Post by Ralph AichingerPost by Günther DietrichMan sollte hier nicht vom End-User ausgehen, der 20 Jahre verschlafen
hat, sondern vom Betreiber der Web-Site. Der End-User hat hier inden
allermeisten Fällen keinen direkten Einfluss darauf, ob der betreffende
Web-Server SSL/TLS verwendet.
Eigentlich alle ernsthaften Websites nehmen heute TLS, zumindest dann
wenn es um Bezahlung oder anderswie wichtige Daten geht.
Waren da nicht neulich einige Vorfälle bezüglich der Sicherheit von TLS?
Post by Ralph AichingerUnd wenn man sich durchs VPN auf einen unverschlüsselten Server
raus verbindet, dann kann noch immer auf der Strecke vom VPN-
Endpunkt zum Server hin was schiefgehen.
Es ist ein sehr großer Unterschied, ob man seine Daten unverschlüsselt
in die Luft bläst, wo jeder sie abgreifen kann, oder ob man sie einer
Leitung übergibt, andie heranzukommen schon einiges an krimineller
Energie bedarf.
Der gemeine Cracker wird es sich nicht antun, Leitungen anzuzapfen,
solange ihm einträgliche Daten frei Haus über die Luft geliefert werden.
Welches Ende der Übertragungsstrecke es vorrangig gilt, abzusichern,
ergibt sich daraus von selbst.
Du und Marcus dagegen sagt, dass man das leicht angreifbare Ende nicht
zu schützen braucht (oder vielleicht sogar nicht schützen soll), weil
man auf den Schutz des schlecht angreifbaren Endes keinen Einfluss hat.
Das ist, als ob ihr propagieren würdet, man solle seine Wohnungstüre in
der 8. Etage nicht abschließen, weil die Feuerwehr mit dem Leiterwagen
ja trotzdem über den Balkon in die Wohnung könnte.
Post by Ralph AichingerPost by Günther DietrichUnd genau das ist bei Mobilgeräten ausschlaggebend!
Jein. Ich denke es gibt Szenarien wo das zentral ist (Client greift
aus WLAN in obskurem Internet-Cafe zu), es gibt aber andere wo das
überhaupt keine Hilfe ist (Client greift aus mobilem LTE-Internet
zu (das providerseitig nicht unsicherer ist als ein verkabelter
Provider), weil die Strecke vom VPN-Endpunkt durch dubiose
Kanäle geht.
Wie oben schon geschrieben: Man muss berücksichtigen, wie groß das
Risiko eines Angriffes ist. Und das ist nunmal bei annähernd 1, wenn die
Daten unverschlüsselt über ein Medium gehen, auf das Alle direkten
Zugriff haben.
Post by Ralph AichingerPost by Günther DietrichPost by Marcus JodorfDer Router sendet es dann wieder ganz normal unverschlüsselt zu X, nimmt
von dort den Traffic wieder unverschlüsselt entgegen und sendet das
wieder auf dem letzten Stück zu Dir verschlüsselt zurück.
Da gewinnst Du durch den Tunnel ziemlich genau gar nichts, weil Du damit
nur ein verschlüsseltes Teilstück/Umweg einfügst.
Es wird genau dort verschlüsselt übertragen, wo es besonders wichtig ist.
Das kann manchmal der Fall sein. Oder eben auch nicht. Das ist so
wie wenn man sagen würde: Nur das Schloß an der Vordertür muß robust
sein, bei der Hintertür kann man das ignorieren.
Siehe oben: Wo besteht ein nennensweres Risiko, und wo ist das Risiko
nicht so hoch?
Post by Ralph AichingerPost by Günther DietrichEs schützt zwar nicht vor Dummheit, aber es schützt davor, dass Hackern
Zugangsdaten frei Haus geliefert werden.
Nicht notwendigerweise. Am "anderen Ende" (zwischen VPN-Endpunkt
und Zielserver) kann noch genug schiefgehen. Wenn z.B. der überezeugte
VPN-Nuter ins VPN reingeht, von dort wieder ins Internet, und dann
um sich ein Video runterzualaden in den beliebten russischen
Videosite mit Kreditkarteneingabe und Mafiakontakten, dann hilft
das schönste VPN nichts.
