Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 126 reacties

Gogo, een aanbieder van inflight-internet in de Verenigde Staten, onderschept verbindingen naar Google met een vals ssl-certificaat. Waarschijnlijk gebeurt dit om streaming aan banden te leggen. Het is onbekend of dit altijd gebeurt en of ook andere websites worden getroffen.

Een medewerker van het beveiligingsteam van Google Chrome merkte het injecteren van het valse certificaat op, toen ze zelf vloog. Ze merkte op dat Gogo een eigen certificaat injecteerde met domeinnamen die eindigen op '.google.com'. Daardoor kunnen gebruikers er niet meer op vertrouwen dat ze een beveiligde, rechtstreekse verbinding met de servers van Google hebben, zonder dat Gogo meekijkt.

De Google-medewerker vermoedt dat het valse certificaat wordt geïnjecteerd om streaming in te perken; gebruikers kunnen vanaf play.google.com muziek en films streamen. "Maar er zijn betere manieren om dit te doen", schrijft zij op Twitter.

Het is niet bekend of Gogo ook een eigen certificaat injecteert in verbindingen met andere sites die veel dataverkeer genereren door streaming, zoals YouTube en Spotify. Ook is niet bekend of Gogo altijd verkeer onderschept, of bijvoorbeeld enkel wanneer de snelheid van de verbinding in het geding komt door streamende gebruikers. Gogo heeft nog niet op de aantijgingen gereageerd.

Het gebeurt vaker dat valse certificaten worden uitgegeven. Technisch kan dat, als een certificaatautoriteit kan worden gevonden die daar aan mee wil werken: er bestaan geen technische maatregelen om het uitgeven van certificaten voor andermans domeinnamen te voorkomen. Wel wordt de impact onder meer beperkt door certificate pinning in Google Chrome: in die browser is vastgelegd welke certificaatautoriteiten certificaten mogen uitgeven voor verschillende domeinnamen, waaronder die van Google. Geeft een andere certificaatautoriteit een certificaat voor Google uit, dan slaat de browser alarm, wat in dit geval ook is gebeurd.

Moderatie-faq Wijzig weergave

Reacties (126)

Met andere woorden: als je geen Chrome gebruikt ben je er dus niet van bewust dat je eigenlijk het slachtoffer bent van een MITM-attack door de WiFi aanbieder.
Zij kunnen dus al het zogezegd versleutelde verkeer naar Google zomaar inkijken. Is zoiets (in de US) eigenlijk wel wettelijk?
Andere browsers geven ook gewoon een waarschuwing hoor... Niet alleen Chrome. Neemt niet weg dat dit gewoon belachelijk is.
Leek mij ook logisch maar aangezien hier expliciet vermeld werd dat Chrome enkel google.com certificaten accepteert van een bepaalde CA dacht ik dat andere browsers niet of nauwelijks zouden reageren
Alle browsers checken of een certificaat wel of niet geldig is. Chrome doet een extra check op de certificaten van Google Services om ook valse certificaten van legale certifcate authorities eruit te pakken. Zoals bijvoorbeeld toen diginotar gehacked was. Het certificaat dat hierboven genoemd wordt geeft echter in elke browser een waarschuwing.
Het certificaat lijkt door een eigen root uitgegeven, aangezien deze niet standaard vertrouwd word zal dit altijd een foutmelding genereren.
Het certificaat lijkt door een eigen root uitgegeven, aangezien deze niet standaard vertrouwd word zal dit altijd een foutmelding genereren.
Precies, het artikel is verwarrend. Certificate pinning heeft er niets mee te maken, het gaat hier om een zelf uitgegeven certificaat, door een CA die niet vertrouwd is, elke browser zal hier over klagen.

[Reactie gewijzigd door Blubber op 5 januari 2015 11:17]

Fout, het gaat hier om een certificaat dat wel degelijk door een CA is ondertekend, maar Chrome merkt dat dit niet door de juiste CA is voor google certificaten. Daarom geeft enkel Chrome een melding.
De CA is een certificaat van Gogo. Dat zal geen enkele browser (zonder aanpassingen) accepteren als vertrouw rootcertificaat, en daarom zal je dus ook een foutmelding krijgen voor een certificaat ondertekend met Gogo's CA.
Tegenwoording zijn bijna alle browsers helaas overgestapt op de webkit van chrome (wat dus het onderscheid tussen de browsers weghaald , heel jammer).

