Forum: Offtopic https - generve mit den Suchmaschinen

Karl schrieb:
> Sind das alles https weil google nur https in die Suche einbezieht oder
> weil google https bevorzugt wenn verfügbar?

Wenn Du Dir mal Suchergebnisse ansiehst, wirst Du feststellen,
dass "https-freie"-Seiten praktisch gar nicht mehr auftauchen.



>> Warum sollte es in irgendeiner Form Sicherheitsrelevant
>> sein, wenn ich nach "pinbelegung 7400" suche?
>
> Das https wird spätestens dann interessant, wenn du dich im Forum
> einloggst,

darum geht es nicht - es geht um den Zugang zu Informationen.
Und der wird behindert.
Ich frage mich halt: warum ist das so?
Google tut nichts, was dem Unternehmen nicht einen Vorteil
bringt - oder bringen soll.
Mir ist nur noch nicht so ganz klar, wo der Vorteil für Google
denn nun liegt.


> kann man auch gleich alles über https laufen
> lassen. Tut ja nicht weh.

ja, kann man - wenn man will.
Aber ich möchte nicht dazu gezwungen werden. Denn "nicht-https"
tut erst recht nicht weh....

Und ich möchte erst recht nicht gezwungen werden, SSL-Zertifikate
zu kaufen oder regelmäßig zu erneuern - nur weil ich die
Pinbelegung eines 7400 veröffentliche.

Andre schrieb:
> Je mehr verschlüsselten Datenmüll wie produzieren, desto schwerer wird
> es die relevanten Daten rauszupicken.

ist es nicht vielmehr so, dass man - je mehr Datenstrom
man mitliest, auch um so mehr Möglichkeiten hat, den Schlüssel
zurück zu rechnen?
(nein, ich bin nicht tief genug in der Materie drin, um das beurteilen 
zu können - aber wenn jemand die Rechenleistung hat, das in einen 
bestimmten Zeitfenster zu schaffen, dann ja wohl Google)


> Ist hingegen alles verschlüsselt,
> kannst du von außen erst mal gar nicht erkennen was vorgeht.


Und das versucht Google nun zu erzwingen, weil sie es so gut
mit uns meinen?

räusper  ;-)

Wicki W. schrieb:
> in "normalen" Suchen bei Gurgel&Co tauchen Seiten
> ohne https praktisch gar nicht mehr auf.
>
> Warum sollte es in irgendeiner Form Sicherheitsrelevant
> sein, wenn ich nach "pinbelegung 7400" suche?

Auf den ersten paar Trefferseiten, die ich mir für diese Suchbegriffe
angeschaut habe, sind etwa 2/3 mit und 1/3 ohne HTTPS. "Praktisch gar
nicht" ist also leicht übertrieben.

Wenn ein Betreiber auch nur eine sicherheitskritische Webseite hat,
braucht er ein SSL-Zertifikat. Hat er dieses, wird er es auch auf alle
anderen seiner Webseiten anwenden, weil

- dies für ihn einfacher als eine explizite Unterscheidung zwischen
  sicherheitskritischen und -unkritischen Seiten ist und

- dies den Benutzern die lästige Browser-Warnung beim Wechsel von HTTPS-
  auf HTTP-Seiten erspart.

In der Tat. Ich find den https Hype auch ueberzogen. Mein altes Tablet 
kann auch kein https. Und vieles ist nicht mehr zugreifbar. Ein normaler 
Browser bringt eine Warnung wenn die Seite nicht https hat. Dabei : wenn 
keine personenlichen Daten uebertragen werden, braucht das auch nicht.

Bonzo N. schrieb:
> Mein altes Tablet kann auch kein https. Und vieles ist nicht mehr
> zugreifbar.

Das muss dann aber schon sehr alt sein.

Ich habe übrigens noch einen Apple II herumstehen, der kann weder HTTPS
noch HTTP. Warum schicken mir die Webseitenbetreiber ihre Inhalte nicht
einfach per Briefpost? Die meisten Webseiten enthalten doch nur Texte
und Bilder, die kann man doch problemlos auch in Papierform übermitteln
;-)

Wicki W. schrieb:
> darum geht es nicht - es geht um den Zugang zu Informationen.
> Und der wird behindert.
> Ich frage mich halt: warum ist das so?
> Google tut nichts, was dem Unternehmen nicht einen Vorteil
> bringt - oder bringen soll.

