foofighter
Fortgeschrittenes Mitglied
- 59
Und mich würde mal interessieren, ob die bei Congstar genauso im Hintergrund alles abgreifen?! 
[keweonDNS][Online Security und Adblock][Ohne Root][Offiziell-Support]
- Status
MrT69
Dauergast
- 1.347
- Themenstarter
- #1.562
@nik
Nee, nee. DNS kannst du sowas nicht mitschneiden, das ist klar. Da die aber - zumindest für die Werbung - einen ProxyDNS nutzen, damit geht das dann. Mit DNS allein kannst du das so nicht machen. Das ist dann falsch rübergekommen.
@foofighter
Bei der T-Mobile/T-Online/Telekom bin ich da auch nur draufgekommen, weil die das in den Datenschutzänderungen drin haben und weil die alles mit Gewalt betreiben, dass die Daten durch das Stoeerer Netzwerk gehen. Hätten die beides nicht gemacht, wäre das wahrscheinlich nie aufgefallen.
Bei Congstar bin ich selbst bzw. meine kleine Tochter. Da Congstar allerdings der LowBudget Dealer der Telekom für den Consumer Bereich ist, krieg ich grade leichte Panikzustände. Zumindest geht die Rechnungsstellung über die Telekom.
Nee, nee. DNS kannst du sowas nicht mitschneiden, das ist klar. Da die aber - zumindest für die Werbung - einen ProxyDNS nutzen, damit geht das dann. Mit DNS allein kannst du das so nicht machen. Das ist dann falsch rübergekommen.
Beiträge automatisch zusammengeführt:
@foofighter
Bei der T-Mobile/T-Online/Telekom bin ich da auch nur draufgekommen, weil die das in den Datenschutzänderungen drin haben und weil die alles mit Gewalt betreiben, dass die Daten durch das Stoeerer Netzwerk gehen. Hätten die beides nicht gemacht, wäre das wahrscheinlich nie aufgefallen.
Bei Congstar bin ich selbst bzw. meine kleine Tochter. Da Congstar allerdings der LowBudget Dealer der Telekom für den Consumer Bereich ist, krieg ich grade leichte Panikzustände. Zumindest geht die Rechnungsstellung über die Telekom.
Zuletzt bearbeitet:
nik
Ehrenmitglied
- 10.860
Ok, du gehst hier von einem klassischen Man in the middle aus. Aber wie kommst du hier auf das Mitschneiden von verschlüsselten Nachrichten? Der Proxy sieht ja auch nur, was nicht verschlüsselt übertragen würde.
MrT69
Dauergast
- 1.347
- Themenstarter
- #1.564
Weil die das in der Konstellation so machen können. Da das allerdings keiner mitbekommen wird, wie hoch schätzt du die Wahrscheinlichkeit dass die das nicht machen?
Nimm einfach mal Fiddler und schau dir an was damit machbar ist wenn du HTTPS Logging aktivierst. HTTPS selbst ist nur eine End2End Verschlüsselung - keine Datenverschlüsselung. Das bedeutet, der Traffic, selbst HTTPS, ist recht einfach in Echtzeit mitlesbar. Und einfach auf der rechten Seite mal "klicken" - schon ist es "entschlüsselt". Kurzum, das wäre technisch für die auch kein großes Ding, denn die Infrastruktur ist zum einen Vorbereitet wie man sieht und zum anderen, ganz ehrlich, die Telekom würde das alles aus der Portokasse zahlen und merkt es noch nicht mal dass sich irgendwo Zahlen bewegen.
Nimm einfach mal Fiddler und schau dir an was damit machbar ist wenn du HTTPS Logging aktivierst. HTTPS selbst ist nur eine End2End Verschlüsselung - keine Datenverschlüsselung. Das bedeutet, der Traffic, selbst HTTPS, ist recht einfach in Echtzeit mitlesbar. Und einfach auf der rechten Seite mal "klicken" - schon ist es "entschlüsselt". Kurzum, das wäre technisch für die auch kein großes Ding, denn die Infrastruktur ist zum einen Vorbereitet wie man sieht und zum anderen, ganz ehrlich, die Telekom würde das alles aus der Portokasse zahlen und merkt es noch nicht mal dass sich irgendwo Zahlen bewegen.
Zuletzt bearbeitet:
MrT69
Dauergast
- 1.347
- Themenstarter
- #1.565
@nik
Um fair zu bleibne, es gäbe noch eine "alternative" warum die das so gemacht haben. Da ich mit keweon der einzige war der das Stoeerer Netzwerk umgangen bin und weil keweonDNS viel in Deutschland genutzt wird, hat die Telekom die Seite extra wegen meiner DNS Server die Seite so umgebaut.
