|
Diese Diskussion wurde archiviert.
Es können keine neuen Kommentare abgegeben werden.
|
|
|
|
 |
|
|
|
Von Anonymer Feigling am Sunday 04. November 2007, 21:05 MEW (#2)
|
|
|
|
|
Was jetzt schon? Und 2038 dann auch noch auf 64-bit time_t umstellen? Die IT-Branche wird langsam echt stressig. Kaum hat man Y2K überlebt, kommt schon die nächste Apokalypse.
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Tuesday 06. November 2007, 01:26 MEW (#15)
|
|
|
|
|
Wieso hat eigentlich niemand geschnallt, dass Y2K erst 2048 kommt?
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Ist es doch teils:
theo@theo-1 ~ $ ping6 www.symlink.li
PING www.symlink.li(batman1.home4u.ch) 56 data bytes
64 bytes from batman1.home4u.ch: icmp_seq=1 ttl=49 time=602 ms
64 bytes from batman1.home4u.ch: icmp_seq=2 ttl=49 time=591 ms
64 bytes from batman1.home4u.ch: icmp_seq=3 ttl=49 time=567 ms
64 bytes from batman1.home4u.ch: icmp_seq=4 ttl=49 time=574 ms
--- www.symlink.li ping statistics ---
5 packets transmitted, 4 received, 20% packet loss, time 4004ms
rtt min/avg/max/mdev = 567.326/583.879/602.318/13.677 ms
theo@theo-1 ~ $
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Monday 05. November 2007, 01:33 MEW (#4)
|
|
|
|
|
I'm in your IPv6, killing your IPv4.
|
|
|
|
|
|
|
|
|
|
|
|
|
An der Rechtschreibung müssen wir aber noch arbeiten.
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Monday 05. November 2007, 20:34 MEW (#10)
|
|
|
|
|
sry! Im 1i y0 IPv6, ki11in y0 IPvA!1
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Nicht ganz richtig. 4-byte AS Nummern sind da und das RFC dazu auch (4893). Das ganze Funktioniert groesstenteils ruekwaerts kompatibel und man muss nun nur noch auf Cisco und Freunde darauf warten, dass die ihre Systeme updaten. Fuer die verschiedenen OpenSource Projekte gibt es patches oder es ist schon voll integriert z.b. beim OpenBGPD der mit OpenBSD 4.2 kommt.
Ein Grund warum IPv6 nicht vom Fleck kommt, ist die unnoetige Komplexitaet des Protokolles und die zahlreichen und teilweise aeussert ueblen Hacks die Bestandteil des Standard sind. Es wurde ja schon einiges Gestrichen, aber gerade das rthdr0 Fiasko hat gezeigt das IPv6 noch in den Kinderschuhen steckt und so nicht auf die Welt losgelassen werden kann. Leider hat es das IPv6 Komitee verpasst aus den Fehlern von IPv4 zu lernen.
|
|
|
|
|
|
|
|
|
|
|
|
|
Danke für die RFC-Nummer. Das wusste ich noch nicht.
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Monday 05. November 2007, 18:27 MEW (#9)
|
|
|
|
|
Liebe Kinder und Kinderinnen,
das heißt immer noch Netzteilnehmeraußen und Netzteilnehmerinnen. Ich bete für ihr Verständnis.
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Tuesday 06. November 2007, 14:31 MEW (#17)
|
|
|
|
|
Offtopic ist wenn man es trotzdem schreibt. Es muss ein Ruck durch symlink gehen und das ist auch gut so!
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Monday 05. November 2007, 22:24 MEW (#11)
|
|
|
|
|
Ich denke, es gibt einen relativ einfachen Grund, weshalb IPv6 nicht richtig abheben will: IPv4 bietet NAT sei Dank wenigstens ein bisschen sowas wie Anonymität. Nicht wirklich, aber fürs gute Gefühl reichts.
