Diskussionsforum
Menü

https ist in machen Netzen gesperrt


03.05.2016 10:10 - Gestartet von ttarif
"... der letzte Schritt: Alle Seitenaufrufe werden von http auf die verschlüsselte https-Variante umgeleitet."

Mit https verschlüsselte Seiten können in machen Netzwerken nicht aufgerufen werden. In diesen wird der gesamte Datenverkehr automatisiert nach gefährlichen Inhalten duchsucht, um die Sicherheit zu gewährleisten. Da dies bei verschlüsselten Seiten nicht möglich ist, sperren die Administratoren insbeondere von Firmennetzwerken https ganz.

Wenn teltarif künftig immer auf https umleitet, kann teltarif aus diesen Netzwerken nicht mehr aufgerufen werden. Wenn teltarif aus diesen Netzwerken erreichbar bleiben will, sollte teltarif eine Möglichkeit schaffen, die Umleitung auf https auszuschalten.
Menü
[1] Kai Petzke antwortet auf ttarif
11.05.2016 16:06
Benutzer ttarif schrieb:
Wenn teltarif künftig immer auf https umleitet, kann teltarif aus diesen Netzwerken [in denen https gesperrt ist] nicht mehr aufgerufen werden.

Das wäre in der Tat schlimm für uns und die Leser. Andererseits gibt es inzwischen ja unzählige Sites, die ohne https gar nicht mehr oder nicht mehr sinnvoll erreicht werden können: Google, Yahoo, Onlinebanking, die meisten Web-Shops (zumindest, sobald es daran geht, den Warenkorb auch tatsächlich käuflich zu erwerben), Facebook und Twitter (gut, die sind mit Absicht in vielen Firmennetzen gesperrt, andererseits brauchen in den meisten Firmen zumindest die PR-Abteilungen Zugriff auf die sozialen Netze), Wikipedia, Linkedin und Xing (sicherlich gibt es dort mehr Firmen-Accounts als auf Facebook und Twitter), Paypal etc. pp.

Wenn teltarif aus diesen Netzwerken erreichbar bleiben will, sollte teltarif eine Möglichkeit schaffen, die Umleitung auf https auszuschalten.

Das müssen wir dann natürlich tun. Aber meine erste Rückfrage ist: Gibt es wirklich noch Content-Filter, die https sperren? Können Sie insbesondere mal ausprobieren, ob bei Ihnen http://www.teltarif.de/ und https://www.teltarif.de/ gleichermaßen funktionieren?
Menü
[1.1] ttarif antwortet auf Kai Petzke
11.05.2016 21:53
Benutzer Kai Petzke schrieb:

Das wäre in der Tat schlimm für uns und die Leser. Andererseits gibt es inzwischen ja unzählige Sites, die ohne https gar nicht mehr oder nicht mehr sinnvoll erreicht werden können: Google, Yahoo, Onlinebanking, die meisten Web-Shops (zumindest, sobald es daran geht, den Warenkorb auch tatsächlich käuflich zu erwerben), ...

Beim Forum mag es vielleicht Sinn machen, die Information zu verschlüsseln. Im Forum schreiben muss / soll man ja auch nicht aus dem Firmennetzwerk. Aber TelTarif-Informationen abrufen kann auch betrieblich veranlsst sein.

Das müssen wir dann natürlich tun. Aber meine erste Rückfrage ist: Gibt es wirklich noch Content-Filter, die https sperren?

Ja, denn bei https kann der Content-Filter doch gar nicht reingucken.

Können Sie insbesondere mal ausprobieren, ob bei Ihnen
http://www.teltarif.de/ und https://www.teltarif.de/ gleichermaßen funktionieren?

Kann ich leider nicht. Bin nicht mehr in dem Betrieb.
Menü
[1.1.1] uwest antwortet auf ttarif
12.05.2016 04:10
Benutzer ttarif schrieb:
Ja, denn bei https kann der Content-Filter doch gar nicht reingucken.

