Amazon: Signal moet stoppen met domain fronting

Amazon heeft Signal opgeroepen te stoppen met het toepassen van domain fronting. Doet Signal dat niet, dan dreigt Amazon de chatapp van Open Whisper Systems van CloudFront te gooien, het content delivery netwerk van Amazon Web Services.

Volgens Amazon maakt Signal gebruik van de praktijk van domain fronting door middel van het gebruiken van een domainnaam van Amazon, te weten Souq.com. In een e-mail die Amazon naar Signal heeft gestuurd, schrijft Amazon dat Signal niet het recht heeft dit domein te gebruiken, ook niet om het internetverkeer te maskeren. Volgens Amazon is deze praktijk van Signal in strijd met de voorwaarden van Amazon Web Services.

Het maskeren of verbergen van het internetverkeer is in feite waar domain fronting om draait en wat onder andere door Signal wordt toegepast om censuur en andere blokkades te omzeilen. Internetverkeer lijkt dan een andere bestemming te hebben dan dat het daadwerkelijk heeft. Domain fronting werkt door in het dns-verzoek en in de aanduiding van de tls-server een bekend domein te gebruiken en daar een https-verzoek naartoe te sturen. Zo lijkt een verzoek aan de 'buitenkant' bijvoorbeeld naar Google of Amazon verstuurd te worden.

Open Whisper Systems maakte eerder gebruikt van domain fronting via Google. Nadat Signal werd geblokkeerd in Egypte, Oman en Qatar, reageerde de maker van de chatapp door domain fronting toe te passen via de Google App Engine. Dat betekende dat deze landen ook Google.com moesten blokkeren als ze Signal wilden weren. Hierdoor bleef de chatapp werken in deze landen. Dat veranderde echter toen Google in april bekendmaakte dat het domain fronting aan banden gaat leggen.

Signal besloot daarop in landen met veel censuur uit te wijken naar populaire domeinen die op CloudFront zitten. Ook daar lijkt nu een einde aan te komen: Amazon Web Services maakte onlangs al bekend dat het net als Google een einde wil maken aan domain fronting. Dat betekent dat Signal volgens Open Whisper Systems 'grotendeels onbruikbaar is' in die landen waarin het eerder nog functioneerde via domain fronting. Volgens de maker van de chatapp kwam deze beleidswijziging van Amazon en Google erg abrupt en kost het tijd om alternatieve, nieuwe technieken te ontwikkelen.

Door Joris Jansen

Redacteur

Feedback • 02-05-2018 07:45 77

02-05-2018 • 07:45

77

Lees meer

Five Eyes-landen roepen bedrijven op versleutelde data toegankelijk te maken
Five Eyes-landen roepen bedrijven op versleutelde data toegankelijk te maken Nieuws van 3 september 2018
Open Whisper Systems dicht variant van rce-lek in desktopversie van Signal
Open Whisper Systems dicht variant van rce-lek in desktopversie van Signal Nieuws van 17 mei 2018
Tor Project stapt over naar Azure om domain fronting te blijven aanbieden
Tor Project stapt over naar Azure om domain fronting te blijven aanbieden Nieuws van 4 mei 2018
Amazon Web Services legt domain fronting aan banden
Amazon Web Services legt domain fronting aan banden Nieuws van 1 mei 2018
Nieuwe Signal-stichting krijgt 50 miljoen dollar van WhatsApp-medeoprichter
Nieuwe Signal-stichting krijgt 50 miljoen dollar van WhatsApp-medeoprichter Nieuws van 22 februari 2018
Ontwikkelaar van chatapp Signal werkt aan cryptocurrency gericht op smartphones
Ontwikkelaar van chatapp Signal werkt aan cryptocurrency gericht op smartphones Nieuws van 18 december 2017
Open Whisper Systems vervangt Signal-extensie door zelfstandige desktopclient
Open Whisper Systems vervangt Signal-extensie door zelfstandige desktopclient Nieuws van 1 november 2017
Signal test privacyvriendelijk vinden van contacten met feature van Intel-cpu's
Signal test privacyvriendelijk vinden van contacten met feature van Intel-cpu's Nieuws van 27 september 2017
Signal breidt bèta van chat-app uit met profielen
Signal breidt bèta van chat-app uit met profielen Nieuws van 7 september 2017
Meer producten en artikelen
Smartphones Privacy Amazon Encryptie Signal

Reacties (77)

-Moderatie-faq
77
77
44
7
0
13
Wijzig sortering
t_captain 2 mei 2018 09:45
Domain fronting is niet net meest nette manier om je doel te bereiken, maar het onderliggende probleem (plaintext domain name in DNS request) moet wel worden opgelost. Anders blijft censuur te makkelijk.