Das hätte den Vorteil, die müssten nur die Zahlen mit der Login Seite und die Zahlen mit dem Logoaufruf vergleichen. Sobald hier unterschiede wären, wüssten die sofort bescheid, dass hier das Netzwerk umgangen wird. Zusätzliche DNS Server, ProxyDNS Server, Backend Monitoring, Umbau der Webseite, zusätzliche Infrastruktur, Personal, etc, etc. - was allerdings immer noch bedeutet, die hätten weiterhin die Möglichkeiten alles mitzulesen.
Wenn die allerdings schon die Logindaten der Nutzer durch die Werbeinfrastruktur schicken, wenn du dir die "Datenschutzerklärung" ansiehst:
wenn du überlegst welche Möglichkeiten die damit haben - was bitte klingt dann wahrscheinlicher?
ProxyDNS, mehr Daten sammeln und verkaufen - oder alles nur zum Schutz zur Erkennung von keweonDNS Nutzern?
Um fair zu bleibne, es gäbe noch eine "alternative" warum die das so gemacht haben. Da ich mit keweon der einzige war der das Stoeerer Netzwerk umgangen bin und weil keweonDNS viel in Deutschland genutzt wird, hat die Telekom die Seite extra wegen meiner DNS Server die Seite so umgebaut.
Das hätte den Vorteil, die müssten nur die Zahlen mit der Login Seite und die Zahlen mit dem Logoaufruf vergleichen. Sobald hier unterschiede wären, wüssten die sofort bescheid, dass hier das Netzwerk umgangen wird. Zusätzliche DNS Server, ProxyDNS Server, Backend Monitoring, Umbau der Webseite, zusätzliche Infrastruktur, Personal, etc, etc. - was allerdings immer noch bedeutet, die hätten weiterhin die Möglichkeiten alles mitzulesen.
Wenn die allerdings schon die Logindaten der Nutzer durch die Werbeinfrastruktur schicken, wenn du dir die "Datenschutzerklärung" ansiehst:
und
wenn du überlegst welche Möglichkeiten die damit haben - was bitte klingt dann wahrscheinlicher?
ProxyDNS, mehr Daten sammeln und verkaufen - oder alles nur zum Schutz zur Erkennung von keweonDNS Nutzern?
nik
Ehrenmitglied
- 10.860
Das ist auch historisch gewachsen. T-Online war früher ein eigenes Unternehmen, dann wurde T-Online wieder zur Telekom zurückgeholt. Die Seite von T-Online wurde von den Usern aber weiter gern als News-Seite genutzt, was der Telekom mit der Zeit zu viel Aufwand wurde, weswegen die Seite dann verkauft wurde. Um die Nutzer nicht zu sehr vor den Kopf zu stoßen (und wahrscheinlich auch wegen irgendwelcher halbseidenen Verträge) hat man den Login für den Mail-Zugang auf der Port-Seite belassen.
Und schon allein wegen irgendwelcher Zuständigkeiten, ist das nicht so ganz einfach. Und das sich die Telekom nicht immer für die technisch einwandfreiste Lösung entscheidet, wurde ja nun des öfteren bewiesen.
Und schon allein wegen irgendwelcher Zuständigkeiten, ist das nicht so ganz einfach. Und das sich die Telekom nicht immer für die technisch einwandfreiste Lösung entscheidet, wurde ja nun des öfteren bewiesen.
ja, dann bekommt der Nutzer eine Fehlermeldung, was in modernen Browsern ziemlich schnell auffällt. Ganz so trivial ist das nicht. Und die Inhalte von der Mail-Seite werden wiederum mit einem anderen Zertifikat verschlüsselt, weshalb Ströer nur den verschlüsselten Traffic Richtung Telekom sehen dürfte, falls das Szenario so zutrifft.MrT69 schrieb:
MrT69
Dauergast
- 1.347
- Themenstarter
- #1.567
@nik
Nimm einen Switch, PortMirroring aktiv, eine CISCO WSA (Web Security Appliances) und dann kriegst du alles in klartext ohne das der "echte Traffic" angefasst wird. PortMirroring kann heute sogar jeder billige Netgear Switch.
Nimm einen Switch, PortMirroring aktiv, eine CISCO WSA (Web Security Appliances) und dann kriegst du alles in klartext ohne das der "echte Traffic" angefasst wird. PortMirroring kann heute sogar jeder billige Netgear Switch.
nik
Ehrenmitglied
- 10.860
Ja, und bei nem Web-Proxy brauchst du auch ein root-Zertifikat, dem der Client vertraut, wie bei deinem Dienst auch. Wenn man das nicht installiert, gibt es eben nen Zertifikatsfehler. Ohne wird der Client eine Fehlermeldung bekommen und die Verbindung wird nicht aufgebaut.
