ComputerBase Menü
Aktuelles

Nokia entschlüsselt HTTPS Verbindung von Benutzern

Madman1209

Madman1209

Fleet Admiral
Registriert
Nov. 2010
Beiträge
28.100
Hi,

habe gerade einen interessanten Artikel. Inhalt dieses Artikels ist es, dass Nokia die HTTPS-Verbindung ihrer Nutzer, die den XPress-Browser benutzen (Lumia und Asha), entschlüsselt durch Ihre Server routen.

The company has confirmed that the Xpress Browser used on its Asha and Lumia handsets does route HTTPS traffic via its servers, temporarily decrypting it as it does so.
Zum Vergrößern anklicken....

Statement von Nokia hierzu:

Importantly, the proxy servers do not store the content of web pages visited by our users or any information they enter into them,” the company said. “When temporary decryption of HTTPS connections is required on our proxy servers, to transform and deliver users’ content, it is done in a secure manner.
Zum Vergrößern anklicken....

Im Klartext: Ja, wir entschlüsseln die HTTPS-Daten, aber wir versprechen euch, wir gucken nicht so genau hin und speichern auch nichts. Ausserdem ist das bei uns auch alles sehr sicher.

Meine persönliche Meinung: Eine bodenlose Frechheit! Für wie blöd hält Nokia seine Nutzer eigentlich? Wieso nutze ich denn eine verschlüsselte Verbindung, wenn Nokia zur "Datenreduktion" das ganze dann auf ihrem Proxy entschlüsselt?

Ich wollte euch das nicht vorenthalten und die Nokia-Nutzer die den XPress-Browser verwenden warnen, schon alleine weil viele Nutzer vielleicht Bankgeschäfte, Social Networking und ihre Einkäufe (Kreditkartendaten) usw über die HTTPS-Verschlüsselung im XPress-Browser für sicher erachten!

Was haltet ihr von so etwas? An sich finde ich es verwerflich genug, so etwas überhaupt in Betracht zu ziehen. Aber dass das von Nokia dann auch nicht kommuniziert wird (oder habe ich die News hierzu verpasst?) schreckt mich umso mehr ab.

Quelle
Auch nachzulesen in Fefe's Blog

VG,
Mad
 
Zuletzt bearbeitet:
Habe ich schon vor einigen Tagen gelesen.

Aber dann müssen die Leute die ihre Daten gerne behalten wollen halt einfach einen anderen Browser nutzen
und damit auf die Datenkompression von Nokia verzichten.

Problem gelöst.
 
Sicherheit ist Vertrauenssache, wenn Nokia ohne öffentlicher Bekanntgabe heimlich alle gesicherten Verbindungen entschlüsselt, dann ist das ein Vertrauensbruch.
Das ist der Unterschied zum Opera Browser Mini, der verwendet zwar auch einen Proxy, es wird aber explizit darauf hingewiesen.
 
Zuletzt bearbeitet:
Nokia XPress ist ja extra dafür die Daten maximal zu komprimieren!
Da sehr viele Seiten inzwischen https nutzen wäre des Sinn der App verflogen...

Wenn du sicher surfen willst dann nutz doch den IE in WP Geräten :) wo ist das Problem? Er ist schnell und sicher.


Außerdem würde ich eh nie etwas vertrauliches über einen fremden Proxy laufen lassen!
Auch die Opera Turbo Funktion würde ich nur für belanglose Dinge nutzen.

In eine SSL oder HTTPS verbindung rein zu schauen ist wirklich alles andere als schwer heutzutage :/
Aber das ist ein anderes Thema.
 
Importantly, the proxy servers do not store the content of web pages visited by our users or any information they enter into them,...
Zum Vergrößern anklicken....
Irre ich mich oder zählt das nicht zu den Kernaufgaben eines Proxies (Caching ist auch speichern)?
Echt Klasse, dass da im Zweifel jeder Praktikant hinterm Proxy mitsniffen kann!
 
Danke für die Info.

Finde ich absolut inakzeptabel.

Mir persönlich ist Nokia sowieso ein Dorn im Auge. Und dann so was...

Auf Datenschutz wird ohnehin immer weniger geachtet. Und jetzt sogar mit Füßen getreten!
 
