[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [FYI] Webwasher AG stellt weltweit erste Lösung zur Filterung von verschlüsseltem Web-Verkehr vor

To: Gert Doering <gert@greenie.muc.de>, Joerg-Olaf Schaefers <listen@fx3.de>
Subject: Re: [FYI] Webwasher AG stellt weltweit erste Lösung zur Filterung von verschlüsseltem Web-Verkehr vor
From: Alvar Freude <alvar@a-blast.org>
Date: Wed, 12 Mar 2003 01:07:03 +0100
Cc: debate@lists.fitug.de, action@lists.fitug.de
Delivered-to: mailing list debate@lists.fitug.de
In-reply-to: <20030311210653.H13800@greenie.muc.de>
List-help: <mailto:debate-help@lists.fitug.de>
List-id: <debate.lists.fitug.de>
List-post: <mailto:debate@lists.fitug.de>
List-subscribe: <mailto:debate-subscribe@lists.fitug.de>
List-unsubscribe: <mailto:debate-unsubscribe@lists.fitug.de>
Mailing-list: contact debate-help@lists.fitug.de; run by ezmlm
References: <189710254511.20030311194942@fx3.de><20030311210653.H13800@greenie.muc.de>

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Hi,

- -- Gert Doering <gert@greenie.muc.de> wrote:

> Interessant, ja.  Eigentlich duerfte es nicht gehen, denn selbst
> Loesungen die auf DNS-Verbiegung und/oder MITM basieren, scheitern beim
> SSL-Zertifikat des Servers -> Fehlermeldung im Client-Browser.
> 
> Anders ist das natuerlich, wenn der Client sich bewusst ist, dass da ein
> Proxy dazwischen ist, und nur das SSL-Zertifikat des Proxies prueft.

warum, im Prinzip ist es ganz einfach:

Client in $FIRMA hat HTTPS-Proxy eingestellt.

wenn da eine Anfrage rein kommt, wird die nicht ungesehen auf den
Zielrechner getunnelt, sondern auf einen lokalen Server oder auf sich
selbst.

Der hat für alle erlaubten Sites schon fertige gefälschte Zertifikate,
also eine z.B. für Amazon, die von einer firmeninternen CA signiert sind.

Diese CA ist bei den Browsern in der Firma als "vertraue denen, was die
zertifizieren" eingestellt. Das heisst: der Browser gibt keine Warnung,
wenn er sich mit einem falschen Webserver verbindet, weil er den als
vertrauenswürdig einstuft.

Dieser besagte Webserver (oder im Proxy drin) kann zur Not für neue
Domains die Zertifikate On-The-Fly generieren oder eben alles unbekannte
verbieten.

Dann wird da der Request entschlüsselt und ganz normal wieder
verschlüsselt an den Originalserver neu gestellt. Die Daten werden dann
auf dem Weg zum User vom Originalserver geholt, im Proxy entschlüsselt,
getestet und wieder neu verschlüsselt (mit selbstgebautem Zertifikat,
signiert von eigener CA) zum Client geschickt.

Dazu muss man dann zwar auf den Clients das firmeninterne CA
installieren, aber das ist ja nicht wirklich ein Problem.
Und zur Not kommt halt eien Warnung -- wer liesst schon Warnmeldungen?!?

Ciao
  Alvar

- -- 
** Alvar C.H. Freude -- http://alvar.a-blast.org/
** 
** ODEM-Aktuell: http://odem.org/informationsfreiheit/o-ton.html
**               http://www.heise.de/ct/aktuell/data/jk-28.01.03-010/

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.1 (FreeBSD)

iD8DBQE+bnonOndlH63J86wRAi0PAJ4jikdX+kUvI5V4aN2efOWssvPQgwCgizqx
K5pLDuw/4yYATfSebt7+7mw=
=matu
-----END PGP SIGNATURE-----

--
To unsubscribe, e-mail: debate-unsubscribe@lists.fitug.de
For additional commands, e-mail: debate-help@lists.fitug.de

Follow-Ups:
- Re: [FYI] Webwasher AG stellt weltweit erste Lösu ng zur Filterung von verschlüsseltem Web-Verkehr vor
  - From: "Axel H Horns" <axel.h.horns@gmx.net>

References:
- [FYI] Webwasher AG stellt weltweit erste Lösung zur Filterung von verschlüsseltem Web-Verkehr vor
  - From: Joerg-Olaf Schaefers <listen@fx3.de>
- Re: [FYI] Webwasher AG stellt weltweit erste Lösung zur Filterung von verschlüsseltem Web-Verkehr vor
  - From: Gert Doering <gert@greenie.muc.de>

Prev by Date: Re: Nochmal Folterei
Next by Date: Re: Nochmal Folterei
Previous by thread: Re: [FYI] Webwasher AG stellt weltweit erste Lösung zur Filterung von verschlüsseltem Web-Verkehr vor
Next by thread: Re: [FYI] Webwasher AG stellt weltweit erste Lösu ng zur Filterung von verschlüsseltem Web-Verkehr vor
Index(es):
- Date
- Thread