MrT69
Dauergast
- 1.347
- Themenstarter
- #1.569
@nik
Das ist die Theorie. So sieht allerdings die Praxis aus wenn du folgende Adresse aufrufst:
Bei Chrome landest du auf T-Online. Auf anderen Browsern, hier beim EDGE, Zertifikatsfehler.
Am Handy das gleiche. Chrome geht, Safari bringt einen Fehler und es geht trotzdem. Kann mir das einer erklären?
Das ist die Theorie. So sieht allerdings die Praxis aus wenn du folgende Adresse aufrufst:
Code:
https://login.stroeerdp.deBei Chrome landest du auf T-Online. Auf anderen Browsern, hier beim EDGE, Zertifikatsfehler.
Am Handy das gleiche. Chrome geht, Safari bringt einen Fehler und es geht trotzdem. Kann mir das einer erklären?
S
Schizo1987
Neues Mitglied
- 4
MrT69
Dauergast
- 1.347
- Themenstarter
- #1.571
@Schizo1987
Sollte jetzt laufen
Sollte jetzt laufen
S
Schizo1987
Neues Mitglied
- 4
Cool vielen Dank!
Einloggen kann ich mich jetzt, aber mit der DNS zeigt mir die App jetzt keine Bilder mehr an, ohne schon.
Bild einmal mit DNS und einmal ohne DNS
MFG Schizo1987
Einloggen kann ich mich jetzt, aber mit der DNS zeigt mir die App jetzt keine Bilder mehr an, ohne schon.
Bild einmal mit DNS und einmal ohne DNS
MFG Schizo1987
Zuletzt bearbeitet von einem Moderator:
Bearbeitet von:
hagex
- Grund: Bilder verkleinert. Gruß von hagex
MrT69
Dauergast
- 1.347
- Themenstarter
- #1.573
@Schizo1987
Jetzt schaut auch die Hauptseite von etoro.de besser aus
Danke dir.
Jetzt schaut auch die Hauptseite von etoro.de besser aus
Danke dir.
S
Schizo1987
Neues Mitglied
- 4
Ne ne ich habe dir zu Danken @MrT69 !!!
Jetzt funktioniert alles Perfekt vielen Dank für deine zeitnahe Unterstützung.
MFG Schizo1987
Jetzt funktioniert alles Perfekt vielen Dank für deine zeitnahe Unterstützung.
MFG Schizo1987
MrT69
Dauergast
- 1.347
- Themenstarter
- #1.575
amazon.de
Wozu es eigentlich die DSGVO gibt ist mir inzwischen ein Rätsel. Daten schützen in Europa? Von wegen, denn hier mal ein weiteres Beispiel von Amazon.
Das ist ein Remote Logging eines deutschen Users und hier passiert folgendes:
Vor der blauen Linie klickt die Nutzerin auf Bestellübersicht/Status in der Amazon App (Android). Was dann passiert ist mir nicht ganz klar, denn das geht auf einen Cloudfront Server. Dann wird's aber wieder lustig. Amazon schickt die Daten über Facebook (graph.facebook.com) und anschließend noch über trk.pinterest.com - wobei die Nutzerin keine Facebook App installiert hat und die Pinterest App geschlossen war.
Spannend ist die Kommunikation - denn das switcht gewaltig zwischen trk und api von Pinterest wie auch graph von Facebook.
Aber hey, immerhin haben die ja eine Datenschutzerklärung. Das ist alles gewissenhaft und sorgfältig.
Wozu es eigentlich die DSGVO gibt ist mir inzwischen ein Rätsel. Daten schützen in Europa? Von wegen, denn hier mal ein weiteres Beispiel von Amazon.
Das ist ein Remote Logging eines deutschen Users und hier passiert folgendes:
Vor der blauen Linie klickt die Nutzerin auf Bestellübersicht/Status in der Amazon App (Android). Was dann passiert ist mir nicht ganz klar, denn das geht auf einen Cloudfront Server. Dann wird's aber wieder lustig. Amazon schickt die Daten über Facebook (graph.facebook.com) und anschließend noch über trk.pinterest.com - wobei die Nutzerin keine Facebook App installiert hat und die Pinterest App geschlossen war.
Spannend ist die Kommunikation - denn das switcht gewaltig zwischen trk und api von Pinterest wie auch graph von Facebook.
Aber hey, immerhin haben die ja eine Datenschutzerklärung. Das ist alles gewissenhaft und sorgfältig.
Sitara Aci La Rose
Stammgast
- 777
Krass!
Jetzt kapiere ich erst, wieso du mich gefragt hast, ob ich Pinterest und Facebook offen habe.
Das ist echt Übel... Zumal ich weder Facebook noch Pinterest jemals mit Amazon verknüpft hatte...
