(gelöst) tls abschalten

[wanne]

Meine IP-Cams haben zwar eine Netzanbindung, aber keine Erlaubnis, sich zum Internet zu verbinden.

Und wie stellst du das sicher ohne signaturen? – Ich nehme an: Gar nicht.

Unsere Smartphones haben zwar Internet- und Netzwerkanbindung, aber bis auf meins wiederum keine SMB-Verbindung .

Solange dein SMB nicht verschlüsselt ist, kann da jedes Smartphone rein und raus wie es will. Völlig unabhängig davon was du da konfiguriert hast. Deswegen will MS das ja jetzt auch hart den Stecker ziehen.

Und mein Phone liegt an 6,98 Tagen von 7 pro Woche ungenutzt im Regal.

Und bekommt vermutlich entsprechend selten Updates. Besseres Target gibt es nicht.

[TRex]

Habe es auch ohne eure Hilfe hinbekommen. Habe das grüne Mofa genummen...

Das ist aus der Kategorie Stell' dir vor es geht und keiner weiß wie und ist meiner Meinung nach unterste Schublade. Es zerstört den Sinn und Zweck eines Forums. "Ich habe ein Problem, gib' mir 'ne Lösung" ist ein Fall für kommerziellen Support.

Es wäre ja okay, wenn es ein Verhältnis Lösungsansätze zu Zusatzinformation gäbe. Aber hier gibts gerade nur letzteres. Der Musteruser, der hier reinkommt und die mit "TLS abschalten" bemüht, findet diesen Haufen Beiträge ohne Mehrwert für sein Problem (außer, dass er es anders machen soll).

[Tintom]

Habe es auch ohne eure Hilfe hinbekommen. Habe das grüne Mofa genummen...

Das ist aus der Kategorie Stell' dir vor es geht und keiner weiß wie und ist meiner Meinung nach unterste Schublade. Es zerstört den Sinn und Zweck eines Forums. "Ich habe ein Problem, gib' mir 'ne Lösung" ist ein Fall für kommerziellen Support.

Es wäre ja okay, wenn es ein Verhältnis Lösungsansätze zu Zusatzinformation gäbe. Aber hier gibts gerade nur letzteres. Der Musteruser, der hier reinkommt und die mit "TLS abschalten" bemüht, findet diesen Haufen Beiträge ohne Mehrwert für sein Problem (außer, dass er es anders machen soll).

Da stimme ich dir ja zu, was mich stört ist: Der Musteruser sieht "(gelöst)" im Titel, liest dann etwas von 'nem grünen Mofa und ist genauso schlau wie vorher.

[TomL]

Sorry, aber das klingt jetzt schon alles ein wenig dramatisierend konstruiert.

Meine IP-Cams haben zwar eine Netzanbindung, aber keine Erlaubnis, sich zum Internet zu verbinden.

Und wie stellst du das sicher ohne signaturen? – Ich nehme an: Gar nicht.

Ich habe 3 Instar IP-Cams... 2 innen, 1 außen... und wenn ich unterstellen würde, dass diese Cams je nach Bedarf mit äußerst krimineller Energie die MAC-Adressen ändern würden, um sich variierend zu tarnen, dann würde ich davon ausgehen, dass dieses Unternehmen von vornherein kriminelle Absichten hat. Das unterstelle ich aber nicht. Ich gehe davon aus, dass deren MAC tatsächlich persistent ist.
In meinem DSL- Router habe ich das Standardprofil auf "gesperrt" geändert und mit einem eigenen Profil nur ausdrücklich genannten MAC den Zugang zum Internet erlaubt. Das heisst, ich muss bei jeden neuen Gerät (sogar für auf die Schnelle eingerichtete Spiel-Fummel-Test-VMs) ausdrücklich manuell am Router aktiv werden. Die CAMs gehören nicht zum Kreis der erlaubten MACs. Ich denke nicht, dass mehr Kontrolle notwendig ist und dass das mit "gar nicht" wirklich gar nichts zu tun hat.

.Solange dein SMB nicht verschlüsselt ist, kann da jedes Smartphone rein und raus wie es will. Völlig unabhängig davon was du da konfiguriert hast. Deswegen will MS das ja jetzt auch hart den Stecker ziehen.

