Frage:
Der Versuch, eine sichere Website zu erstellen, bei der die Sicherheit von der Website und nicht vom Benutzer übernommen wird
FDoherty
2016-10-06 20:09:11 UTC
view on stackexchange narkive permalink

Ich arbeite mit Bürgerrechten für Kinder und Jugendliche und versuche, eine Website für LGBT-Jugendliche und Kinder und ihre Familien zu erstellen. Die Website muss sicher sein, da es in vielen Ländern immer noch sehr gefährlich ist, zuzugeben, schwul (oder LGBTQ) zu sein.

Ich habe eine Reihe von kurzen Kinderfilmen, die ich kostenlos zugänglich machen möchte Eine Website, aber die Jugendlichen, Familien und Lehrer, die auf die Website zugreifen, müssen nicht nachvollziehbar sein.

Kann ich eine Website erstellen, auf der die Sicherheit innerhalb der Website liegt?
Personen und Kinder, die auf die Website kommen, richten keine eigenen Sicherheitsmaßnahmen ein, die nicht zurückverfolgt werden können.

Die Website selbst wäre dazu nicht in der Lage, Sie müssten alle über VPNs verfügen oder Sie könnten eine Tor-Site erstellen, aber beide erfordern Software / Konfiguration auf Benutzerseite und ein gewisses Maß an technischem Wissen.Wie.Eine HTTPS-Site würde den Webverkehr verschlüsseln, aber wo der Webverkehr hin und zurück fließt, wäre leicht nachvollziehbar.Um ehrlich zu sein, weiß ich nicht, ob dies möglich ist.Hoffentlich kann die Antwort eines anderen Benutzers uns beide zu einer möglichen Lösung aufklären.Vielleicht eine Art Authentifizierungsprozess, um nur den Kindern und ihren Familien den Zugriff auf die Site zu ermöglichen?
Wenn Sony, Yahoo, Dropbox und andere große Unternehmen gehackt werden können, dann denken Sie nicht, dass Sie gehackt werden können. Alles, was Sie tun müssen, bleibt wachsam und bereit, sich auf Verstöße einzulassen und sich auf das Schlimmste vorzubereiten. alle Sicherheitsbarrieren vorhanden haben ,,
Können Sie die Inhalte auf einer anderen "unschuldig aussehenden" Website wie Facebook / Youtube / Google-Websites / freigegebenen Ordnern von Google Drive hosten?Auf diese Websites kann durchgehend über HTTPS zugegriffen werden, und sie heben sich nicht von der typischen Verwendung ab.
@FDoherty Darf ich fragen, wie Sie die Website bei Ihrer Zielgruppe bewerben möchten?
Können Sie klarstellen, welche Art von Ländern Sie unter "sehr gefährlich" verstehen?Meinen Sie repressive Regime wie den Iran?
Verwenden Sie https und erkennen und erzwingen Sie den Inkognito-Modus.http://security.stackexchange.com/questions/9037/can-web-sites-detect-whether-you-are-using-private-browsing-mode
Für wen müssen sie nicht nachvollziehbar sein?Haben sie eigene Computer oder müssen sie öffentliche Computer benutzen?
@billc.n, woher wissen Sie, dass sie in nicht allzu naher Zukunft verantwortungsbewusst mit den Daten umgehen werden?Sicherheit als Service ist nicht ratsam.Und Sicherheit durch Dunkelheit ("unschuldig aussehend") umso mehr.
Versuchen Sie es vielleicht mit Javascript-gesteuerter End-2-End-Verschlüsselung wie www.mega.nz
@JonasDralle Das löst nichts, weil es nur Geheimhaltung, aber keine Anonymität bietet.Wenn die "bösen Jungs" (in einigen Fällen die Regierung) herausfinden, worum es auf der Website geht, reicht es aus, einfach eine Verbindung von Ihrem Computer aus zu verfolgen, auch ohne die ausgetauschten Daten lesen zu können, um Sie in Schwierigkeiten zu bringen.Und das OP scheint eine zugängliche Ressource bereitstellen zu wollen (d. H. Jeder sollte den Inhalt usw. sehen dürfen), damit die Regierung dies leicht herausfinden kann.Könnte für sie ein bisschen schwieriger sein, wenn Sie ein Geheimnis für den Zugriff auf die Website benötigen ...
@Bakuriu Sie haben Recht, dass der Zugriff nicht ausgeblendet wird, aber die genaue Art des konsumierten Inhalts wird ausgeblendet.Man könnte seine Homosexualität mit "Ich habe nur recherchiert und mir das Impressum angesehen" verteidigen.
@JonasDralle Ja, und die Bösen können nicht glauben, was Sie sagen, und Sie töten.Der Punkt ist: Wenn Sie wirklich eine ** sichere ** Ressource bereitstellen möchten, ist Anonymität unter diesen Umständen ein Muss.Was Sie vorschlagen, ähnelt der Abstimmung bei Wahlen, wenn es für jede Partei einige Kandidaten gibt, aber jede Partei hat einen eigenen Stand, sodass die Leute sagen können, dass Sie für Partei X anstelle von Y gestimmt haben, obwohl sie möglicherweise nicht in der Lage sindzu wissen, welchen Kandidaten Sie gewählt haben ... aber wenn die Tatsache "für Partei X gestimmt" für ein Todesurteil / eine Vergeltung ausreicht, haben Sie Probleme ...
Alternativ können Sie eine allgemeine Website erstellen, auf der der LGBT-bezogene Teil nur ein kleiner Teil ist.Beachten Sie jedoch, dass bei der Seitenlänge möglicherweise Informationen verloren gehen, insbesondere wenn Sie große Videos dort ablegen.
Ich wollte eine Form der Steganographie vorschlagen, aber wie andere Verschlüsselungen, die das Analyseproblem nur auf das Niveau zurückschieben.Es ist immer noch offensichtlich, dass Sie auf den Server zugegriffen haben, und wenn jemand einen Unterkanal vermutet, kann er dies wahrscheinlich auch dann beweisen, wenn er den Inhalt nicht entschlüsseln kann ... Und für die Steganografie müsste ein Decoder heruntergeladen werden, der seine eigenen Spuren hinterlässt.
Sieben antworten:
paj28
2016-10-07 00:52:26 UTC
view on stackexchange narkive permalink

Tun Sie es nicht

Wenn Sie auf unsichere Regime abzielen, können die Folgen schwerwiegend sein. Zum Beispiel werden verurteilte Homosexuelle im Iran normalerweise durch Erhängen zum Tode verurteilt.

