https und Contentfilter

Alles rund um sicherheitsrelevante Fragen und Probleme.
wanne
Moderator
Beiträge: 7447
Registriert: 24.05.2010 12:39:42

Re: https und Contentfilter

Beitrag von wanne » 12.11.2018 13:55:45

uname hat geschrieben: ↑ zum Beitrag ↑
12.11.2018 13:00:06
Javascript-Bibliotheken on the fly manipulieren. TLS ist weniger wichtig, da die Sicherheit gar nicht darauf aufbaut.
Es ist so sicher, dass man sogar gleich auf TLS verzichten kann.
Diese Cryptopads gehen seit Kim Dotcom (aus anderem Grund) damit angefangen hat, gerade extrem stark mit diesen und ähnlichen Versprechungen um.
Ich finde auch diese Hinweise extrem gefährlich. Die passenden Javascript-Bibliotheken zu fälschen ist deutlich einfacher als dein TLS kaputt zu machen. Klar muss das für jede neu machen. Und erst mal setzen die meisten auf TLS. und deswegen sind die Anleitungen in Richtung TLS deutlich ausführlicher und werden auch häufiger genutzt. Aber es ist eben Security by obscurity.
Sobald sich die passenden libs durchsetzen und bekannt werden ist es eben nicht mehr sicher. Proxys die das Manipulieren können sind schnellst möglichst erstellt. (ettercap oder die burbsuit bieten extra Baukästen dazu. Da sind das dann drei vier Zeilen Code.) Und im Gegensatz zu TLS, das wirklich auf echte Sicherheit setzt und damit nur per Manipulation im Browser gebrochen werden kann, kann das eben jeder dahergelaufene machen, der irgend wo an der Leitung sitzt.
Und so vielfältig ist das eben bei weitem nicht. Am ende nutzt deine Seite halt auch die sjcl. Wenn auch eine lokale Kopie davon dürfte das nicht schwer sein die automatisch zu erkennen. (Und passende Gegenmaßnahmen einzuleiten.) Daneben gibts noch crpytojs und dann hat es sich eigentlich. Die beiden abfangen dürfte nicht großartig schwer sein. (Wenn auch etwas komplizierter wenn man alle Uralt Versionen davon erkennen will.)
Ganz abgesehen, dass Crypto in JS sowieso immer ein Haufen Quatsch ist, weil entweder implementierst du dir deine Primitiva selbst, dann hast du ohne Ende Sidechannels, weil JS eben Quar Definition an X stellen Sidechannels zulässt. (Keine Aussagen über Laufzeiten, Manipulation von Datenstrukturen durch externe...)
Oder du nimmst die native Web Cryptography API, dann tut dir das zeug u.u. aber nicht im IE und du bist eben wieder bei Crypto aus dem Browser. (Und vor allem total leichter Manipulierbarkeit, weil es gibt eben genau ein window.crypto gibt. Das musst du überladen und jede Implementation, die auf die setzt ist kaputt.)
Die dinger ohne TLS sind absolut unsicher.
rot: Moderator wanne spricht, default: User wanne spricht.

uname
Beiträge: 12042
Registriert: 03.06.2008 09:33:02

Re: https und Contentfilter

Beitrag von uname » 13.11.2018 18:30:06

Stimmt. Geht aber eher darum den Firma-Mainstream-Scanner zu umgehen.

DeletedUserReAsG

Re: https und Contentfilter

Beitrag von DeletedUserReAsG » 13.11.2018 19:11:32

Bald braucht die Firma dann solche schmutzigen Tricks gar nicht mehr: https://www.etsi.org/news-events/news/1 ... management

wanne
Moderator
Beiträge: 7447
Registriert: 24.05.2010 12:39:42

Re: https und Contentfilter

Beitrag von wanne » 15.11.2018 17:54:25

Das ist weitestgehend die genannte SSLKEYLOGFILE Lösung für TLS 1.3.
rot: Moderator wanne spricht, default: User wanne spricht.

Antworten