- Firefox / Opera geven een waarschuwing voordat de site voor de eerste keer laat , je moet dan specifiek toestemming geven.

Ik moet wel zeggen dat ik het erg frapant vind dat ze een eigen cert gebruiken. zou dit te maken hebben met het feit dat zet het internet verkeer via het toestel over een vpn/ssl verbinding laten gaan zonder het in contact te brengen met andere systemen die "beinvloedbaar" zouden kunnen zijn (aka ze moeten de verbinding op deze manier opzetten?)

is er misschien een tweaker die bij gogo werkt die hierover info kan verschaffen ?
Alleen met betrekking tot het renderen van de daadwerkelijke html / css; de rest (verbindingen, SSL verificatie, javascript engines) zijn nog uniek voor de verschillende browsers. Dat is dus niet relevant voor dit probleem.
ow excuses , dat heb ik fout begrepen dan , ik dacht dat men aan de achterkant ook de ssl verificatie etc hadden overgenomen
Foute plaats.

[Reactie gewijzigd door worldcitizen op 5 januari 2015 11:27]

Andere browsers geven ook gewoon een waarschuwing hoor... Niet alleen Chrome. Neemt niet weg dat dit gewoon belachelijk is.
Dat klopt in dit geval.
Als Gogo zelf een erkende root CA geweest zou zijn zou dit niet zichtbaar zijn.
Daarom is het SSL systeem IMO helemaal niet meer betrouwbaar, er zou IMO een beter en betrouwbaar alternatief moeten komen.

IMO met maar een root CA (onder de VN of een andere globaal gecontroleerde organisatie) en gratis certificaten voor privé personen en commerciële en hogere level certificaten tegen een reële prijs.
Volgens mij zijn daar ook nog beveiligingen voor - dwz dat als het certificaat voor Google sites niet door Google's eigen uitgever gesigned zijn dat hij ook nog foutmeldingen geeft. Daar zal vast een naam voor zijn.
Volgens mij zijn daar ook nog beveiligingen voor - dwz dat als het certificaat voor Google sites niet door Google's eigen uitgever gesigned zijn dat hij ook nog foutmeldingen geeft. Daar zal vast een naam voor zijn.
Dat klopt dat staat ook in de tweakers post. "certificate pinning".

Maar dat werkt alleen voor certificaten die bekend zijn in de browser (Chrome/Chromium in dit geval). Ik denk niet dat browser fabrikanten dit voor ieder certificaat willen doen. Het certificaat van een bank kan mogelijk ontbreken.
De prijs van duurdere certificaten hebben onder anderen te maken met de verzekering van een certificaat mocht deze gekraakt worden.
Vaak staat de certificering instantie dan garant voor een vergoeding.
Het lijkt hier te gaan om een echt certificaat, uitgedeeld door een geldige, reeds door je browser bekende Certificaten aanbieder (CA).

Chrome doet aan certificate pinning, met extra tools zoals Microsoft EMET, kun je dit ook in IE herkennen.

Edit: lijkt te gaan om een ongeldig certificaat. De tekst was misleidend, daar stond dat een andere CA mee zou moeten werken. Ik neem aan dat dit soort WIFI providers hun eigen CA hebben geinstalleerd.

[Reactie gewijzigd door jumi op 5 januari 2015 11:08]

Ik neem aan dat dit soort WIFI providers hun eigen CA hebben geinstalleerd..

In dit geval denk ik dat het om een intern management certifciaat gaat dat helemaal nooit naar een gewone eindgebruiker getoond zou moeten worden.

Ik vermoed dat het fout ging toen de medewerkster expliciet https://... intypte en de routering fout ging.

Anders is het namelijk wel erug slordig, want iedere PC zou die foutmelding gegeven hebben (en inderdaad zoals je aangeeft certifiucaat pinning of niet).
De Google-medewerker vermoedt dat het valse certificaat wordt geïnjecteerd om streaming in te perken
Ze zijn niet in staat om de beschikbare bandbreedte per node op een andere manier te limiteren? Dan heb je nog netneutraliteit ook.