Es würde nur den geringsten Fehler Ihrer Website oder eines Ihrer Benutzer erfordern, bis dies belastende Beweise sind. Können Sie sich die Schuld vorstellen, die Sie für Ihre gut gemeinte Website als Beweis für eine Hinrichtung empfanden?

Subversiv online in einem repressiven Regime zu agieren, erfordert äußerste Geschicklichkeit und Vorsicht. Einfach Tor zu benutzen wäre eine rote Fahne für sich. Während Hacker-Gruppen wie anonym möglicherweise damit durchkommen können, können normale Benutzer dies nicht.

Es gab Kommentare zu anderen Antworten, die (grob) "HTTPS verwenden, es ist in Ordnung" besagen. Ich kann nicht stark genug betonen, dass dies ein gefährlicher Rat ist. HTTPS gibt den Domainnamen an, auf den der Benutzer zugreift, hinterlässt Spuren auf dem Clientcomputer und es ist wahrscheinlich, dass Nationalstaaten (einschließlich Iran) gefälschte Zertifikate erstellen und den gesamten HTTPS-Verkehr abfangen können.

Ich stimme Ihnen zu, dass OP dies nicht tun sollte (wenn er * zufällige Fremde über das offene Web * um Sicherheitshinweise bitten muss), ist dies keine Antwort.Er fragte nicht nach der Ethik oder den Gefahren, wie er es tun könnte und wie er es sichern könnte.Also muss ich leider abstimmen.
@Mindwin - Bei der Beantwortung von Fragen ist es wichtig, den Kontext zu verstehen und das zugrunde liegende Problem zu berücksichtigen, mit dem der Fragesteller konfrontiert ist.Ich bin etwas überrascht, dass Sie mir zustimmen und dies durch Abstimmungen zum Ausdruck bringen.Wirst du mir als nächstes sagen, dass du andere Antworten, mit denen du nicht einverstanden bist, positiv bewertet hast, weil sie die genaue Frage beantworten?Vielen Dank, dass Sie zumindest eine Erklärung hinterlassen haben, so bizarr sie auch ist.
@paj28 Alle anderen Antworten, in denen HTTPS erwähnt wird, weisen ausdrücklich darauf hin, dass dies niemanden daran hindert, zu sehen, dass Sie die Website besucht haben, sodass sie keine "gefährlichen Ratschläge" geben.
@KevinWells - In den anderen Antworten wird nicht erwähnt, dass auf dem Client Spuren hinterlassen werden, was ein kritisches Problem darstellt.Und das Problem mit gefälschten Zertifikaten ist [nicht theoretisch] (http://www.bbc.co.uk/news/technology-14789763).Ich stehe zu meiner Behauptung, dass sie gefährliche Ratschläge geben.
Die Antwort von Topher ist die einzige, die die Verwendung von HTTPS als Teil der Lösung empfohlen hat, und er sagte: "[Verwenden von HTTPS] hindert externe Personen nicht daran, zu sehen, dass der Benutzer die Site besucht hat, sondern nur die genauen Daten, die übertragen werden."Dies ist definitiv ein Haftungsausschluss, dass die Verwendung von HTTPS eine Spur auf dem Client hinterlässt.Ich stimme auch voll und ganz zu, dass gefälschte Zertifikate ein großes potenzielles Problem darstellen, aber das habe ich nicht angesprochen
@KevinWells - Vielen Dank für die gründliche Antwort.Ich glaube nicht, dass er in diesem Kommentar die Client-Spur anspricht.Er sagt (richtig), dass ein Netzwerk-Listener die besuchte Site sehen kann und schlägt Möglichkeiten vor, dies zu mildern.Wenn Sie dieser Schadensbegrenzung folgen und Ihr Computer gesiebt wird, ist der Inhalt belastend - es sei denn, der Benutzer hat besondere Sorgfalt walten lassen (was dem letzten Satz der Frage widerspricht).Es gibt auch separate Kommentare, die John McNamaras hervorragende Antwort angreifen - und diese weisen auf eine gefährliche Verwendung von HTTPS hin.
+1 Client-seitiger Verlauf gibt sie preis und OP kann nichts dagegen tun.Seine Idee ist einfach nicht möglich.
@Mindwin Ich stimme Ihrer Philosophie bei der Beantwortung nicht zu.Was gefragt wird, ist nicht immer das, was beantwortet werden muss.Eine berühmte Kategorie von Fragen, die dies demonstrieren, sind die [XY-Problemfragen] (http://meta.stackexchange.com/a/66378/225764).Außerdem scheint diese Antwort unter Beispiel 8 oder 9 von [diese Antwort erklärt, was gute Antworten sind] (http://meta.stackexchange.com/a/118694/225764) zu fallen.
Beachten Sie, dass dies davon ausgeht, dass die beiden Optionen "Menschen tun nichts" oder "Menschen finden Informationen auf einer Site mit möglicherweise unvollständiger Sicherheit" sind.Es kann der Fall sein, dass der Kompromiss tatsächlich lautet: "Menschen finden Informationen auf anderen Websites ohne Sicherheit" gegenüber "Menschen finden Informationen auf einer Website mit möglicherweise unvollständiger Sicherheit".In diesem Fall wäre die Antwort nicht dieselbe.
* Im Iran werden verurteilte Homosexuelle normalerweise durch Erhängen zum Tode verurteilt. * Oder sie könnten sagen, dass sie transsexuell sind und * gezwungen * werden, sich einer Geschlechtsumwandlungsoperation zu unterziehen. Ratet mal, warum der Iran das Land mit der zweithöchsten Rate an Geschlechtsumwandlungen istOperationen nach Thailand ... Homosexuelle müssen zwischen Tod und Eviration wählen.
@DennisJaheruddin - Das ist ein guter Punkt.Ich denke, die Menschen im Iran wissen bereits, dass sie nicht auf solche Inhalte zugreifen können - oder seien Sie äußerst vorsichtig, wenn sie dies tun.Was mich beunruhigt, ist, dass wenn auf einer Website "Keine Sorge, wir schützen Sie" steht, dies dazu führt, dass Personen ohne andere Vorsichtsmaßnahmen auf den Inhalt zugreifen und dann belastet werden.
@Mindwin: "Sie können nicht" ist eine gültige Antwort auf "Wie kann ich tun?"
Topher Brink
2016-10-06 20:47:46 UTC
view on stackexchange narkive permalink

