it-swarm.com.de

Warum sollte es mich interessieren, ob eine Site Verschlüsselung verwendet oder nicht, wenn ich keine sensiblen Daten austausche?

Viele Websites, die sich heutzutage nicht mit sensiblen Daten befassen, ermöglichen die Verschlüsselung. Ich denke, es geht hauptsächlich darum, dass sich (paranoide?) Benutzer sicherer fühlen. In Fällen, in denen ein Benutzerkonto angemeldet ist und auf dessen persönliche Daten zugegriffen wird, sehe ich, wie nützlich dies sein kann.

Aber was ist, wenn ich nur eine Nachrichtenseite lese? Jeder hat Zugang dazu, es ist sogar überall in Zeitungen. Was bringt es, solche leicht zugänglichen Informationen zu verschlüsseln?

Viele Benutzer haben öffentliche soziale Netzwerkprofile, in denen ihre Interessen aufgeführt sind, politische und religiöse Überzeugungen, oder dass Informationen leicht in ihren persönlichen Blogs und Websites gefunden werden können. Sie sehen das nicht als Bedrohung für ihr persönliches Leben an und beschließen, es nicht zu verbergen. Wie kann das Anzeigen nicht verschlüsselter populärer öffentlicher Inhalte ihnen schaden? Und wie schützt das Verschlüsseln solcher Seiten ihre Privatsphäre?

47
user1306322

Das Problem, mit dem Sie sich hier befassen, ist, dass Sie, wenn Sie sich entscheiden, eine Verbindung nicht zu verschlüsseln, Annahmen hinsichtlich der Empfindlichkeit der Daten treffen, die über diese Verbindung übertragen werden.

Leider ist es unmöglich, diese Annahme richtig zu machen, weil:

  • Möglicherweise haben Sie nicht alle Auswirkungen der Daten vollständig verstanden (wenn Twitter beispielsweise keine Daten verschlüsselt hat, können Regierungsbehörden Dissidenten und Gegner erkennen).
  • Daten können nach der Übertragung vertraulich werden. Wenn Sie beispielsweise in einem Web-Chat mit Freunden der alten Schule antworten, wer Ihr Lehrer in der ersten Klasse war, kann dies später zu einer Beeinträchtigung Ihres iTunes-Kontos führen.).

Am Ende ist es dasselbe wie beim Umgang mit sensiblen Papierdokumenten: Sie können entscheiden, was nur sensibel ist, aber alles, was dieses Modell zum Zerbröckeln braucht, ist ein einziger Fehler. Es ist viel einfacher, ALLE Dokumente sicher zu zerstören und sich nicht um das Sortieren zu kümmern.

Angesichts der relativ geringen Kosten und der Verwendung der Verbindungssicherheit sowie der Tatsache, dass Sie (meistens) vor allen oben genannten Problemen geschützt sind, ist es viel sinnvoller, alles zu verschlüsseln, um den "richtigen" zu verschlüsselnden Inhalt auszuwählen .

75
Stephane

Bei der Verschlüsselung geht es nicht nur darum, zu verhindern, dass Lauscher Daten lesen, sondern auch, dass sie diese ändern.

Das Umdrehen von Bildern auf Webseiten ist ein amüsanter Streich für Mitbewohner, aber eine böswillige Person könnte Anzeigen oder schädlichen Code (Java, Javascript, Flash usw.) in Ihre Webseiten einfügen, ohne dass Sie es merken.

http://www.ex-parrot.com/pete/upside-down-ternet.html

58
user2675345

Zusätzlich zu den anderen guten Antworten möchte ich hinzufügen, dass HTTPS sicherstellt, dass, wenn ich denke, ich lese bbc.com, Ich wirklich bin lese den Inhalt von bbc.com, kein feindlicher Dritter, der mich täuschen will.

Einige Nachrichtenseiten präsentieren immer noch Fakten. Menschen treffen Entscheidungen basierend auf diesen Fakten - Entscheidungen, die reale Konsequenzen haben.