Nein, nicht SMB ist das primäre Problem, sondern das dahinterstehende Transport-Protokoll. Und ja, Angreifer können die Netbios-Schwächen nutzen, wenn man Netbios als Protokollebene anbietet. Aber Netbios auf Port 139 ist hier bei mir gar nicht mehr verfügbar - der Traffic passiert nach ganz normalen TCP/IP-Regeln im TCP-Stack. Und auch das Argument mit der Verschlüsselung ist doch unpassend. Die Verschlüsselung ist End2End, das bedeutet, ein (möglicherweise angreifendes) Smartphone könnte innerhalb des LAN lediglich keine Pakete abhören, die von einem anderen Client zum Server fließen. Wenn es hingegen selber SMB nutzen kann, verwendet es eine eigene End2End-Verschlüsselung zum Server, die aber rechts und links von der Verschlüsselung wieder irrelevant ist, weil da die Daten unverschlüsselt vorliegen.

Und mein Phone liegt an 6,98 Tagen von 7 pro Woche ungenutzt im Regal.

Und bekommt vermutlich entsprechend selten Updates. Besseres Target gibt es nicht.

Sorry, das ist Unsinn ... nicht pauschal ... aber definitiv auf meine Situation bezogen. Mein Handy hat an den genannten 6,98 Tagen gar keine Verbindung zu Netzwerken... sowohl WLAN als auch "mobile Daten" sind permanent abgeschaltet. Und ja, ich weiß, dass das keine bestimmungsgemäße Nutzung eines Smartphones ist... ... ich entziehe mich nur kompromisslos dem Diktat dieser Geräte, meinen Tag zu bestimmen. Wie gesagt, eher old school ...

Meine IP-Cams haben zwar eine Netzanbindung, aber keine Erlaubnis, sich zum Internet zu verbinden.

Und wie stellst du das sicher ohne signaturen? – Ich nehme an: Gar nicht.

Ich habe 3 Instar IP-Cams... 2 innen, 1 außen... und wenn ich unterstellen würde, dass diese Cams je nach Bedarf mit äußerst krimineller Energie die MAC-Adressen ändern würden, um sich variierend zu tarnen, dann würde ich davon ausgehen, dass dieses Unternehmen von vornherein kriminelle Absichten hat. Das unterstelle ich aber nicht. Ich gehe davon aus, dass deren MAC tatsächlich persistent ist.

Solange dein SMB nicht verschlüsselt ist, kann da jedes Smartphone rein und raus wie es will. Völlig unabhängig davon was du da konfiguriert hast. Deswegen will MS das ja jetzt auch hart den Stecker ziehen.

Das Problem ist nicht SMB sondern das darunterliegende transportprotokoll Netbios auf port 139. Den gibt es bei mir aber nicht. Der Traffic passiert nach ganz normalen TCP/IP-Regeln im TCP-Stack.

Und mein Phone liegt an 6,98 Tagen von 7 pro Woche ungenutzt im Regal.

Und bekommt vermutlich entsprechend selten Updates. Besseres Target gibt es nicht.

Mein Handy hat an den genannten 6,98 Tagen gar keine Verbindung zu Netzwerken... Das mag zwar nicht der Sinn eines Smartphones sein aber ich mag nicht, dass das die ganze zeit kommuniziert.

Edit: Sorry hab auf Editieren geklickt. Habe versucht das so gut wie möglich wieder herzustellen.Eigentlich habe ich für sowas ein plugin, dass das macht. Will aber irgend wie nicht richtig. -- Wanne.

[TomL]

Es wäre ja okay, wenn es ein Verhältnis Lösungsansätze zu Zusatzinformation gäbe. Aber hier gibts gerade nur letzteres.

Das für mich wesentliche Problem dabei ist meiner Meinung nach die Frage "Wie viel Schaden kann es dem Anwender bereiten, wenn man ihm einfach sagt, wie es geht, ohne auf Konsequenzen hinzuweisen?"

Ich glaube, dass es hochgradig unseriös wäre, wenn man es eigentlich besser weiß und Schaden vorhersehen kann. Soweit es mich angeht (vor dem Hintergrund auch nur über mehr oder weniger über mageres Halbwissen zu verfügen),denke ich, dass es enorm hilfreich ist, mich z.B. mit msfree's und wanne's gegensätzlichen Sichtweisen zu befassen, meine eigenen Erkenntnisse hinzu zu addieren, um dann eigene Entscheidungen zu treffen.