Overigens laat dit goed zien wat SSL-certificering eigenlijk is. Een beveiligingsoplossing waarbij de controleur zelf door niemand gecontroleerd wordt is een groot risico.

[Reactie gewijzigd door blorf op 5 januari 2015 11:02]

Dan heb je nog netneutraliteit ook.
Niet in Amerika, en ook niet als het toestel vliegt onder een andere vlag, behalve de Nederlandse (en Argentijnse geloof ik).
Wij zijn een van de weinige landen die netneutraliteit in de wet verankerd heeft.

Geen nette manier om de bandbreedte te beteugelen, op z'n zachts gezegd.
Daarnaast is netneutraliteit enkel van toepassing op ISPs, oftewel ik weet niet of je vliegtuigmaatschappij daaronder geschaard kan worden.

Als de Mac op hun wifi youtube willen blokkeren mogen ze dat ook prima doen, omdat ze geen ISP zijn.
Een vliegtuigmaatschappij fungeert in dit geval wel degelijk als ISP, net als de NS, die ook filmpjes wilde weren.
Maar de maatschappij is geen ISP, net zo min als de NS. Een bedrijf is een ISP als het leveren van internetdiensten een core-business van het bedrijf is. En een vliegtuigmaatschappij lijkt me nou niet een bedrijf dat internetdiensten levert, en daarnaast ook wat met vliegtuigen doet.
Daarom zei ik ook "fungeert als" en dat is genoeg. Dat is net als dat een kabelmaatschappij en een café dat voetbalwedstrijden vertoont rechten moet betalen. Raar of niet, dat wordt beschouwd als nieuwe openbaarmaking.
Merk dat dat de europese richtlijn (en ook oude nu vervangen Nederlandse wet) netneutraliteit gewoon toestaat dat men YouTube trottled.

Immers indien het om de betrouwbaaerheid van de dienst te waarborgen is mag het namelijk gewoon expliciet van de wet/richtlijn. En wie wel eens dit soort GoGo internet gebruikt heeft weet dat een zeer klein aantal YouTubers moeiteloos het hele internet voor alle andere internetters helemaal plat legt.

Netneurtraliteit wordt vaak veel te streng uitgelegd, maar bied nog behoorlijk veel ruimte voor throttling en diferentiatie van diensten. En gelukkig maar, want een te dogmatsiche benadering zou juist problemen opleveren.

Netneutraliteit is veel meer gericht op het blokkeren of remmen van een commercieel concurerende dienst. Denk aan toen KPN en Vodafone Skype wilde blokkeren/remmen. Dat is wat de wet beoogd tegen te gaan.
Ik bedoelde technisch, niet als politieke term. Mensen die streams lopen te trekken kunnen niet de hele lijn dicht laten slibben en de logistiek van de rest van het netwerk neerhalen als je per aangesloten computer de bandbreedte (inclusief verkeersdata zelf) limiteert. Zo moeilijk is dat niet op een beetje Wifi-router. Ik zou zelf trouwens het aantal verbindingen die tegelijk open staan ook nog limiteren. Dan heb je ook geen last meer van torrent clients en andere programma's die abnormaal veel traffic-data genereren.

En zo wordt er door de hardware niemand voorgetrokken of benadeeld tegenover de rest, afhankelijk van wat diegene doet op internet. Dus wat betreft het lokale netwerk neutraal. Ongeacht boven welke grond we vliegen. Wat de ISP buiten allemaal doet weet ik ook niet maar da's een ander verhaal.

edit: ik zie dat ze verschillende abonnementen en tarieven hanteren en denk dat daar de schoen wringt. De passagier die filmpjes wil kijken moet waarschijnlijk extra betalen. Doet hij dat niet en neemt hij internet tegen het laagste tarief dan wordt er actief voor gezorgd dat dat daar niet mee kan. Gewoon ouderwets uitmelkerij dus. Maar geniaal, een compleet werkende Youtube-betaaldienst in eigen beheer creeeren uit niets. Handig als je klanten toch nergens anders heen kunnen.