Schon heftig... Manches will man einfach nicht wissen...
Danke für die Erklärung @MrT69
Jetzt kapiere ich erst, wieso du mich gefragt hast, ob ich Pinterest und Facebook offen habe.
Das ist echt Übel... Zumal ich weder Facebook noch Pinterest jemals mit Amazon verknüpft hatte...
Schon heftig... Manches will man einfach nicht wissen...
Danke für die Erklärung @MrT69
MrT69
Dauergast
- 1.347
- Themenstarter
- #1.577
@Sitara Aci La Rose
Oh… wusste gar nicht dass du hier auch bist
Oh… wusste gar nicht dass du hier auch bist
orgshooter
Philosoph
- 5.158
@MrT69 hast du das mal auch mit der Browserversion probiert? Tritt dort ein ähnliches Phänomen auf?
MrT69
Dauergast
- 1.347
- Themenstarter
- #1.579
@orgshooter
Ne, aber das ist ne gute Idee. Wenn Frau oder ich das nächste mal Shoppen gehen, werd ich das dann sogar mal mit HTTPS Inspection ansehen. Browser und App.
Ich will mal sehen was die da wo und wie an Daten sorgfältig und gewissenhaft übertragen.
Ne, aber das ist ne gute Idee. Wenn Frau oder ich das nächste mal Shoppen gehen, werd ich das dann sogar mal mit HTTPS Inspection ansehen. Browser und App.
Ich will mal sehen was die da wo und wie an Daten sorgfältig und gewissenhaft übertragen.
MrT69
Dauergast
- 1.347
- Themenstarter
- #1.580
Info:
Da bei dns.keweon.center demnächst die Zertifikate ablaufen, hab ich nicht nur diese erneut, sondern einen kompletten Server Upgrade durchgeführt.
Bis auf einen Server (176.9.62.58 bzw. 62) sind jetzt alle Server auf einem aktuellen Stand und um es kurz zu machen, zumindest in Deutschland dürfte es keinen schnelleren DoH/DoT Server geben.
Die Hardware ist gleich geblieben, und ihr solltet definitiv einen Unterschied bemerken, vor allem bei den Ladezeiten von Webseiten.
DoH:
DoT (z.B. Android Privates DNS)
Da gerade SSL/TLS extrem auf CPU und RAM geht, haben sich die 2 Jahre Entwicklung - aus meiner Sicht - rentiert. Da ist zwar immer noch Luft nach oben, aber ich denke mit den Servern kann man definitiv leben.
Die Systemstabilität wie auch Sicherheit wurden drastisch erhöht, denn die Server laufen nicht mehr auf Linux, sondern auf Unix.
Es gab vereinzelt Fälle in denen eine Domain nicht aufgelöst werden konnte, obwohl diese definitiv nicht in der Blackliste war. Das führte, manchmal, zu gravierenden Fehlern und teilweise gingen Apps auch nicht mehr richtig. Warum dass der Fall war kann ich bis heute nicht nachvollziehen.
Freu mich über jedes Feedback - und auch wenn es schlechter geworden sein sollte, ruhig raus damit.
In diesem Sinne, viel Spaß!
Da bei dns.keweon.center demnächst die Zertifikate ablaufen, hab ich nicht nur diese erneut, sondern einen kompletten Server Upgrade durchgeführt.
Bis auf einen Server (176.9.62.58 bzw. 62) sind jetzt alle Server auf einem aktuellen Stand und um es kurz zu machen, zumindest in Deutschland dürfte es keinen schnelleren DoH/DoT Server geben.
Die Hardware ist gleich geblieben, und ihr solltet definitiv einen Unterschied bemerken, vor allem bei den Ladezeiten von Webseiten.
DoH:
DoT (z.B. Android Privates DNS)
Da gerade SSL/TLS extrem auf CPU und RAM geht, haben sich die 2 Jahre Entwicklung - aus meiner Sicht - rentiert. Da ist zwar immer noch Luft nach oben, aber ich denke mit den Servern kann man definitiv leben.
Die Systemstabilität wie auch Sicherheit wurden drastisch erhöht, denn die Server laufen nicht mehr auf Linux, sondern auf Unix.
Es gab vereinzelt Fälle in denen eine Domain nicht aufgelöst werden konnte, obwohl diese definitiv nicht in der Blackliste war. Das führte, manchmal, zu gravierenden Fehlern und teilweise gingen Apps auch nicht mehr richtig. Warum dass der Fall war kann ich bis heute nicht nachvollziehen.
Freu mich über jedes Feedback - und auch wenn es schlechter geworden sein sollte, ruhig raus damit.
In diesem Sinne, viel Spaß!
Zuletzt bearbeitet:
- Status
Ähnliche Themen
- Liverpool
Liverpool
MrT69