Gerade bei den Computer-Geeks und -Nerds als Early-Adopters dürfte das der wichtigste Grund gegen IPv6 sein. Bei IPv6 mit fixer öffentlicher IP und gesicherter, unabstreitbarer Authentifizierung selbst für das unscheinbarste kleinste Benutzergerätchen hört der Spass im Internet doch einfach auf! Kein P2P, kein anonymes Posting, ja nicht mal Pr0n ;-)
|
|
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Monday 05. November 2007, 23:01 MEW (#12)
|
|
|
|
|
...NAT einsetzen? Es wäre zwar praktisch nicht mehr nötig (weil "unendlich" viele Adressen verfügbar), aber trotzdem NAT zu machen ist ja nicht verboten. Es ist ja schon nötig, um die privaten Netze ans Internet zu hängen (à la 192.168.* oder 10.*). Glaub nicht, dass jede Grossfirma das super findet, wenn jeder ihrer Clients direkt am Netz hängt! :-)
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Tuesday 06. November 2007, 01:23 MEW (#14)
|
|
|
|
|
Es gibt doch "link-local addresses" (FE80::/10). Das sollte eigentlich für Heimanwender reichen. Ausserdem kann jeder Admin einen Teil seines Netzwerks für "local" erklären, indem er die Adressen mit entsprechendem Präfix in den Routern, die zum Internet führen, sperrt. Es ist ja ganz normal, dass ein Gerät mehrere Adressen zugewiesen bekommt, weil es entweder Teil mehrere Netzwerke ist oder es einfach mehrere Routen gibt.
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Tuesday 06. November 2007, 01:08 MEW (#13)
|
|
|
|
|
Meinst du nicht vielleicht eher die dynamische Zuweisung von IP-Addressen? Oder in welchem Szenario macht dich NAT anonym? Internet-Zugang per Uni oder Firma? Von zuhause aus ist das wohl doch eher sinnfrei. "Nee Mami, ich hab mir keinen pr0n gesaugt! Der Klaus wars!"
NAT wird doch eher aus "Sicherheitsgründen" angeführt, weil ohne explizites Port-Forwarding niemand von außen ohne weiteres Kontakt mit einem internen Host aufnehmen kann. Das stimmt aber nicht ganz, weil es Hole-Punching per UDP und manchmal auch per TCP gibt. Außerdem kommt der Feind (Malware) meist per Mail oder Download und raus kommt man aus einem NAT ja problemlos. Letztlich kann man dieses "Merkmal" von NAT ganz einfach per IPv6-tauglicher Firewall implementieren und dann auch gleich Hole-Punching unterbinden, wenn man denn will.
Sachliche Gründe gegen die Einführung von etwas neuem so lange das alte noch irgendwie funktioniert, brauchte man sowieso noch nie. In der IT-Branche, die mit militanten, lernunwilligen 30-jährigen "old farts"[1] durchsetzt ist, schonmal gar nicht. Denn dat hamwa ja schon imma so gemacht und dat seh ich jezze och ga nich mal ein!
[1] Damit meine ich eine kleine, elitäre, lautstarke Minderheit.
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Tuesday 06. November 2007, 15:08 MEW (#18)
|
|
|
|
|
Sowohl als auch. Die meisten Benutzer sind auch privat bei einem der grossen Provider, dieser setzt DNS ein und der Benutzer privat vielleicht nochmals NAT und DNS. Wenn die RIAA zuerst einmal eine Aufforderung zur Herausgabe der Daten an einen ISP schicken muss (wie bei IPv4) und dazu erst noch einen Gesetzesverstoss nachweisen muss, ist das eine Hürde mehr als wenn sie direkt an den Halter einer öffentlichen IPv6 Adresse eine Klagedrohung schicken kann.
Der grössere Namespace bei IPv6 ja nur das eine. Bei IPv6 wird auch ein grösserer Druck entstehen, dass man sogleich auf IP Ebene noch verschlüsselt und authentifiziert. Das hat positive aber auch negative Auswirkungen auf die Privatsphäre.
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Tuesday 06. November 2007, 16:12 MEW (#19)
|
|
|
|
|
DNS?? Erklär ma bitte. Auch mit IPv6 wird der ISP deines Vertrauens wahrscheinlich immer noch einen Proxy zum Surfen anbieten, so dass deine IP-Adresse nicht übertragen wird, ob der eine Zeile wie "X-Forwarded-For" anhängt lässt sich prüfen, wenn er Tunnel via "CONNECT" unterstützt, wird da aber definitiv nichts angehängt.
