
direkt auf die beteiligten Endpunkte bekommen was relativ schwierig ist

Nein müsste man nicht...verschlüsselt soll verschlüsselt bleiben und nicht überwacht oder geprüft werden.

Re(2): eTLS oder wenn man-in-the-middle zum Securitystandard erklärt werden soll

Desolationrob — Thu, 17 Jan 2019 08:20:13 GMT

das sollte machbar sein. Das Problem ist allerdings hier kein technisches, ich kann beide Seiten nachvollziehen. Auf der einen Seite soll sich der User auf die Verschlüsselung und Authentizität verlassen können, auf der anderen müsste man Security und eben auch Überwachungsfunktionen direkt auf die beteiligten Endpunkte bekommen was relativ schwierig ist.

Wer sich durchsetzt ist offen, wie im Nachsatz erwähnt, gibt es Möglichkeiten Dienstanbieter zwangs zu verpflichten oder sie müssen den Markt verlassen.

Re: eTLS oder wenn man-in-the-middle zum Securitystandard erklärt werden soll

mko — Wed, 16 Jan 2019 20:49:34 GMT

Kann man das dann im Browser blockieren?

Re: eTLS oder wenn man-in-the-middle zum Securitystandard erklärt werden soll

Fly — Wed, 16 Jan 2019 20:02:52 GMT

Es muss wohl wirklich erst mal was passieren bis unsere Halbhirne in der Politik schnallen dass es "Government Only" Backdoors nicht gibt.

eTLS oder wenn man-in-the-middle zum Securitystandard erklärt werden soll

zeddicus — Wed, 16 Jan 2019 19:17:10 GMT

Lesenswerter Artikel der das Ganze ein wenig 'dumbed down' erläutert:
https://fm4.orf.at/stories/2958984/