34
Eric Lippert

Ein Grund, den ich allgemein zu den obigen Antworten hinzufügen möchte, ist, dass Sie, obwohl Sie in einem westlichen Land möglicherweise nichts höchst Illegales tun, nicht davon ausgehen sollten, dass die Regierung nicht an dem interessiert ist, was Sie lesen. Wenn Sie Folgendes lesen, werden Sie möglicherweise auf eine Liste gesetzt:

  • Klassifiziert, Dokumente, die von Hinweisgebern durchgesickert sind und technisch illegal sind
  • Eine Nachrichtenseite oder ein Magazin in einem muslimischen Land (wenn Sie in den USA leben)
  • Eine Nachrichtenseite, ein Magazin usw. mit Sitz in den USA, wenn Sie in China oder einem muslimischen Land leben

Im Allgemeinen wissen wir, dass viele Regierungen Profile von Personen erstellen, die bestimmte Websites besuchen, und dass Sie Ihre politischen Interessen möglicherweise privat halten möchten. Für Ihr Beispiel einer Nachrichtenquelle ist es Grund genug, nur China allein und keinen der oben genannten Gründe zu betrachten.

Bearbeiten: Steve unten hat mich daran erinnert, dass in dieser Situation die Seite, die Sie besuchen, privat ist, aber nicht die Website. Sie müssen sich dessen bewusst sein.

11
user40513

In der Regel empfiehlt es sich, alle Daten, die über öffentliche Netzwerke übertragen werden, stark zu verschlüsseln.

Der Grund dafür ist, dass es für Lauscher sehr einfach ist, potenziell nützliche Daten zu finden, wenn nur "vertrauliche" Daten verschlüsselt werden, indem sie einfach nach verschlüsselten Daten suchen.

Wenn jedoch standardmäßig alles verschlüsselt ist, haben sie keine Ahnung, welche Informationen nützlich sind, bis sie sie bereits entschlüsselt haben.

Angesichts der Tatsache, dass die Entschlüsselung (ohne Schlüssel) in Bezug auf die Verarbeitungsleistung relativ teuer ist, während die Verschlüsselung recht billig ist und kein Verschlüsselungssystem vollständig sicher ist, ist der beste Weg, um sicherzustellen, dass Ihre Daten sicher bleiben, wenn absolut alles stark verschlüsselt ist Verschlüsselung, auch Informationen, die trivial sind oder bereits gemeinfrei sind.

10
Mark Micallef

Ich denke, das hängt wirklich vom Umfang der Definition von "sensiblen Daten" ab. Passwörter und Kreditkartennummern sind sicherlich eine davon, aber vielleicht ist das Nachschlagen von WebMD-Informationen zu einem Ausschlag, während eine allgemein öffentliche Information etwas, worüber Sie sensibel sind und nicht möchten, dass der Arbeitgeber oder Ihr ISP dies weiß (Arbeitgeber) Rechte und Verwendung von Argumenten für die Verwendung von Arbeitsmitteln). Oder vielleicht nach den Nachrichten und Wahlen, und nicht unbedingt Ihre Zugehörigkeit offenlegen wollen. Wahlnachrichten sind öffentlich, aber welche Sie lesen, möchten Sie möglicherweise nicht preisgeben. Im Allgemeinen können die Informationen selbst gemeinfrei sein. Wer auf welche Informationen zugreift und was über eine profiliert werden kann, muss nicht unbedingt sein. Hier kann Verschlüsselung nützlich sein (und natürlich auch andere Technologien, die solche Informationen wieder verfügbar machen - nur ein striktes Argument in Bezug auf die Verschlüsselung).

