MediathekView Logo

    MediathekView-Forum

    • Registrieren
    • Anmelden
    • Suche
    • Kategorien
    • Aktuell
    • Tags
    • Beliebt
    • Benutzer
    • Gruppen

    TLS zum Update der Datenbank

    [Offizieller Client] Kodi Add-On
    4
    10
    1672
    Lade mehr Beiträge
    • Älteste zuerst
    • Neuste zuerst
    • Meiste Stimmen
    Antworten
    • In einem neuen Thema antworten
    Anmelden zum Antworten
    Dieses Thema wurde gelöscht. Nur Nutzer mit entsprechenden Rechten können es sehen.
    • I
      insertname zuletzt editiert von

      Soweit ich das sehe unterstützen alle verteilerX.mediathekview.de Server TLS.
      Wenn man sich aber das Kodi Protokoll ansieht und die Verweise in https://res.mediathekview.de/akt.xml scheint die Filmliste weiterhin über unverschlüsselte Verbindungen abgerufen zu werden.
      Ist das Absicht oder einfach nur übersehen worden?

      1 Antwort Letzte Antwort Antworten Zitieren
      • vitusson
        vitusson zuletzt editiert von

        Welchen Sicherheitsgewinn bringt das verschlüsselte Übertragen der Filmliste?

        1 Antwort Letzte Antwort Antworten Zitieren
        • I
          insertname zuletzt editiert von

          Der Sicherheitsgewinn durch nicht manipulierbare Integrität ist nicht das Ausschlaggebende. Die Geschwindigkeitseinbußen durch TLS sind mittlerweile zu vernachlässigen weil gering und damit gibt es keinen Grund darauf zu verzichten, ob nu jemand weiß was drin ist oder es manipulieren kann oder will, oder nicht

          1 Antwort Letzte Antwort Antworten Zitieren
          • X
            ximxxomd zuletzt editiert von

            Hat sich diesbezüglich etwas getan? Ich möchte nicht, dass jeder einzelne Internetknoten zwischen den mediathekview.de Server und mein PC nach Lust und Laune Man-In-The-Middle-Angriffe laufen lassen können.

            vitusson 1 Antwort Letzte Antwort Antworten Zitieren
            • vitusson
              vitusson @ximxxomd zuletzt editiert von

              @ximxxomd sagte in TLS zum Update der Datenbank:

              Hat sich diesbezüglich etwas getan? Ich möchte nicht, dass jeder einzelne Internetknoten zwischen den mediathekview.de Server und mein PC nach Lust und Laune Man-In-The-Middle-Angriffe laufen lassen können.

              Netzkabel ziehen. Oder weniger Artikel mit Buzzwörten lesen, die man offensichtlich die nicht versteht, hilft auch.

              X 1 Antwort Letzte Antwort Antworten Zitieren
              • herbivore
                herbivore zuletzt editiert von

                Hallo ximxxomd,

                zumindest hat sich getan, dass in die Verweise bzw. der nur noch eine verbliebene Verweis in https://res.mediathekview.de/akt.xml jetzt https benutzt. Damit sollte das Problem gelöst sein.

                herbivore

                1 Antwort Letzte Antwort Antworten Zitieren
                • X
                  ximxxomd @vitusson zuletzt editiert von

                  @vitusson sagte in TLS zum Update der Datenbank:

                  @ximxxomd sagte in TLS zum Update der Datenbank:

                  Hat sich diesbezüglich etwas getan? Ich möchte nicht, dass jeder einzelne Internetknoten zwischen den mediathekview.de Server und mein PC nach Lust und Laune Man-In-The-Middle-Angriffe laufen lassen können.

                  Netzkabel ziehen. Oder weniger Artikel mit Buzzwörten lesen, die man offensichtlich die nicht versteht, hilft auch.

