Lufthansa entdeckt E-Mail für ihre Mitarbeiter - zunächst für die Passage-Mitarbeiter
- Starter*in rcs
- Datum Start
ANZEIGE
@peter42
Meine Preisauslobung bezieht sich auf einen klar definierten Fall:
Client/Server Zertifikate selbst erstellt, mit eigener CA.
Könntest Du oder alle anderen "ich habe mal in einem Newsletter gelesen" Vertreter darauf eingehen?
SSL als TLS (transport layer security) ist sicher und Du und die anderen Trolls haben noch nicht bewiesen das es nicht so ist. Kaum verwunderlich, könnten sie es beweisen würden sie nicht hier nach Meilen gieren ....
Das Umfeld war definiert ... deine Inet Anbindung, mein Laptop, mein Server auf den ich zugreiffe.
Magst Du die Stakes erhöhen? Bitte um Angebote!
Und nein, nur weil im Enterprise Umfeld sich Admins nicht an RFCs und Regeln halten, ggf. sogar gegen bestimmenden Gesetze handeln .... Das gibt Dir eben kein Recht.
Meine Preisauslobung bezieht sich auf einen klar definierten Fall:
Client/Server Zertifikate selbst erstellt, mit eigener CA.
Könntest Du oder alle anderen "ich habe mal in einem Newsletter gelesen" Vertreter darauf eingehen?
SSL als TLS (transport layer security) ist sicher und Du und die anderen Trolls haben noch nicht bewiesen das es nicht so ist. Kaum verwunderlich, könnten sie es beweisen würden sie nicht hier nach Meilen gieren ....
Das Umfeld war definiert ... deine Inet Anbindung, mein Laptop, mein Server auf den ich zugreiffe.
Magst Du die Stakes erhöhen? Bitte um Angebote!
Und nein, nur weil im Enterprise Umfeld sich Admins nicht an RFCs und Regeln halten, ggf. sogar gegen bestimmenden Gesetze handeln .... Das gibt Dir eben kein Recht.
Moderiert:
Ehrlich gesagt verstehe ich Eure Diskussion nicht - im Prinzip sagt Ihr doch beide das Gleiche:
- OHNE Zugriff auf den Client zu haben (um ihm die CA des SSL-Proxys als vertrauenswürdig "unterzujubeln") sind SSL-Verbindungen am Proxy nicht mitlesbar - wäre es so wäre ja das komplette SSL ad absurdum geführt
- MIT Zugriff auf den Client sind sie -ohne dass es 99% der User bemerken würden- mitlesbar. Dies ist technisch problemlos machbar, ABER in D rechtlich äußerst problematisch.
Der von User anwe im vorherigen Post definierte Fall ist nicht mitlesbar - Punkt.
Warum man das aber nicht mit einer Wortwahl ausdiskutieren kann wie man sie auch bei einer realen Unterhaltung anwenden würde ist mir ein Rätsel - aber im Internet leider immer wieder festzustellen ...
- OHNE Zugriff auf den Client zu haben (um ihm die CA des SSL-Proxys als vertrauenswürdig "unterzujubeln") sind SSL-Verbindungen am Proxy nicht mitlesbar - wäre es so wäre ja das komplette SSL ad absurdum geführt
- MIT Zugriff auf den Client sind sie -ohne dass es 99% der User bemerken würden- mitlesbar. Dies ist technisch problemlos machbar, ABER in D rechtlich äußerst problematisch.
Der von User anwe im vorherigen Post definierte Fall ist nicht mitlesbar - Punkt.
Warum man das aber nicht mit einer Wortwahl ausdiskutieren kann wie man sie auch bei einer realen Unterhaltung anwenden würde ist mir ein Rätsel - aber im Internet leider immer wieder festzustellen ...
Ich finde es geht hier immer mehr unter die Guertellinie.... ebenso ist die Diskussion mittlerweile wohl obsolet.
Was denken die Mod's ?
Was denken die Mod's ?
Ich redete immer vom Enterpriseumfeld mit zentral verwalteten Clients - eigene CA und eigene Zertifikate habe ich nachgewiesen - Dein Laptop spielt keine Rolle (und würde eh nicht ins Netz kommen). Genau diesen Fall habe ich bewiesen!
Ansonsten ist es bei rein dienstlicher Nutzung natürlich legal und ebenso natürlich mit dem BR per BV abgeschlossen. Zu den rechtlichen Aspekten siehe z.B. http://www.datenschutz.hessen.de/download.php?download_ID=177&download_now=1 .
Zum Thema Erfahrung mit dem Thema habe ich hier http://www.vielfliegertreff.de/luft...uer-die-passage-mitarbeiter-6.html#post371469 schon genug geschrieben.
Die persönlichen Angriffe bitte ich künftig zu unterlassen, da ich auch sachlich argumentiere.
Moderiert:
Welcher User macht das und noch vielmehr welcher versteht es? Sollte der Browser keine Fehlermeldung ausgibt ist der User glücklich - immerhin warnen die neueren FF/IE deutlich besser vor ungültigen Zertifikaten, aber in mienem Szenario ist es ja eben nicht ungültig.
Die Bemerkungen unter der Gürtellinie befinden sich in der Box.
anwe möge zu einer sachlichen Diskussion zurückfinden, die peter42 trotz der herausfordernden Bemerkungen sinnvoll weitergeführt hat.
Die Fehlermeldungen sind aber immer noch endlos kryptisch. Da steht ja nicht im Klartext auf rotem Hintergrund "Obacht, hier gibts ein fieses Sicherheitsproblem", so wie es bei Phishing-Seiten inzwischen angezeigt wird. Kein Mensch weiß, was ein Zertifikat ist. Die Leute wollen eine Site aufrufen, es kommt ein merkwürdiges Pop-up und natürlich wird dann auf "OK" geklickt, weil man ja auf diese Site will.
Verschlimmert wird das Ganze noch durch an sich legitime, bekannte Webseiten, die ihre SSL-Konfiguration nicht im Griff haben und daher die gleichen Pop-ups hervorrufen (z.B. lufthansa.com vor einiger Zeit: Fehlermeldung, das Cert ist nur für lufthansa.de gültig; das gleiche gabs bei hotmail.com und irgendeine Google-Seite hat auch lustig Fehlermeldungen erzeugt).
Ich wollte die Diskussion über Sinn und Unsinn von transparenten Proxies nicht schon vor zwei Wochen starten. Meiner Meinung nach sind ettercap & Co trotz Cert-Fehlermeldung vollkommen ausreichend, um ein paar hundert SSL-Sessions pro Tag an einem öffentlichen Hotspot zu belauschen. Da mögen die SSL-Gralshüter noch so aufjaulen, es ist die elende Realität: Unverständliche Fehlermeldung = Klick auf "OK", nicht auf "Abbrechen".
Das einzige, was ich in diesem Thread zuletzt verstanden habe, waren die Beleidigungen.
Insofern bin ich hin- und hergerissen.
Einerseits sind Beleidigungen doof.
Andererseits ist es toll, endlich mal wieder ein paar Sätze zu lesen, die man versteht.
Sollte es einen Mod geben, der in den zahlreichen Seiten dieses Threads irgendeinen Sinn oder gar ein Thema entdeckt, kann er ihn gerne bearbeiten. Ich kann es leider nicht, für mich ist das Thema ungefähr so sinnvoll wie 10 Seiten zufällig erzeugte Zeichen. Ich könnte den Thread aber schließen, wenn das gewünscht wird.
Das einzige, was ich in diesem Thread zuletzt verstanden habe, waren die Beleidigungen.
Insofern bin ich hin- und hergerissen.
Einerseits sind Beleidigungen doof.
Andererseits ist es toll, endlich mal wieder ein paar Sätze zu lesen, die man versteht.
Sollte es einen Mod geben, der in den zahlreichen Seiten dieses Threads irgendeinen Sinn oder gar ein Thema entdeckt, kann er ihn gerne bearbeiten. Ich kann es leider nicht, für mich ist das Thema ungefähr so sinnvoll wie 10 Seiten zufällig erzeugte Zeichen. Ich könnte den Thread aber schließen, wenn das gewünscht wird.
§$%&/(UIJKNHbGVFRT%&/UIJKNHbVGFRTZ&/uIKJNBGTZUIJKNBVGzUIUZ/T&FGVHbHIJ7(&%RTDCFGVHBzTRE%&$STRXDz/&FDTZCGVbHJKNIU7(&5&T(%$§"!QW$E%&T/8)=?)(/&%$ER8)=?(/&%$E§W%RuI=gzFTDCXCVHBNJKI7tFZRDGbHJUI7(&T%fTZGhuJI7(&TfThuIJ7(&TfTGZuIJ7&T%&T(&%$§"!Q541252562152§$%&/()=)(/&%$%&/()=(/&%&/()IUJHGFRTGzHJMKNBgHJKLIJUZHGbNMJHGBNMJKUHGBNJMHGVBNJIUHgzTbHUJZGTFVBHJUIZgHNJIUHzHGTFzH&T%R$EDSCFVGT%REDFCVGzHTGFRGVBHJUZGTbHNJIUgHBNHJIUZgHBNJKIUZgBHNJUIZgHBNHJIUZgHBNJIUZgHBNHJUIZHGHbJUzHGTVBHJUZgTVBHZgTFVBHUZgTFRDECFVGTFDRES"!§$%&/(/&%$§$%&/()(/&%$§%&/()IOKJHGFDGHUJZGTHJUIHgVBHNJMKIUHbNJMKIJUHgzVBHJNHZGTfRDEF%$E§W"Q§$%&/()=)IUZTREDFCVGBNHJUIKUz6t%R$E§DRFTGZHUJI6T%R$T&Z9(/&T%
Ich bitte "unter die Gürtellinie gehende Kommentare" zu entschuldigen.
Ich habe eine Menge Arbeit im Alltagsgeschäft und als junger Familienvater ist es eine Herausforderung wissentschaftliche Ergebnisse neben dem normalen Job und der Familie zu liefern.