Das ist nicht einfach. Es gibt verschiedene Möglichkeiten, um so etwas wie das zu bekommen, was Sie wollen.

Verwenden Sie zuerst HTTPS. Dies verhindert, dass jemand die übertragenen Daten außer dem Server und dem Benutzer sieht (von denen ich annehme, dass beide sauber sind). Dies hindert externe Personen nicht daran, zu sehen, dass der Benutzer die Site besucht hat, sondern nur die genauen Daten, die übertragen werden.

Wenn Sie Dinge hinter einem Anmeldebildschirm versteckt haben, kann jeder ohne Login die Site besuchen wird nicht in der Lage sein zu sehen, worum es auf der Website geht. Dies ist nicht sehr gut, da Sie den Benutzern vertrauen müssen, die über Anmeldedaten verfügen, und eine Methode zur Rekrutierung vertrauenswürdiger Personen für die Anzeige der Website entwickeln müssen.

Eine bessere Möglichkeit besteht darin, "normalen" Inhalt zu haben um den anderen Inhalt zu verbergen und nicht herauszufinden, welche Art von Inhalt angefordert wird. Der beste Weg, dies zu tun, besteht darin, jedes Mal, wenn Sie einen Link bereitstellen, eine URL bereitzustellen, die nur einmal funktioniert (oder weniger sicher, eine, die nur in Verbindung mit einem für diesen Benutzer eindeutigen Cookie funktioniert) der Benutzer plausible Leugnung dessen, was sie betrachteten. Niemand kann beweisen, dass er den "normalen" Inhalt nicht besucht hat, da jeder, der die Datenübertragung beobachtet, beim Besuch derselben Seiten entweder eine Fehlermeldung oder einen "normalen" Inhalt erhält (je nachdem, wie Sie ihn eingerichtet haben)

Ich hoffe, dass die oben genannten Vorschläge helfen. Der Grund dafür, dass es nichts Vergleichbares wie "Einstellung xxx auf dem Server ändern" gibt, ist, dass jeder Benutzer die Site besuchen kann. Dies muss diejenigen einschließen, die diejenigen verfolgen, die auch die Site besuchen / p>

Das Anbieten von viel "normalem" Inhalt und das Bereitstellen von "Token" zum einmaligen Gebrauch (URL, Cookie usw.) für den "gefährlichen" Inhalt ist der einzige Weg, dies zu tun.Aus Gründen der besten Unklarheit / Verleugnung sollte ein einmal verwendbares Token nach seiner Verwendung einen * spezifischen * normalen Inhalt bereitstellen (möglicherweise zufällig bei der Generierung des Tokens ausgewählt). Jeder, der versucht, die Verbindung des anfälligen Benutzers zu replizieren, wird dies nur tunWenn Sie jemals normalen Inhalt sehen und alle nachfolgenden Versuche, ihn zu verwenden, wird derselbe Inhalt angezeigt. Daher verhält es sich wie das Token, wenn ein Benutzer zu Recht versucht, den normalen Inhalt anzuzeigen.
Dieser Rat ist nicht für Länder geeignet, in denen er "sehr gefährlich" ist, wie die Frage stellt.Ich habe einige Details in meine Antwort aufgenommen.Ich denke, Ihre Antwort ist gut geschrieben, daher sollten wir sie nicht löschen, aber Sie müssen einen prominenten Haftungsausschluss hinzufügen, dass dies nicht für "sehr gefährliche" Länder geeignet ist.Bis du das tust, ist es -1 von mir.
Selbst die plausible Ablehnung, nicht in der Lage zu sein, den Inhalt zu beweisen, der für eine bestimmte URL bereitgestellt wurde, die aus dem Browserverlauf eines Benutzers oder auf andere Weise entnommen wurde, wird nicht die Tatsache beseitigen, dass der Browser möglicherweise zwischengespeicherte Kopien des gefährlichen Inhalts aufbewahrt (was der Fall wäre)müssen gelöscht werden) oder dass der Benutzer einfach auf frischer Tat ertappt werden kann.Der Endbenutzer muss Vorsichtsmaßnahmen treffen. Dies kann nicht allein von der Website behandelt werden.
Beachten Sie, dass [TLS die Größe der Seite verliert, auf die zugegriffen wird] (https://security.stackexchange.com/a/124982/13154), die für den Zugriff auf Inhalte verwendet werden kann.
@pwdst Ihr Kommentar hat mich dazu inspiriert, [diese Antwort] zu schreiben (http://security.stackexchange.com/a/139151/15756).
John McNamara
2016-10-06 21:28:44 UTC
view on stackexchange narkive permalink

Ihre Anforderungen sind physisch unmöglich.