Es gibt Content-Filter, die das können. Damit handelt man sich andererseits einen Sack voll Probleme ein:

http://www.heise.de/newsticker/meldung/Studie-TLS-Proxies-bringen-Sicherheitsprobleme-3197932.html
Menü
[1.1.1.1] ttarif antwortet auf uwest
12.05.2016 11:57
Benutzer uwest schrieb:
Es gibt Content-Filter, die das können. Damit handelt man sich andererseits einen Sack voll Probleme ein:

Klingt so, wie wenn die meisten der im heise Artikel genannten Problemen bei richtiger Konfiguration nicht aufzutreten. Aber wenn die richtig konfuguriert gut funktionieren würden, hätte ich erst recht ein Problem mit https:

Wenn der Content-Filter (TLS-Zwangs-Proxy) funktioniert, ist die https-Verbindung nicht mehr sicher. Verbindungen zur Bank dürften sich in solchen Netzen verbieten und viele andere auch.
Menü
[1.1.2] präsidentwixen antwortet auf ttarif
12.05.2016 08:57
Benutzer ttarif schrieb:

Kann ich leider nicht. Bin nicht mehr in dem Betrieb.

Ich halte es für zweifelhaft, dass das so war. Bei meiner Arbeit sind auch verschiedene Seiten für den Aufruf gesperrt, die ich dann weder per http, noch per https aufrufen kann.
Eine generelle https-Sperre macht aus meiner Sicht keinen Sinn. Es gibt zu viele wichtige Services, die nur per https funktionieren. Also eine generelle Sperre von https käme heute schon einer generellen Internetsperre nahe.
Menü
[1.1.2.1] ttarif antwortet auf präsidentwixen
12.05.2016 23:11
Doch, generelle https-Sperren gibt es. Insbesondere manche Behördenmitarbeiter verweisen in ihrer Email-Signaur extra darauf hin, dass sie keinen Zugang zu Dokumenten haben, die nur über verschlüsselten Verbindungen zu erreichen sind.
Menü
[1.1.2.1.1] IMHO antwortet auf ttarif
13.05.2016 11:40
Benutzer ttarif schrieb:
Doch, generelle https-Sperren gibt es. Insbesondere manche Behördenmitarbeiter verweisen in ihrer Email-Signaur extra darauf hin, dass sie keinen Zugang zu Dokumenten haben, die nur über verschlüsselten Verbindungen zu erreichen sind.

Und Zugriff ohne https, nur mit http, bedeutet, dass man nie weiß, ob ein MITM-Angreifer das manipuliert, was gerade angezeigt wird.
Menü
[2] Mayian antwortet auf ttarif
13.05.2016 12:35
Benutzer ttarif schrieb:
"... der letzte Schritt: Alle Seitenaufrufe werden von http auf die verschlüsselte https-Variante umgeleitet."

Mit https verschlüsselte Seiten können in machen Netzwerken nicht aufgerufen werden. In diesen wird der gesamte Datenverkehr automatisiert nach gefährlichen Inhalten duchsucht, um die Sicherheit zu gewährleisten. ...


Ähm. Doch das geht. Ich hab in einen Unternehmen schon eine Firmenantivirenscannersoftware mit erlebt, die einfach das Zertifikat austauscht und beim Clienten sein eigenes *-SSL-Zertifikat allen Browsern zuschiebt.

Ich glaube eine davon hieß Astron. Sie nervte ganz schön, denn durch das statische Update-SSL-Zertifikate des Firefoxes wurden diese total deaktiviert.

Außerdem gefällt mir persönlich nicht, dass dadurch der Virenscanner auch die Logindaten sieht. Oft ist es ein Verplombter Server. Und sowas sehe ich immer besonders kritisch.

Auf jedenfall sehe ich kein Problem darin, dass es teltarif einführt. Wird ja sicher nur optimal sein.

