TLS zum Update der Datenbank
-
Soweit ich das sehe unterstützen alle verteilerX.mediathekview.de Server TLS.
Wenn man sich aber das Kodi Protokoll ansieht und die Verweise in https://res.mediathekview.de/akt.xml scheint die Filmliste weiterhin über unverschlüsselte Verbindungen abgerufen zu werden.
Ist das Absicht oder einfach nur übersehen worden?
-
Welchen Sicherheitsgewinn bringt das verschlüsselte Übertragen der Filmliste?
-
Der Sicherheitsgewinn durch nicht manipulierbare Integrität ist nicht das Ausschlaggebende. Die Geschwindigkeitseinbußen durch TLS sind mittlerweile zu vernachlässigen weil gering und damit gibt es keinen Grund darauf zu verzichten, ob nu jemand weiß was drin ist oder es manipulieren kann oder will, oder nicht
-
Hat sich diesbezüglich etwas getan? Ich möchte nicht, dass jeder einzelne Internetknoten zwischen den mediathekview.de Server und mein PC nach Lust und Laune Man-In-The-Middle-Angriffe laufen lassen können.
-
@ximxxomd sagte in TLS zum Update der Datenbank:
Hat sich diesbezüglich etwas getan? Ich möchte nicht, dass jeder einzelne Internetknoten zwischen den mediathekview.de Server und mein PC nach Lust und Laune Man-In-The-Middle-Angriffe laufen lassen können.
Netzkabel ziehen. Oder weniger Artikel mit Buzzwörten lesen, die man offensichtlich die nicht versteht, hilft auch.
-
Hallo ximxxomd,
zumindest hat sich getan, dass in die Verweise bzw. der nur noch eine verbliebene Verweis in https://res.mediathekview.de/akt.xml jetzt https benutzt. Damit sollte das Problem gelöst sein.
herbivore
-
@vitusson sagte in TLS zum Update der Datenbank:
@ximxxomd sagte in TLS zum Update der Datenbank:
Hat sich diesbezüglich etwas getan? Ich möchte nicht, dass jeder einzelne Internetknoten zwischen den mediathekview.de Server und mein PC nach Lust und Laune Man-In-The-Middle-Angriffe laufen lassen können.
Netzkabel ziehen. Oder weniger Artikel mit Buzzwörten lesen, die man offensichtlich die nicht versteht, hilft auch.
Was ist das den für eine Antwort? Ist dir nicht selbst bekannt, dass das 0 hilfreich ist? Wenn transportverschlüsselung fehlt, werden allessamt mögliche Angriffe auf den Benutzer ermöglicht - das sind banale Grundlagen in der IT. Transportverschlüsselung kostet dank letsencrypt nichts. Der Serveradmin weiß wie man kostenfreies letsencrypt nutzt, da er es zb fürs forum hier verwendet. Oder antworte ich gerade sinnlos irgend einem Troll?
-
Hallo ximxxomd,
irgendwo habt ihr doch beide Recht. Und beide habt ihr etwas - sagen wir - forsch formuliert. Lasst uns das ruhig und sachlich diskutieren.
Vom Prinzip her stimme ich dir zu, ximxxomd. Transportverschlüsselung ist grundsätzlich sinnvoll, reduziert die Angriffsvektoren und erschwert die Überwachung. Und ja, es gibt die unterstützendswerte Bestrebung, z.B. von lets encrypt, möglichst den gesamten Internetverkehr zu (transport-)verschlüsseln. So weit so gut.
Auf der anderen Seite kann ich auch vitusson verstehen. Ein Angriff auf die Übertragung von Mediathekview-Filmlisten (mittels (Hu)Man-In-The-Middle oder auch anders) ist auch nach meiner Meinung wirklich außerordentlich unwahrscheinlich. Bleibt noch die Überwachung; und obwohl ich durchaus der Meinung bin, dass jeder von uns etwas zu verbergen und zu verlieren hat, wäre die Überwachung meines Verhaltens beim Abruf von Mediathekview-Filmlisten nun nicht meine erste und sicher nicht meine größte Sorge.
Insofern kann ich verstehen, wenn deine grundsätzlich sinnvolle Forderung, dem einen oder anderen etwas zu vehement erscheint. Letztlich ist es eh die Entscheidung des Dienstanbieters. Und der ist ja nun auch tätig geworden. Insofern aus meiner Sicht alles gut.
Ich hoffe, dass ich damit eurer beiden Meinungen gerecht geworden bin.
herbivore
-
Danke für deine Antwort. Du schreibst “Ein Angriff auf die Übertragung von Mediathekview-Filmlisten (mittels (Hu)Man-In-The-Middle oder auch anders) ist auch nach meiner Meinung wirklich außerordentlich unwahrscheinlich.”