Dir geht es um den ungehinderten Zugang zu Informationen und verlässt 
dich dabei ausgerechnet auf Google? Der Fehler liegt klar bei dir. Ich 
verstehe dein problem zwar nicht ganz, aber bei der von mir bevorzugten 
Suchmaschine finde ich auch Seiten ohne HTTPS: 
https://duckduckgo.com/?q=pinbelegung+7400

Wicki W. schrieb:
> Und ich möchte erst recht nicht gezwungen werden, SSL-Zertifikate
> zu kaufen oder regelmäßig zu erneuern - nur weil ich die
> Pinbelegung eines 7400 veröffentliche.

letsencrypt ist kostenlos und automatisch.

Wo liegt jetzt eigentlich das Problem? Ich sehe nämlich keins!

Wicki W. schrieb:
> Bietet eigentlich irgendeine Suchmaschine eine Möglichkeit
> um gezielt nach "http" und nicht "https" zu suchen?

https://www.google.com/search?q=inurl%3A%5Ehttp%3A%2F%2F+7400

http://www.googleguide.com/advanced_operators_reference.html

Wicki W. schrieb:
> nehmen, damit man auch ja mitbekommt, worauf der schützenswerte
> User denn nun wohl klickt.

Ist bald nicht mehr nötig, sh:

https://www.bleepingcomputer.com/news/software/mozilla-firefox-to-enable-hyperlink-ping-tracking-by-default/

dann werden bei Klick gleich zwei Requests losgeschickt, einen zur 
Ziel-Seite, einen an Google um den Klick zu melden.
Ganz ohne Javascript und extra redirect-seite dazwischen.

Wer noch einen Webspace hat, der kein letsencrypt anbietet, der sollte 
seeehr schnell wechseln ;)

Wicki W. schrieb:



> Tatsache, das Gurgel&Co ja nicht mehr direkt zum Ziel
> verlinken sondern stets den Umweg über den eigenen
> Server
>
> 
"https://www.google.com/url?sa=t&rct=j&q=&esrc=s&source=web&cd=94&cad=rja&uact=8&ved=2ahUKEwjBnO3B8bjjA....";
>
> nehmen, damit man auch ja mitbekommt, worauf der schützenswerte
> User denn nun wohl klickt.
>
> Ehrlich gesagt: das kotzt mich an.

Regular depressions ;)

1

Hint: firefox-plugin "redirector" (oder Greasemonkey halt mit JS) 

2

Filtern und umleiten

3

4

5

http://www.google.com/search?num=100&ie=ISO-8859-1&q=https+-+generve+mit+den+Suchmaschinen

6

7

Suchergebnis:

8

9

http://www.google.com/url?q=https://www.mikrocontroller.net/topic/477641&sa=U&ved=2ahUKEwjK9MbKtbzjAhVn0FQKHe2tBHEQFjAAegQICBAB&usg=AOvVaw2sACxLbJxs1zdwIkBC-ZDh

10

11

testen (?<=\?q=)(.*)(?=&sa)

12

13

Alles zwischen ?q= und &sa

14

15

16

p450@box:$pcretest

17

PCRE version 7.7 2008-05-07

18

19

  re>  /(?<=\?q=)(.*)(?=&sa)/

20

21

data> http://www.google.com/url?q=https://www.mikrocontroller.net/topic/477641&sa=U&ved=2ahUKEwjK9MbKtbzjAhVn0FQKHe2tBHEQFjAAegQICBAB&usg=AOvVaw2sACxLbJxs1zdwIkBC-ZDh

22

 0: https://www.mikrocontroller.net/topic/477641

23

 1: https://www.mikrocontroller.net/topic/477641

24

25

26

/(?<=\?q=)(.*)(?=&sa)/ als SprungZiel beim "Redirector" angeben

27

bin aber paar FF-Versionen hintendran, ohne Gewähr.

28

29

30

have fun.

---

richtig lesbar sind die Googleergebnisse auch nur wenn man das ein wenig 
umsortiert und die h'lfte ausblendet, 'customize your web' ist aber 
leider tot.

Wicki W. schrieb:
> Welchen Grund hat das wirklich?

Bereits das TMG verlangt Verschlüsselung bei personenbezogenen Daten, 
die DSGVO legt dazu noch eine gute Schippe drauf. Da recht viele Seiten 
davon betroffen sind, wenngleich nicht unbedingt bei jeder Ressource 
einer Site, wurden in letzter Zeit sehr viele Sites generell auf HTTPS 
umgestellt. Sites partiell umzustellen scheitert an entsprechendem 
Gemecker von Browsern.

