Login via TOR 14
8 years ago
Servus.
Ich habe die Logins via TOR verboten weil darüber bisher nur Schindluder getrieben wurde. Zum Glück nichts strafrechtlich relevantes.
Mittels https kannst du den Netzwerkadmins noch eine lange Nase drehen wenn du möchtest. ;)
LG Hendrik
Ich habe die Logins via TOR verboten weil darüber bisher nur Schindluder getrieben wurde. Zum Glück nichts strafrechtlich relevantes.
Mittels https kannst du den Netzwerkadmins noch eine lange Nase drehen wenn du möchtest. ;)
LG Hendrik
#2Report
8 years ago
Es gibt auch SSL-Interception ;)
#3Report
8 years ago
Es gibt sicher Fälle, wo TOR Sinn macht. Aber warum sollte man das hier brauchen? Klär mich mal bitte einer auf :-)
"Es gibt auch SSL-Interception ;)"
ja, es komm auch drauf an, was der Server aus der Cipher-Suite anbietet. Aber selbst bei nur relativ unsicheren Verschlüsselungen, wird wohl keiner den Aufwand treiben, HIER deine Anmeldung abzuhören. Ich würde es auf jeder Fall nicht machen.
LG Rüdiger
"Es gibt auch SSL-Interception ;)"
ja, es komm auch drauf an, was der Server aus der Cipher-Suite anbietet. Aber selbst bei nur relativ unsicheren Verschlüsselungen, wird wohl keiner den Aufwand treiben, HIER deine Anmeldung abzuhören. Ich würde es auf jeder Fall nicht machen.
LG Rüdiger
#4Report
[gone] nofkabu
8 years ago
Du hast wohl den falschen Exit-Node erwischt. Meiner geht ... noch.
Aber zu Herrn Keikel... Es soll auch Admins in den Netzen geben in denen man sich aufhält. Und vielleicht soll es gerade da nicht auffallen.
Es gibt nette Geräte, die in der Tat auch für https einen MITM Proxy transparent darstellen. OHNE Zertifikatswarnung. Aber wer so ein Ding betreibt, sollte auch TOR oder anderem VPN Traffic eigentlich auf die Schliche kommen und wegbügeln.
Ich denke, es geht eher nicht darum, dass die Admins hier mitsniffen. Die können dasn nämlich bequemer auf ihrem Ende der Server-Leitung.
Aber zu Herrn Keikel... Es soll auch Admins in den Netzen geben in denen man sich aufhält. Und vielleicht soll es gerade da nicht auffallen.
Es gibt nette Geräte, die in der Tat auch für https einen MITM Proxy transparent darstellen. OHNE Zertifikatswarnung. Aber wer so ein Ding betreibt, sollte auch TOR oder anderem VPN Traffic eigentlich auf die Schliche kommen und wegbügeln.
Ich denke, es geht eher nicht darum, dass die Admins hier mitsniffen. Die können dasn nämlich bequemer auf ihrem Ende der Server-Leitung.
#5Report
8 years ago
Ich glaube, es wird zuviel schlechtes Zeug im TV gezeigt oder zuviel schlechte (Fach-)Bücher gelesen. Ich glaube, ich kenne mich mit IT-Sicherheit sehr gut aus. Was du mir sagen willst, ist mir aber nicht klar.
Zertifikatswarnungen kommen immer vom Endgerät. Wie willst du denn mit einem Proxy ein falsches Zertifikat unterjubeln? Ich meine einen Proxy, der nicht beim Betreiber der Seite seht. Und mitsniffen kannst du bei HTTPS und einer sicheren Implementierung auf Server-Seite gar nix außer verschlüsselte Daten.
LG Rüdiger
Zertifikatswarnungen kommen immer vom Endgerät. Wie willst du denn mit einem Proxy ein falsches Zertifikat unterjubeln? Ich meine einen Proxy, der nicht beim Betreiber der Seite seht. Und mitsniffen kannst du bei HTTPS und einer sicheren Implementierung auf Server-Seite gar nix außer verschlüsselte Daten.
LG Rüdiger
#6Report
[gone] User_377124
8 years ago
und warum, sollte man das risiko eingehen wollen, das jemand aus dem tor netzwerk die account daten
mitbekommt ?
tor ist zum anonym surfen. wenn du dich einloggst ist es nicht mehr anonym (?)
mitbekommt ?
tor ist zum anonym surfen. wenn du dich einloggst ist es nicht mehr anonym (?)