Biedermann und die Brandstifter. Dagegen kommt man mit keinem
technischen Mittel an.
Für alle diejenigen, die sich die Brandstifter nicht ins Haus einladen
gibt es aber Mittel, um es den nicht Eingeladenen zu erschweren, ins
Haus zu kommen.
Ich halte es für eine sehr seltsame Mentalität, diese Mittel nicht
einzusezten, nur weil man die Möglichkeit hat, den dummen Fehler zu
machen, sich die Brandstifter in Haus einzuladen.
Man könnte fast glauben, Du und Marcus hättet ein Interesse daran, dass
die Daten Anderer frei über die Luft zugänglich bleiben.
Post by Ralph AichingerPost by Günther DietrichFalls Du es vergessen haben solltest: Wenn man mit einem mobilen
Endgerät per _fremdem_ WLAN (Hot-Spot, etc.) im Internet unterwegs ist,
gehen die IP-Pakete entweder vollkommen unverschlüsselt per Funk in die
Luft, oder man teilt sich meist den selben Schlüssel mit vielen Anderen.
Es können dann entweder Alle, oder zumindest diejenigen, die im selben
WLAN hängen, diese IP-Pakete mitlesen, und damit z.B. auch Passworte
abgreifen.
Das kann man auch lösen indem man halt kein fremdes WLAN verwendet,
sondern einfach LTE oder sowas aufdreht.
Selbst in diesem Fall würde ich meine Daten nur äußerst ungern
unverschlüsselt in die Luft blasen. Auch hier würde ich ein VPN
bevorzugen. Denn: In der Luft kann jeder an die Daten heran. Und man
weiß nicht, ob der Provider sie verschlüsselt, und wie gut. Hat man ja
schon bei GSM gesehen, wie gut das funktioniert hat.
Post by Ralph AichingerPost by Günther DietrichErst wenn man dieses Loch durch die Nutzung eines VPN _ohne_ so einen
Murks wie Split-Tunneling stopft, wird es einigermaßen sicher.
Split-Tunneling ist kein Murks sondern eine Sache die u.U. sehr
sinnvoll ist. Wozu den gesamten YouTube-Traffic durch den VPN-Tunnel
stopfen, wenn es nicht mehr Sicherheit bringt, sondern nur den
Tunnel zustopft.
Wenn es kein Murks sein sollte, dannmüsste es aber konfigurierbar sein.
So wie ich Marcus verstehe, ist es das aber eben nicht. Also Murks.
Post by Ralph AichingerPost by Günther DietrichUnd selbst wenn man ausschließlich mit Sites kommunizieren sollte, die
TLS verwenden, geht es all diejenigen, die den Funkkanal mit einem
teilen, nichts an, welche das sind. Auch dieses Wissen wird durch ein
_richtiges_ VPN geschützt.
Ich sehe es eher umgekehrt: Es bringt nichts unverschlüsselten
Verkehr (Linux-Downloads, Windows-Updates, Youtube ...) durch
den VPN-Tunnel zu jagen, und dadurch langsamer zu machen. Sowas
kann man ruhig direkt abwickeln.
Siehe oben: Dann muss es konfigurierbar sein, so dass man selbst
bestimmen kann, was durch den Tunnel soll, und was nicht. Dabei muss der
Default sein, dass die Daten durch den Tunnel gehen. Nur explizit
ausgewählte Ziele dürfen als Ausnahme direkt angesprochen werden.
Ansonsten reißt man wieder ein großes Sicherheitsloch. Und bei den
Ausnahmen muss man sehr genau abwägen, ob da nich doch auch vertrauliche
Daten involviert sind.
Ja, Sicherheit ist mit Bequemlichkeit nicht so einfach zu vereinen!
Post by Ralph AichingerEs bringt aber auch nichts, wenn man irgendwelche Phishing-Sites
durch den VPN-Tunnel ansteuert, dadurch wird auch nichts sicherer.
Wie oben schon geschrieben: Nur weil man sich Brandstifer ins Haus
einladen _könnte_, das Schloss an der Wohnungstüre wegzulassen, wäre
schon ziemlich dämlich. Und wenn jemand Anderen das ernsthaft empfiehlt,
weiß ich nicht so recht, was ich von ihm halten soll.
Grüße,
Günther