Hi,

Aber dann müssen die Leute die ihre Daten gerne behalten wollen halt einfach einen anderen Browser nutzen und damit auf die Datenkompression von Nokia verzichten. Problem gelöst.
Zum Vergrößern anklicken....

Wenn du sicher surfen willst dann nutz doch den IE in WP Geräten wo ist das Problem? Er ist schnell und sicher.
Zum Vergrößern anklicken....

Das Problem ist, dass Nokia nicht darauf hinweist sondern erst nach Recherche jetzt zugegeben hat, dass sie das machen! Das ist das Problem.

Wenn Nokia das im Vorfeld sagt ist das zwar immernoch zweifelhaft, aber dann weiß der Nutzer wenigstens worauf er sich einlässt.

VG,
Mad
 
Unschöne Sache. Aber was ist ein Xpress Browser? hab ein Lumia, aber noch nie gesehen/gehört.
 
Spike S. schrieb:
Irre ich mich oder zählt das nicht zu den Kernaufgaben eines Proxies (Caching ist auch speichern)?
Echt Klasse, dass da im Zweifel jeder Praktikant hinterm Proxy mitsniffen kann!
Zum Vergrößern anklicken....
Dass es cachende Proxys gibt, heisst nicht, dass jeder Proxy cacht.

Hier wird der Stream entschlüsselt, komprimiert und wieder verschlüsselt. Das ist keine Seltenheit und auch Datenschutzrechtlich nicht bedenklich, sofern(!) die Daten nach der Entschlüsselung und vor der Wiederverschlüsselung nicht ausgeleitet und irgendwo gespeichert werden. Kurz gesagt, aus Sicht des Datenschutzes wäre es nur interessant, ob Nokia auf die entschlüsselten Daten im Proxy zugreift und diese wegspeichert, bevor der Proxy diese aus seinem RAM wieder verwirft, weil er sonst ja recht fix überlaufen würde.
 
Zuletzt bearbeitet:
Hi,

Das ist keine Seltenheit und auch Datenschutzrechtlich nicht bedenklich
Zum Vergrößern anklicken....

Wie gesagt: hätte Nokia das vorher schon so gesagt wäre es zwar besser - korrekt und unbedenklich aber noch lange nicht. Und mit HTTPS-Verbindung kenne ich das persönlich bisher noch nicht. Kannst du bitte ein Beispiel nennen, das das belegt? Also dass HTTPS-Entschlüsselung zur Datenreduktion keine Seltenheit und unbedenklich ist?

VG,
Mad
 
Madman1209 schrieb:
Was haltet ihr von so etwas? An sich finde ich es verwerflich genug, so etwas überhaupt in Betracht zu ziehen. Aber dass das von Nokia dann auch nicht kommuniziert wird (oder habe ich die News hierzu verpasst?) schreckt mich umso mehr ab.
Zum Vergrößern anklicken....
meine persönliche meinung dazu

wer einen dienst nutzt der verspricht den kompletten datenverkehr über einen proxy zu schleusen und ihn dann zu komprimieren, der vertraut diesem dienst oder vertraut ihm nicht. Ich halte es für dumm von den anwendern wenn sie solche dienste nutzen wenn sie ihnen nicht vertrauen (egal ob https oder http), nokia hat hier aus meiner sicht seine bringschuld erbracht, sie sagen was der nokia xpress browser macht (schon vorher) und dann wundern sich die leute dass da gemacht wird was "versprochen" wird? Dümmer gehts wohl nicht.
Ergänzung ()

Madman1209 schrieb:
Wie gesagt: hätte Nokia das vorher schon so gesagt wäre es zwar besser
Zum Vergrößern anklicken....
sie haben gesagt der komplette inhalt wird komprimiert und haben hier keine ausnahmen für verbindungen gleich welcher art genannt, welchen grund gäbe es hier nicht davon auszugehen dass auch https verbindungen davon betroffen sind? Dass dies technisch bei https verbindungen auch nur dann geht wenn diese bei nokia terminiert werden gehört dann zu einem grundverständnis.

Zum rest, atkatas kompletten kommentar lesen und nicht einen satz aus dem zusammenhang reisen.
 