Vielleicht setzt sich dann ja auch Anonymisierung via Tor und Konsorten stärker durch und vielleicht setzen Benutzer dann endlich mal bewusst Verschlüsselung ein. Das sind doch eigentlich alles positive Nebenwirkungen. Darauf zu hoffen, dass der ISP schon nichts herausrückt, ist nicht nur Security-by-Obscurity sondern auch ziemlich naiv.
|
|
|
|
|
|
|
|
|
|
|
|
|
|
DNS verwendet jeder. Du meinst wohl DynIP (was übrigens auch mit IPv6 geht). Und NAT bietet, wie schon erwähnt, keine zusätzliche Privatsphäre.
Du unterliegst dem Trugschluss, dass jemand, der eine IPv6 Adresse in der Hand hat, sofort feststellen kann, wem diese gehört. Genau wie bei IPv4 ist dies nur möglich, wenn die Adresse in einem öffentichem Register auf den Endnutzer eingetragen ist. Dies wird aber nur gemacht, wenn auf der IP ein Server betrieben werden soll, und selbst dann nicht immer. Auch bei IPv6 muss man also erst mal den Provider um Auskunft bitten, wenn man wissen will, wem die Adresse zugeordnet war.
--
Nicht Kommerz oder Gesetze können OpenSource zerstören, sondern Paranoia und Fanatismus.
|
|
|
|
|
|
|
|
|
|
|
|
|
Es gab glaub's schon mal die Idee von der staatlich ausgegebenen v6-IP für jeden Einwohner, aber das wäre ja an sich kein grösseres Problem, denn dann ist das auch in einem staatlichen Register drin, wo es keinen Grund gibt, das gleich allgemein öffentlich zu machen.
Dynamische IPs wären aber natürlich besser, denn bei einer pro Person fix zugeteilten IP (die sowieso routing-technisch nicht sinnvoll ist, wenn einer nicht nur stationär sondern oft auch mobil ins Internet geht) wäre es für gut im Internet verteilte Firmen doch immer noch viel zu einfach, Nutzerprofile selbst zu erstellen.
Grüsse vom Knochen
--
Tiere töten, um zu leben. Menschen sterben, um zu töten.
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Tuesday 06. November 2007, 17:36 MEW (#22)
|
|
|
|
|
Niemand bekommt vom ISP eine einzelne IPv6-Adresse zugewiesen, denn das ist der ISP ganz schnell ein ISP ohne IPv6-Adressraum. Du bekommst ein Präfix zugewiesen, also ein sub-net mit mindestens 2^48 Adressen. Die kannst du wechseln, so oft dir danach ist und du kannst jedem einzelnen Host beliebig viele Adressen zuweisen. Wovor du Angst hast, ist zumindest Google jetzt schon in der Lage d.h., sie könnten nicht sicher aber mit hoher Wahrscheinlichkeit aus einer Kombination aus HTTP-Referrer, User-Agent-Header, Cookies, Gmail any Verkehr und IP-Adressen whois-Informationen (dynamisch vs. statisch, im Extremfall Name und Anschrift) Profile für Nutzer bzw. Nutzergemeinschaften (Haushalt/Kleinunternehmen) erstellen. Sicherlich aufwendiger aber auch wesentlich ergiebiger.
Otto Normal braucht sich sowieso nur einen Trojaner einfangen um seine Privatsphäre zu verlieren. Deine Bedenken sind auf jeden Fall richtig, nur ist vermeintliche Lösung "ISP teilt dynamische Adresse zu" die falsche. Mal ganz konkret, man kann durchaus auch als normale Surfer Leute verfolgen, wenn man ein wenig über sie weiß und dann Schreibstil/Nicks/Themenwahl etc. korreliert. Oft werden ja sogar IP-Adressen öffentlich geloggt. Such einfach mal nach deinen letzten IP-Adressen bzw. dem Reverse-Resolved-Name.
|
|
|
|
|
|
|
|
|
|
|
|
|
Mal ganz konkret, man kann durchaus auch als normale Surfer Leute verfolgen, wenn man ein wenig über sie weiß und dann Schreibstil/Nicks/Themenwahl etc. korreliert. Oft werden ja sogar IP-Adressen öffentlich geloggt.
Ganz gut, dass der normale Surfer nicht Webseiten mit tausenden und abertausenden Besucher pro Tag hat um solche Daten zu sammeln..