[Reactie gewijzigd door blorf op 5 januari 2015 11:53]

Jawel, gewoon je eigen filmpjes meenemen, Maar iedereen denkt tegenwoordig in 'streaming' over internet en 'cloud', maar op een laptop, tablet of smartphone zijn gewoon GB's aanwezig om je filmpjes op te slaan.
Voor mij hoeft internet in het vliegtuig niet, ook niet op een vlucht van 16 uur. Inderdaad dit soort veiligheids problemen op een openbaar netwerk is daar een van de oorzaken van.
Je filmpjes meenemen? Dat ga je niet menen. Die hele fimpjes-cultuur van het moment is een dom-houdende hersenspoelende machine. Een zwaar verbeterde versie van die van 20 jaar geleden, de TV. Maar het is wel lucratief.
De google medewerker is fout en zou beter moeten weten waarom dit zo gebeurd. Wat doe je als je eerste call een https call is? Niks, uitroepteken melding of mitm naar groen slot? Exactly.
De google medewerker... of de T.net redacteur :)
Een beveiligingsoplossing waarbij de controleur zelf door niemand gecontroleerd wordt is een groot risico.

Huh? De browser gaf juist een vette waarschuwing ...

Ofwel een uitstekend voorbeeld van perfect werkende SSL/TLS certificaat controle!
Het valt me op dat de beveiligingsmedewerker van Google hier zo "lauw" op reageert.

Het kloten met SSL certificaten waardoor in theorie heel veel data kan worden onderschept vind google zeker normaal. Als ik aan het hoofd zou staan van een bedrijf zo groot als google zou er echt onmiddelijk duidelijk afstand van genomen worden, er schande van spreken en bekend maken dat het juridische team van mn bedrijf juridische stappen gaat ondernemen, zowel naar de partij die het certificaat vervalst als eventuele aanbieders die mee hebben geholpen aan het vervalsen van de certificaten.

Juist bij een partij als google die zo bizar veel informatie verzamelt over gebruikers van zijn producten zou je er toch van uit moeten kunnen gaan dat ze die gegevens verdedigen op alle mogelijke manieren.
In dit geval is het de gebruiker die waakzaam moet zijn. Je krijgt een dikke waarschuwing met het advies om het niet te accepteren in elke moderne browser.
Misschien werd het is tijd dat mensen een basiscursus voor het internet krijgen.

En eerlijk gezegd mag het hele certificatensysteem wel op de schop. Het is 2015, ik wil helemaal geen derde partij vertrouwen.

[Reactie gewijzigd door Bonobo op 5 januari 2015 11:14]

Laat dat nou net de hele opzet zijn van certificaten om het aan een 3e onafhankelijke partij over te laten. Waarbij hun verdien model is om hun geld te verdienen door onafhankelijk te blijven.
en dat van vervolgens niet te zijn, of hun zaakjes zo slecht op orde te hebben dat ze zelf onbetrouwbaar zijn...

ik vind zijn punt wel kloppen, ik vind best dat er bedrijven moeten bestaan die websites doorlichten en beveiligingskeurmeren mogen hangen aan servers netwerken data verwerking en dergelijken en dat zo' n cert in de browser te zien is lijkt me heel handig...

maar het feitelijk identificeren van of de server wel de juiste is is een kwestie grotendeels van dnssec en aanverwanten, en encryptie moet niet afhankelijk zijn van een 3e partij....

want ook EV certs zeggen niets, ja ik weet dat webserver x idd is gehuurd door bedrijf y maar over veiligheid en of ze er geen gruwelijk potje van maken wordt niets gemeld
De Google medewerker spreekt hier op eigen titel. Als medewerker van zeker zon groot bedrijf mag je niet zo maar statements maken namens het bedrijf. Ze heeft het mijne inziens heel slim gedaan door het als een vraag neer te zetten.
Het is aan de officiële communicatie kanalen van Google om hier een statement op te geven.
Dan kan je alsnog aangeven dat het onderzocht gaat worden. Wel speculeren over de reden om zo de angst een beetje weg te nemen, maar niet zeggen dat google niet achter dit soort praktijken staat. Het lijkt me echt wel dat een gigant als google een duidelijk beleid zou moeten hebben mbt vervalsen van SSL certificaten, en dat een medewerker daar met een simpele check bij zijn/haar manager of een referentieboek/gids zo op terug moet kunnen vallen. Ik vind dit namelijk een te ernstige praktijk om met zo'n slappe reactie te reageren op een melding.
Ik denk dat die mevrouw daar wel de lawyers van Google op zet.
Die gaat echt neit zelf lopen wroeten en klagen. Dat levert via een lawyer heel veel meer op.
In hun terms of use staat gewoon dat ze video streaming/downloaden etc zeer beperkt toelaten:
Limitations on Service.
Gogo’s goal is to ensure that every user has a great experience. Given the limited bandwidth available from and to the plane, Gogo sets limits on your use of the Service for certain applications to ensure the best performance for the most users. Gogo is primarily designed for web browsing, online shopping, email, some intranet access (including access to corporate intranets, email) through Virtual Private Networks, and very limited short-video (i.e., less than five minutes per hour) streaming.