Ich stelle mir gerade (als Extrem-Analogie) die Frage vor "Wie kann ich das verdammte Licht ausschalten, es blendet mich permanent?", um dann bei erster Gelegenheit blind das Treppenhaus runterzufallen. Auf Risiken hinzuweisen halte ich für wichtig, und es liegt ja letztlich sogar in meinem eigenen Interesse... vor allem dann, wenn mir das zu Anfang gar nicht bewusst ist.

Allerdings sag ich auch, das ist echt ein Unding, dass nach etlichen mehr oder weniger deutlichen Hinweisen nicht erklärt wird, was schließlich die Lösung war.

[wanne]

Ich habe 3 Instar IP-Cams... 2 innen, 1 außen... und wenn ich unterstellen würde, dass diese Cams je nach Bedarf mit äußerst krimineller Energie die MAC-Adressen ändern würden, um sich variierend zu tarnen, dann würde ich davon ausgehen, dass dieses Unternehmen von vornherein kriminelle Absichten hat. Das unterstelle ich aber nicht. Ich gehe davon aus, dass deren MAC tatsächlich persistent ist.

Ob das das unternehmen macht ist das eine. Malware wird es nicht. Und gerade bei Cams ist es leider nicht ganz unüblich, dass die sogar ab Werk kommt. Aber selbst wenn nicht. Dein Szenario beruht immer darauf das von zig Geräten immer alle sicher sind. Ein mal ein Fehler und alles geht den Bach runter. Aber genau das funktioniert halt nicht.

der Traffic passiert nach ganz normalen TCP/IP-Regeln im TCP-Stack.

Nicht auf deinem Handy mit Malware. Das interessiert sich einen Scheiß dafür, wie du gerne hättest, dass da übertragen wird. Sobald es sieht, dass da von a) nach b) doc oder exen übertragen werden stört es die Übertragung und ersetzt beim Retransmit den Content. Und dafür ist lediglich der SMB-Teil relevant.
Alle deine Einstellungen sind der Malware für alle Geräte am Netz völlig scheiß egal solange du nicht mit Signaturen dafür sorgst, dass die auch eingehalten werden. Und Signaturen sind halt viel einfacher umzusetzen wenn du dein Zeug verschlüsselst.

Mein Handy hat an den genannten 6,98 Tagen gar keine Verbindung zu Netzwerken...

So lange da nicht 7.0000 steht ist das völlig egal. Die Malware wartet halt bis das Gerät ans Netz kommt.

[mig]

Hi

Just my 2 Cents zu dieser akademischen Diskussion:
Eine private Infrastruktur (vor allen bei einigen Servern/Clients) wird durch Verschlüsselung um nichts sicherer.
Ich betreibe meine eigene CA-Authority aber hauptsächlich, weil man Spielereien mit privaten docker-registrys bzw openshift eh nicht mehr unverschlüsselt machen kann.
Und das brauch ich halt wenn ich mich in so neumodische Thematik einarbeite.

Aber deswegen ist mein Netz um nichts sicherer, wenn ich nicht die ganze Security-Chain beachte, denn Kette und schwächstes Glied und so.
Bei mir steht mein NAS mit nfs Freigaben, (hauptsächlich Multimedia Dateien) im wahrsten Sinne des Wortes nfs für no fucking security.
(gut darf zwar nicht ins WLAN Netz aber trotzdem)

Für dieses Wissen benötigt man imho kein Informatikstudium, (welches ich auch nicht habe )

@Huck Fin: Möchtest Du nicht deine Lösung reinschreiben, um diesen Thread doch noch einen Sinn zu geben.

SCNR und liebe Grüße
Michael

[TomL]

Malware wird es nicht.

Das setzt voraus, dass Malware entweder nachträglich installiert ist und das Anwender das Recht haben, fremde Software in Betrieb zu nehmen. Das haben sie aber nicht. Oder das Malware Bestandteil der Firmware ist. Wie ich sagte, hier gibts kein Windows, sondern nur Debian und alles andere mit proprietärer Software habe ich nach besten Wissen und Gewissen beschränkt. Und wenn wirklich immer noch irgendwelche Schwachstellen existieren, so müssen sich kriminelle Absicht und vorhandene Schwachstelle zumindest auch noch gegenseitig finden.

