Sinn und Unsinn - Arbeitgeber sperrt https Webseiten

[blacktnt]

Hallo Leute,
die IT bei uns in der Firma sperrt konsequent alle https Seiten. Wenn ich nun was recherchiere stoße ich immer öfters an die Grenzen und muss mir einzelne Seiten freischalten lassen. Das nervt nicht nur, sondern ist auch (in meinem Fall) super unwirtschaftlich aufgrund die hohen Zeitverlustes.

Jetzt meine Frage, warum die das tun und was für einen Sinn das hat. Der Standard https ist doch im Grunde viel sicherer.

 

[Baya]

Doofe Admins :-)

 

[AndrewPoison]

Eben. Er ist sicher.
Wenn der Proxy im Unternehmen nicht als Man-In-the-Middle-SSL agiert, dann kann keine Firewall etc. die Inhalte prüfen, die da versendet werden. Bei Plain-HTTP geht das ganz gemütlich. Sprich: das Unternehmen weiß bei HTTPS nicht, was du tust und lässt.

Ob das in deiner Branche oder deinem Unternehmen "nötig" ist, könnt nur ihr selbst wissen, aber zumindest wäre das ein Grund der sich mir erschließt.

 

[Gretzki]

Wobei hier ja eine URI-Blacklist ebenfalls seinen Dienst verrichten würde.

 

[Fliz]

Die IT wird doch einen Grund angeben, warum die sowas sperren oder? Kann mir doch keiner erzählen, das die das aus Spaß machen..

 

[Bisumaruku]

Das Problem für Admins an HTTPS ist das man mit einem normalen Proxy Squid den Inhalt von HTTPS Verbindungen nicht prüfen kann. HTTPS dann ganz zu sperren ist natürlich auch nicht die Lösung. Es gibt Produkte (die aber nicht ganz billig sind) die das dann können. Ob und wie gut das mit einem Man-in-the-Middel Squid weiß ich nicht.

Beispiel:
Die Admins verbieten zB private Webmailer, Cloud Dienste (wie DropBox etc) und den Download von ZIP und EXE.
Mit einem normalen Squid würde das nur mit HTTP Verbindungen gehen. Sobald eine HTTPS Verbindung aufgebaut wird, kann der SQUID nicht mit rein gucken und weiß nicht ob es ggf. nicht erlaubt ist.
Da Login Seiten in der Regel HTTPS ist würde das auf so ziemlich jeden Webmailer zutreffen. Und HTTPS ist auf dem Vormarsch und wird fast für jeden Zweck genutzt (siehe Computerbase)

 

[ryan_blackdrago]

Sicher, daß es nicht andersrum ist? (http ist generell gesperrt statt 'nur https')?
Kenne folgende Konstrukte:
alles gesperrt => bestimmte Inhalte werden gemäß Nachfragen dann in der Firewall freigegeben
oder
Seiten mit http gesperrt (sprich: alles) => wenn Seite https anbietet, dann werden diese in die whitelist aufgenommen

 

[Bisumaruku]

Das macht ja überhaupt keinen Sinn. Dann kann man ja den Inhalt der Verbindung nicht mehr scannen.

 

[Einhörnchen]

Denke er sperrt https um folgende Funktionen zu realisieren:
- Virenschutz
- Domain Blacklisting
- Deep Packet Inspection

"Sicherer" ist https nicht, nur eben "privater" (Datenschutz und Schutz vor Abgreifen von Transaktionsdaten). Angesichts des Umstandes, dass oben genannte Funktionen der Sicherheit dienen, wäre https so gesehen sogar unsicherer.

 

[blacktnt]

na ja die Seite hier geht ja. Aber ich denke mal die IT will sich ja nicht "selber" aussperren ))

 

[hrafnagaldr]

Ich denke auch, dass Euer Proxy kein SSL Scan behrrscht und die daher komplett geblockt werden. Wenn ihr das wollt, braucht ihr einen Proxy der das beherrscht. D.h. der https Verkehr wird am Proxy entschlüsselt, gescannt und wieder verschlüsselt an den Client weitergegeben, hierzu muss der Proxy als CA agieren und ein Zertifikat an die Clients geben, damit der Client die Verbindung dann auch wieder akzeptieren und entschlüsseln können.

Aber dafür ist meist wohl ein kostenpflichtiger Proxy nötig, zB eine Sophos SG mit Webprotection.

 

[hasek53]

Genau wie hrafnagaldr geschrieben hat dürfte es sein. Wobei ist die Frage, wie lange das Aufbrechen von Certs noch funktioniert, nachdem langsam aber doch das HTTP public key pinning in Fahrt kommt

 

[poly123]

Wobei hier ja eine URI-Blacklist ebenfalls seinen Dienst verrichten würde.

oder genauer, eine Domain Blacklist - die URI sieht man schon nicht mehr nach dem handshake...

Ansonsten, wie bereits hier schon angesprochen: wenn am Proxy kein Aufbrechen der TLS Verbindung erfolgt, sieht man keine Inhalte -> in heutigen Zeiten anhand des Beispiels von Webmail "mal eben am Arbeitsplatz öffnen und die neueste xzy "Rechnung"" aka Cryptolocker einfangen, war wohl zu riskant, bzw. ist die Konsequenz daraus.

 

[wirelessy]

Das Aufbrechen von HTTPS funktioniert mit lokalen trusted Roots weiterhin wunderbar, auch mit HPKP.

Und Domain Blacklists sind kein gangbarer Weg. Malwaredomains sind so kurzlebig, die landen auf keiner Blacklist, bis deren Zweck erfüllt ist.

 

[wayne_757]

Als Tipp:
Freischaltewünsche immer schriftlich (EMail) an die IT und ganz wichtig: immer den Vorgesetzten in CC nehmen. Dann bist du fein raus. Sobald dein Vorgesetzter genug von den ständigen EMails hat (mit Hinweis, dass du nicht weiterarbeiten kannst) eskaliert er es Richtung IT oder Richtung seines Vorgesetzten.
Falls das nicht passiert hast du viel Zeit dich mit anderen Dingen zu beschäftigen.

 

[Merle]

What Andrew said...