https?

[Watchme]

mir ging es auch weniger darum, dass ich dem HaBo nich vertrauen wuerde, mir ging es eher um die Verschluesselung auf der Leitung...
Da ich von vielen Rechnern arbeite, deren Verbindung ich nicht vertraue, oder sogar weiss, dass die mitgelesen wird wollte ich einfach eine sinnvolle Art das Mitlesen zu unterbinden.

 

[Mechanius]

watchme wem vertraust du? strato, 1und1, hosteurope, all-inkl usw bitten sslproxy für bei ihnen gehostete seiten an für ein paar euros im monat dann wäre deine verbindung zum hoster save und von da per php skript unsicher zum habo vll ne lösung?

MfG Mechanius

 

[stone.dr]

Ich für meinen Teil denke auch das es Schwachsinn ist das HaBo über https zu schalten und muss da bitmuncher in seiner Aussage zur Zweckmäßigkeit zustimmen,
Ich denke mal Niemand ist so verantwortungslos und tauscht "geheime und private Daten" über ein Forum aus (PNs etc.).

Was wäre denn der worst case?
Der Hotspotanbieter, der Firmenchef oder die Mitarbeiter sniffen die Daten mit (begehen somit offiziell eine Straftat) um sich mit einem fremden Benutzerkonto (member of honour) auf dem Board einzuloggen um was zu machen?

Für mein Empfinden fehlt mir da der Nutzenfaktor der in keinem Verhältnis zum Risiko steht aufzufliegen (member of honour Member im HaBo).

 

[Watchme]

EDIT

Ich bin raus aus der Diskussion ....

 

[.doc]

Es gibt wahrlich viele Diskussionen zum Thema "Überwachung" hier, aber etwas dagegen unternehmen will keiner? Ich kann ja den Grund der doppelten Auslastung (auch wenn ich selbst andere Erfahrungen gemacht habe und dem ersteinmal nicht zustimme) und der Zweckmäßigkeit nachvollziehen, aber sollte man nicht mit gutem Beispiel vorran gehen, um die steigenden Überwachungsmaßnahmen, welche oft nicht bekannt sind, zu unterbinden?
Man mault ja immer so schön über die "Wovor soll ich mich fürchten, ich habe doch nichts zu verbergen"-Meinung vieler Bürgerinnen und Bürger. Dass dies jedoch als Gegenargument für eine sichere Übertragung gesehen wird zeugt eher von allgemeiner Akzeptanz gegenüber Überwachung, als einer absoluten Ablehnung.

 

[bitmuncher]

Der Überwachungswahn unseres Staates ist ein herzlich schlechtes Argument für SSL. Wird nämlich auf einem Rechner der sogenannte Bundestrojaner (also ein Überwachungsprogramm) eingeschleust, ist die SSL-Verschlüsselung gelinde gesagt für den A... . Auch die Überwachung von Rechnern am Arbeitsplatz oder in der Schule geschieht in den seltensten Fällen via MITM, sondern mit Keyloggern, Trojanern u.ä. auf den Client-Rechnern. Verstehen kann ich es bei öffentlichen AccessPoints, allerdings kann man da auch einfach einen vertrauenswürdigen Proxy und einen SSH-Tunnel nutzen um ein Ausspähen von Passwörtern zumindest grossteils zu vermeiden.

 

[Whesker.]

Original von bitmuncher
Der Überwachungswahn unseres Staates ist ein herzlich schlechtes Argument für SSL. Wird nämlich auf einem Rechner der sogenannte Bundestrojaner (also ein Überwachungsprogramm) eingeschleust, ist die SSL-Verschlüsselung gelinde gesagt für den A... . Auch die Überwachung von Rechnern am Arbeitsplatz oder in der Schule geschieht in den seltensten Fällen via MITM, sondern mit Keyloggern, Trojanern u.ä. auf den Client-Rechnern. Verstehen kann ich es bei öffentlichen AccessPoints, allerdings kann man da auch einfach einen vertrauenswürdigen Proxy und einen SSH-Tunnel nutzen um ein Ausspähen von Passwörtern zumindest grossteils zu vermeiden.

Findet Kaspersky Bundestrojaner?

Edit: Habe was gefunden

?Ein Trojaner ist und bleibt eine Spionage-Software?. Sobald die Struktur den Software-Herstellern bekannt wird, würde sie in ein Verzeichnis bekannter Viren aufgenommen und von den Programmen blockiert werden.