Allerdings halte ich https für eine Nachrichten-Seite (bis auf für den Login im Forum) trotzdem etwas unsinnig ;-)

Aber der SSL Trend ist nicht aufzuhalten ;-)
Menü
[3] Kai Petzke antwortet auf ttarif
26.10.2016 09:50
Benutzer ttarif schrieb:

Mit https verschlüsselte Seiten können in machen Netzwerken nicht aufgerufen werden.

Das war früher mal. Kein aktuelles Firmennetz kommt mehr ohne https-Zugriff für die Mitarbeiter aus. Die entsprechenden Filter-Proxies, die früher nur HTTP filtern konnten, sind dafür auf https erweitert worden. Damit überhaupt gefiltert werden kann, wird der https-Traffic im Filter entschlüsselt, und dann auf dem Weg zum Server (bei der Anfrage) bzw. zum Browser (bei der Antwort des Servers) erneut verschlüsselt.

Wenn die Boxen das so einfach entschlüsseln können, stellt sich natürlich die Frage, ob https überhaupt sicher ist. Und ja, es ist sicher. Die Sicherheit steht und fällt nämlich mit den so genannten Zertifikaten. Diese weisen den jeweiligen Server als zu einer Domain (z.B. "teltarif.de") oder zu einem Rechnernamen (z.B. "www.teltarif.de") gehörig aus. Bei der erneuten Verschlüsselung in den Filterboxen gehen jedoch die Original-Zertifikate verloren, und das erkennen die Browser und melden die jeweilige Seite dann als unsicher. Schließt man also z.B. einen Laptop an ein Firmennetz mit einer Filterbox an, und greift damit auf https://meine-bank.de/ zu, dann schlägt der Browser sofort Alarm!

Doch warum bekommt man in den genannten Firmennetzen beim Surfen von Firmen-PCs aus keine Warnmeldung? Nun, in den genannten Firmennetzen werden beim Installieren der Betriebssysteme auch Patches verteilt, die den Browsern vorschreiben, dass sie die von den Spion-Boxen selbst ausgestellten Zertifikate als vertrauenswürdig erachten sollen. Und schon verschwindet die Browser-Warnung in den Firmennetzen - aber eben auch nur dort.

Dennoch halten wir an der https-Umstellung fest. Denn für die genannten Firmennetze ist es mit https auch nicht schlechter als ohne. Für alle anderen ist es hingegen mit https auf jeden Fall sicherer.
Menü
[3.1] Mr-Fly antwortet auf Kai Petzke
26.10.2016 16:27
Benutzer Kai Petzke schrieb:
Das war früher mal. Kein aktuelles Firmennetz kommt mehr ohne https-Zugriff für die Mitarbeiter aus. Die entsprechenden Filter-Proxies, die früher nur HTTP filtern konnten, sind dafür auf https erweitert worden. Damit überhaupt gefiltert werden kann, wird der https-Traffic im Filter entschlüsselt, und dann auf dem Weg zum Server (bei der Anfrage) bzw. zum Browser (bei der Antwort des Servers) erneut verschlüsselt.
....

Jap, gut beschrieben. Vor allem Behörden tun sowas gern.
Wobei auch die Lerneffekte dabei hatten.
Zum Beispiel bei Banken dürfen sie rechtlich den Tunnel nicht trennen, da sie sonst die Haftung übernehmen müssen (bzw. Gerichte das so auslegen).
Deswegen ist meistens bei den Behörden eine Whitelist vorhanden mit Seiten, bei denen das Zertifikat doch "durchgeleitet" wird und nicht "in den SSL-Stream" reingeschaut wird. Problematisch wird das Ganze allerdings bei Software, die den Fingerprint mit in der Software liefert (Virenscanner haben das oft, dass sie die Updates nicht von Serven annehmen, die nicht den richtigen Fingerprint haben). Und bei dieser Software ist es auch gut so :-)
Die wird dann meist auch auf eine Whitelist "geschoben".