Und gerade bei Cams ist es leider nicht ganz unüblich, dass die sogar ab Werk kommt.

Ja, das halte ich bei dem billigen China-Kram ebenfalls für nicht ausgeschlossen. Deswegen nutze ich so etwas nicht mehr. Instar-Cams haben keine eingedeutschte Bedienoberfläche, die sind deutsch. Allerdings sind die dafür auch etwas teurer.

Aber selbst wenn nicht. Dein Szenario beruht immer darauf das von zig Geräten immer alle sicher sind. Ein mal ein Fehler und alles geht den Bach runter. Aber genau das funktioniert halt nicht.

Mein Szenario beruht darauf, dass die Default-Einstellung für den Zugang ins Web "gesperrt" ist. Die Freigabe muss manuell und vorsätzlich passieren... aber dann wäre das ein von mir begangener Fehler.

Sobald es sieht, dass da von a) nach b) doc oder exen übertragen werden stört es die Übertragung und ersetzt beim Retransmit den Content. Und dafür ist lediglich der SMB-Teil relevant.

Also noch mal die Frage, vor dem hypothetischen Hintergrund, dass tatsächlich eine Malware aktiv wäre und Zugang zu SMB-Ressourcen hätte. Wieso sollte die überhaupt so einen Schwachsinn tun, sich mit dem TCP-Stack zu befassen, wenn sie auch direkt auf die Ressourcen zugreifen könnte? So dumm kann doch kein Programmierer sein. Mir ist völlig klar, worauf Du hinauswillst, und ich widerlege das auch nicht ... ich sage nur, das ist hier auf mein Umfeld bezogen rein hypothetisch.

So lange da nicht 7.0000 steht ist das völlig egal. Die Malware wartet halt bis das Gerät ans Netz kommt.

Wieso unterstellst Du, dass Updates nicht genau in dem Moment durchgeführt werden, wenn es ans Netz kommt? Ich spare mir das mit den Updates nur für die Zeiten, wo es eh nicht genutzt wird und inaktiv ist. Wenn ichs nutze, führe ich auch immer die Udates durch.

[wanne]

Wie ich sagte, hier gibts kein Windows, sondern nur Debian und alles andere mit proprietärer Software habe ich nach besten Wissen und Gewissen beschränkt.

Nach bestem Wissen vielleicht schon. Aber eben nicht wirksam.

Und wenn wirklich immer noch irgendwelche Schwachstellen existieren, so müssen sich kriminelle Absicht und vorhandene Schwachstelle zumindest auch noch gegenseitig finden.

Das ist halt die Art und weise wie sich Malware verbreitet.

und das Anwender das Recht haben, fremde Software in Betrieb zu nehmen.

Egal ob windows oder Linux. Alle paar Jahre gibt es halt einen privilege Eskalation bug. Und sobald der bekannt ist und du nicht patchest ist deine Einstellung ob Anwender das dürfen oder nicht nichts mehr wert.
Zum Xten mal: Malware interessiert sich einen feuchten was für Einstellungen du vornimmst.

Also noch mal die Frage, vor dem hypothetischen Hintergrund, dass tatsächlich eine Malware aktiv wäre und Zugang zu SMB-Ressourcen hätte. Wieso sollte die überhaupt so einen Schwachsinn tun, sich mit dem TCP-Stack zu befassen, wenn sie auch direkt auf die Ressourcen zugreifen könnte?

Zum 10. mal: Solange du keine Verschlüsslung um dein SMB legst hat jedes Gerät in deinem Netzwerk Zugang zu SMB-Ressourcen. PUNKT. Du willst Verschlüsslung nehmen damit die Malware keinen Zugang zu deinen Ressourcen hat. Sorum wird ein Schuh draus. Da ist kein Sowieso. Deine Webcams können genau dann auf die SMB-Ressourcen zugreifen, wenn du nicht verschlüsselst.

ich sage nur, das ist hier auf mein Umfeld bezogen rein hypothetisch.

Nein. Genau dein Umfeld ist das wo Malware so schön verbreiten kann. Und dann kommt wieder mein Nertzadmin und meint, dass wir von staatlichen Akteuren ausgespäht werden weil die Zugriffe ja von tausenden Dial-UP IPs verschiedenster Anbieter aus einem Land und dessen Nachbarn kommt.Und so sieht das für einen großteil der DDOS-Angriffe aus. Ne sorry, da hat jemand ein Botnet, dass halt von LAN zu LAN springt und sich wunderbar freut dass da kein Mensch security einzieht.