                  Was ist das den für eine Antwort? Ist dir nicht selbst bekannt, dass das 0 hilfreich ist? Wenn transportverschlüsselung fehlt, werden allessamt mögliche Angriffe auf den Benutzer ermöglicht - das sind banale Grundlagen in der IT. Transportverschlüsselung kostet dank letsencrypt nichts. Der Serveradmin weiß wie man kostenfreies letsencrypt nutzt, da er es zb fürs forum hier verwendet. Oder antworte ich gerade sinnlos irgend einem Troll?

                  1 Antwort Letzte Antwort Antworten Zitieren
                  • herbivore
                    herbivore zuletzt editiert von

                    Hallo ximxxomd,

                    irgendwo habt ihr doch beide Recht. Und beide habt ihr etwas - sagen wir - forsch formuliert. Lasst uns das ruhig und sachlich diskutieren.

                    Vom Prinzip her stimme ich dir zu, ximxxomd. Transportverschlüsselung ist grundsätzlich sinnvoll, reduziert die Angriffsvektoren und erschwert die Überwachung. Und ja, es gibt die unterstützendswerte Bestrebung, z.B. von lets encrypt, möglichst den gesamten Internetverkehr zu (transport-)verschlüsseln. So weit so gut.

                    Auf der anderen Seite kann ich auch vitusson verstehen. Ein Angriff auf die Übertragung von Mediathekview-Filmlisten (mittels (Hu)Man-In-The-Middle oder auch anders) ist auch nach meiner Meinung wirklich außerordentlich unwahrscheinlich. Bleibt noch die Überwachung; und obwohl ich durchaus der Meinung bin, dass jeder von uns etwas zu verbergen und zu verlieren hat, wäre die Überwachung meines Verhaltens beim Abruf von Mediathekview-Filmlisten nun nicht meine erste und sicher nicht meine größte Sorge.

                    Insofern kann ich verstehen, wenn deine grundsätzlich sinnvolle Forderung, dem einen oder anderen etwas zu vehement erscheint. Letztlich ist es eh die Entscheidung des Dienstanbieters. Und der ist ja nun auch tätig geworden. Insofern aus meiner Sicht alles gut.

                    Ich hoffe, dass ich damit eurer beiden Meinungen gerecht geworden bin.

                    herbivore

                    1 Antwort Letzte Antwort Antworten Zitieren
                    • X
                      ximxxomd zuletzt editiert von ximxxomd

                      Danke für deine Antwort. Du schreibst “Ein Angriff auf die Übertragung von Mediathekview-Filmlisten (mittels (Hu)Man-In-The-Middle oder auch anders) ist auch nach meiner Meinung wirklich außerordentlich unwahrscheinlich.”

                      Antwort: Wenn ich mich doch in ein offenes WLAN neben ein Target von mir setze um es an zu greifen, dann analysiere ich zuerst dessen Ports und anschließend dessen Traffic. Beim Traffic bin ich auf der Suche nach unverschlüsselten, unsignierten Traffic den ich übernehmen kann. Wenn ich den traffic analysiere, weiß ich in der Regel welche Software verwendet wird. Danach schaue ich mir (ggf für den nächsten Angriff beim nächsten Besuch) die Software (in Ruhe) an und lass darauf ein Fuzzer laufen um möglichst einfach und automatisiert fehler darin zu finden um diese beim nächsten mal aus zu nutzen. Alternativ kann ich mir mit Monero ein zero-day exploit kaufen damit ich nicht selbst nach einen Fehler suchen muss.
                      Das sind doch die Sicherheits-Grundlagen und die banalste Vorgehensweisen die man in IT-Security Studiengänge in deutsche Hochschulen lernt. Oder habe ich irgendwo einen Denkfehler?
                      Übrigens war das Beispiel mit dem offenem WLAN nur dienlich für die vereinfachte Erklärung. Jeder der die Hops kontrolliert oder das verwendete Netzwerk angreift, bekommt Zugriff auf alles. Nicht umsonst hat heute der Internetknoten DE-CIX eine Klage beim Bunedsverfassungsgericht eingereicht: https://www.heise.de/newsticker/meldung/De-CIX-Betreiber-legt-Verfassungsbeschwerde-gegen-BND-Spionage-ein-4188927.html

                      Und dann noch “Bleibt noch die Überwachung; und obwohl ich durchaus der Meinung bin, dass jeder von uns etwas zu verbergen und zu verlieren hat, wäre die Überwachung meines Verhaltens beim Abruf von Mediathekview-Filmlisten nun nicht meine erste und sicher nicht meine größte Sorge.”