#7Report
8 years ago
wieder ein Beitrag aus dem Zusammenhang gerissen. Die MK geht nur mit HTTPS -> aller Verkehr ist verschlüsselt, auch die und besonders die Anmeldung. Ihr könnt machen was ihr wollt, die Anmeldedaten kann keiner mitschneiden (wenigstens nicht durch Sniffing). Mit oder ohne TOR.
Ein anderer Ansatz wäre das Auslesen der Cookies.... und das Stehlen der Session. Angreifer würden eher das machen.
Ein anderer Ansatz wäre das Auslesen der Cookies.... und das Stehlen der Session. Angreifer würden eher das machen.
#8Report
8 years ago
Hallo Rüdiger,
vielleicht solltest du auch mal größeren Unternehmen z.B. im Finanzsektor betrachten :)
Indem der Proxy on-the-fly ein Zertifikat für den Client generiert, welches von einer CA abstammt, die im Client als vertrauenwürdig hinterlegt ist. Da kommt keine Zertifikatswarnung, die verschlüsselte Verbindung des Clients endet bereits im Proxy (liegt dort im Klartext vor) und der Proxy baut seinerseits eine gesicherte Verbindung zur HTTPS-Site auf.
Klingt unwahrscheinlich? Naja, nicht wenn Proxy und Client-Rechner von der gleichen Hand betreut/gestellt werden :)
Gruß,
Andreas
Ich glaube, ich kenne mich mit IT-Sicherheit sehr gut aus. Was du mir sagen willst, ist mir aber nicht klar.
vielleicht solltest du auch mal größeren Unternehmen z.B. im Finanzsektor betrachten :)
Wie willst du denn mit einem Proxy ein falsches Zertifikat unterjubeln?
Indem der Proxy on-the-fly ein Zertifikat für den Client generiert, welches von einer CA abstammt, die im Client als vertrauenwürdig hinterlegt ist. Da kommt keine Zertifikatswarnung, die verschlüsselte Verbindung des Clients endet bereits im Proxy (liegt dort im Klartext vor) und der Proxy baut seinerseits eine gesicherte Verbindung zur HTTPS-Site auf.
Klingt unwahrscheinlich? Naja, nicht wenn Proxy und Client-Rechner von der gleichen Hand betreut/gestellt werden :)
Gruß,
Andreas
#9Report
8 years ago
Ich betrachte IMMER große Unternehmen, meist im Finanzsektor :-)
Also der Proxy und der Client sind in gleicher Hand? Warum soll dann der Proxy ein Zertifikat generieren, das von einer CA abstammt? Ich kenne mich mit Proxies nicht wirklich aus, aber mir scheint dieses Szenario etwas komisch.
Hilf mir mal. Vielleicht eine nette Grafik aus dem www als Link :-)
LG Rüdiger
Also der Proxy und der Client sind in gleicher Hand? Warum soll dann der Proxy ein Zertifikat generieren, das von einer CA abstammt? Ich kenne mich mit Proxies nicht wirklich aus, aber mir scheint dieses Szenario etwas komisch.
Hilf mir mal. Vielleicht eine nette Grafik aus dem www als Link :-)
LG Rüdiger
#10Report
#11Report
#12
[gone] User_237642
8 years ago
eigentlich war der tor browser nur ne einfache möglichkeit, sowohl die dns-anfrage als auch die ziel-ip zu verbergen.
#13Report
8 years ago
Ich kann da Henrik voll verstehen. Wir sehen auch auf unserer Webseite täglich mindestens 20-50 Hackversuche über den Torbrowser auf unserer Webseite.
Ob es da jemand einfach nur zum "Spaß" probiert, oder mehr dahinter steckt sei mal dahingestellt......
Ob es da jemand einfach nur zum "Spaß" probiert, oder mehr dahinter steckt sei mal dahingestellt......
#14Report
Topic has been closed
Warum ist das so? Findet Identitätsdiebstahl hier so häufig statt, daß man die IP braucht? Wurde schonmal Strafrechtliches in die Wege geleitet?
Andersherum: warum muß ich jedem Netzwerkadmin potentiell zeigen, daß ich mich hier einlogge?