[RalphS]

Das wird ja immer schlimmer mit diesem komischen OSS.

Erst sind alle der Meinung, den Anwender bevormunden zu müssen (ja, ich hab ein PHP-Modul nachinstalliert, oder ein Apachemodul; aber deswegen will ich das nicht automatisch und ungefragt irgendwo eingebunden haben!).

Und jetzt wird auch noch angefangen, irgendwo wild im System rumzusuchen. Hää?

Case in point: FreeRADIUS v3.0.14 soll auf .15 aktualisiert werden. Resultat: Konfigurationsfehler, weil oSSL-Libs und Header nicht zusammenpassen.

.... Hä? Wie denn nun?

Blick in die config.log offenbart: Man macht extensiven Gebrauch von locate(1). Richtig, weil natürlich davon ausgegangen werden darf, daß sich immer nur genau DIE RICHTIGE Version irgendeiner Bibliothek im System findet, die natürlich niemals nicht mit Absicht abseits der ausgetretenen Pfade installiert sein könnte, wo man sie explizit einbinden MUSS damit das gefunden wird.

Nein, stattdessen wird angefangen das System nach irgendeiner Version von irgendwelchen vielleicht erforderlichen Libs zu durchsuchen und das erstbeste was kompiliert ist dann schon das richtige gewesen.



Nope. Nö. Nada. Yada.

So läuft das nicht, meine lieben Kollegen und Kolleginnen. So schlimm ist ja nicht mal Microsoft.

[Holger_N]

Du sollst ja auch Rechner/Tablet/Leckpott im Laden kaufen, anschalten und alles geht gleich. Darum dass alles geht, muss sich der Apparat alleine kümmern. War ja teuer genug.

[RalphS]

Ja und als nächstes schreibt er auch gleich automatisch Liebesbriefe an Frauen die er nicht kennt über Adressen, die er nicht hat.

Und ich darf's dann ausbaden. :/

[Holger_N]

Vielleicht ist ja was dabei und dann kann man zusammen mit der Dame baden. Man kann sie ja beim ersten Mal auf den Stöpsel setzen.

[RalphS]

DNS soll verschlüsselt werden, via SSL/TLS.

Wie stellen die sich DAS denn vor?

-1- Eine DNS-Anfrage kann dann nicht mehr über UDP, sondern erfordert eine TCP-Session.
-2- Eine DNS-Anfrage dauert dann nicht mehr ein Paket für Anfrage, ein Paket für Antwort, sondern mindestens(!) 5 Pakete nur für den TCP-Handshake, für die Anfrage und die Antwort. Overhead für TLS ist noch nicht inbegriffen - das wird kritischer, weil erstmal das Ziel geprüft werden muß (Ist der DNS-Server vertrauenswürdig)?

Ergebnis? Eine einzelne DNS-Anfrage wird signifikant langsamer, um erwartungsgemäß mindestens den Faktor 10.

Und das ist noch nicht genug. Als ob das nicht schlimm genug wäre, haben wir nun einen Zirkelbezug. Denn:

-3- TLS benötigt DNS. Immerhin muß zunächst eine Verbindung etabliert werden, um a) den Zielserver selber und b) zB einen OSCP-Server kontaktieren zu können.
-4- DNS benötigt TLS. Immerhin soll ja die Verbindung dorthin verifiziert und verschlüsselt werden.

... und nun? Welche Namensauflösung nutz ich denn jetzt, um Namensauflösung zu ermöglichen?


Aber man hat halt festgestellt (nach wieviel Jahren?) daß Informationen über DNS-Anfragen wertvoll sind, weil sie viele Rückschlüsse zulassen (hab ich damals schon vor gewarnt, als Google mit seinem Public DNS kam, aber wen hat's interessiert?) also muß das halt auch noch verschlüsselt werden, und das formal auch noch so, daß der DNS-Server selber nicht weiß, was er für wen auflöst.

... Wenn das mal aufgeht. *kopfschüttel*

Dieser Beitrag wurde von RalphS bearbeitet: 22. Juli 2017 - 08:27

[Holger_N]

In 10 Jahren dann die Warnhinweise vom Browser:

- Diese Seite ist unsicher
- DNS unverschlüsselt
- Laptop steht zu nah am Fenster
- Sie benutzen seit über 4 Minuten dasselbe Passwort. Verbindung verweigert.
- Kekskrümel in der Tastatur entdeckt
- Suchbegriff ist unanständig (btw. Leute die nach ana* suchten, suchten auch nach fis* | Warnung: Frau hat in 12 min Feierabend))
- …

[RalphS]

Der größte Brüller ist doch, alle haben Panik vorm Überwachtwerden und merken gar nicht, daß SSL/TLS der Schlüssel dafür ist. SSL/TLS authentifiziert; wenn also in den Logs steht, der war gestern da, dann war der auch gestern da, besser als das irgendeine IP-Adresse jemals könnte.

[Holger_N]

Vor allem, wenn die dann ja auch die DNS haben.

[RalphS]

Habe jetzt wutschnaubend die Möglichkeiten von FreeBSD ausgenutzt, welches zusätzlich zu den von Linux bekannten Dateiattributen (r,w,x pro Benutzer,Gruppe,Andere) noch Systemschutzflags kennt, zB sunlnk wie "System Unlinkable" oder "schg" wie "System Changeable".

Gesetzt. Auf die Apachekonfig, damit die nicht bei jedem Upgrade versch... wird. Und die PHP-Konfig. Selber Grund. Und die resolv.conf. Man ahnt es: SELBER GRUND.

Was soll das denn bitte? DNS-Server neu gestartet und die resolv.conf wird komplett umgeschrieben? Ohne daß das irgendjemand "beauftragt" hat? Einfach so? Bei Windows würd ich sowas malware nennen.

Schluß damit.


Moin.

[RalphS]

Winfuture verwendet inzwischen Letz-En-neinichkann'snichtindenMundnehmen Also diese Möchtegernzertifizierung.

Najaaaaaaaaa.... nachdem die bei mir nun auf Untrusted gelandet sind, muß ich wohl hoffen, daß mein Anmeldekeks nicht so schnell abläuft. Der IE läßt mich schon nicht mehr rein.

[DK2000]

Heute ist Weltmietzietag.

[RalphS]

RRrrrrrrrrrrrrrrrrrrrrrrrwau.

Moin.

[Holger_N]

Kuhl, wir wohnen nämlich in einem Mietzhaus.

[RalphS]

If it walks like a cat, talks like a cat, smells like a cat and scratches posts like a cat...

... Chances are, it's not a dog.

[Holger_N]

Zitat (RalphS: 08. August 2017 - 11:26)

If it walks like a cat, talks like a cat, smells like a cat and scratches posts like a cat...

... Chances are, it's not a dog.

But if it attacks the Post, it could be a dog.