                      Ja, ich finde auch, dass man sich eher um eine schnellere Abschaltung der RWE Kohlekraftwerke kümmern sollte. Auch die verschwendung von Lebensmittel hat eine höhere Priorität als die mögliche Überwachung bei mediathekview.de Server. Diese denkweise hilft gar nicht weiter, den man sollte nicht erst mal “eine” Sache beheben sondern jeder sollte seinen Beitrag zu einer besseren Welt beitragen. Und wenn viele Leute an viele verschiedene Schrauben drehen und nicht alle versuchen eine einzige Schrauben zu drehen die klemmt, dann bewegt sich die gesamte Welt auf viele Ebenen in die richtige Richtung.

                      Ich denke jeder Fachmann hier weiß, dass TLS immer aktiv sein sollte und unverschlüsselter Traffic automatisch zu https um zu leiten ist damit alle möglichst schnell umsteigen. Die frage mit “ob TLS” wurde vor Jahren bereits endgültig beantwortet. Klar, heute denken auch noch ein paar Leute, dass die Erde eine Scheibe sei, ein Fantasie-Gott existiert und Diesel-Motoren die Zukunft der Autos darstellen - hat aber nichts mit Fakten zu tun. Und meine Beiträge hier im Forum sind ausschließlich kurz zusammengefaste Faktenaussagen.

                      EDIT: Da ich ein paar Minuten in diesen Text hier investiert habe, habe ich hier ein Backup davon angelegt: https://web.archive.org/web/20181011215719/https://forum.mediathekview.de/topic/1305/tls-zum-update-der-datenbank

                      1 Antwort Letzte Antwort Antworten Zitieren
                      • herbivore
                        herbivore zuletzt editiert von

                        Hallo ximxxomd,

                        ich stimme dir in der Sache ganz überwiegend zu. Und ich finde es gut, dass du eine die detaillierte, nachvollziehbare Darlegung mit einer Aufforderung zum Handeln verbunden hast. Das ist sicher ein guter Denkanstoß.

                        Auf der anderen Seite respektive ich, wenn ein bestimmter Betreiber zu einer andere Einschätzung (der Dringlichkeit) des Problems kommt. So ist der Fuzzing-Angriff sicher eine Standard-Angriffsmethode, aber durch den damit verbundenen Aufwand jedoch eher kein Massenphänomen, sondern nach meiner Einschätzung eher ein Szenario für einen gezielten Angriff auf vorher ausgewählte Opfer. Mag sein, dass ich mir irre. Aber das ist eh nicht der entscheidende Punkt.

                        Sicher sollte man über drängendere Probleme andere Schrauben nicht vernachlässigen. Und ja, die Welt wäre eine bessere, wenn das passiert. Trotzdem kannst du letztlich nicht mehr als darauf hinweisen. Die Zeit jedes einzelnen ist begrenzt und es ist seine Entscheidung, an welchen Schrauben er zuerst stellen will, an welchen später und an welchen vielleicht gar nicht.

                        herbivore

                        1 Antwort Letzte Antwort Antworten Zitieren
                        • 1 / 1
                        • Erster Beitrag
                          Letzter Beitrag

                        21
                        Online

                        5.5k
                        Benutzer

                        5.0k
                        Themen

                        32.8k
                        Beiträge

                        Betrieben mit NodeBB - Impressum