Because of capacity limitations and the shared use of the ground-to-plane wireless network, Gogo is not well suited for in-flight file transfers or downloads of computer updates or long-form media. As a result, Gogo’s network management policies provide that video downloads from websites that primarily provide long-form content cannot be downloaded. Nor should the Service be used to download movies from peer-to-peer file sharing services, redirect television programs for viewing on personal computers, for web broadcasting, or to operate a server or telemetry devices. Customers can access short-form video downloads from websites that do not primarily provide long-form video. But even from these websites, after the first five minutes of downloads per hour, customers should anticipate that the download speed will be reduced and expect to experience buffering for the remainder of the video. Similarly, customers should expect slower speeds for commercial file sharing applications after downloading 8 MB within an hour, and for web browsing and secure applications after downloading 30 MB within an hour.

These network policies are designed to ensure that customers who download video during the flight do not disadvantage customers doing other activities on the internet that are not so bandwidth-intensive. Gogo is committed to managing its network in a manner that does not discriminate based on a website’s content or its provider and that is source- and content-agnostic whenever reasonably possible to do so. It does employ content filtering (for adult-oriented material, for instance) at the request of certain airlines.
(snap niet waarom er in dit artikel gegist moet worden naar de reden terwijl ik het gewoon kan vinden).
(snap niet waarom er in dit artikel gegist moet worden naar de reden terwijl ik het gewoon kan vinden).
In de hele voorwaarden staat niets over valse/niet originele certificaten. Omdat in de voorwaarden staat dat ze downloaden/streaming beperken zegt dat in zijn geheel niets over een verband met valse certificaten.

Er is zelfs vooralsnog geen enkel verband te bewijzen dat de voorwaarden er ook maar iets mee te maken hebben. Het kan dus ook om hele andere redenen zijn. Je kan er hooguit naar gaan raden, wat de medewerker van Google dan ook doet.
Inperken van streaming heeft niks met https redirection te maken. Dat doe je op een andere manier veel goedkoper dan DPI of MITM.
Omdat er nergens een connectie tussen die twee te vinden is? Althans, ik kan uit die tekst niet opmaken over hóe ze dat beperken. Misschien inderdaad via dit SSL certificaat, maar zoals de medewerker van Google al zei zijn hiervoor vele betere opties en is het heel erg raar dat er beveiligings certificaten worden vervangen.

Juist door dat stuk tekst zijn ze tot deze gok gekomen. Een educated guess dus.

Mijn vertrouwen zou per direct weg zijn. Ik zou eerder vermoeden dat hun netwerk gehacked is.
Waarschijnlijk gebeurt dit om streaming aan banden te leggen.
Is dit toegestaan?
Het lijkt mij een soort identiteitsdiefstal.
Het is toegestaan ja, er zijn geen wetten oid die dit soort zaken verbieden. Het is aan de consument om te beslissen of ze via een gecompromitteerde verbinding willen communiceren met de servers van Google, en/of bijvoorbeeld wachtwoorden en persoonlijke gegevens door te geven ondanks de waarschuwingen van de browser. Het risico ligt dan ook bij de gebruiker zelf.