Stellen Sie sich das so vor. Wenn Sie einen Brief an jemanden in einem anderen Land gesendet haben und sicher sein möchten, dass eine mächtige gefährliche Gruppe beides ist

  1. ohne Kenntnis des Inhalts des Briefes
    2. ol>

    und

    1. ohne Kenntnis, dass der Empfänger einen Brief von Ihnen erhalten hat
      2. ol>

      wie würden Sie das machen?

      Die Sicherheit auf Ihrer Seite könnte fantastisch sein, aber das spielt keine Rolle, sobald der Brief Ihr Land verlässt.

      Wenn der Brief an einer beliebigen Stelle von Ihrem Schreibtisch zum Schreibtisch des Empfängers abgefangen wird, ist Ihr Empfänger gefährdet.

      Sicherheit ist also die gemeinsame Verantwortung von

    2. Ihnen (der Webserver)

    3. Ihr Postsystem (Ihr ISP / Webhost)

    4. das internationale Postsystem (das öffentliche Internationale) Internet - Crawlen mit Spionage durch die Regierung!)

    5. Postsystem Ihres Empfängers (sein ISP)

    6. Ihr Empfänger (ihr PC, Webbrowser usw.)

      7. In Fällen wh Wenn der Empfänger über die Schulungen und Tools verfügt, um sichere Verbindungen herzustellen, kann es praktisch sein, sicher zu kommunizieren, indem nur die beiden Endpunkte gesichert werden.

      Diese Anforderung, dass beide Endpunkte aktiv teilnehmen müssen Stark> in einer sicheren Kommunikationsverbindung ist eine inhärente technische Einschränkung des globalen Internets, einschließlich aller darauf "gebauten" Technologien. Das "Standard" -Netzwerk verfügt über keine "integrierte" Anonymitätssicherheit und kann daher von denjenigen, die die physische Infrastruktur kontrollieren, sehr leicht ausspioniert werden.

      Es gibt bessere technische Möglichkeiten zum Aufbau globaler Netzwerke wie F2F Radio-Meshnets, aber nur wenige kleine Beispiele existieren bisher.

      Möglicherweise müssen Sie sich alternative Verteilungsmethoden ansehen und mit Ihren Benutzern und anderen Organisationen sprechen, um zu sehen, was sie für praktisch halten.

-1 Dies ist keine inhärente Einschränkung.Sie können Daten an Empfänger übertragen, ohne dass jemand etwas über die Empfänger oder den Inhalt weiß.(zum Beispiel Tor Zwiebel Routing und HTTPS).Bei HTTPS ist nur der Domänenname bekannt. Diese Analogie ist in diesem Fall in Bezug auf HTTPS völlig falsch.
@RamchandraApte Ich bezog mich auf die Tatsache, dass beide Enden als Einschränkung am Sicherheitsverfahren teilnehmen müssen (was für Tor usw. gilt).Dies ist der Schwerpunkt der Frage.Antwort aktualisiert.
@RamchandraApte Mein Verständnis ist, dass ein Angreifer nicht einmal den Namen der Domain kennen kann, da er möglicherweise als "illegal" aufgeführt wird, unabhängig davon, welche Kommunikation mit dieser Domain stattgefunden hat.
Sie haben Recht, dass der Domainname selbst aufschlussreich sein könnte, aber sichere Kommunikation ist Teil des Standard-Standard-Internets.HTTPS ist in fast allen Browsern integriert.Tatsächlich verwenden derzeit alle meine 7 Registerkarten HTTPS.
@RamchandraApte Das ist großartig, aber https ist in diesem Fall überhaupt nicht hilfreich.Selbst wenn der Name den Zweck der Website nicht beschreibt und der übertragene Inhalt verschlüsselt ist, müssten die Bedrohungsakteure in diesem Szenario die Website nur besuchen, um festzustellen, ob es sich um eine Ressource für LGBT-Personen handelt, die für die Verfolgung oder Verfolgung ausreichtAndernfalls können Besucher der Website Schaden nehmen.
@RamchandraApte - Standardmäßig wird im Benutzerverlauf eine HTTPS-Site angezeigt, die für andere Benutzer des Computers und für polizeiliche Suchvorgänge sichtbar ist.Hierfür gibt es Lösungen - sie beruhen jedoch darauf, dass der Endbenutzer grundlegende Vorsichtsmaßnahmen trifft.Sie sollten Ihre Ablehnung widerrufen, sie ist unbegründet.
Das "Brief" -Beispiel erinnerte mich sofort an steganografische Sendungen verschlüsselter Daten.Könnte im Web für etwas Twitter-ähnliches über Instagram arbeiten.Funktioniert nicht für das OP.
Ich habe die Situation umformuliert und eine [konzeptionelle Lösung] (http://security.stackexchange.com/a/139151/15756) gefunden, die darauf hinweist, dass dies möglich ist.Ich bin gespannt, was du daraus machst.
grochmal
2016-10-07 08:46:53 UTC
view on stackexchange narkive permalink

Dies ist eine Ergänzung zu @ TopherBrinks Antwort, der ich sehr zustimme. Zuallererst ja, verwenden Sie HTTPS und HSTS und haben Dinge hinter einem Anmeldebildschirm. Zweitens müssen wir etwas Ethik sehen:

Ethische Diskussion

Dies ist das Internet, alle Inhalte sind da, wenn jemand es will, wird er es bekommen. Es kann durch Firewalls blockiert werden und jemand wird einen Hole Puncher finden oder einen Proxy / VPN verwenden, es kann DNS-gefiltert sein und jemand wird eine Website mit IPs erstellen.