Vanuit het ideaal van open communicatie vind ik het jammer dat Google zich niet iets langer heeft laten fronten door Signal.
lenwar
@t_captain2 mei 2018 12:37
Daar is DNSCrypt voor bedacht.
Onder andere de DNS-servers van OpenDNS en Cloudflare ondersteunen dit. Ik ken geen besturingssystemen die het out of the box ondersteunen, maar als Tweakert zou je bijvoorbeeld een pihole met dnscrypt-proxy2 kunnen gebruiken.

OpenWRT/LEDE heeft een package voor dnscrypt(1) (al wordt die niet meer onderhouden aangezien die vervangen is/wordt door dnscrypt-proxy2), mogelijk dat er voor NASsen ook wel dnscrypt-proxy2 packages zijn.

Anders moet je op je apparaten zelf een client installeren, en dat is niet altijd praktisch om dat te doen (in mijn ogen).
djwice @lenwar2 mei 2018 23:16
Volgens https://www.reddit.com/r/...hn435/dnssec_vs_dnscrypt/ is DNScrypt niet bedacht om adressen geheim te houden, en zal dit effectief ook niet doen.
lenwar
@djwice3 mei 2018 07:23
Dnscrypt stuurt je dns-queries over TLS (versie1) of HTTPS(versie2). Dit zorgt er dus voor dat het encrypted is tussen jouw cliënt en de DNS server met wie je praat.
Iedereen daartussen (je ISP enz) kan dus niet meer zien wat je resolved. Je DNS provider uiteraard wel.

Van je DNS provider naar de name servers is het niet meer encrypted. Dit hoeft op zich niet zo'n probleem te zijn want dan ziet men alleen dat een bepaald adres opgevraagd wordt door één van de miljoenen gebruikers (in het geval van OpenDNS en Cloudflare)
djwice @lenwar3 mei 2018 21:30
Als je daarna je request naar de domein met SNI doet, is het domein dat je bezoekt alsnog te lezen door iedereen tussen jou en de server.
MSalters @t_captain2 mei 2018 11:51
Het onderliggende probleem is dat je probeert een IP adres wél geheim te houden voor de verschillende overheden, maar niet voor je eigen gebruikers. Dat kan natuurlijk niet werken. Net zoals DRM kun je hooguit wat tijdelijke work-arounds realiseren.
sjosz @t_captain2 mei 2018 19:31
Ik ben het er mee eens dat het niet de meest nette manier om je doel te bereiken, als je domain front gaat je verkeer namelijk naar domein X, terwijl het lijkt alsof je naar domein Y gaat.

Vwb je comment over de domeinnaam dat die plain-text in een DNS request zit, dat is in vrijwel alle gevallen zo (behalve bij DNS over HTTPS of cryptDNS of vergelijkbare services), en ik begrijp even niet waarom dat hier het issue zou zijn. Om je een voorbeeld te geven, domain fronten zonder een DNS request lokaal uit te voeren is namelijk ook mogelijk (aka domainless fronting).

Het probleem is dat de CDN (Amazon in dit geval) het verkeer naar de juiste instance moet routeren op basis van de hostname in de HTTP host header, dit gedeelte is versleuteld indien TLS wordt gebruikt om het verkeer te encrypten (HTTPS), en om die reden is dat domein ook niet zichtbaar voor iemand die censuur op wil leggen (zonder TLS inspectie). Dit probleem kan ook niet zo snel opgelost worden, want zo zitten de protocollen nu eenmaal in elkaar. Wat wel opgelost kan worden is certificaat afhandeling (en dat heeft Amazon nu ook gedaan).
djwice @t_captain2 mei 2018 23:06
Dus je moet dedecated IP adressen gebruiken en SNI disabelen.
Of SNI uitzetten en via TLS offload op de server verder routeren.