Wicki W. schrieb:
> Wesentlich Sicherheitsrelevanter finde ich da schon die
> Tatsache, das Gurgel&Co ja nicht mehr direkt zum Ziel
> verlinken sondern stets den Umweg über den eigenen
> Server

Das ist schon sehr sehr lange so und hat nichts mit HTTPS zu tun. Andere 
Suchmaschinen tun das nicht. Es gibt m.W. Browser-Plugins, die das aus 
der Seite wieder rauspopeln.

Dazu kommt, das diverse Webdesigner herumlaufen auf der Suche nach 
„unsicheren Webpräsenzen“ und Geschichten vom Wolf verbreiten um ihren 
googlelastigen Baukasten für „sicher und zeitgemäß“ zu preisen, als 
gelte es Saures Bier und falsche Reliquien an dürstende Pilger zu 
verschachern.

Namaste ?

Εrnst B. schrieb:
> Ist bald nicht mehr nötig, sh:
>
> 
https://www.bleepingcomputer.com/news/software/mozilla-firefox-to-enable-hyperlink-ping-tracking-by-default/
>
> dann werden bei Klick gleich zwei Requests losgeschickt, einen zur
> Ziel-Seite, einen an Google um den Klick zu melden.

Ist bei mir jetzt schon so. Hat Google da in letzter Zeit was 
umgestellt? Jetzt sieht das so aus

<a XXX="https://www.mikrocontroller.net/"; 
ping="/url?sa=t&amp;source[...]

und man kann die Links direkt copy/pasten. Ich meine das war bis vor 
kurzem noch nicht so. Der Ping wird selbst beim kopieren der URL 
ausgelöst, wenn ich uBlock Origin deaktiviere. Mit ist alles tutti.

Das XXX ist ein href. Und das triggert hier den Spam-Detektor.

Nachdem hier bisher noch keine zufriedenstellende Antwort auf die Frage 
erschienen ist, hier mal ein paar Informationen zum Thema 
SSL-Verschluesselung:

> Mein altes Tablet kann auch kein https.
Dein altes Tablet unterstuetzt sehr wohl https. Was es nicht 
unterstuetzen wird, sind die neueste Implementation von TLSv1.2 und 
entsprechende, sichere, Ciphersuiten. Da ist dann bei TLSv1.0 Schluss. 
Da diese Version aber als unsicher gilt (ueber diverse 
Sicherheitsluecken im Protokoll laesst sich der Datenstrom aufbrechen) 
wird dieses Verfahren nur noch selten verwendet bzw. ist im Bankensektor 
(Zahlungsverkehr/PCI) gaenzlich verboten. Entsprechend bleiben alte 
Geraete auf Seiten, welche kein TLSv1.0 mehr anbieten, aussen vor.


> ist es nicht vielmehr so, dass man - je mehr Datenstrom
> man mitliest, auch um so mehr Möglichkeiten hat, den Schlüssel
> zurück zu rechnen?
Nein, in der aktuellen Implementation von TLS wird der Schluessel 
zwischen den beiden Verbindungspartnern bestaendig geaendert. D.h. um 
einen Stream zu entschluesseln benoetigt man den beim initialen 
Verbindungsaufbau ausgehandelten Schluessel. Nur mit den Daten vom 
Verbindungsaufbau kann man dann alle weiteren Schluesselwechsel 
nachvollziehen. Theoretisch ist es natuerlich moeglich durch brute-force 
auch den Schluessel einzelner Datenpakete aufzubrechen, jedoch ist es 
dann immer noch nicht moeglich den kompletten Datenstrom zu lesen, da 
die Initalisierungsvektoren fehlen aus die sich die Schluessel fuer die 
vorhergehenden und folgenden Pakete ableiten liessen.


Nun zum eigentlichen Grund, warum Google Seiten mit 
Transportverschluesselung bevorzugt. Neben den offensichtlichen, bereits 
genannten Gruenden (persoenliche Informationen, wie Benutzername und 
Passwort bleiben geschuetzt, Integritaet der Daten bleibt gewahrt 
(Inhalte koennen auf dem Weg vom oder zum Client nicht geaendert 
werden)), geht es hier um zwei Dinge:
1) Staatlicher Zensur vorbeugen: Ein Geheimdienst, der versucht Daten 
mit zu lesen, kann auf diese Weise maximal erkennen welche Domain und 
welcher Server (IP) angesurft werden. Es kann weder die URL ausgelesen 
werden (das ist der Teil hinter dem 1. Schraegstrich '/') noch die 
Inhalte der Seite. Begehrlichkeiten bestimmte Inhalte zu filtern koennen 
so mit der Begruendung abgewehrt werden, dass man keine Informationen 
ueber die eigentlichen Inhalte hat. Kein IT-Unternehmen hat irgendein 
Interesse daran den Dienstleister fuer den Saat zu spielen.

2) Konkurrenz zu Google ausbooten: Hier wird es interessanter. Was in 
Deutschland bzw. Europa weniger denkbar ist, sieht in den USA ganz 
anders aus. Hier stach vor einiger Zeit der Provider Verizon hervor, der 
in die Verbindung seiner Kunden ein Tracking-Cookie eingeschleust hat 
und die Tracking-Daten zu Marketing-Zwecken verkauft hat. Das Perfide, 
das Cookie wurde im Provider-Netzwerk der HTTP-Verbindung durch einen 
Man-In-The-Middle Proxy hinzugefuegt. D.h. es gab fuer den Kunden keine 
Moeglichkeit dieses Cookie zu unterbinden, da es sich ausserhalb der 
Kontrolle befand.


Mit weniger invasiven Methoden haben Internetprovider aber auch schon 
vorher den Traffic analysiert und die Daten verkauft. Das forcieren von 
HTTPS ist also eine Initiative der grossen Werbenetzwerke (Facetube, 
Google, ...) wieder die Hoheit ueber ihren Traffic zu erhalten. Ausser 
ihnen kann keiner sonst nachvollziehen, welche Seiten die Benutzer 
ansurfen. Das macht ihre Daten natuerlich deutlich wertvoller, da die 
Werbenetzwerkbetreiber wieder das Monopol darueber haben.

Moritz M. schrieb:
> um
> einen Stream zu entschluesseln benoetigt man den beim initialen
> Verbindungsaufbau ausgehandelten Schluessel.

Nope. https://de.wikipedia.org/wiki/Perfect_Forward_Secrecy#Hintergrund 
3. Absatz.
Ansonsten wär PFS ja auch sinnlos.

SPF hatte ich indeed in dem Beispiel vergessen. Wobei es auch hier 
moeglich ist, den Stream aufzubrechen, wenn man einen der 
Sessionschluessel stiehlt. Daher ist es wichtig, dass eben auch die 
(private-)Keys fuer die Session-Tickets oefter durchrotiert werden. Dann 
laesst sich zumindest nur maximal bis zum Wechsel des session-keys 
mitlesen.

Nginx hat dafuer z.B. den Konfigurationsparameter ssl_session_timeout.

Karl schrieb:
> da kann man auch gleich alles über https lassen. Tut ja nicht weh.
Da muss ich widersprechen, und mal auf die dunkle Seite von TLS/HTTPS 
hinweisen.

Das Internet, müsst ihr wissen, ist kein Service anderer Anbieter, von 
dehnen man abhängig ist. Es ist ein globales Netzwerk gleichberechtigter 
Netzwerkteilnehmer. Theoretisch könnte jeder darin auch eigene 
Services anbieten. Der Einfachheithalber ignoriere ich vorerst mal die 
Problematiken mit NAT, ISPs und DNS/rDNS, würde sonst zu lange dauern.

In den Anfangszeiten des Internet gab es weder TLS noch DNS. Domains 
wurden in die /etc/hosts eingetragen, und alle Türen standen weit offen. 
Das Web existierte so noch nicht, aber ich glaube Technologien wie 
UseNet und E-Mail gab es schon. Das war noch vor meiner zeit. Das 
interessante damals war: Das Internet war maximal dezentralisiert. Es 
gab keine zentralen Service Anbieter wie Google & CloudFlair, über die 
alles lief. Es gab keine Anbieter, die dir nahmen verkauften. Es gab 
keine Authoritäten, die sagten, "Server x mit Domainname Y hat ein 
Zertifikat von mir, der ist Sicher!". Es war aber auch noch nicht 
besonders weit verbreitet zu dem Zeitpunkt. Dafür wussten viele, die 
sich damit beschäftigten, wie es funktionierten, und stellten selbst 
dinge ins Internet.

DNS war definitiv eine gute neue Technik, keiner will selbst die IPs von 
anderen raussuchen müssen. DNS ist hierarchisch aufgebaut, es gibt 
Authoritäten auf jeder Ebene . ch. seite.ch., etc. Aber es gibt sehr 
viele Registrare, und die Domains sind deshalb sehr billig geblieben. 
Nicht ideal, aber definitiv besser als ohne, und man muss es ja nicht 
verwenden.

