DIG Digital Corner
Alles wat je altijd al over computers, hardware, software, internet en elektronische gadgets had willen weten, maar niet op Tweakers.net durft te vragen.
Niet precies.quote:Op dinsdag 15 april 2014 10:20 schreef KomtTijd... het volgende:
[..]
Huh hoe zie je dat voor je? End-to-end encryptie betekend dat het van het begin tot het einde encrypted is. Er gaat dus niets in clear text over de lijn. Berichten worden encrypted vóórdat ze jouw computer verlaten, en pas decrypted op de device van de ontvanger.
Het werkt als volgt:
PC----telnet---Telnet machine----SSH-----ssh machine.
De communicatie verloopt eerst over telnet (unencrypted) naar machine 1 en gaat daarna pas over op het ssh protocol naar machine 2.
Https kan ik op die manier ook onveilig maken. Ik kan een geldig certificaat regelen, mijn machine opzetten als proxy en alle communicatie decrypten op mijn machine en daarna weer encrypten met mijn eigen certificaat, merk je als eindgebruiker vrij weinig van als ik het goed instel omdat ik een certificaat gebruik wat volledig geldig is.
Maar jij hebt geen certificaat voor het domein waar de verbinding heen gaat.quote:Op dinsdag 15 april 2014 10:42 schreef Daeron het volgende:
[..]
Https kan ik op die manier ook onveilig maken. Ik kan een geldig certificaat regelen, mijn machine opzetten als proxy en alle communicatie decrypten op mijn machine en daarna weer encrypten met mijn eigen certificaat, merk je als eindgebruiker vrij weinig van als ik het goed instel omdat ik een certificaat gebruik wat volledig geldig is.
Dus dan heb je toch geen geldig certificaat?
...maar de gebruiker communiceert met de proxy, en daarvoor is het certificaat wel geldig.quote:Op dinsdag 15 april 2014 11:33 schreef t4rt4rus het volgende:
[..]
Maar jij hebt geen certificaat voor het domein waar de verbinding heen gaat.
Dus dan heb je toch geen geldig certificaat?
Deze werkwijze is vrij gebruikelijk bij proxydiensten. Zo gebruikt bijvoorbeeld de accelerator-proxy van Opera-mobile ook haar eigen certificaten.
En dit is tevens de reden dat HTTPS/SSL niet een manier is om veilig te zijn tegen afluisteren. Alleen het verkeer totaan de eerste server wordt encrypted met SSL, wat er daarna mee gebeurt heb je als eindgebruiker geen enkele invloed meer op.
De enige reden waarvoor HTTPS nuttig zou zijn bij zo'n webbased chat die ook al end-to-end encryptie heeft, is dat het je beschermt tegen een MITM die de scripts onderweg aanpast en jou een versie voorschotelt waarin alle berichten zonder dat je het door hebt, ook naar hem verzonden worden. Als je het extern draait (en de host wel vertrouwt natuurlijk) kan dat nog wel een belangrijke toevoeging zijn.
Ik zie de communicatie met de proxy als een tunnel.quote:Op dinsdag 15 april 2014 11:52 schreef KomtTijd... het volgende:
[..]
...maar de gebruiker communiceert met de proxy, en daarvoor is het certificaat wel geldig.
Door die tunnel maak jij verbinding met een bepaalde host, via HTTPS.
Dan gebruik je toch het certificaat van die host?
Volgens mij kan het allebei. Maar een proxy heeft op deze manier dus de mogelijkheid data te veranderen zonder dat de gebruiker daar direct iets van merkt. Behalve als je het certificaat aanklikt, dan zie je dat dat een certificaat van je proxy is en niet van je bank.
En dan in het specifiek over een website die telegram over http aanbiedt en niet over httpsquote:Op dinsdag 15 april 2014 11:32 schreef KomtTijd... het volgende:
We hadden het niet over telnet, we hadden het over Telegram.
In theory there is no difference between theory and practice. In practice there is.
Jup. Gebruiken we op de zaak ook.quote:Op dinsdag 15 april 2014 12:42 schreef KomtTijd... het volgende:
Volgens mij kan het allebei. Maar een proxy heeft op deze manier dus de mogelijkheid data te veranderen zonder dat de gebruiker daar direct iets van merkt. Behalve als je het certificaat aanklikt, dan zie je dat dat een certificaat van je proxy is en niet van je bank.
Achterliggende JS zou kunnen encrypten?quote:Op dinsdag 15 april 2014 13:15 schreef slacker_nl het volgende:
[..]