Meer info over SNI:
https://en.m.wikipedia.org/wiki/Server_Name_Indication

Je ziet echter juist dat SNI steeds meer in plaats van minder wordt gebruikt. Een man-in-the-middle kan dan dit wellicht combineren met pakket grotes en die vergelijken met een gescrapte versie van een site inclusief link-referentie structuur van de site, om zo een completer beeld van het gebruik te krijgen.
Jace / TBL
2 mei 2018 08:44
Tijd voor een gedecentraliseerd alternatief. Er zijn al een hoop gedecentraliseerde (P2P) chats, met volledige end to end encryptie en alles, alleen is de gebruikersvriendelijkheid en toegankelijkheid helaas nog altijd dramatisch slecht.

Hopelijk brengt iemand snel een P2P variant van Telegram uit.
Deathspike @Jace / TBL2 mei 2018 08:57
Helaas is dit ook geen oplossing. Een decentraal systeem heeft immers nog steeds een initiele node nodig om mee te verbinden en daar een peer lijst op te halen. Bij torrents is dit bijvoorbeeld ook zo; je kunt gemakkelijk zonder trackers dankzei DHT, maar ieder torrent programma heeft een lijst van bootstrap nodes waarmee verbonden word. Door die bootstrap node te vragen voor een lijst van nodes, is er direct kennis van een partij andere nodes waarmee de kennis van het netwerk uitgebreid kan worden. Het is natuurlijk triviaal om bootstrap nodes te blokkeren...

De enige manier waarmee je kunt voorkomen dat er een initiele node nodig is (en die dus geblokkeerd kan worden), is zonder kennis het hele (bereikbare) internet afscannen. En dat lijkt me ook niet echt praktisch...

[Reactie gewijzigd door Deathspike op 24 juli 2024 16:34]

Jace / TBL
@Deathspike2 mei 2018 09:03
Maar dat bootstrappen hoeft maar eenmalig, en die lijst kun je ook continu blijven aanpassen en uitbreiden. Dus dat is een kat en muisspel dat de overheid nooit zal winnen.

En sowieso helpt het ook niet om bestaande gebruikers te blokkeren, want die hebben al een lijst van nodes en zijn al onderdeel van het P2P netwerk. Terwijl overheden dit soort stappen pas zullen doen als een app eenmaal echt gebruikt wordt, dus dan is het al te laat.

Hooguit kunnen ze het nieuwe gebruikers iets lastiger maken om zich ook bij het netwerk te voegen. Tijdelijk, totdat er weer een hele rits nieuwe bootstrap nodes is toegevoegd. Dat kan trouwens ook via allerlei andere kanalen, IRC servers, mail servers, DNS servers, proxy's, TOR, noem maar op.

Ook domain fronting zou hier goed werken, omdat in tegenstelling tot één bekende partij zoals Signal die duidelijk bepaalde domeinen gebruikt, kunnen het bij een gedecentraliseerde opzet random individuele nodes zijn die het doen.

Dus zelfs als Google en Amazon actief zouden meewerken met overheden om domain fronting tegen te gaan, zouden ze voortdurend achter de feiten aanlopen.

[Reactie gewijzigd door Jace / TBL op 24 juli 2024 16:34]

CH4OS @Jace / TBL2 mei 2018 09:32
Maar dat bootstrappen hoeft maar eenmalig, en die lijst kun je ook continu blijven aanpassen en uitbreiden. Dus dat is een kat en muisspel dat de overheid nooit zal winnen.
Je spreekt hier dus wel jezelf tegen. De bootstrapper moet immers soms ook worden aangepast, als deze bijvoorbeeld verhuisd is vanwege het kat en muis spelletje. Ergens zal de nieuwe info van de nieuwe / verhuisde bootstrapper vandaan moeten komen immers. Maar als de oude geblokkeerd is, hoe kom je dan op de nieuwe? ;) Dat is juist het punt van @Deathspike.
Jace / TBL
@CH4OS2 mei 2018 10:56
1. Je downloadt de app, daarin zit een initiële lijst van nodes waarmee je de eerste keer kunt connecten (het bootstrappen).