9
LB2

Einige Hintergrundinformationen, bevor ich zu meiner Antwort komme:

Ich finde Telefone faszinierend und eines der interessantesten Telefone, auf das ich gestoßen bin, war die STU oder Secure Telephony Unit, die im Wesentlichen aus einem/dd/a-Audio-Codec, einem digitalen Verschlüsselungsmodul, einem Modem und einer Bypass-Schaltung bestand, die alle in einem Telefon stecken und war größtenteils mit gewöhnlichen Telefonleitungen und dem öffentlichen Telefonnetz verbunden. Sie waren während des Kalten Krieges sehr beliebt. Die grundlegende Art und Weise, wie sie verwendet wurden, besteht darin, den Hörer abzunehmen, den Wählton zu überprüfen, den Anruf zu tätigen, sicherzustellen, dass Sie die richtige Nummer erreicht haben, dem Einleiten des Sicherheitsmodus zuzustimmen. Beide Paritäten würden den Schlüssel zum Einleiten des Sicherheitsmodus drehen und auf die Synchronisierung der Krypto warten , ein sicheres Gespräch führen, dem Beenden des sicheren Modus zustimmen, den Schlüssel auf unsicher stellen und den Anruf beenden.

Bei meinen Nachforschungen über STUs stieß ich auf einen Bericht einiger russischer Spione, in denen es darum ging, Anrufe zwischen STUs abzufangen. Obwohl diese Außendienstmitarbeiter den Inhalt der verschlüsselten Konversation nicht lernen konnten, bemühten sie sich besonders, alle Anrufe auf einer Leitung abzuhören, an die eine STU angeschlossen war, und zeichneten die verschlüsselte Konversation zur Analyse auf Alle möglichen interessanten und wertvollen Dinge aus dem unverschlüsselten Teil der Anrufe, weit über die Identität der Anrufer hinaus.

Die Moral der Geschichte: Auch wenn Sie die Informationen nicht für wertvoll halten, könnte der Feind dies tun. (unabhängig davon, wer wir für den Feind halten)

3
hildred

Weil Sie nicht wirklich wissen, was aus den von Ihnen ausgegebenen Daten abgeleitet werden kann. Da die ganze NSA Aufregung in den Nachrichten aufgetaucht ist, denken viele Leute: "Ja, richtig, die NSA weiß über die E-Mails Bescheid, die ich an meinen kleinen Cousin sende, und über meine Kaufgewohnheiten? Na und?".

Leider sind wir in das Zeitalter von BigData und maschinellem Lernen eingetreten. Hier geht es nicht nur darum, riesige Datenbanken zu knacken, um Modelle und Vorhersagen zu erhalten. Persönlich denke ich, dass maschinelles Lernen einen großen Fortschritt für die Wissenschaften im Allgemeinen darstellt. Es ist eine Verschiebung von analytischen zu metaanalytischen Methoden. "Früher" würden Sie mit Daten beginnen, die aus einer Domäne stammen (z. B. Demografie), sie mit einem analytischen Rahmen analysieren, der der Domäne entspricht, und ein Ergebnis in den Begriffen dieser Domäne erhalten (z. B. ein Modell zur Vorhersage des Wachstums) einer bestimmten Bevölkerung).

Maschinelles Lernen funktioniert auf der oben genannten Ebene: Es verfügt über eigene Analysewerkzeuge und -methoden, wird jedoch zum Aufbau von "elektronischen Gehirnen" verwendet, die die eigentliche Analyse durchführen. Die direkte Folge davon ist, dass es einfacher ist, Domänen zu binden und gegenseitige Schlussfolgerungen zwischen ihnen zu ziehen. Zum Beispiel ist es möglich, anhand einiger Ihrer Facebook-Daten vorherzusagen, wo Sie in 24 Stunden sein werden.

Oder sagen Sie, ob eine Frau schwanger ist, indem Sie sich ansehen, was sie kauft.

Ziel sagt Schwangerschaft mit Big Data voraus.