Wenn der Inhalt dort gefährlich ist sind in mehreren Ländern gewaltige Risiken: Gefängnis, Folter, Todesstrafe. Gegen diese Risiken haben Sie jedoch zwei Möglichkeiten:

  1. Tun Sie es nicht und erlauben Sie jemand anderem , dem zu dienen Inhalt für diese Menschen. wird jemand anderes sein, dies ist das Internet.

  2. Bemühen Sie sich nach besten Kräften um die Verleugnung . Ich ignoriere Verleugnung als schlechte Sicherheit, aber Sie haben nicht wirklich Optionen.

    3. ol>

    Und ich habe gesehen, dass Teenager ein VPN verwenden können, das auf im Internet gefundenen Tutorials basiert. Das Problem ist, dass, obwohl ihre Konfiguration funktionierte, viele Informationen verloren gingen. Wenn Sie den Inhalt nicht bereitstellen, wird dies im Allgemeinen von einer anderen Person bereitgestellt, auch wenn für den Zugriff auf den Inhalt Proxys / VPNs erforderlich sind.

    Die ethische Ursache ist komplexer, als sie nicht bereitzustellen und nicht indirekt verantwortlich für den Tod eines Menschen. Wenn Sie aufgeben, den Inhalt zu liefern, sind Sie immer noch für den Tod eines Menschen verantwortlich, wenn er beim Zugriff auf Inhalte von einem Ort aus erwischt wurde, der schlechter gesichert war als das, was Sie tun konnten.

    Es ist kein ethischer Punkt, der Verantwortung zu entkommen. Daher werde ich die am wenigsten beliebte Option verteidigen und argumentieren, es zu tun . Aber bemühen Sie sich nach besten Kräften um die Verleugnung.

    Letzte ethische Anmerkung

    Denken Sie immer daran, dass einige Benutzer einfach nur dumm sind und es daher keine Möglichkeit gibt, sie zu schützen. Wenn Sie nicht damit umgehen können, dass Sie irgendwann eines für das Wohl vieler opfern müssen, dann tun Sie es nicht . Aber tu es nicht aus diesem Grund. Nicht nur, weil es gefährlich ist.

    Ablehnungsvorschlag (dh eine Möglichkeit, dies zu tun)

    Das größte Problem ist, dass Sie einen Weg finden müssen, vertrauenswürdigen Personen Anmeldungen zu geben Benutzer und geben sie nicht an nicht vertrauenswürdige. Ein Weg, um das zu umgehen, um zwei Websites zu haben, sagen wir: safewebsite.com und secretwebsite.com .

    (Beide Domains laufen nur über HTTPS und die Implementierung von HSTS)

    safewbsite.com enthalten sichere Inhalte und sind standardmäßig ohne Anmeldung zugänglich, Benutzer können sich jedoch registrieren.

    secretwebsite.com gibt für jeden immer die gleiche "sichere" Seite zurück. Die einzige Möglichkeit, den Rest des Inhalts abzurufen, besteht darin, autorisiert zu sein, d. H. Ein registrierter Benutzer von secretwebsite.com zu sein. Es gibt jetzt keine Möglichkeit, sich auf secretwebsite.com zu registrieren (es wird nur eine einzige Seite zurückgegeben). Die einzige Möglichkeit für secretwebsite.com , Ihnen das richtige Token zu geben (der Einfachheit halber ein httpsonly-Cookie), besteht darin, ein GET an die richtige URL zu senden. Sagen Sie https://secretwebsite.com/logon/6733abf78..77bab99 (oder base64-codiert, was auch immer). Diese URL ist Ihr Sitzungstoken.

    (die Verwendung von GET zur Authentifizierung ist schlecht , aber da wir HTTPS verwenden und die URL ein korrektes, schwer zu erratendes Token ist, ist sie akzeptabel ).

    Das Token muss schwer zu erzwingen sein. Der einzige Weg, um ein korrektes Token (einen korrekten Link zu secretwebsite.com ) zu erhalten, ist von safewebsite.com .

    Jetzt können Sie auswählen Benutzer von safewebsite.com , die auf secretwebsite.com zugreifen können.

    Der Vorteil dieses Ansatzes besteht darin, dass Sie einen Triage-Bereich (die sichere Website) erstellen, aus dem Sie Benutzer auswählen können, die für den Zugriff auf die geheime Website verantwortlich genug sind. Wenn Sie den Sitzungsmechanismus korrekt erstellen, können Sie Ihren Benutzern den Zugriff auf die geheime Website ermöglichen und gewähren.

    Das Problem besteht darin, dass dies nur für eine kleine Anzahl von Benutzern funktioniert und für diese anfällig ist Social Engineering gegen Sie. Die Erstellung und der Algorithmus zur Bewertung der Wahrhaftigkeit eines Benutzers sind keine triviale Angelegenheit (wenn überhaupt möglich), daher gibt es keine Möglichkeit, die Benutzerauswahl zu automatisieren. Ein weiteres Problem besteht darin, dass Sie verhindern müssen, dass safewebsite.com zu einem Diskussionsgrund für den Zugriff auf sectretwebsite.com wird, da Sie seitdem die Kontrolle darüber verlieren, wem und wem vertraut wird ist nicht.

    Sicherheitsübersicht

    Gute Punkte:

  • secretwebsite.com existiert nicht, OKAY? Nein, das ist nicht der Fall, es befindet sich immer im Aufbau. Die Tatsache, dass jemand dort etwas gesehen hat, ist eine Schöpfung seines eigenen Verstandes.
  • Sie können Anmeldungen problematischer Benutzer vornehmen. Oder besser, Sie müssen sie herausnehmen. Wenn ein Benutzer auf safewebsite.com offen über secretwebsite.com spricht, schadet er beiden Websites mehr als nützt.
  • Sie geben sich selbst Leugnung und Ihre Benutzer. Um es ein wenig plausibler zu machen, können Sie die Größe der (gefälschten) Seite, die von secretwebsite.com gesendet wird, zufällig auswählen (daher ist es nicht möglich zu argumentieren, dass jemand eine Seite unterschiedlicher Größe erhält).
  • Es gibt auch einen Punkt der Verwirrung. Da niemand weiß, wie er tatsächlich auf secretwebsite.com zugreifen kann (die URL wird bestimmten Benutzern angezeigt und anderen nicht aufgrund Ihrer Laune, die nicht quantisiert werden kann), können Sie die secretwebsite herunterfahren. com vorübergehend in gefährlichen Zeiten.