2. Zodra je connected bent, ben je onderdeel van het netwerk en maak je continu nieuwe connecties (en die sla je lokaal op) en krijg je updates en nieuwe nodes door via het P2P netwerk. Zelf kun je desgewenst connected zijn via TOR, I2P, VPN en/of proxy's.

3. Als als een overheid op dit punt de lijst van initiële nodes allemaal zou blokkeren, zou dat al geen effect meer hebben, want je hebt zelf al een recentere lijst. En zolang er maar één ergens ter wereld online blijft en nieuwe nodes blijft doorgeven, blijf je connected.

4. Zo vaak als nodig wordt de app geupdate met een bijgewerkte lijst met bootstrap nodes. Elke keer als de overheid die complete lijst zou blokkeren, kunnen nieuwe mensen (niet bestaande gebruikers) tijdelijk even niet bootstrappen. Totdat er weer een nieuwere bootstrap lijst is.

Het bijwerken en uitbreiden van die bootstrap lijst kan veel sneller dan een overheid ze kan blokkeren. En het kan ook via andere kanalen dan enkel een app update met een nieuwe ingebouwde lijst. Je kunt in de app de optie bieden om zelf een custom node of lijst toe te voegen, en die dagelijks publiceren via IRC of TOR of whatever.

Men kan deterministic sharding toepassen door op een request om nodes alleen een bepaald deel van de nodes door te geven, afhankelijk van een hash van diens IP adres. Zo krijgt iedereen een uniek subset. Als dan een overheid gaat proberen te achterhalen welke nodes er allemaal zijn, krijgen zij een andere subset dan een random gebruiker.

Bittorrent wordt ook al 15+ jaar niet geblokkeerd, hoe graag sommige autoriteiten dat ook zouden willen. Sommige individuele trackers en indexers misschien, ja (zoals pirate bay). Maar bittorrent zelf, nee.
CH4OS @Jace / TBL2 mei 2018 13:48
In het voorbeeld van de torrents wil je toch vooral van die specifieke torrent weten waar peers zijn, dan ga je toch niet het hele netwerk bij langs elke keer? :?
darkfader @CH4OS2 mei 2018 17:33
Volgens mij kan dat opgelost worden met (gedistribueerde) hashtabellen. Het zal ongetwijfeld wel ietsjes meer kosten dan een enkele server request.
Deathspike @Jace / TBL2 mei 2018 09:42
Daar heb je natuurlijk wel een punt. Het opslaan van de nodes die je kent, en die later weer proberen te vinden. Alleen heb je dan een probleem wanneer je eigen lijst geen actieve nodes meer heeft, of inderdaad nieuwe gebruikers. Daar zou je eventueel nog kunnen spelen met 'leg je telefoon in de buurt en synchronizeer nodes met een vriend'. Puur een lijst met bootstrap nodes aanleggen is gemakkelijk voer voor blokkades, dus ik verwacht echt dat je dan de sociale deel kant op moet voor nieuwe gebruikers. Het delen van nieuwe bootstrap nodes kan natuurlijk ook in de DHT plaatsvinden via metadata die gesigned is.

[Reactie gewijzigd door Deathspike op 24 juli 2024 16:34]

--Andre-- @Deathspike2 mei 2018 14:04
Vroeger toen gnutella nog een ding was, had je GWebCaches, dit zijn dus zulke node lijsten, waarbij de supernodes zich kunnen aanmelden, en een gewone node die verbinding met het netwerk wil, vraagt aan zo'n GWebCache een aantal supernodes op. Hierbij staan de GWebCaches op webservers, los van het netwerk. Zulks lijkt me ook voor andere P2P toepassingen toe te passen
Neko Koneko 2 mei 2018 07:51
Jammer voor gebruikers van Signal in de betreffende landen maar als er een risico is voor Google en Amazon dat ze compleet geblokkeerd worden kan ik wel begrijpen dat ze geen fan zijn van dit soort praktijken (ook al zou je kunnen zeggen dat het in dit geval voor een nobel doel is, namelijk het omzijlen van censuur).
CH4OS @Neko Koneko2 mei 2018 08:03
Hoewel het in onze ogen nobel is, kunnen sommige dingen in die landen per wet verboden zijn. Zo is haatzaaien hier in NL verboden en vinden wij het 'dus' normaal dat dat verwijderd wordt. En eigenlijk is dat net zo goed censuur, want in andere landen (zoals in de VS) is dat immers weer niet verboden.