Nach dem Einkauf bei Target erhielt das Mädchen im Haus ihres Vaters Post mit Werbung für Babyartikel: Windeln, Kleidung, Kinderbetten und andere babyspezifische Produkte. Ihr Vater war empört über die Versuche des Unternehmens, eine Schwangerschaft im Teenageralter zu „fördern“, und beschwerte sich beim Management. Ein paar Tage später rief ein beschämter Vater den Manager an, um sich zu entschuldigen. es schien, dass seine Tochter tatsächlich schwanger war. Dies ist bei den heutigen computergestützten Datenerfassungen von Einzelhandelsgeschäften kein ungewöhnliches Ereignis. Target weist Kunden eine Gast-ID zu, die mit ihrem Namen, ihrer Kreditkarte, ihrer E-Mail-Adresse und allen anderen Informationen, die das Geschäft sammeln kann, verknüpft ist. Mithilfe der Informationen zu früheren Einkäufen kann Target ein erstaunlich genaues Profil erstellen, das in kundenspezifischer Werbung verwendet werden kann.

Natürlich übertreibe ich die Kraft des maschinellen Lernens (und unterschätze die Bedeutung von domänenspezifischem Wissen/Experten). Die Aussichten sind jedoch günstig: Die Identifizierung schwuler Menschen oder politischer Gegner aus einer scheinbar nicht verwandten Aktivität könnte von böswilligen Regierungen oder Organisationen erreicht werden, was plausibel klingt. Sie könnten sogar Revolutionen unterdrücken, bevor die Menschen überhaupt die Möglichkeit bekommen, auf der Straße zu protestieren. Usw...

Ich denke, dies ist ein sehr wichtiges Thema für unsere modernen Gesellschaften, zumal es im Gegensatz zur Humangenetik nicht als eine der großen ethischen Herausforderungen dieses Jahrhunderts identifiziert wurde.

3
Bernhardt

Viele Nachrichten-/Zeitungsseiten bieten Konten für zusätzliche Funktionen, Abonnements usw. Das Erzwingen des gesamten Webverkehrs über SSL verringert das Risiko, indem sichergestellt wird, dass sich niemand jemals bei einer unverschlüsselten Verbindung anmelden kann.

Im Allgemeinen ist es besser, auf Nummer sicher zu gehen. Heutzutage ist HTTPS nicht mehr so ​​viel Aufwand wie früher. Warum also nicht alle Verbindungen verschlüsseln, um sicherzugehen?

3
Tim Lamballais

Ein Punkt, der in dieser Diskussion häufig übersehen wird, ist die Tatsache, dass SSL auch die Seiten-URL verschlüsselt, die Sie beim Zugriff auf eine Website verwenden.

Wenn jemand Ihre Verbindung (NSA?) Abhörte und Sie eine Site besuchten, die nicht über SSL bereitgestellt wurde, konnte jemand sehen, auf welche Seiten Sie zugreifen, und anhand Ihrer Surfgewohnheiten ein Profil um Sie herum erstellen.

Wenn Sie Websites mit aktiviertem SSL besuchen, wird nicht nur der Seiteninhalt verschlüsselt, sondern auch die tatsächliche Seiten-URL (der Pfad auf dem Server).

Wenn also jemand lauscht, weiß er nur, welche Domains Sie besuchen. Sie können nicht sagen, auf welche Seiten Sie zugreifen.

2
user42684

Alle wichtigen Punkte wurden behandelt, aber ich dachte, es lohnt sich, dieses spezielle Szenario zu behandeln:

Es war/ist beliebt, eine Anmeldeseite zu verschlüsseln und dem authentifizierten Benutzer dann zu ermöglichen, die Site über eine unverschlüsselte Verbindung weiter zu durchsuchen (um CPU-Zyklen auf dem Server zu speichern). Diese scheinbar effiziente und sparsame Verwendung der Verschlüsselung ist praktisch nutzlos.

Es ermöglicht einem Mitm, Ihre Sitzungscookies zu erfassen und sich dann auf der betreffenden Website vollständig als Sie auszugeben. Möglicherweise können sie Ihre Anmeldeinformationen ändern oder sogar Ihr Nur-Text-Passwort abrufen.