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Nun, es ist weitgehend eine Bestätigung dessen, was Du gesagt hast mit der Ergänzung, dass da mal tatsächlich davon gesprochen wurde, dass jeder Mensch "seine" v6-IP hat. Mit dieser wäre er ja dann tatsächlich leicht identifizierbar, sobald man mal den Namen damit verknüpft hat.
Aber, wie gesagt, es ist technisch gar nicht möglich, immer mit der gleichen IP ins Netz zu gehen. Das klappt maximal beim stationären Rechner zu Hause. Und wenn die IPs wirklich an die Provider gehen (also wie bei IPv4) werden die sowieso lieber dynamisch verteilen (wobei ich jetzt absolut nicht kapiere, wieso die mir 2^48 Adressen geben sollten, wenn ich nur eine einzige brauche, denn auf die Art versaut man ja den Adressraum gerade wieder derart, dass wir hinterher wieder viel zu wenig haben. Aber das war wohl irgendwie anders gemeint und ist in dem Zusammenhang gleichgültig.).
Grüsse vom Knochen
--
Tiere töten, um zu leben. Menschen sterben, um zu töten.
|
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Thursday 08. November 2007, 16:20 MEW (#31)
|
|
|
|
|
Ganz einfach, du bekommst mehr als eine IP-Adresse, damit du nicht wieder mit irgendwelchen NAT-Frickeleien anfängst und du bekommst sogar 2^80 Adressen zugewiesen (ein /48 Präfix). Es geht letztlich einfach darum Fragmentierung des Addressraumes zu verhindern. Das gleiche Problem hast du bei Speicherverwaltung egal ob RAM oder HDD. Wenn du da jedes einzelne Byte verwalten willst, hast du einen riesigen Verwaltungs-Overhead und die Sache wird sehr schnell ineffizient.
Ein OS weist einem Prozess ja beispielweise auch nur Seiten (meist 4 KiB) zu und nicht etwa einzelne Bytes, auch wenn du soviel gar nicht brauchst.
Etwas besseres konnte ich auf die schnelle nicht finden:
http://www.tools.ietf.org/html/draft-itojun-ipv6-dialup-requirement-02
|
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Tuesday 06. November 2007, 18:00 MEW (#23)
|
|
|
|
|
Ich meinte selbstverständlich DHCP, nicht DNS! Riesendurcheinander.
Security of Obscurity: Ja. Besser gesagt Verhindern des Einsatzes zertifizierter Private Keys (auch biometrischer Form), der "letzten Meile" zwischen Mensch und Agent (Maschine). Es ist das Einzige, das in Zukunft noch Privatsphäre erlauben wird. Sobald man verschlüsselt und authentifiziert, sieht es mit der Abstreitbarkeit zappendüster aus. TOR ist anfällig und täuscht Privatsphäre nur vor. Bessere Strategie: Lasst die Analysten im Datenmüll ersaufen.
Wenn weder verschlüsselt noch authentifiziert wird, kann man einen Fremdeinfluss schlecht ausschliessen. Dadurch wird ein Beweis schwierig.
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Tuesday 06. November 2007, 18:20 MEW (#24)
|
|
|
|
|
Was Tor angeht, muss man sich darüber klar sein, dass es nur die IP-Adresse verschleiert, aber nichts verschlüsselt. Wenn man über Tor vertrauliche Daten überträgt bzw. Daten die eine Identifizierung erlauben (Mail-Adresse, ausgewöhnlicher Nick oder einfach eine ausgewöhnliche Browser-ID), dann schützt man damit nicht seine Privatsphäre, sondern nur die eigene IP-Adresse. Wer schon mal in einen IRC-Krieg verwickelt war, weiss, dass dies allein durchaus sinnvoll ist. Aber so wie man sich auch in einem Auto mit Airbag immer noch anschnallen muss, ist Verschlüsselung eben auch Pflicht, wenn man sich zuverlässig schützen will und nicht naiverweise auf die Integrität der Exit-Nodes vertraut. Letztlich gehört auch dazu, dass sich wirklich jeder, der kann, an Tor oder ähnlichem beteiligt, damit die bösen Jungs nicht durch simple Überzahl, die Sicherheit unterwandern können.