Nu kun je zeggen dat zoiets verwijderen juist positief is, maar als iemand zoiets doet, heeft dat echt wel een reden, zoiets doe je immers ook niet zomaar, maar vanuit een bepaalde overtuiging.

Niet dat ik haat zaaien goed wil praten, maar gaat mij even om het voorbeeld!

[Reactie gewijzigd door CH4OS op 24 juli 2024 16:34]

MicGlou @CH4OS2 mei 2018 09:00
Hoewel het in onze ogen nobel is, kunnen sommige dingen in die landen per wet verboden zijn. Zo is haatzaaien hier in NL verboden en vinden wij het 'dus' normaal dat dat verwijderd wordt. En eigenlijk is dat net zo goed censuur, want in andere landen (zoals in de VS) is dat immers weer niet verboden.
Ik lees dat de laatste tijd wel vaker hier in de reacties over 'freedom of speech' in de VS... haatzaaien is ook in de VS verboden in de 'pure' definitie daarvan. Net zoals het in Nederland werkt is het niet wat je zegt maar hoe je het zegt... dat is geen censuur, dat draait vooral om een stukje fatsoen om er voor te zorgen dat dergelijke partijen niet vervallen in het roeptoeteren van leuzen zoals "Dood aan alle ..." etc.
bbob
@MicGlou2 mei 2018 09:27
In de VS kun je toch echt veel meer zeggen dan hier. Vrijheid van meningsuiting is daar een soort absolute vrijheid net als dragen van wapens. Vooruit oproepen tot geweld gaat daar misschien ook te ver.
Het ontkennen van de holocaust, andere groepen als minderwaardig omschrijven het kan er allemaal.
Als je bijv denkt bah wat roept Wilders hier allemaal. In Amerika zou hij voor sommigen nog te soft zijn.
MicGlou @bbob2 mei 2018 10:01
Dat je daar meer mag zeggen op bepaalde vlakken ontken ik ook zeker niet, maar de persoon waarop ik reageer stelt het toch wel weer een heel stukje scherper dan dat en die vrijheid heb je daar zeker ook niet. Het gebruik van 'fighting words' en 'Intentional infliction of emotional distress' waaronder de noemer haatzaaien valt is gewoon verboden... of gecensureerd zoals sommigen het willen noemen.

Maar ze hebben in de VS ook weer stukken censuur waar wij hier vreemd van op kijken, zoals het recht van politieke partijen om hun eigen partijgenoten te censureren 8)7 Of wat dacht je van de vrij pittige censuur die ze daar op radio en televisie hebben?

Er is in ieder geval een wereldwijde 'barometer' die landen inschalen op het niveau van vrijheid van meningsuiting en daarbij scoort Nederland in ieder geval beter dan de VS... want zoals ik al heb genoemd in mijn vorige reactie kan je hier in Nederland ook vrijwel alles zeggen zolang je het maar op de juiste wijze formuleert.
field33P @MicGlou2 mei 2018 12:21
zoals het recht van politieke partijen om hun eigen partijgenoten te censureren
Bedoel je hier het begrip 'censure', wat neerkomt op een Motie van Afkeuring richting je mede-Congreslid? (iets wat bijvoorbeeld Joe McCarthy eind jaren 50 naar zijn hoofd geslingerd kreeg toen iedereen hem zat was?)
MicGlou @field33P2 mei 2018 12:38
Nee, een motie van afkeuring is geheel wat anders... waar ik het over heb is dat een vertegenwoordiger/woordvoerder van een partij bepaalde zaken mag weglaten uit of toevoegen aan een betoog ook al behoren die zaken tot de algehele consensus of het tegengestelde binnen de partij en de leden daarvan. Dit kan om een legio van redenen zijn maar is uiteraard gewoon censuur en bedriegen van je eigen achterban... deze zaken gaan zelfs verder dan dat waarbij de politiek bepaalde branches heeft opgelegd om uitspraken te doen waar ze het niet mee eens zijn met de stelling dat dit "beter is voor iedereen". Die partijen worden daarin dus beperkt hun eigen mening te kunnen ventileren en worden zelfs opgelegd zaken uit te leggen waar ze het niet mee eens zijn... oftewel keiharde censuur en propaganda.