Wieso unterstellst Du, dass Updates nicht genau in dem Moment durchgeführt werden, wenn es ans Netz kommt?

Dann ist das was anderes.

[MSfree]

Zum 10. mal: Solange du keine Verschlüsslung um dein SMB legst hat jedes Gerät in deinem Netzwerk Zugang zu SMB-Ressourcen. PUNKT. Du willst Verschlüsslung nehmen damit die Malware keinen Zugang zu deinen Ressourcen hat.

Zum 11. Mal: Verschlüsselung hilft nicht gegen Malware. PUNKT.

Sonst gäbe es keine Probleme mit Malware wie Emotet, die sich über secure SMTP zum Mailprovider verbreitet und von dort per IMAPS abgeholt wird, und - einmal gestartet - die verschlüsselten SMB4-Verbindungen verwendet und Dateien auf den Servern unlesbar macht.

[TRex]

Ich hoffe, folgendes nicht aufmalen zu müssen. Vielleicht können wir uns auch darauf verständigen, dass sowas selten ist - ich hab das noch nie in "the wild" gesehen.

Malware mit Paketfilter interessiert nicht die Endpunkte, sondern einzelne unverschlüsselte Datenpakete, wo dann auch Auth im Klartext übertragen wird.

Und dass das dem TE nicht hilft. Oder sonst irgendeiner armen Seele, die sich hier rein verirrt.

[TomL]

Zum 10. mal: Solange du keine Verschlüsslung um dein SMB legst hat jedes Gerät in deinem Netzwerk Zugang zu SMB-Ressourcen. PUNKT. Du willst Verschlüsslung nehmen damit die Malware keinen Zugang zu deinen Ressourcen hat. Sorum wird ein Schuh draus.

Mir kommt da gerade mit Erschrecken eine Idee... und zwar der Gedanke, das wir möglicherweise mit Volldampf durch ganz unterschiedliche Gewässer schippern ... aber nicht alles was Wasser ist, ist auch der Rhein-Herne-Kanal

Kann es sein, das Du vom Verschlüsseln der Ressource selber sprichst... was sich mir jetzt als Idee bei Deiner Formulierung geradezu aufdrängt.... und womit Du aus dieser Perspektive betrachtet durchaus Recht haben könntest. Ist die Ressource verschlüsselt, ganz klar, kommt tatsächlich keiner an die Ressource ohne Schlüssel dran. Aber darüber habe ich zumindest nie gesprochen, ich vermute mal msfree auch nicht, und meiner Meinung nach gings in diesem Thread auch nicht darum... sondern nur um die Transportverschlüsselung auf dem TCP-Stack via TLS.

Und da ist auch meine Meinung, das hat nur was mit Abhören und Belauschen zu tun, was ich innerhalb meines LANs aber eher als merkwürdig und sinnbefreit einschätzen würde, aber es hat sicher nicht so viel mit Schutz gegen Malware zu tun..

Nein. Genau dein Umfeld ist das wo Malware so schön verbreiten kann.

Etwas weniger fatalistische Dramatik und dafür ein paar mehr sachliche Blickwinkel tun der Diskussion sicher gut. Ich wette meinen Hin***n drauf, dass solche Fahrlässigkeiten keinem der hier Beteiligten passiert.

[wanne]

Vielleicht können wir uns auch darauf verständigen, dass sowas selten ist - ich hab das noch nie in "the wild" gesehen.

Ich kann ganz sicher sagen, dass es massenhaft Malware gibt, die SMB-Laufwerke verändert auf die sie keinen Zugriff hat.
Ich kann mir eigentlich nicht vorstellen, dass sie das per abfangen vom Auth macht, weil das ja Challange-Response ist und du da nicht ans Passwort im Klartext kommst.

Kann es sein, das Du vom Verschlüsseln der Ressource selber sprichst...[…] . sondern nur um die Transportverschlüsselung auf dem TCP-Stack via TLS.

Nein. es geht um Transportverschlüsslung im LAN. Und gerade im LAN, weil viele halt explizit Geräten vertrauen die im LAN sind. Gerade da willst du für höhere Sicherheit sorgen.