Zuletzt bearbeitet:
Hi,

sie sagen was der nokia xpress browser macht (schon vorher)
Zum Vergrößern anklicken....

Ist das so? Heise-News dazu:

Nokia geht hingegen in der Erklärung zum Xpress-Browser gar nicht auf Verschlüsselung ein.
Zum Vergrößern anklicken....

Vor allem führt es das Prinzip von HTTPS vollkommen ad absurdum in meinen Augen.

@Matzegr

Opera weist in seinen FAQs darauf hin, wie Opera Mini verschlüsselt, und dass Datenströme für die Komprimierung über Server gelenkt werden. Dabei macht das Unternehmen auch keinen Hehl daraus, dass Opera Mini stets über den Proxy arbeitet. Für eine lückelose Verschlüsselung empfiehlt das Unternehmen den vollständigen Webbrowser Opera Mobile.
Zum Vergrößern anklicken....

In den Opera-FAQs steht es klar und deutlich drin:

Gibt es eine lückenlose Sicherheit zwischen meinem Mobiltelefon und - zum Beispiel - paypal.com oder meiner Bank?

Nein. Wenn Sie eine lückenlose Verschlüsselung benötigen, sollten Sie einen vollständigen Webbrowser, wie Opera Mobile benutzen.
Zum Vergrößern anklicken....

Von Nokia kommt das erst nach Anaylse des Datenstroms und einer Anfrage von Aussen, nicht von Nokia selbst - das halte ich durchaus für bedenklich.

VG,
Mad
 
Zuletzt bearbeitet:
Madman1209 schrieb:
Ist das so?
Zum Vergrößern anklicken....
lies dir doch einfach die beschreibung von nokia xpress durch

http://www.nokia.com/de-de/support/smartphones-und-handys/nokia-xpress/
"Nokia Xpress verwendet die Cloud, um Internetseiten automatisch zu komprimieren, damit ihr Smartphone weniger Daten empfangen muss"
Sie machen keine ausnahme, also gehe ich davon aus dass es jede internetseite betrifft, wie man von etwas ausgehen kann das nicht erwähnt wird verstehe ich nicht.

http://betalabs.nokia.com/trials/nokia-xpress-internet
 
Zuletzt bearbeitet:
@madman: HTTPS Proxys sind ein Teilbereich der WAN Optimierung. Nehmen wir mal an du hast eine geographisch verteilte Firma wo die WAN-Anbindungen der Aussenstellen überlastet sind. Ergo rechnest du was günstiger ist, Bereitstellung größerer Anbindungen oder Einbringen von technischen Lösungen, die den Datenverbrauch reduzieren. Da gibt es eine ganze Reihe von Anbietern, die die Lösungen verkaufen wollen, die je nach Preis und Versiertheit der Hersteller unterschidlich fähig sind. Der Markt dafür lag 2012 bei knapp 40MRd US-$ und wird sicher weiterwachsen, da mit den Mobilanbietern quasi sich eine völlig neue Kundengruppe auftut, die auf Biegen und brechen schauen müssen, wie die Datenmengen reduziert werden können.

http://en.wikipedia.org/wiki/WAN_optimization

Detaillierte Informationen bekommt man von den Herstellern oder auf Netzsicherheit spezialisierte Beratungsfirmen.

Das wird in Zukunft ein gängies Modell sein. Ich geb dir in dem Punkt völlig recht, das man von den Providern erwarten kann, des auch entsprechend zu kommunizieren. Ich schätze mal, dass hier einfach keiner der Anbieter sich traute, als erster das groß breit zu treten, weil wohl befürchtet wurde, dass genau das passiert, was jetzt eben passiert ist: dass jeder gleich denkt, Nokia würde alles gleich mit speichern.
Opera konnte das egal sein, die haben ihre Nische.
 
Zuletzt bearbeitet:
Hi,

@0711

Wenn dann hätte ich mir eine Aussage wie von Opera gewünscht. Für unbedarfte Nutzer ist es eben daraus nicht ersichtlich meiner Meinung nach.