[Reactie gewijzigd door MicGlou op 24 juli 2024 16:34]

The Zep Man
@bbob2 mei 2018 10:00
In de VS kun je toch echt veel meer zeggen dan hier.
En of dat gewenst is in een al gepolariseerde maatschappij is maar de vraag.
Cartoon @CH4OS2 mei 2018 08:38
Tja nu snijd je twee klassieke vraagstukken aan, namelijk cultuurrelativisme vs. -absolutisme en of de wetgeving ook het moreel gelijk heeft.
nehal3m @CH4OS2 mei 2018 11:49
Niet dat we met z'n allen nu heel hard de wet moeten gaan overtreden, maar dat iets bij wet is vastgelegd wil natuurlijk niet zeggen dat het in morele zin ook steekhoudend is.
Jace / TBL
@CH4OS2 mei 2018 08:42
Hoewel het in onze ogen nobel is, kunnen sommige dingen in die landen per wet verboden zijn. Zo is haatzaaien hier in NL verboden en vinden wij het 'dus' normaal dat dat verwijderd wordt. En eigenlijk is dat net zo goed censuur, in andere landen, zoals in de VS is dat immers weer niet verboden.

Nu kun he zeggen dat zoiets verwijderen juist positief is, maar als iemand zoiets doet, heeft dat echt wel een reden, zoiets doe je immers ook niet zomaar, maar vanuit een bepaalde overtuiging.

Niet dat ik haatzaaien goed wil praten, maar gaat mij even om het voorbeeld!
Ik vind het al niet normaal (of liever gezegd fundamenteel fout) dat de overheid, of provider van de betreffende dienst of wie dan ook, überhaupt bij de inhoud van je communicatie kan.

Dus of iets haatzaaien is of niet zouden ze helemaal niet moeten kunnen weten.

Dit soort censuur zou helemaal niet mogelijk moeten zijn. Wat het overigens in geval van Signal ook niet is, vandaar dat die landen niet alleen haatzaaiende chats of anti-overheid chats blokkeren, maar alle Signal communicatie.
CH4OS @Jace / TBL2 mei 2018 08:53
Ik heb haatzaaien dan ook enkel gebruikt als voorbeeld om mijn punt te maken, zoals de laatste regel in mijn reactie ook al aangeeft.

Punt blijft dat hier 'iets' bij wet verboden is en het om die reden verwijderd wordt*, terwijl dat elders niet (per definitie) verboden is. Dus hoe nobel het ook is om geen censuur te willen, eigenlijk kent elk land dus wel (een vorm van) censuur.

Vergeet overigens ook niet, dat de overheid vaak enkel de (wet) instellende / bepalende macht is. Die doet dan dus verder ook niets met de handhaving (politie) en de berechting (justitie).

* Websites verwijderen dan die content, omdat mensen bijvoorbeeld er aanstoot aan nemen, of omdat de website zichzelf beschermd, omdat de website geen rechtszaak aan de broek of ander gezeur wil hebben.

[Reactie gewijzigd door CH4OS op 24 juli 2024 16:34]

Jace / TBL
@CH4OS2 mei 2018 08:57
Ik heb haatzaaien dan ook enkel gebruikt als voorbeeld om mijn punt te maken, zoals de laatste regel in mijn reactie ook al aangeeft.