1
aidan

THE THREAD-STARTER WROTE: Aber was ist, wenn ich nur eine Nachrichtenseite lese? Jeder hat Zugang dazu, es ist sogar überall in Zeitungen. Was bringt es, solche leicht zugänglichen Informationen zu verschlüsseln?

MEINE ANTWORT: Ja, alles auf der Nachrichtenseite ist öffentlich; Aber würden Sie sich wohl fühlen, wenn jemand über Ihrer Schulter steht, während Sie mit Ihrem Computer in einem Café über das WI-FI arbeiten und beispielsweise sehen, welche Artikel Sie lesen möchten? Und was ist, wenn die Nachrichtenseite dennoch ein Login hat, damit die Leser den Feed anpassen können? Muss nicht das Teil dessen, was Sie dort tun, verschlüsselt werden? Zwischen den beiden Dingen ist es für den Websitebesitzer einfacher, einfach alles zu verschlüsseln.

THE THREAD-STARTER WROTE: Viele Benutzer haben öffentliche soziale Netzwerkprofile, in denen ihre Interessen aufgeführt sind, politische und religiöse Überzeugungen, oder dass Informationen leicht gefunden werden können von ihren persönlichen Blogs und Websites. Sie sehen das nicht als Bedrohung für ihr persönliches Leben an und beschließen, es nicht zu verbergen. Wie kann das Anzeigen nicht verschlüsselter populärer öffentlicher Inhalte ihnen schaden? Und wie schützt das Verschlüsseln solcher Seiten ihre Privatsphäre?

MEINE ANTWORT: Einige von ihnen kümmern sich nicht um ihre Privatsphäre. Sie haben, wie die Psychologin Sherry Turkle es ausdrückte, eine Art " ich teile, deshalb bin ich " -Mentalität. Wie im vorherigen Beispiel müssen sich auch diejenigen, die so frei teilen, auf diesen Seiten anmelden, um Änderungen vorzunehmen, nicht wahr? Und das muss verschlüsselt sein, oder? Darüber hinaus möchten diejenigen, die ihre Informationen lesen, möglicherweise nicht, dass andere Personen im Café, in dem sie ihren Laptop verwenden, wissen, dass sie sich die Social-Networking-Seite von so und so ansehen.

Erfahren Sie mehr über das sogenannte " Sidejacking ", bei dem jemand mit seinem Laptop an einem anderen Tisch in einem Café sitzt, in dem Sie auch Ihren Laptop verwenden Wenn Sie beide im selben WI-FI-LAN sind, können Sie eine einfache Mozilla Firefox-Erweiterung namens "Firesheep" verwenden, um auf seinem Bildschirm alles zu "sehen", was Sie auf Ihrem Computer an Ihrem Tisch auf der anderen Seite tun aus dem Zimmer. Oder er/sie kann sein/ihr Android Telefon) und ein kleines Ding namens "DroidSheep" verwenden, um fast dasselbe zu erreichen. Und es gibt andere ähnlich schändliche Werkzeuge.

Würden sie dir das antun? Wenn Sie herausfinden, dass dies der Fall ist, wäre es nicht schön, wenn auf der von Ihnen verwendeten Website gerade SSL aktiviert wäre und Ihr Zugriff auf diese Website über https erfolgt : // statt nur http: // ?

Aus diesem Grund gibt es Firefox- und Chrome -Erweiterungen wie " HTTPS Everywhere "), mit denen Tausende von Websites automatisch von unsicherem "http" auf "https" umgeschaltet werden, wodurch Sie geschützt werden viele Formen der Überwachung und Kontoentführung/Sidejacking und in Ländern, die weniger frei sind als die USA, sogar einige Formen der Zensur.

Alle Websites sollten mehr SSL für all Inhalte verwenden. Zeitraum. Es sollte so normativ sein, dass wir uns erst anziehen müssen, bevor wir das Haus verlassen.

Ich hoffe, das hilft!

1
Gregg DesElms