Ik weet niet eens of Google of een aanbieder van diensten achter SSL wel verbindingen kan weigeren als het SSL certificaat niet klopt.
Het is toegestaan ja, er zijn geen wetten oid die dit soort zaken verbieden. Het is aan de consument om te beslissen of ze via een gecompromitteerde verbinding willen communiceren met de servers van Google, en/of bijvoorbeeld wachtwoorden en persoonlijke gegevens door te geven ondanks de waarschuwingen van de browser. Het risico ligt dan ook bij de gebruiker zelf.

Ik weet niet eens of Google of een aanbieder van diensten achter SSL wel verbindingen kan weigeren als het SSL certificaat niet klopt.
Volgens mij is dit alleen toegestaan als je de gebruiker hier over informeert.
Volgens mijn moeten bedrijven die ssl verkeer onderscheppen hun medewerkers hier ook over informeren.
Daarna is de keuze aan de gebruiker.
Er zijn wel degelijk wetten die je verbieden om je voor een ander uit te geven. Google is een trademark. Gogo.com mag dat Trademark niet misbruiken om naar zichzelf te refereren. Google zou dus een civiele zaak kunnen aanspannen wegens misbruik van dat trademark en eisen dat GoGo ermee stopt.

Overigens zou ik als Google daarnaast ook acuut GoGo.com bannen van alle diensten (search/mail/etc) omdat je nu eenmaal geen zaken hoeft te doen met bedrijven die je schade berokkenen. Met de machtspositie van Google mag je niet zomaar discrimineren, maar dit soort misbruik is wel een legitieme reden.
IKEA haalt datzelfde geintje uit op de gratis Wifi in hun winkels. Mijn iPhone gaf de één na de andere waarschuwing! Als je die certificaten niet accepteert kun je eigenlijk niks omdat veel diensten tegenwoordig standaard SSL gebruiken.

Heb daar dus een klacht over ingediend via http://www.ikea.com/ms/nl.../contact_us/klachten.html. Ze waren wel zo vriendelijk me een gratis lunch aan te bieden.
IKEA vereist dat je eerst naar een website gaat waar je ff de voorwaarden accepteerd en blokkeert al het verkeer tot je dat gedaan hebt. Al het verkeer wordt geredirect naar die pagina. Tot die tijd zal je telefoon bij bijvoorbeeld mail ophalen, certificaat errors geven.
Dit gebeurd ook bij McDonalds en ook op KPN hotspots. De redirect naar de 'inlogpagina' veroorzaakt dat probleem.
Hmm, in dat geval moet men dat beter communiceren. Internet is immers meer dan het web. Die redirect vond bij mij niet plaats, waarschijnlijk omdat ik geen gebruik van een browser maakte. Zodra ik verbinding maakte verschenen er popups van de Mail app en Google Maps app met certificaatwaarschuwingen. Ik was toen niet meer zo geneigd om Safari te openen.

Ik ben sowieso benieuwd hoe lang die 'captive portals' nog gebruikt zullen worden. Nu steeds meer diensten SSL/TLS afdwingen (bijv. via HSTS, waarbij je browser onthoudt dat ie HTTPS moet verkiezen boven HTTP) wordt het moeilijk om nog op de portalpagina te komen zonder tegen een waarschuwingsvenster aan te lopen. De toch al niet goede gebruikerservaring wordt daardoor verder verslechterd. Ben benieuwd wat ervoor in de plaats komt.
Nog heel lang, alle mobiele devices hebben een captive network assistent welke naar boven komt als je caged bent.
Hmm, dat faalde dan met mijn iPhone 6 bij Ikea. Had veel frustratie kunnen voorkomen. :)
Roep een non-https pagina op in de toekomst, tweakers bijvoorbeeld en soms is het enige wat werkt een harde powercycle, vreemd genoeg.
Dat realiseer ik me, maar een slechte gebruikerservaring is soms schadelijker dan géén gebruikerservaring, waarmee ik wil zeggen dat het aanbieden van een 'gratis' extra dienst die bij klanten tot frustratie leidt ook het imago van het hoofdproduct kan besmetten.