Schlechte Punkte:

  • Verleugnung funktioniert nicht gegen einen Angreifer, der Ihnen etwas antun möchte, nur weil er jemandem etwas antun muss (nämlich einen Sündenbock ). Die Verleugnung wird niemals verhindern, dass jemand ein Sündenbock ist, aber auch keine andere Sicherheitsmaßnahme, wenn der Angreifer physische und gerichtliche Macht über Sie hat.
  • Sie müssen sich mit städtischen Legenden über secretwebsite.com auseinandersetzen . Es ist wichtig, dass Sie nicht zulassen, dass sie sich auf safewebsite.com frei bewegen, da sonst eine sichtbare Korrelation besteht.
  • Verleugnung funktioniert, weil in der modernen Gesellschaft Verdacht ist niemals dasselbe wie Beweis (dh Verdacht! = Beweis ). In dem Moment, in dem sich ein Angreifer auf seinen Verdacht verlassen kann, jemanden zu verurteilen, kann er dies nach eigenem Ermessen tun. Die gute Seite ist, dass ein solcher Angreifer jedem gegenüber misstrauisch sein kann und das Durchlaufen von Website-Schleifen eine Menge Arbeit ist, verglichen mit dem zufälligen Fangen von Personen auf der Straße.
  • Es ist eine Menge Arbeit. Wenn die Community Ihrer Benutzer wächst, benötigen Sie eine sehr ethische Moderation, die schwer zu finden ist.

Zusätzliche Hinweise:

  • Ist das gefährlich? Ja, Menschen können erwischt werden. Aber sie wären trotzdem Sündenböcke. Ein autoritäres Regime braucht Sündenböcke. Sie müssen sicherstellen, dass Ihre Benutzer schwerer zu Sündenböcken werden als andere.
  • Sie haben viel gesagt, aber würde eine solche Website in der realen Welt funktionieren? Ja , es funktioniert. Es war einmal, als ich beim Aufbau einer solchen Website half. Es war vor 5 Jahren und die Website ist noch am Leben. Sowohl die sichere als auch die geheime Seite.
  • Können Sie uns sagen, um welche Website es sich handelt? Nein , lesen Sie oben die Gründe dafür.
-1, da dies nur nach Problemen fragt.Nur 1 Benutzer muss eine URL mit Beschreibung (absichtlich oder versehentlich) veröffentlichen, und alle Benutzer, die jemals darauf zugegriffen haben, werden diskriminiert.
@paj28 - Nicht genau das, was Sie wollten, aber da ist es.Ich habe eine ethische Diskussion anstelle eines Haftungsausschlusses hinzugefügt.Nichts zu tun, nur weil es gefährlich ist, macht die Sache nicht sicherer.
@DennisJaheruddin - Vollständige ethische Diskussion hinzugefügt.Aber so funktioniert es auch nicht.Dies ist ein realer Fall von Rauch und Spiegeln. Er funktioniert in der Praxis, weil autoritäre Regime über die Menge der Sündenböcke besorgt sind.Sie können nicht eine Million Menschen hinrichten, aber Sie müssen immer 3 oder 4 hinrichten, egal was sie getan haben.Kick den 1 Benutzer raus und lass den Tod von einem, um die vielen zu schützen.Nein, ich mache keine PC-Ethik, aber PC und Ethik sind zwei verschiedene Dinge.
@DennisJaheruddin - Aber was wird die Behörde prüfen?Jeder weiß, dass secretwebsite.com * möglicherweise * illegal ist (und wahrscheinlich ist), aber wo ist der Beweis?Wir kennen einige Dinge, die illegal sind, aber es gibt keine Möglichkeit, dies zu beweisen.Wenn unsere Regierungen (diejenigen, die nicht autoritär sind) alles zerstören würden, was eine autoritäre Regierung * verdächtigt *, illegal zu sein, wären wir in echten Schwierigkeiten.
Wenn ein vertrauenswürdiger Benutzer den Inhalt von Secretsite sehen kann (was vermutlich genau das ist, was der Fragesteller möchte), würde er bei diesem Setup nur einen Mitarbeiter benötigen, um zu beweisen, welcher Inhalt vorhanden ist.
@DennisJaheruddin - Wiederholen Sie als Skript das gleiche Argument immer wieder?Ja, er kann die Website herunterladen.Aber er kann nicht beweisen, dass es die Website ist.Ein Justizsystem funktioniert nicht in Sekunden, sondern in Monaten.Wenn dies zu einem Gerichtsverfahren wird, fegen Sie Beweise von diesem Benutzer ab, und Beweise, die nicht repliziert werden können, sind keine Beweise (oder können als entfernt angesehen werden).Wenn es kein Gerichtsverfahren gibt, funktioniert die Verleugnung sowieso nicht.
MvG
2016-10-08 01:11:00 UTC
view on stackexchange narkive permalink

Ich stimme größtenteils dem zu, was Topher Brink geschrieben hat. Nur noch ein paar Punkte.

Es reicht wahrscheinlich nicht aus, nur sichere Inhalte zu haben, sondern Sie müssen auch über erheblichen Datenverkehr verfügen, um auf diese Inhalte zuzugreifen. Suchmaschinen-Hits, dergleichen. Andernfalls kann jeder Besuch Ihrer Website mit dem vertraulichen Inhalt in Verbindung gebracht werden, selbst wenn andere Inhalte herumliegen.