Antwort: Wenn ich mich doch in ein offenes WLAN neben ein Target von mir setze um es an zu greifen, dann analysiere ich zuerst dessen Ports und anschließend dessen Traffic. Beim Traffic bin ich auf der Suche nach unverschlüsselten, unsignierten Traffic den ich übernehmen kann. Wenn ich den traffic analysiere, weiß ich in der Regel welche Software verwendet wird. Danach schaue ich mir (ggf für den nächsten Angriff beim nächsten Besuch) die Software (in Ruhe) an und lass darauf ein Fuzzer laufen um möglichst einfach und automatisiert fehler darin zu finden um diese beim nächsten mal aus zu nutzen. Alternativ kann ich mir mit Monero ein zero-day exploit kaufen damit ich nicht selbst nach einen Fehler suchen muss.
Das sind doch die Sicherheits-Grundlagen und die banalste Vorgehensweisen die man in IT-Security Studiengänge in deutsche Hochschulen lernt. Oder habe ich irgendwo einen Denkfehler?
Übrigens war das Beispiel mit dem offenem WLAN nur dienlich für die vereinfachte Erklärung. Jeder der die Hops kontrolliert oder das verwendete Netzwerk angreift, bekommt Zugriff auf alles. Nicht umsonst hat heute der Internetknoten DE-CIX eine Klage beim Bunedsverfassungsgericht eingereicht: https://www.heise.de/newsticker/meldung/De-CIX-Betreiber-legt-Verfassungsbeschwerde-gegen-BND-Spionage-ein-4188927.htmlUnd dann noch “Bleibt noch die Überwachung; und obwohl ich durchaus der Meinung bin, dass jeder von uns etwas zu verbergen und zu verlieren hat, wäre die Überwachung meines Verhaltens beim Abruf von Mediathekview-Filmlisten nun nicht meine erste und sicher nicht meine größte Sorge.”
Ja, ich finde auch, dass man sich eher um eine schnellere Abschaltung der RWE Kohlekraftwerke kümmern sollte. Auch die verschwendung von Lebensmittel hat eine höhere Priorität als die mögliche Überwachung bei mediathekview.de Server. Diese denkweise hilft gar nicht weiter, den man sollte nicht erst mal “eine” Sache beheben sondern jeder sollte seinen Beitrag zu einer besseren Welt beitragen. Und wenn viele Leute an viele verschiedene Schrauben drehen und nicht alle versuchen eine einzige Schrauben zu drehen die klemmt, dann bewegt sich die gesamte Welt auf viele Ebenen in die richtige Richtung.
Ich denke jeder Fachmann hier weiß, dass TLS immer aktiv sein sollte und unverschlüsselter Traffic automatisch zu https um zu leiten ist damit alle möglichst schnell umsteigen. Die frage mit “ob TLS” wurde vor Jahren bereits endgültig beantwortet. Klar, heute denken auch noch ein paar Leute, dass die Erde eine Scheibe sei, ein Fantasie-Gott existiert und Diesel-Motoren die Zukunft der Autos darstellen - hat aber nichts mit Fakten zu tun. Und meine Beiträge hier im Forum sind ausschließlich kurz zusammengefaste Faktenaussagen.
EDIT: Da ich ein paar Minuten in diesen Text hier investiert habe, habe ich hier ein Backup davon angelegt: https://web.archive.org/web/20181011215719/https://forum.mediathekview.de/topic/1305/tls-zum-update-der-datenbank
-
Hallo ximxxomd,
ich stimme dir in der Sache ganz überwiegend zu. Und ich finde es gut, dass du eine die detaillierte, nachvollziehbare Darlegung mit einer Aufforderung zum Handeln verbunden hast. Das ist sicher ein guter Denkanstoß.
Auf der anderen Seite respektive ich, wenn ein bestimmter Betreiber zu einer andere Einschätzung (der Dringlichkeit) des Problems kommt. So ist der Fuzzing-Angriff sicher eine Standard-Angriffsmethode, aber durch den damit verbundenen Aufwand jedoch eher kein Massenphänomen, sondern nach meiner Einschätzung eher ein Szenario für einen gezielten Angriff auf vorher ausgewählte Opfer. Mag sein, dass ich mir irre. Aber das ist eh nicht der entscheidende Punkt.
Sicher sollte man über drängendere Probleme andere Schrauben nicht vernachlässigen. Und ja, die Welt wäre eine bessere, wenn das passiert. Trotzdem kannst du letztlich nicht mehr als darauf hinweisen. Die Zeit jedes einzelnen ist begrenzt und es ist seine Entscheidung, an welchen Schrauben er zuerst stellen will, an welchen später und an welchen vielleicht gar nicht.
herbivore