En dan in het specifiek over een website die telegram over http aanbiedt en niet over https
జ్ఞా
Bij systeeminstellingen onderaan zit een knopje "stuurprogramma's voor apparaten". Die moet je hebben.quote:Op maandag 14 april 2014 17:50 schreef murp het volgende:
Ik zie helemaal geen apparaatbeheer bedoelje synaptic pakketbeheer?
Mogelijk, maar ik zou dan toch graag de https willen zien.quote:Op dinsdag 15 april 2014 13:39 schreef µ het volgende:
[..]
Jup. Gebruiken we op de zaak ook.
[..]
Achterliggende JS zou kunnen encrypten?
In theory there is no difference between theory and practice. In practice there is.
ik snap echt niet waar je je druk om maakt, heb nu al 3x uitgelegd dat het helemaal niets toevoegt. Zeker niet als je het lokaal draait. En anders maak je toch zelf even een checksum van de code zodat je die kunt controleren?quote:Op dinsdag 15 april 2014 18:14 schreef slacker_nl het volgende:
[..]
Mogelijk, maar ik zou dan toch graag de https willen zien.
Valt mee, je hebt /bin dan nog ja.quote:Op donderdag 17 april 2014 20:28 schreef Kandijfijn het volgende:
Tip van de dag, nooit #rm -rf /usr doen. Het verneukt je systeem
In Arch Linux zit die in /usr/binquote:Op donderdag 17 april 2014 21:16 schreef t4rt4rus het volgende:
[..]
Valt mee, je hebt /bin dan nog ja.
Kennelijk lees jij niet. Er is een site die je telegram laat gebruiken. Webbased. Deze service wordt je unencrypted aangeboden. Dus alle beveiliging van Telegram tussen de clients gaat over het HTTP protocol, onbeveiligd, naar de eindgebruiker. Mij. Dat Telegram het end to end encrypt heb je in dat geval geen drol aan.quote:Op woensdag 16 april 2014 10:03 schreef KomtTijd... het volgende:
[..]
ik snap echt niet waar je je druk om maakt, heb nu al 3x uitgelegd dat het helemaal niets toevoegt. Zeker niet als je het lokaal draait. En anders maak je toch zelf even een checksum van de code zodat je die kunt controleren?
Wat is daar niet aan te snappen?
In theory there is no difference between theory and practice. In practice there is.
Lees je hier even in:quote:Op donderdag 17 april 2014 22:00 schreef slacker_nl het volgende:
[..]
Kennelijk lees jij niet. Er is een site die je telegram laat gebruiken. Webbased. Deze service wordt je unencrypted aangeboden. Dus alle beveiliging van Telegram tussen de clients gaat over het HTTP protocol, onbeveiligd, naar de eindgebruiker. Mij. Dat Telegram het end to end encrypt heb je in dat geval geen drol aan.
Wat is daar niet aan te snappen?
https://core.telegram.org/mtproto
Telegram gebruikt een andere encryptie methode, niet zijnde HTTPS. Alle berichten die je stuurt zijn net zo veilig/veiliger dan plaintext over HTTPS. En als je de end-to-end encryptie gebruikt, zelfs extreem veel veiliger dan HTTPS. Ik snap echt niet waarom je zo op HTTPS geilt.
Is het niet zo, dat voordat het eerste end wordt bereikt je alles als plain-txt verstuurd via je browser?quote:Op donderdag 17 april 2014 22:05 schreef KomtTijd... het volgende:
[..]
Lees je hier even in:
https://core.telegram.org/mtproto
Telegram gebruikt een andere encryptie methode, niet zijnde HTTPS. Alle berichten die je stuurt zijn net zo veilig/veiliger dan plaintext over HTTPS. En als je de end-to-end encryptie gebruikt, zelfs extreem veel veiliger dan HTTPS. Ik snap echt niet waarom je zo op HTTPS geilt.
Het eerste end ben je zelf. Althans, je computer. Als je bedoelt tussen je toetsenbord en de client, ja dat gedeelte is niet encrypted. Als je eigen computer gecompromitteerd is dmv een virus o.i.d. heb je inderdaad nog steeds een probleem. Niet dat dat anders zou zijn wanneer ze HTTPS zouden gebruiken ipv hun eigen protocol.quote:Op donderdag 17 april 2014 22:07 schreef Kandijfijn het volgende:
[..]
Is het niet zo, dat voordat het eerste end wordt bereikt je alles als plain-txt verstuurd via je browser?
Maar elke applicatie die gebruik maakt van de Telegram-api's versleuteld dus al direct de berichten?quote:Op donderdag 17 april 2014 22:12 schreef KomtTijd... het volgende:
[..]