@Atkatla

Ok, das verstehe ich :) Aber aus dem Wiki-Artikel lese ich es so, dass der HTTPS-Proxy dann auch in der Hand der Firma ist, die die Daten anfordert - ist das soweit korrekt? Also als Beispiel: Meine Firma, viele Mitarbeiter, alle gehen über diesen HTTPS-Proxy, der verbindet nach draußen. Korrekt? Dann finde ich nämlich, kann man das so nicht mit dem Vorgehen von Nokia direkt vergleichen, oder?

So lese ich es auch hier auf Heise. So lange mir der Proxy gehört und von meinem Admin überwacht wird ist das ok. Aber das Nokia-Beispiel ist ja ein anderes in meinen Augen. Oder wie siehst du das?

Normalerweise zeigt Ihr Browser dabei eine Warnung über ein ungültiges Zertifikat an. Die kann man als Administrator aber unterdrücken, indem man auf den PCs der Mitarbeiter das CA-Zertifikat des MITM als vertrauenswürdige Zertifizierungsinstanz installiert.
Zum Vergrößern anklicken....

Das wird ja wahrscheinlich im XPress-Browser nicht so gehandhabt, oder sehe ich das falsch?

VG,
Mad
 
Zuletzt bearbeitet:
Madman1209 schrieb:
Dann finde ich nämlich, kann man das so nicht mit dem Vorgehen von Nokia direkt vergleichen, oder?
Zum Vergrößern anklicken....
es ist technisch das exakt gleiche vorgehen nur dass nokia eben ihren "proxydienst" öffentlich anbietet, die firma nicht.
Madman1209 schrieb:
Das wird ja wahrscheinlich im XPress-Browser nicht so gehandhabt, oder sehe ich das falsch?
Zum Vergrößern anklicken....
der xpress browser vertraut selbstverständlich dem zertifikat seines herausgebers. Eine implementierung in firmen ohne das ca zertifikat als vertrauenswürdig zu hinterlegen wäre mir bisher noch nicht untergekommen.
 
Zuletzt bearbeitet:
Hi,

technisch vielleicht schon, bei den gewählten Beispielen ist aber der Proxy unter meiner Fuchtel oder zumindest unter der des Admins meiner Firma! Bei Nokia gebe ich das aber komplett aus der Hand und muss mich drauf verlassen, dass die keine Schindluder treiben. Da sehe ich einen erheblichen Unterschied, wenn auch nicht technischer Natur. Und im Xpress-Browser wird es sicherlich auch nicht angezeigt, dass die Verbindung jetzt nicht so wirklich sicher ist wie man sich das vorstellt :)

Mir geht es da gar nicht um die Technik, mir geht es um die Kommunikation und die Transparenz, die Nokia dabei an den Tag legt - oder besser nicht an den Tag gelegt hat.

VG,
Mad
 
Der einzige Unterschied ist, dass du bei Nokia nicht angestellt bist, ja. Ansonsten werden aber in beiden Fällen die Sessions von Mitarbeitern / Kunden angefasst, die mit einer recht hohen Wahrscheinlichkeit diese Maßnahme nicht kennen oder wahrnehmen.

Prognose: Wenn die Öffentlichkeit irgendwann ausreichend für das Thema brennt, wird der Datenschutz drauf aufmerksam, und die Regeln dass dann so, dass die Provider es genau wie die Firmen in Deutschland mit Betriebsrat/Personalrat bereits auch jetzt schon Handhaben müssen, nämlich dass sichergestellt ist, dass die Daten in solchen Szenarien nicht ausgeleitet oder unverschlüsselt gespeichert werden. Möglicherweise ist dem aber auch schon längst so, dass irgendwo diese Szenarien bereits reguliert sind. Ganz ohne rechtliche Absicherung wird Nokia hier nicht arbeiten.
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

H
Tool um https Verbindung anzusehen.
Antworten
3
Aufrufe
789
xexex
X
H
Nur noch https Verbindungen möglich
Antworten
10
Aufrufe
3.373
Dr. McCoy
Dr. McCoy
A
HTTPS Verbindung mit Webhosting möglich?
Antworten
7
Aufrufe
2.480
ComPoti
ComPoti
T
Eigene HTTPS Verbindung mit Wireshark "debuggen"
Antworten
2
Aufrufe
1.968
Masamune2
M
Patrick
News Twitter setzt auf HTTPS-Verbindung
Antworten
13
Aufrufe
3.162
etking
E

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz