Lesetipps: Datenschutz vs. Überwachung, iOS Tracking, taube Anonymous

Kommentare zu folgendem Beitrag: Lesetipps: Datenschutz vs. Überwachung, iOS Tracking, taube Anonymous

Thema Anonymous:

Ich hatte beim ersten Lesen echt vermutet, dass Anonymous nun eine neue, eigene Rasse von Tauben bzw. Brieftauben gezüchtet hat, um anonyme Nachrichten von Taubenschlag zu Taubenschlag zu übermitteln!! :wink: :rofl: :rofl:

Kurz als Ergänzung zu: iOS Tracking – illegale Datensammlung nicht nur in Deutschland.
Wer es ganz genau wissen möchte, für den gibt es hier die bei Gericht eingereichte Beschwerde als PDF.

@Ghandy wie siehst du das? Kannst du mittlerweile noch ohne schlechtes Gewissen iOS nutzen oder gar weiterempfehlen? Würdest du trotzdem wieder so einen Apfel kaufen? Tatsache ist ja, es wird nicht besser, sondern schlimmer. Abzocke der Nutzer auf ganzer Linie. Von den gnadenlos überteuerten Produkten jetzt mal nicht zu reden.

:rofl:

Apple MacBook Air Space Gray, Apple M1, 7 Core GPU, 8GB RAM, 256GB SSD [2020 / Z124] (MGN63D/A)

ca. 1080€ im Durchschnitt

Apple MacBook Pro 13.3" silber, Apple M1, 8GB RAM, 256GB SSD [2020 / Z11D] (MYDA2D/A)

ca. 1400€ im Durchschnitt

Apple MacBook Pro 13.3" silber, Apple M1, 8GB RAM, 512GB SSD [2020 / Z11D/Z11F] (MYDC2D/A)

ca. 1620€ im Durchschnitt

16 GB RAM schlagen bei allen drei Konfigurationen mit einem Plus von ca. 224€ zu Buche!!!

Apple MacBook Pro 13" mit 2 GHz schnellem Core-i5-Prozessor von Intel, 16 GByte RAM und 512 GByte SSD

ca. 2075€ im Durchschnitt

:thinking:

Aber es gibt ja noch Leute, die Apple verteidigen. Und wer weiß, eventuell schafft man es irgendwann wieder dieser Firma zu vertrauen.

Does Apple really log every app you run? A technical look

Naja…aber mal ehrlich: Warum sollte es Apple-Usern besser gehen, als denen, über die sie jahrelang hergezogen und gelacht haben?!?
Nun, dass was während der Panne beim Release von macOS „Big Sur“ passiert ist, hat halt dazu geführt, dass auch eingefleischte Apfel-Jünger, die Praktiken des Unternehmens hinterfragten!

OCSP steht für Online Certificate Status Protocol. Wie der Name schon sagt, wird es verwendet, um die Gültigkeit eines Zertifikats zu überprüfen, ohne große Sperrlisten herunterladen und scannen zu müssen…macOS verwendet OCSP, um sicherzustellen, dass das Entwicklerzertifikat nicht gesperrt wurde, bevor eine Anwendung gestartet wird.

Also bitte nicht wundern, dass die folgenden OCSP-Fakten sich nicht ausschließlich auf macOS beziehen, sondern auf die allgemeine Funktionalität in der Netzwerktechnik! Zertifikatsprüfungen sind halt überall gleich, wenn sie OCSP beinhalten!! :wink:

OCSP hat einen Konstruktionsfehler, der dazu führt, dass das Sperren von Zertifikaten eigentlich nicht funktioniert. Das heißt, ein Zertifikat wird akzeptiert, obwohl es zwischenzeitlich zurückgezogen bzw. gesperrt wurde.

Wie kann das sein? Der Haken an OCSP ist der, dass ein Browser einen unbeantworteten OCSP-Request als ein „OK“ akzeptiert. Das bedeutet, dass ein Browser ein Zertifikat als gültig akzeptiert, das nicht vollständig geprüft werden kann. Doch warum ist das so?

  • Weil ein OCSP-Request den Verbindungsaufbau zu verschlüsselten Webseiten verlängert. Neben dem HTTPS-Request und dem darauffolgenden SSL/TLS-Verbindungsaufbau muss auch noch ein OCSP-Request erfolgen, was den Seitenaufbau verzögert. Und das möchte man den Nutzern nicht zumuten. Die Browser-Hersteller wollen natürlich nicht für ein langsames Internet verantwortlich sein.

  • Außerdem muss man berücksichtigen, dass der Ausfall eines einzigen OCSP-Servers große Teile des Internets lahmlegen würde. Da würde schon eine gezielte DDoS-Attacke auf einen solchen Server ausreichen und schon wäre er nicht mehr erreichbar.

Zusammenfassend kann man sagen, dass wenn ein Browser nach einem OCSP-Request nicht innerhalb einer bestimmten Zeit einen Response bekommt, dann ignoriert er diesen Zustand einfach und akzeptiert ein Zertifikat als gültig, obwohl es zwischenzeitlich vielleicht gesperrt wurde. Das machen alle Browser so, weil die Infrastruktur einfach nicht verlässlich genug ist und es zu viele Fehlalarme geben würde.

OCSP-Anfragen verzögern auf der einen Seite den Seitenaufbau. Und auf der anderen Seite tragen sie zum Schutz vor Angriffen wenig bei. Was der Art und Weise geschuldet ist, wie die Prüfung umgesetzt ist.
Der Nutzen von OCSP ist auch deshalb fragwürdig, weil ein Angreifer, der per Man-in-the-Middle eine verschlüsselte Verbindung umleiten und übernehmen kann und dazu ein gesperrtes Zertifikat benutzt, auch ohne Probleme die OCSP-Kommunikation unterbinden kann. In so einem Fall würde der Client das Zertifikat akzeptieren und nicht bemerken, dass etwas nicht stimmt.

Das für einen sicheren Betrieb erforderliche Sperren von Zertifikaten in SSL bzw. TLS funktioniert also nicht wirklich. Es gibt keine wirklich funktionierenden Sperrmechanismen für Server-Zertifikate. Der Grund, weil überhaupt keine wirksame Prüfung von Zertifikaten stattfindet. Das bemerkenswerte daran ist, dass das die Öffentlichkeit ignoriert.

Um es kurz und knapp auszudrücken, OCSP ist ziemlicher Schrott. Dabei ist es auch völlig egal, in welchem Zusammenhang man dieses Prüfungsverfahren letztlich einsetzt - es ist halt beim letzten Apple-Release einfach extremst negativ aufgefallen!!
In der reinen Netzwerktechnik ist diese Problematik allerdings schon fast 30 Jahre bekannt und wird fortwährend still akzeptiert…
Um solche Prüfungsszenarien erfolgreich zu absolvieren, muss man wohl oder übel wieder auf die altbackenen CRLs (dyn. Sperrlisten) zurückgreifen! Dieses System arbeitet eigentlich sehr zuverlässig, solange in den CRLsets keine Massensperrungen von Zertifikaten durchgeführt werden.
In der Windows-Welt wird seit jeher bei Server / Client - Systemen bei der Konfiguration dazu geraten, Zertifikate allgemein nur sehr kurzlebig zu gestalten, oder wenn zwingend OCSP erforderlich ist, die Prüfungen nur über OCSP-Stapling abzuwickeln!

1 Like