Kommentar: RE: 20200710 Provider sollen Geheimdiensten Zugriff geben

HTTPS, ok. Aber Mail beispielsweise ist meist mit nicht-verifizierbaren Keys/Zertifikaten zwischen Store-and-Forward-Servern "gesichert" (und, da "transportverschlüsselt", nicht auf dem Server), wenn sich da jemand als MITM in die Verbindung einklinkt, merkt das niemand. Bis alle MTAsmit authentisierten Zertifikaten arbeiten, werden noch viele Jahre vergehen.

J., 10.07.2020 11:00

RE: 20200710 Provider sollen Geheimdiensten Zugriff geben

Achtung Nachtrag: https://blog.filippo.io/the-sad-state-of-smtp-encryption/

J., 10.07.2020 11:28

RE: 20200710 Provider sollen Geheimdiensten Zugriff geben

Bzgl. https wäre ich nicht sicher, dass es viel bringt, und zwar deswegen, weil wenige Leute https-everywhere mit "Encrypt all Sites Eligible on" nutzen.
Vermutlich geht es bei diesen ganzen Manipulationen in erster Linie um Handys (also android und iOS). Praktisch sollen die Behörden bestimmen, was auf dem Handy installiert ist und nicht der Benutzer. Alle Daten (auch die, die erst entstehen werden) sollen im Endeffekt den Behörden gehören, nicht dem Benutzer.

Ic., 10.07.2020 14:00

RE: 20200710 Provider sollen Geheimdiensten Zugriff geben

Das ist genau das Problem - der Browser aber nicht. Oder noch nie vorgekommen, dass eine https-Webseite plötzlich als "unsecure" http-Verbindung angezeigt wird? Passiert mir komischerweise oft. Ohne dieses add-on kann "in the middle" viel einfacher manipuliert werden.

Ic., 10.07.2020 15:02

RE: 20200710 Provider sollen Geheimdiensten Zugriff geben

https everywhere ist glücklicherweise obsolet, seit die wichtigen Websites alle automatisch http nach https erzwingen.

Ic., 10.07.2020 14:52

RE: 20200710 Provider sollen Geheimdiensten Zugriff geben

Viel schlimmer ist ja, dass die genau den Ansatz mit Software machen wollen wie sie es jetzt mit dem Chatsystem gemacht haben. Ein Fake Update den Leuten unterschieben

Ch., 10.07.2020 15:52

RE: 20200710 Provider sollen Geheimdiensten Zugriff geben

Ist aber die Verbindung http, läuft sie grundsätzlich ohne add-on im Browser genauso. Der Browser ist auch mit http zufrieden, wenn aus irgendeinem Grund https nicht klappt. Bei https Foren, Suchmaschinen, etc. blockt manchmal https everywhere und zeigt die Seiten als http an (und irgendwann funktionieren sie dann normal wieder). @Christoph S Da man aber die Kontrolle über den ganzen Internetverkehr bekommt, wird es theoretisch mit minimalem Aufwand möglich sein, sämtliche Geräte, für die die Trojaner geschaffen sind (also sicherlich android, iOS, bei UBports, Sailfish bin ich mir nicht sicher), auf einmal zu infizieren. Allein etwas aus dem Playstore installieren - und der Trojaner ist schon da. Oder in dem Artikel steht auch, dass bereits ein Webseitenbesuch ausreicht. Man denkt in der Tat an Chinesische Verhältnisse...

Ic., 10.07.2020 16:38

RE: 20200710 Provider sollen Geheimdiensten Zugriff geben

Der Browser ist auch mit http zufrieden, wenn aus irgendeinem Grund https nicht klappt.
Der Browser bekommt aber außer einem 3xx gar nichts via http geliefert, gar nichts.

So.,10.07.2020 16:43

RE: 20200710 Provider sollen Geheimdiensten Zugriff geben

Oder meinst du mixed content? Manche Seiten haben SSL/TLS schlecht umgesetzt und Werbung oder Bilder wird über http ausgeliefert

Ch., 10.07.2020 17:17

RE: 20200710 Provider sollen Geheimdiensten Zugriff geben

Nee, mixed content meine ich nicht. Wenn die Seite/Server möglicherweise nicht das ist, was man besuchen will (wofür die Meldung des add-ons schon ein deutlicher Anhaltspunkt ist), wie sicher ist dann der Rest einer solchen Verbindung? Https sollte vor Abfangen und Manipulieren schützen, es wird geprüft, das mit dem Zertifikat alles in Ordnung ist. Https Seiten wie searx Instanzen, die sonst normal funktionieren, werden hin und wieder geblockt und als http Verbindung angezeigt. Aus welchem Grund auch immer. Ohne https everywhere würde der Browser die Verbindung normal aufbauen.

Ic., 10.07.2020 17:39

RE: 20200710 Provider sollen Geheimdiensten Zugriff geben

Https Seiten wie searx Instanzen, die sonst normal funktionieren, werden hin und wieder geblockt und als http Verbindung angezeigt.
Dagegen hat der liebe Gott HSTS (https://de.wikipedia.org/wiki/HTTP_Strict_Transport_Security) erfunden.

So.,10.07.2020 17:45

RE: 20200710 Provider sollen Geheimdiensten Zugriff geben

Welches Gerät , hier geht es doch meist eher um Software und die Sicherheit von Programmen oder Windows wird jeden Tag ausgehebelt und die Sicherheit von Internet Zertifikaten ist auch begrenzt, SSL Zertifikatsanbieter Firmen wurden schon von länger von Diensten wie der NSA unterwandert oder gar als Tarnfirmen betrieben.
Der Trick dabei ist das ein gekauftes Explosit ob von Windows oder Geräten wie Handys, Smart -TV , Router ... ect gezielt eingesetzt wird und nicht mehr wie bei Crackern wahllos verteilt wird. Es lässt sich dann halt kaum Enttarnen wenn nur noch ein paar 1000 Anwender damit Infiziert werden.

Mi., 11.07.2020 00:37

RE: 20200710 Provider sollen Geheimdiensten Zugriff geben

Ja, die praktischen Probleme mit Opensource kenne ich leider auch, obwohl die letzten Versionen von Conversations richtig gut sind.
Hat jemand mal Hoccer früher benutzt?

Ic., 11.07.2020 05:00

RE: 20200710 Provider sollen Geheimdiensten Zugriff geben

Letztlich folgert für mich aus diesem thread, dass das Problem technisch nicht wirklich lösbar ist. Es ist eine Frage der Politik.

Di., 11.07.2020 06:46

RE: 20200710 Provider sollen Geheimdiensten Zugriff geben

Nebenbei, was https everywhere betrifft, hier ist die einschlägige Warnung, die vom Add-on angezeigt wird:
"...but it is also possible that an attacker is blocking the HTTPS version. If you wish to view the unencrypted version of this page, you can still do so by disabling the 'Encrypt All Sites Eligible' (EASE) option in your HTTPS Everywhere extension. Be aware that disabling this option could make your browser vulnerable to network-based downgrade attacks on websites you visit."

Ic.,11.07.2020 14:33