Ik heb er niks op tegen om bepaalde gebruikersvoorwaarden te moeten accepteren voor gebruik van gratis Wifi, maar mijn privécommunicatie kunnen afluisteren vind ik absoluut niet OK. Nu zal dat niet het doel van Ikea zijn, maar dat is wel het resultaat. Ikea moet dus afwegen of hun technische implementatie voldoet.
Jammer dat GoGo hier als zwart schaap wordt gezien terwijl de techniek gewoon brak is. Dat Google dit probeert op te lossen middels een white list is volgens mij een doekje voor het bloeden en kunnen zij makkelijk doen omdat zij een product beheren die het gebruikt.
Eigenlijk valt het zelfs met die techniek wel mee. Het rotte is dat je honderden vertrouwde CA's door je strot geduwd krijgt waar je nog nooit van gehoord hebt, laat staan dat je ze werkelijk vertrouwt.
Met de komst van Windows 7 is de lijst gelukkig al een stuk kleiner.
Wat heeft streaming en SSL vervalsen nou weer met elkaar te maken. Je kan toch prima gewoon de toegang blokkeren als je streaming wil voorkomen? Hell, zelfs DNS servers die je omleiden naar een informatiepagina over streamen in een vliegtuig is beter dan lukraak SSL certificaten injecteren en mensen alsnog laten streamen (wat nu gebeurt). Is het idee dat ze mensen afschrikken ofzo?
Bij het als aanbieder leveren van een 'veilige' verbinding met een eigen certificaat heb je controle over de inhoud van het verkeer omdat je de inhoud kan lezen en manipuleren. Aangezien een site als youtu.be wel aan de gebruikers word doorgegeven ziet de aanbieder er waarschijnlijk meer voordelen in om controle over de inhoud van het verkeer te hebben in plaats van domweg het hele verkeer blokkeren zonder de inhoud te zien.
Ja, maar dan slaat het antwoord van het bedrijf dat het om 'streaming management' gaat toch nergens meer op? Verkeer manipuleren maakt de hoeveelheid verkeer toch niet minder.
Verkeer manipuleren maakt de hoeveelheid verkeer toch niet minder.
Tuurlijk wel, ik weet niet of je nog opera mini kent of nokia die een soortgelijke variant had.

Heden ten dage doet volgens mij nog steeds bijna elke telco het nog steeds op 3G (proxy ertussen die bijv plaatjes downscaled etc etc etc) op het moment dat je kan manipuleren kan je ook de grotere gebruikers vervangen door kleinere.
Het gaat hier over het streamen van youtube content. Dus video en audio. Het certificaat heeft ook *.google.com als CN, dus behalve als ze de plaatjes in Google Image Search of de thumbnails van YouTube videos willen 'comprimeren' (wat geen zin heeft want dat heeft Google echt al zelf wel gedaan tot aan het maximale) heeft dat totaal geen toegevoegde waarde.

Verder is er ook geen vergelijking te trekken met opera mini of noria's xpress, gezien dat client-server toepassingen zijn waarbij er dus software op de client nodig is. In dit geval niet, om dat het 'normale' HTTP(S) is die op z'n best gzip als compressie heeft (maar met HTTPS weer niet gezien dat aanvallen op SSL mogelijk maakt). Een normale browser doet dus geen opera mini / nokia xpress achtige zaken, ook niet met een proxy. Een proxy kan dus wel content manipuleren, maar tekst kan niet 'minder tekst' worden, en de plaatjes waar het certificaat dus voor gemaakt is zijn al maximaal gecomprimeerd. Voor mobiele apparaten heeft het nog zin om de dimensies of DPI lager te maken, maar op laptops zie je dat meteen vanwege het grotere scherm.
Als ze streaming/teveel dataverkeer willen voorkomen kunnen ze ook gewoon een datalimiet instellen.
Of gewoon de verbinding knijpen tot een x aantal KB/s, snel genoeg voor normaal browsen maar te traag voor video's. Of gewoon een alle bekende videosites via een proxy blokkeren. Of inderdaad een limiet per gebruiker instellen. Er zijn zoveel betere manieren om dit te doen.
Vreemd. Aangezien je bij aankoop van een Chromebook 12 keer gratis gebruik mag maken van deze service. Je zou zeggen dat ze dan ook wel eens om de tafel zouden zitten om betere oplossing te verzinnen.

https://www.google.com/chrome/devices/goodies.html#gogo-faq
Er is geen technisch betere oplossing mogelijk, tenzij je MITM'ed en mensen 302'ed naar je eigen pagina wat even evil is.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True