Het eerste end ben je zelf. Althans, je computer. Als je bedoelt tussen je toetsenbord en de client, ja dat gedeelte is niet encrypted. Als je eigen computer gecompromitteerd is dmv een virus o.i.d. heb je inderdaad nog steeds een probleem. Niet dat dat anders zou zijn wanneer ze HTTPS zouden gebruiken ipv hun eigen protocol.
Gast! Ik heb de analogie met telnet een ssh al gebruikt. Ik weet niet hoe ik het duidelijker kan maken.
Website stuurt unencrypted de gegevens de lijn over. Website is/heeft interface tussen twee of meerdere Telegram users. Tussen users is de data inderdaad encrypted. Dan moet de date unencrypted van website naar jou. Hoe is dat veilig? Hoe?
Mijn analogie was: telnet naar doos A. Ga van A naar B met ssh connecten. Enige wat ik moet doen is tussen jou en A zitten en kan meeluisteren. Dan kan verkeer tussen A en B nog zo goed beveiligd zijn. Maar je telnet alsnog, clear text. Dat was mijn issue.
Website stuurt unencrypted de gegevens de lijn over. Website is/heeft interface tussen twee of meerdere Telegram users. Tussen users is de data inderdaad encrypted. Dan moet de date unencrypted van website naar jou. Hoe is dat veilig? Hoe?
Mijn analogie was: telnet naar doos A. Ga van A naar B met ssh connecten. Enige wat ik moet doen is tussen jou en A zitten en kan meeluisteren. Dan kan verkeer tussen A en B nog zo goed beveiligd zijn. Maar je telnet alsnog, clear text. Dat was mijn issue.
In theory there is no difference between theory and practice. In practice there is.
Er is nieteens een manier om unencrypted berichten via de Telegram-api te versturen.quote:Op donderdag 17 april 2014 22:15 schreef Kandijfijn het volgende:
[..]
Maar elke applicatie die gebruik maakt van de Telegram-api's versleuteld dus al direct de berichten?
quote:Op donderdag 17 april 2014 22:18 schreef slacker_nl het volgende:
Gast! Ik heb de analogie met telnet een ssh al gebruikt. Ik weet niet hoe ik het duidelijker kan maken.
Website stuurt unencrypted de gegevens de lijn over.
Waar? Hoe? Dit is onmogelijk. Telegram doet niets met unencrypted berichten. Die hele api ondersteunt dat niet.Nee, de website communiceert met de Telegram servers, niet direct met andere users. Als je een "gewoon" bericht verstuurt wordt het verkeer totaan de Telegram-server encrypted en moet je vervolgens Telegram erop vertrouwen dat ze er geen rottigheid mee uithalen. Net als bij HTTPS, alleen wordt er net even een andere, maar soortgelijke, technologie gebruikt. Als je een "secret" bericht stuurt wordt het totaan de ontvangende gebruiker encrypted en kan zelfs Telegram zelf er geen rottigheid mee uithalen.quote:Website is/heeft interface tussen twee of meerdere Telegram users. Tussen users is de data inderdaad encrypted.
Je bedoelt het aflezen vanaf je beeldscherm? Zolang er niemand over je schouder mee staat te kijken en je geen virus hebt, veilig! Hoe is dat onveilig? Hoe?quote:Dan moet de date unencrypted van website naar jou. Hoe is dat veilig? Hoe?
Ja en die analogie klopt dus niet, want je kunt helemaal geen unencrypted berichten sturen naar doos A.quote:Mijn analogie was: telnet naar doos A. Ga van A naar B met ssh connecten. Enige wat ik moet doen is tussen jou en A zitten en kan meeluisteren. Dan kan verkeer tussen A en B nog zo goed beveiligd zijn. Maar je telnet alsnog, clear text. Dat was mijn issue.
Okay.. even in de source zitten kijken van webogram.. het lijkt erop dat het volledig in js is en dus volledig client side draait. Dan maakt het idd weinig uit. Maar blijf het wat vreemdig vinden dat een Telegram (wel onofficieel) dan niet even https gebruikt.
In theory there is no difference between theory and practice. In practice there is.
Waarom Telegram geen HTTPS gebruikt staat keurig uitgelegd in mijn link van net. En of het nou client-side of serverside draait maakt ook weinig uit, tenzij je een externe host gebruikt. Maar dan staat het je natuurlijk altijd vrij een SSL-certificaatje aan te schaffen als je je daar beter bij voelt (maar idd het draait allemaal client-side dus het enige wat je ermee wint is dat de integriteit van de scripts zelf dan gewaarborgd is)