Üblicher Verbreitungsweg:
Malware kommt per unvertraunswürdigem Handy von außen eingefangen rein.
Handy hat kein Passwort fürs SMB-Share. Also wartet das Handy bis du per Debian-Laptop das SMB-Share zugreift.
Da das unverschlüsselt ist wartet es bis eine doc vorbei kommt und packt sich da dann als Makro dran. – Während der Übertragung. Auf das Laufwerk direkt hat es ja keinen Zugriff.
Später öffnest du die Datei mit Word an deinem PC und erlaubst Makros weil die doc ja vermeintlich von deinem sicheren Laptop kommt.
PC hat jetzt die Malware auch. Malwar auf PC wartet bis wieder mal ein anfälliges Handy ins Netzwerk kommt...

Du benutzt jetzt vielleicht kein Word aber am Ende funktioniert das Szenario so oder so ähnlich überall wo vertrauenswürdige Daten unverschlüsselt und unsigniert übertragen werden.

[Tintom]

Handy hat kein Passwort fürs SMB-Share. Also wartet das Handy bis du per Debian-Laptop das SMB-Share zugreift.
Da das unverschlüsselt ist wartet es bis eine doc vorbei kommt und packt sich da dann als Makro dran.

Jaein - SMB ab Version 3 ist verschlüsselt. Das letzte Windows, welches noch kein SMB v3 konnte, war Windows 7 und das gilt inzwischen ja als veraltet.

[wanne]

Jaein - SMB ab Version 3 ist verschlüsselt. Das letzte Windows, welches noch kein SMB v3 konnte, war Windows 7 und das gilt inzwischen ja als veraltet.

Und das ist gut so. Das war ja mein initialer Post. Du willst das los haben.

[Kamhamea]

Ich sehe, dass diese DIskussion als gelöst markiert wurde, obwohl ich gar keine Lösung finden kann. Stattdessen eine fruchlose Diskussion zur Sinnhaftigkeit von Zertifikaten, die meiner Ansicht nur die Kluft in der Gesellschaft illustriert zwischen denen, die an den sog. Zertifikaten herzlich viel verdienen (Ist ja schön und leicht verdientes Geld mit ein paar Buchstaben und Zahlen regelmäßig 10-1000Euro zu kassieren) und denen, die darunter leiden müssen (Sei es weil sie dafür bezahlen müssen oder sich Ihre Kommunikation verumständlicht.).

Sei es wie's sei unsere gesellschaftliche Evolution ist halt dadurch charakterisiert, dass nichts besser sondern ständig stärker von Sozialparasiten durchsetzt wird.

Hier aber meine Lösungen zu dem aufgeworfenen Problem:
1. Die Defaulteinstellung der Installation abschalten
ssl = no - (oder yes) aber auf jeden Fall nicht required (https://doc.dovecot.org/settings/core/#core_setting-ssl)
disable_plaintext_auth = no - und nicht yes wie bei default (https://doc.dovecot.org/settings/core/# ... ntext_auth)

2. Diese Überprüfung gänzlich für Vertrauenswürdige Netzwerke wie zB. das Heimnetzwerk ausschalten. (Ja das ist auch noch möglich)
login_trusted_networks = 192.168. 0.0/24 - zum Beispiel. Man kann auch mehrere Netzwerke durch Leerzeichen separiert angeben (https://doc.dovecot.org/settings/core/# ... d_networks)

Ich hoffe nur, dass uns diese banale Funktionalität, wenn auch verborgen, erhalten bleibt. Zu den entgegenwirkenden Kräften ist ja in dieser Diskussion ausreichend geschrieben.

[DeletedUserReAsG]

Stattdessen eine fruchlose Diskussion zur Sinnhaftigkeit von Zertifikaten, die meiner Ansicht nur die Kluft in der Gesellschaft illustriert zwischen denen, die an den sog. Zertifikaten herzlich viel verdienen

Für dort, wo bezahlte Zertifikate infrage kämen, würde Lets Encrypt den Job kostenlos tun. Fürs LAN würde ein selbstsigniertes Zertifikat, oder ein mit einer eigenen CA signiertes Zertifikat den Job tun – kostet ebenfalls nichts.

ssl = no und disable_plaintext_auth = no zusammen ist jedenfalls eine höchst unschöne Wahl – und eigentlich in keinem Fall zu empfehlen.