Das Web war dann eigentlich auch eine tolle Sache. Seiten hatten noch 
keine Werbung, alles war untereinander Verlinkt, und alles noch sehr 
dezentralisiert. Läute nutzten noch ihre eigenen PCs als Webserver und 
schrieben Blogs und private Seiten. Auf die Browserkriege und die 
Problematik mit der W3C/wer über das Web entscheidet, lass ich jetzt 
auch erst mal aus. Dann kam google. Zweifellos wurde alles einfacher zu 
finden, aber Leute verlinkten nun weniger auf andere Seiten, die sie 
mochten oder Interessant fanden, versuchten stattdessen mit SEO 
Optimierungen an die Suchlistenspitze zu kommen, einige wenige Services 
wie Facebook, Twitter, etc. bekamen populär, und blieben es, denn die 
Leute und Inhalte waren nun nur noch dort. RSS Feeds verwenden auch nur 
noch weniger. Das Web hat sich zentralisiert. Das hat seine guten und 
schlechten seiten. Wäre es aber anders gekommen, und alle würden 
immernoch alles selbst hosten und sich immer noch maximal untereinander 
verlinken, könnte man mit vielleicht 10-20 Klicks von jeder Seite 
weltweit auf jede andere Seite weltweit kommen (wegen 
https://en.wikipedia.org/wiki/Small-world_network).

Irgendwann parallel zum Web kam TLS & HTTPS auf. Persönliche Daten 
mussten vor kriminellen geschützt werden. Root CAs entstanden, denen die 
Browser und die OS Hersteller vertrauten. Diese neuen Authoritäten 
verkauften teure Zertifikate. Aber TLS/HTTPS ist noch optional, die 
Situation ist akzeptabel.

Als nächstes kam, unterstützt durch firmen hinter der W3C, LetsEncrypt. 
Die erste CA, die gratis Zertifikate vergab. Ihre veröffentlichten ACME 
RFCs/Standards erlaubten automatische Zertifikatsausstellungen, und sie 
bieten den Service gratis an. Hunderte ACME Clients entstanden (auch ich 
hab einen geschrieben https://github.com/Daniel-Abrecht/DPA-ACME2). 
Theoretisch könnten auch andere auch andere CAs automatische 
Zertifikatausschtellung mit ACME anbieten, macht aber glaub ich keiner, 
zumindest nicht gratis. Praktisch gesehen wird heute auch niemand mehr 
einfach so eine Root CA (es gab bereits nicht-von-browsern vertraute 
gratis Root CAs vor LetsEncrypt). Nun da die Zertifikate, (zumindest die 
nicht-EV), Gratis sind, und von allen akzeptiert werden, holt sich jeder 
ein Zertifikat. Auch ich hab eins, weil noch gratis. LetsEncrypt hat 
sich zum ziel gesetzt, das gesammte Web, oder vielleicht sogar das ganze 
Internet, alles darin, mit TLS zu verschlüsseln. In der 
Internet-Geselschaft, die daraus entstanden ist, gilt nun, wer kein 
Zertifikat hat, als unverantwortlich, unsicher, etc. Natürlich pusht 
auch die W3C für https überall. Im Moment sind http Verbindungen nur 
eine Warnung, aber irgendwann könnten diese ganz verhindert werden. Im 
moment gibt es noch gratis Zertifikate von LetsEncrypt, aber für wie 
lange noch? Wird LetsEncrypt mangfristig überhaupt überleben? 
Alternative Lösungen wie z.B. DANE 
(https://en.wikipedia.org/wiki/DNS-based_Authentication_of_Named_Entities), 
die keine Autoritäten zusätzlich zu den DNS Registraren benötigen wollen 
Browserhersteller nicht unterstützen.

Hinter der W3C stehen grosse Firmen, wie Microsoft, Google, Mozilla, 
etc. Diesen Firmen sind die Nutzer des Web und Internet vermutlich egal, 
sie haben ihre eigenen Agendas (man denke nur an Encrypted Media 
Extensions (EME)). Die Browserhersteller kontrollieren, zumindest unter 
Windows, welchen CAs ihre Browser vertrauen, und welchen nicht. Die W3C, 
bzw. die Firmen dahinter, haben jetzt schon die volle Kontrolle über die 
Web Standards. Sobald alles HTTPS nutzt/nutzen muss, werden sie aber 
auch die Kontrolle darüber haben, wer Webservices anbieten kann! Im 
schlimmsten Fall, könnte daraus sogar die Kontrolle, wer internet 
Services anbieten kann, werden!!!

Und das ist dunkle Seite von HTTPS/TLS.