Wenn gefälschte Zertifikate in dem betreffenden Land ein Problem darstellen können, können Sie Personen bitten, die Zertifikatsprüfsummen zu überprüfen . Aber da der plausibelste Weg, gefälschte Zertifikate einzuführen, manipulierte Browser-Installer wären, würde ich diesen Prüfsummen auch nicht vertrauen. Verwenden Sie diese Zielländer also nicht, in denen Sie nicht erwarten können, dass Benutzer über saubere Browser verfügen. Gleiches gilt für staatlich sanktionierte Keylogger und dergleichen. Die von der Technologie bereitgestellte Privatsphäre endet auf ihrem Computer. Wenn dieser Computer nicht privat ist, kann die Verbindung nicht hergestellt werden.

Sie sollten sich daran erinnern, dass die Einweg-Links von der Site generiert werden sollten und sollten verfügbar für jeden Besucher. Möglicherweise optisch als schwarzer Link in einem unbedeutenden Punkt am Ende eines Satzes verborgen, wobei der Mauszeiger als der für die Textauswahl verwendete beibehalten wird. Aber die Leute sollten diese Links niemals aufschreiben müssen, um sie für spätere Gegenbesuche zu verwenden oder um sie Freunden zu geben. Sie sollten in der Lage sein, ihren Freunden zu sagen, dass sie einfach dort klicken und sehen, was Sie sehen müssen, ohne eine belastende URL weiterzugeben. Und sie sollten dies immer nur mündlich von Angesicht zu Angesicht sagen, nicht in der elektronischen Kommunikation, da die Tatsache, dass Sie den Weg kennen, selbst belastend ist.

Sie sollten sicherstellen, dass sichere und vertrauliche Seiten in Bezug auf die Spuren, die sie auf einem Computer hinterlassen können, so ähnlich wie möglich sind. Gleicher HTML-Titel, gleiches Favicon, gleiche Cookies. Am liebsten sogar die gleichen Bilddateien. Wenn dies nicht möglich ist, müssen Sie Ihren Benutzern mitteilen, dass sie ihren Cache nach dem Besuch leeren sollen, und ihnen erklären, wie dies zu tun ist. Erklären Sie ihnen am besten auch, wie Sie die anonyme Surffunktion der meisten gängigen Browser verwenden. Zumindest nachdem überprüft wurde, dass diese keine erkennbaren Spuren der Verwendung hinterlassen, was zu hoffen ist, aber ich bin nicht sicher.

Und Sie sollten alle relevanten Richtlinien für das Benutzerverhalten einschließen (sauberer Cache, Beobachten Sie, wer zuschaut, stellen Sie sicher, dass Ihr Computer kompromisslos ist, keine schriftlichen Anweisungen an andere, akzeptieren Sie niemals unsichere Zertifikate, leiten Sie diese Anweisungen an andere weiter,…) werden den Besuchern prominent und häufig gezeigt. Aber am Ende können Sie nur hoffen, dass sie dieser Anleitung folgen. Sie können diese Aspekte nicht fernsteuern.

Ich mag diese Antwort, leider würde das Löschen des Caches durch den Benutzer bedeuten, dass die Sicherheit nicht in allen Fällen wirklich in fähigen Händen liegt und daher noch nicht vollständig ist.
@Dennis: Ja, Sie können keine vollständigen Garantien haben, ohne die Kontrolle über die Harware der Besucher oder die Zusammenarbeit der Besucher.Aber das Löschen eines Caches * nach * dem Lesen der Anweisungen dazu ist wahrscheinlich weitaus weniger problematisch als das Einrichten von so etwas wie tor * vor * dem Betrachten der Websites, auf denen beschrieben wird, wie dies richtig funktioniert.
Dennis Jaheruddin
2016-10-08 15:50:26 UTC
view on stackexchange narkive permalink

Konzeptionelle Antwort

Ohne das Wie wie im Detail zu beschreiben, glaube ich, dass diese Beschreibung dessen, was Sie tun sollten, dazu beitragen kann, etwas zu entwickeln, das so gut wie möglich funktioniert.

Situation

Aus Anwendersicht gibt es anscheinend einige wichtige Schritte im Prozess.

  1. Verbindung zum Server herstellen
  2. Durchsuchen Inhalt auf dem Server
  3. Verlassen Sie den Server
    4. ol>

    Herausforderung

    Es sollte nicht möglich sein zu beweisen, dass sie etwas zum Thema X angesehen haben Das Internet kann permanent überwacht werden und der Computer kann beschlagnahmt werden, nachdem sie fertig sind.

    Lösung

    Ich glaube, dass Sie mit diesen Lösungsteilen zusammen eine vernünftige Situation haben werden.

    1. Stellen Sie sicher, dass nicht nachgewiesen werden kann, dass eine Verbindung zu Inhalten zu Thema X hergestellt wird. Der praktischste Weg, dies zu tun, besteht darin, jemanden mit einer allgemeinen Site verbinden zu lassen , das auch Thema X enthält. Hier ist zu beachten, dass auch wenn Regierungen kann technisch nicht beweisen, dass Personen, die mit Ihrer Website verbunden sind, um Thema X anzuzeigen, möglicherweise immer noch abgeleitet werden, wenn Ihre Website nur dafür und nicht für ihren normalen Inhalt bekannt wird.
    2. Stellen Sie sicher, dass die Verbindung hergestellt ist Es kann nicht nachgewiesen werden, dass Thema X besucht wurde. Natürlich sollte die Verbindung verschlüsselt sein (https?!) und die Site sollte keine Protokolle führen, die Personen belasten könnten. Die Site sollte auf jeden Fall in einem sicheren Land gehostet werden .
    3. Stellen Sie sicher, dass keine Spuren auf der Client-Seite zurückbleiben. Dies wurde von den anderen Antworten nicht wesentlich berührt, ist jedoch von entscheidender Bedeutung, wenn der PC des Besuchers am nächsten Tag überprüft werden kann. Sofern ich mich nicht irre, wird die Bereitstellung des Inhalts in einem normalen Browser automatisch disqualifiziert. Möglicherweise wird es nicht benötigt, aber eine Lösung hierfür könnte sein, dass Besucher der Website (nicht nur diejenigen, die Thema X besuchen) den Inhalt nicht normal anzeigen, sondern über einen dedizierten Client. Dieser Client müsste so gestaltet sein, dass Verlauf, Cache, heruntergeladene Videos usw. nicht gespeichert werden.
      4. ol>

      Lohnt sich das Risiko?

