URL: https://www.overclockers.at/internet-provider/etls-tls1-3-mit-backdoor_252942/page_1 - zur Vollversion wechseln!
Zitat aus einem Post von schizoIch bin ja gespannt, wann etwa die ersten Messenger erscheinen werden, welche mit ihrem Firmen/Serverstandort werben.
Zitat aus einem Post von JDKhm, wie hieß nochmal der schweizer Messenger?
Genau, Threema hatte ja schon vor Jahren damit geworben.
Beziehungsweise bleiben auch noch APKs direkt vom Hersteller.
Zitat aus einem Post von JDKGenau, Threema hatte ja schon vor Jahren damit geworben.
Beziehungsweise bleiben auch noch APKs direkt vom Hersteller.
Das ist klar. Bevor wir hier aber den Teufel an die Wand malen, würde ich die Entwicklung abwarten.
Jein. Klar ist TLS derzeit essentiell. Nur verwendet Threema eben nicht nur TLS - das wäre ja jetzt schon mitm anfällig.Zitat aus einem Post von schizoThreema.
Wobei bei Messengern ja noch ein weiteres Problem der Play Stores dazukommen kann. Wenn US amerikanische Unternehmen (also Apple und Google) nur noch Messenger zum Download anbieten dürfen, welche etLS unterstützen bleiben nur noch inoffizielle Appstores, um einen solchen Messenger zu beziehen und die Gefahr, Schadsoftware zu nutzen steigt wiederum.
Dann hoffe ich bald auf ein "ETS Nowhere" FF Plugin, das die Seite sofort sperrt sollte das verwendet werden.
ZitatDann hoffe ich bald auf ein "ETS Nowhere" FF Plugin, das die Seite sofort sperrt sollte das verwendet werden.
Natürlich ist das noch möglich. Da wird TLS einfach auf der Firewall Terminiert und dir entweder http weiter gegeben oder ein selbst signiertes dropbox zertifikat. Dem aber dein Browser vertraut da deine Firma natürlich das Rootzertifikat der Firewall bei allen einspielt.
Übrigends schwächt TLS 1.3 auch etwas ab da mit 0-RTT kein Forward Secrecy mehr möglich ist
oder auch nicht weil sie es nicht tun so wie bei uns und dann bekommt man plötzlich Zertifikatsfehler mit einem nicht trustworthy cert von Cisco (was aber eh wurscht wäre da entsprechende Seiten dann sowieso geblockt sind).Zitat aus einem Post von Viper780Dem aber dein Browser vertraut da deine Firma natürlich das Rootzertifikat der Firewall bei allen einspielt.
Zitat aus einem Post von davebastardack, ich glaub nach den negativen Berichten in der Presse verwendet das aber eh niemand
edit: wobei es sicher auch firmeninteressen sind, nicht nur geheimdienste. wenn ich da an firewallhersteller denke wie checkpoint und paloalto, die verwenden ja man in the middle um z.B. dropbox oder ähnliche dienste rauszufiltern. das dürfte mit TLS 1.3 dann ja nicht mehr möglich sein oder ?
ZitatDas kannst während dem TLS handshake schon resetten. Verstehe oft nicht den Mehrwert der interception. Für diesen Fall benötige ich es jedenfalls nicht.
Im handshake kann man mittels SNI oder dem public cert des Servers das noch feststellen wohin der request geht und dann zb. Die tcp Verbindung resetten. Ist nicht elegant, da du keine Fehlermeldung erzeugen kannst, aber das Ziel kein Dropbox erreichst dadurch zuverlässig und billig.
Wenn du nur Dropbox Sync oder Funktionen sperren willst (Dropbox Download ok, Sync nein), dann wirst an interception nicht vorbeikommen. Die wird mit TLS1.3 potentiell teurer: sie muss am endpoint zb. Mittels agent passieren
overclockers.at v4.thecommunity
© all rights reserved by overclockers.at 2000-2024