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Tuesday 06. November 2007, 18:47 MEW (#25)
|
|
|
|
|
Nein das ist nicht richtig, der Traffic der durch Tor geht wird sehr wohl verschlüsselt und sogar mehrfach. Davon kommt ja auch der Name. The Onion Router, weil es die Packete wie eine Zwiebel in mehreren Schichten verschlüsselt. Was aber wahr ist: die strecke vom letzten Hop zum Server muss natürlich so gesendet werden wie es das Protokoll verlangt, im Falle von HTTP meist unverschlüsselt.Da kann aber TOR nix dafür, weil es geht einfach nicht anders :)
Und auf die Integrität der Exit nodes würde ich nicht vertrauen. Ich habe einen Exitnode der rund 2MB / s durchgeschleust hat betrieben, und es war mir ein leichtes, Bilder, HTTP Requests, und Passwörter (die Tools sind bei den meisten distris bereits dabei) mitsniffen. Und genauso leicht wäre es auch etwas einzuschleusen. Nachrichten fälschen, bilder ersetzen, Werbung einblenden oder dein neuestes geiles Freeware prgramm durch einen noch geileren Virus zu ersetzen.
Ergo: wenn man Tor surft muss man erst Recht auf SSH setzen, und man sollte dann auch die Zertifikate lesen ;)
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Tuesday 06. November 2007, 20:27 MEW (#26)
|
|
|
|
|
Na ja, ich meinte "effektiv" wird da quasi nicht verschlüsselt, weil es am Ende genauso wieder herauskommt, wie man es am Anfang hineingesteckt hat (auf TCP-Ebene). Die Exit-Nodes hatte ich ja erwähnt, aber ich geb zu es war nicht ganz klar ausgedrückt. Was du beschreibst ist natürlich heute schon genauso möglich. Allerdings beschränkt sich das meist auf den ISP. Sobald man aber "offene" oder öffentliche WLAN-Accesspoints nutzt oder auch nur in ein Internetcafe geht, dann sollte man doch etwas sparsamer mit seinem Vertrauen umgehen. Man muss ja immer auch bedenken, dass egal wie seriös ein Betreiber sein mag, eine dritte Partei das Netzwerk kompromittieren könnte, was durchaus auch bei großen, seriösen Firmen immer wieder vorkommt. Kürzer gesagt, Tor kann leicht falsch angewandt werden und dann ein falsches Sicherheitsgefühl vermitteln, wie quasi jede andere für Laien nicht vollständig nachvollziehbare Sicherheitstechnik. Aber die gleichen Gefahren bestehen eben auch ohne Einsatz von Tor, auch wenn vermutlich mit deutlich geringerer Wahrscheinlichkeit.
SSH ist eigentlich nicht so sehr das Problem, da man ja jeden Schlüssel nur beim ersten Mal prüfen muss. Danach fällt eine Man-In-The-Middle-Attack sofort auf. Natürlich ist klar, dass im Alltag hier oft fahrlässig gehandelt wird, also der Schlüssel einfach blind akzeptiert wird anstatt über einen zweiten Kanal (Post/Telefon/Taube/Schwester) kontrolliert. Auch wird ein Schlüsselwechsel selten vorangekündigt und aus Zeitdruck oder Planlosigkeit wird dieser dann einfach akzeptiert. Das ist aber wie gesagt, weder ein Tor-spezifisches Problem noch von IPv6 verursacht. Auch muss man sagen, dass die Routen bei Tor natürlich nicht statisch sind, d.h. sofern nicht alle Exit-Nodes komprimittiert sind, sollten Manipulationen früher oder später auffallen. Bei einem kompromittierten Internet-Zugang ist das nicht der Fall.
Bei SSL/TLS ist es aber schon sehr viel problematischer als SSH, denn hier kommen CAs ins Spiel, die schon mehrfach kläglich versagt haben und das manuelle überprüfen des Schlüssels ist bei SSL/TLS völlig unüblich, auch wenn es mit jedem Browser möglich ist. Hier kann man sich aber schon durch einen einfachen Vertipper ins Knie schießen, denn das "Schloss" sagt ja nicht mehr aus, als dass der Schlüssel zur Domain passt. Hier sieht man doch, dass das SSL/TLS-Sicherheitsmodell wie es in Browsern implementiert ist, deutliche Schwächen aufweist.
Natürlich ist alles für die Katz sobald der Anwender seine Maschine bzw. seinen Account kompromittiert. So gibt es seit einiger Zeit tatsächlich Trojaner, die Online-Banking per MITM auf der Benutzerseite knacken.
|
|
|
|
|
|