      Wie bereits erwähnt, ist es keine leichte Entscheidung, Menschen, die ins Gefängnis gehen, wenn sie erwischt werden, diese Art von Inhalten anzubieten. Meine Empfehlung hier wäre, dies nur zu tun, wenn Sie erwarten würden, dass sie sowieso ähnliche Inhalte finden (auf weniger sichere Weise).

Für Punkt 3 könnte der dedizierte Client vollständig auf Javascript basieren, sodass aus Benutzersicht nur ein normaler Browser in einem regulären Tab verwendet wird.Entwickler von Einzelseitenanwendungen mussten die Unterstützung für Verlauf und Deeplink manuell hinzufügen, sodass die Site sie in diesem Fall einfach überspringen konnte.Wenn jede Ressource über die API-Aufrufe des Javascript-Clients anstelle des Standard-Ressourcen-Downloads abgerufen, dekodiert und schmerzhaft angezeigt wird, muss keine Inhaltsdatei zwischengespeichert werden.Jedoch ...
Die resultierende Site ist langsam (kein Caching, ineffiziente Aufrufe) und bei der Implementierung von Punkt 2 ärgerlich (ohne Protokoll müssen Sie zu dem zurückkehren, was Sie gestern gelesen haben). Daher ist es schwierig, Punkt 1 zu übergeben. Warum sollte jemand dies verwenden?Diese Seite für normale Inhalte mit langsamer Geschwindigkeit und Unannehmlichkeiten?Tors [Änderung des Brandings] (https://medium.com/@virgilgr/tors-branding-pivot-is-going-to-get-someone-killed-6ee45313b559#.gbylej6h1) wurde für diesen Punkt kritisiert.Ich nehme an, Sie müssen die Website als Korruptions-Whistleblower (oder aus einem von der Regierung bevorzugten Grund) mit zusätzlichem Inhalt verkaufen
Es gibt immer noch Methoden, um zu sehen, welche Inhalte jemand angesehen hat.Jede Site / jeder Artikel / jedes Video hat beispielsweise eine andere Größe und Analyse der verschlüsselten Übertragungslecks.
@Josef Wahrscheinlich können durchgesickerte Informationen statistisch analysiert werden. Angesichts der Frage (einige Videos) und der Annahme, dass diese Videos keine ungewöhnlichen Größen haben, würde ich jedoch keine statistisch signifikanten Ergebnisse erwarten (es sei denn, jemand würde die Website sehr lange besuchenZeit regelmäßig)
@DennisJaheruddin Ich denke, die Wahrscheinlichkeit, dass sich eine Täuschungswebsite statistisch signifikant von der realen Website unterscheidet, ist nicht so gering.Z.B.Nehmen Sie an, dass für jedes Video, das für die reale Website produziert wird, ein Täuschungsvideo mit denselben Eigenschaften (wie die Bitrate über die Zeit) als Täuschungsvideo erstellt wird?Bitrate im Laufe der Zeit ist nicht so schwer aus einem verschlüsselten Bitstream zu analysieren, wenn gängige HTML-Videoplayer in Browsern verwendet werden ... Und dies ist nur ein Beispiel.
Mein Punkt ist, dass, wenn jemand über https eine Verbindung zu einer generischen Website (sagen wir YouTube, die nicht mit der Regierung zusammenarbeitet) herstellen würde, die Behörden sicher sagen könnten, dass jemand ein 5-minütiges Video mit niedriger Auflösung und dann ein 4-minütiges Video angesehen hathd vid, aber das reicht kaum aus, um abzuleiten, welche videos genau wo gesehen wurden.(und ob diese in der illegalen Sektion waren).
Singularity.
2018-09-10 18:05:50 UTC
view on stackexchange narkive permalink

Wir können nicht. Der Kunde muss teilnehmen. Wir können kein sicheres / geheimes Paar von Websites verwenden, wenn die Nutzerbasis wächst. Ein einzelner durchgesickerter Link kann verwendet werden, um den Inhalt der geheimen Website zu beweisen, einfach für die Funktionsweise von HTTPS. Der von Ihrer Website bereitgestellte Inhalt wird von Ihrer Website mit einem öffentlich zugänglichen Zertifikat signiert . (Andernfalls können wir nicht wissen, dass wir die richtige Website erhalten.) Wenn jemand nachweisen kann, dass das Zertifikat Ihnen gehört, und eine Kopie der Signatur hat, die Sie an seinen Browser gesendet haben (die er durch einfaches Klicken auf a erhalten kann) Übrigens nur wenige Menüs in Firefox) Sie können beweisen , dass der von Ihnen bereitgestellte Inhalt authentisch ist.

Es ist auch erwähnenswert, dass wir die Signatur auf der Website nicht einfach vermeiden können Inhalt, damit wir nicht auch die Integrität unseres Inhalts verlieren.

Also keine Leugnung, wenn jemand leckt. (Dies bezieht sich auf die Antwort von gro♀.)

Tor ist unsere beste Antwort, aber unvollständig. Es gibt keine gute Antwort auf die Frage, die Sie stellen. Dennoch können Tor-Brücken / steckbare Transporte von Nutzen sein.



Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...