Andreas Lamm, Geschäftsführer von Kaspersky Labs sagte zu der Möglichkeit einer Zusammenarbeit mit staatlichen Behörden, ?es würde sich dabei um einen massiven Eingriff in die gesamte IT-Sicherheitsindustrie handeln, der aus unserer Sicht nicht vorstell- und durchführbar wäre?

 

[bitmuncher]

Original von Whesker.
Findet Kaspersky Bundestrojaner?

Scannst du deinen Rechner vor jeder Benutzung mit einer heuristischen Suche und prüfst ob VMs laufen?

 

[Whesker.]

Nein

Fullscan lass ich selten laufen

 

[bitmuncher]

Original von Whesker.
Nein

Fullscan lass ich selten laufen

In dem Fall wirst du auch nur selten eine eingeschleuste Spionagesoftware bemerken können, denn bekanntermaßen besteht für das BKA auch die Möglichkeit den sogenannten Bundestrojaner mit physischem Zugriff auf dem Rechner einzuschleusen, so dass dein Virenscanner im Traffic davon nichts finden wird. Und um beim Thema zu bleiben... wenn nichtmal solche Vorsichtsmaßnahmen getroffen werden, ist eine SSL-Verschlüsselung ziemlich nutzlos gegen den Überwachungswahn des Staates. Da hier vermutlich nichtmal 1% der User ihre Rechner ausreichend gegen Fremdzugriff absichern (File Alteration Monitoring, RAM-Prüfungen auf versteckte VMs, Kernel/Treiber-Trojaner-Scans usw.) stellt sich durchaus die Frage, was die SSL-Verschlüsselung dann bringen soll. Security by obscurity funktioniert bekanntermaßen nur in den seltensten Fällen und so würde eine SSL-Verschlüsselung nur ein falsches Gefühl von Sicherheit vermitteln.

 

[.doc]

Überwachung durch unauthorisierte Personen lässt du mit deiner Begründung vollkommen ausser Acht. Mit WEP verschlüsselte Netze, allg. unzureichend geschützte Netzwerke/-segmente, infizierte Netzwerkteilnehmer, Überwachung von privaten Rechnern (z.b. private Notebooks, ...) durch den Arbeitgeber, mögliche geplante Überwachungsmaßnahmen durch unsere technikdesinteressierte politische Führung, usw.

Natürlich gibt es zig andere Maßnahmen. Aber darum geht es doch garnicht.

Der Begriff "Security by obscurity" tut hier weiterhin erst einmal nichts zur Sache. SSL kann als sicheres Protokoll betrachtet werden und nicht als Vorgaukelei einer scheinbaren Sicherheit. Wer mit einem Trojaner infiziert ist sollte sein System neu aufsetzen, das ist klar. Überwachte Arbeitsplatzrechner sollte man meiden, an Schulen und Bildungseinrichtungen setzen sich Schüler-Notebooks inzwischen weitaus besser durch, als schulinterne Arbeitsplatzrechner.

 

[benediktibk]

Original von .doc
Überwachung durch unauthorisierte Personen lässt du mit deiner Begründung vollkommen ausser Acht. Mit WEP verschlüsselte Netze, allg. unzureichend geschützte Netzwerke/-segmente, infizierte Netzwerkteilnehmer, Überwachung von privaten Rechnern (z.b. private Notebooks, ...) durch den Arbeitgeber, mögliche geplante Überwachungsmaßnahmen durch unsere technikdesinteressierte politische Führung, usw.

Natürlich gibt es zig andere Maßnahmen. Aber darum geht es doch garnicht.

Der Begriff "Security by obscurity" tut hier weiterhin erst einmal nichts zur Sache. SSL kann als sicheres Protokoll betrachtet werden und nicht als Vorgaukelei einer scheinbaren Sicherheit. Wer mit einem Trojaner infiziert ist sollte sein System neu aufsetzen, das ist klar. Überwachte Arbeitsplatzrechner sollte man meiden, an Schulen und Bildungseinrichtungen setzen sich Schüler-Notebooks inzwischen weitaus besser durch, als schulinterne Arbeitsplatzrechner.

Kann ich nur bestätigen, bei uns nutzen sehr viele den Laptop in der Schule. Als Zugang in das Internet steht aber nur ein WEP-verschlüsseltes WLAN zur Verfügung und ich für meinen Teil möchte halt nicht, dass irgendjemand in der Schule Kontrolle über meinen HABO-Account bekommt. Dieses Risiko ist vor allem an technischen Schulen etwas höher

mfg benediktibk

 

[bitmuncher]

Original von .doc
Überwachung durch unauthorisierte Personen lässt du mit deiner Begründung vollkommen ausser Acht.

Klar, weil sich meine letzte Argumentation auf Wheskers Einwurf bezüglich des Bundestrojaners bezog und in diesem Zusammenhang stellt SSL nunmal nur eine vorgegaukelte Sicherheit dar.

Dass ihr schlecht gesicherte oder nicht vertrauenswürdige Netzwerke ohne weitere Sicherheitsvorkehrungen nutzt, könnt ihr selbst ändern. Das liegt imo auch nicht in der Verantwortung des Habo. Ein simpler SSH-Tunnel in ein vertrauenswürdiges Netzwerk würde das Problem aber beseitigen. Wenn mein Arbeitgeber die Nutzung privater Notebooks erlauben und diese aber ohne Erlaubnis seitens der Arbeitnehmer ausspionieren würde, würde ich ihn einfach mal anzeigen. Damit macht er sich nämlich strafbar. Weiss man von der Überwachung kann man entweder entsprechende Gegenmaßnahmen ergreifen (SSH-Tunnel, VPN u.ä.) oder einfach während der Arbeit auf Aktivitäten im Netz verzichten, von denen man nicht will, dass der Arbeitgeber dazu Daten bekommt. Man wird ja schliesslich nicht für's private Surfen im WWW bezahlt.

SSL ist jedenfalls nicht die alleinige Lösung für die bisher hier angebrachten Argumente und es ist vor allem die teuerste, wenn man es wirklich sicher haben will. Ich sehe jedenfalls den Kostenfaktor für SSL-Zertifikate als größtes Problem. Der zusätzlich entstehende Traffic durch fehlendes Caching bei SSL-Verbindungen kann ein weiteres sein, da weiss ich aber nicht inwiefern der für's Habo Kosten verursachen würde.

 

[.doc]

Das liegt imo auch nicht in der Verantwortung des Habo.

Nein, das tut es nicht. Es wäre allerdings löblich, wenn es Bitten der User nachkommen würde. Und da SSL in einigen Fällen Sicherheit und auch Vetrauen mit sich bringt und dies in der heutigen Zeit, in der Überwachung inzwischen an der Tagesordnung vieler Firmen und Einrichtungen steht, viel wert ist müssen solche Forderungen zumindest intern auch besprochen und auch begründet abgewiesen werden können. Dazu gehört meiner Meinung nach z.b. eine aussagekräftige Statistik mit einer Kostenaufstellung.

SSL ist jedenfalls nicht die alleinige Lösung für die bisher hier angebrachten Argumente und es ist vor allem die teuerste, wenn man es wirklich sicher haben will.

Ich halte hierbei die Probleme der Nutzer ähnlich stark, wie die der Betreiber, wobei man dazu sagen muss, dass es noch weitaus teurere Lösungen, z. b. das HaBo innerhalb eines Darknets, gäbe. Als Betreiber hat man verständlicherweise eine andere Sicht hierrauf.

Ich sehe jedenfalls den Kostenfaktor für SSL-Zertifikate als größtes Problem.

Die Frage ist, ob solche Zertifikate überhaupt benötigt werden. Das Habo ist keine Bank, gegen die sich die meisten Phishing-Angriffe richten. Ebenso ist das Habo meiner Meinung nach kein Ziel einer anderen Attacke, welche eine durch Vetrauensprüfung abgewehrt werden könnte. Wer die Echtheit eines Zertifikats nicht überprüfen und akzeptieren kann, der hat schlicht und ergreifend Pech gehabt. Wenn ich mir z.b. das Zertifikat des Buha-Boards anschau, sehe ich trotz Ablaufdatum keinen Grund zur Sorge und vertraue ihm. Es gibt auch andere Mittel und Wege ein Zertifikat zu überprüfen, da brauch ich keine Unterschrift von VeriSign und Co.

 

[Knoxx]

Ich werf' einfach mal diese Angebote in den Raum: http://www.namecheap.com/learn/other-services/ssl-certificates.asp

Ein Single-Root-Zertifikat für knapp 11$ sollte doch für die Bedürfnisse hier ausreichen.
Ich habe vor einigen Monaten selbst bei Namecheap 2 Zertifikate (allerdings von Comodo) geordert und bisher hat sich noch kein User von uns beschwert.