Oder so
Ok, sollte ich zu weit gegangen sein, Sorry, und diesmal wirklich ein Ernst gemeintes.
Ich wiederhole mich:
Das Thema um das es ging war die Transportsicherheit (vergleiche OSI-Modell – Wikipedia ).
Niemand konnte belegen das SSL/TLS unsicher ist. Die angeführten Argumente beziehen sich auf einen Eingriff in die Integrität des Clients (namentlich falsche Zertifikate akzeptieren).
Ich bleibe bei der Aussage:
Niemand konnte bisher einen Beweis führen das SSL/TLS unsicher ist.
Mein Angebot steht nach wie vor.
Sollte jemand der Meinung sein einen gegenteiligen Beweis führen zu können, mag er das hier tuen.
Aber bitte eine PN an mich, da ich in diesen Thread nicht mehr schauen werde, aus naheliegenden Gründen.
T
tosc
Guest
Es ist genauso sicher oder unsicher, wir andere Protokolle oder Protokollerweiterungen auch. 100% Sicherheit gibt es nicht, darauf zu wetten oder "Angebote" zu machen ist unseriös. Vergleiche z.B. Debian -- Security - es ist ja nicht so, als hätte es nicht bereits die ein oder andere Schwachstelle im Design gegeben.
Schwachstellen im Design sind nie ausschließen, siehe mein Kommentar zu Sichereitslücken bei der CA.
Das kann bei opensource (siehe ssh/ssl) oder auch bei closed source = win, mac vorkommen.
Aber darum geht es hier nicht wirklich.
SSL/TLS wird von allen Systemen verwendet.
Es geht um die Möglichkeit diesen Traffic abzufangen und zu entschlüsseln.
Und diese Option gibt es in einem sauber administriertem Netz nicht.
Und deswegen steht mein Angebot immer noch - schon alleine weil ich den "Beweis" (so er denn stichhatig ist) für ein 100 faches weiterverkaufen könnte.
Kriege ich jetzt einen Preis: Schwache Krypto-Schlüssel unter Debian, Ubuntu und Co. | heise Security
Damals waren über einen Zeitraum von rund zwei Jahren sämtliche openSSL Installationen potentiell unsicher, weil die Zufallszahl zur Generierung des Keys vorhersagbar war. Und man glaubt es kaum, selbst drei Jahre nach Bekanntwerden der Schwachstelle (und der Verfügbarkeit von Patches) finden sich immer noch reichlich Installationen mit der fehlerhaften SSL-Keygenerierung. Angesichts der Innovatonsgeschwindigkeit der besten IT der Welt würde ich daher nicht davon sicher ausgehen, dass diese eine solche Schwachstelle, wenn sie existiert hat, nach nur drei Jahren schon behoben hat...
Viele Grüße - Dirk
Dann haben wir wohl aneinander vorbei diskutiert.
Mir ging es eben um solchen Lösungen, die in Firmen eingesetzt werden und dort dank Softwareverteilung eben transparent sind und recht häufig im Einsatz sind.
Wenn Du eine suchst, die ohne zumindestens einmalige Fehlermeldung/Eingriff in den Client auskommt, dann ist mir eine solche nicht bekannt.
Darum gings mir auch von Beginn an... Aber selbst die Funktion der von mir erwähnten Produkte wurde ja bezweifelt.
siehe pn ...
ein fehler in der umseztung ist kein fehler im design.
ausser du beweisst das der absichtlich eingeschmuggelt wurde
(was ich nicht für unwahrscheinlich halte, aber dann würdest du hier nicht schreiben )Zumindestens SSL V2 ist(wenn noch aktiv) angreifbar.
Siehe z.B.: On SSL 2 and older protocols - GnuTLS 2.10.5
Siehe z.B.: On SSL 2 and older protocols - GnuTLS 2.10.5
Und hier noch eine Lösung zum Tunnel checken (ohne Verteilung von Zertifikaten): ufdbGuard, a URL filter for Squid | URLfilterDB
Spätestens hier hättest Du Deine Wette verloren: Trustwave verkaufte Man-in-the-Middle-Zertifikat | heise Security
Hatte ich schon gesehen, aber:
Sorry, Du hast es immer noch nicht verstanden:
Ich setze meine eigene CA auf und erstelle mein eigenes Zertifikat.
Da kann verkauft, durch die Backdoor angefragt oder gehackt (aktuell ist es Verisign die kleinere *hust* Einbrüche hatte) werden -> Es interessiert mich schlicht nicht, da niemand ausser mir im Besitz des CA keys ist. Und ohne den ist nichts mit hacken, verkaufen oder was weiss ich.
ANZEIGE
![300x250]()
Du meinst Du hast alle Root-CAs aus Deinem Browser rausgeschmissen?
Wie gehst Du dann ohne Warnung z.B. auf die LH-Buchungsseite?
Es ging darum, dass der Zugriff auf https-Seiten durch solche Aktionen mitlesbar wird!