Punt blijft dat hier 'iets' bij wet verboden is en het om die reden verwijderd wordt*, terwijl dat elders niet verboden is.
Dat snap ik, maar mijn punt is dat dergelijke censuur op bepaalde inhoud helemaal niet mogelijk zou moeten zijn, omdat ze (overheden, inlichtingendiensten, internetproviders, makers van de betreffende chat apps, enzovoort) in de eerste plaats sowieso al geen toegang zouden moeten hebben tot die inhoud.
Dus hoe nobel het ook is om geen censuur te willen, eigenlijk kent elk land dus wel (een vorm van) censuur.
Technologie gaat daar gelukkig een einde aan maken. Het is een kwestie van (hopelijk niet al te veel) tijd voordat er een chat app komt die én volledig gedecentraliseerd werkt, én gebruikersvriendelijk en toegankelijk is. Afzonderlijk bestaan er al genoeg alternatieven, er hoeft er alleen nog eentje te komen die P2P met fatsoenlijke UX combineert, en het probleem is definitief opgelost.
The Zep Man
@Jace / TBL2 mei 2018 09:04
Dat snap ik, maar mijn punt is dat dergelijke censuur op bepaalde inhoud helemaal niet mogelijk zou moeten zijn, omdat ze (overheden, inlichtingendiensten, internetproviders, makers van de betreffende chat apps, enzovoort) in de eerste plaats sowieso al geen toegang zouden moeten hebben tot die inhoud
Hier staan twee zaken die niets met elkaar te maken hebben. Je suggereert dat censuur op bepaalde inhoud niet mogelijk is als een overheid geen toegang heeft tot de inhoud. Dat is niet waar.

Censuur op inhoud kan ook op andere manieren afgedwongen worden zonder tussenkomst van een overheid. Een derde (vierde?) partij kan het doen of mensen kunnen gewoon cultureel te bang zijn om het ergens over te hebben, zelfs over een beveiligd kanaal.

Kijk naar China, en hoe het daar van jongs af aan wordt doorgedrukt dat je de overheid met hetzelfde respect moet behandelen als je ouders. Daar praat je (daar) ook niet slecht over.
Afzonderlijk bestaan er al genoeg alternatieven, er hoeft er alleen nog eentje te komen die P2P met fatsoenlijke UX combineert, en het probleem is definitief opgelost.
Ik zit deels in het wereldje, en een goede chatoplossing maken is lastiger dan je denkt. Zo heb je bijvoorbeeld push notifications, die nodig zijn op een mobiel om energiezuinig berichten te kunnen ontvangen. Dit wordt gedaan via een centrale partij (Android: Google, iOS: Apple).

Het punt is dat een oplossing nooit volledig decentraal zal zijn. Er zijn heel veel redenen om een derde partij (die je niet per se hoeft te vertrouwen) moet gebruiken. Denk bijvoorbeeld aan NAT hole punching.

[Reactie gewijzigd door The Zep Man op 24 juli 2024 16:34]

Jace / TBL
@The Zep Man2 mei 2018 09:09
Ja, als je praat over een onderwerp met een gesprekspartner die zelf graag dat onderwerp wil censureren, houdt het natuurlijk op.

Wat ik bedoel is dat ik wil kunnen communiceren met anderen, en dat de inhoud van die communicatie alleen toegankelijk is voor de betrokken gesprekspartners. Dus dat een buitenstaander (overheid, provider, welke derde partij dan ook) niet voor ons kan bepalen wat wel of geen wenselijke inhoud is.
CH4OS @Jace / TBL2 mei 2018 09:23
Dat snap ik, maar mijn punt is dat dergelijke censuur op bepaalde inhoud helemaal niet mogelijk zou moeten zijn, omdat ze (overheden, inlichtingendiensten, internetproviders, makers van de betreffende chat apps, enzovoort) in de eerste plaats sowieso al geen toegang zouden moeten hebben tot die inhoud.
Dit is dan toch ook buiten de scope van mijn reactie? :) Ik begrijp even niet wat je hiermee wilt zeggen denk ik.
Technologie gaat daar gelukkig een einde aan maken. Het is een kwestie van (hopelijk niet al te veel) tijd voordat er een chat app komt die én volledig gedecentraliseerd werkt, én gebruikersvriendelijk en toegankelijk is. Afzonderlijk bestaan er al genoeg alternatieven, er hoeft er alleen nog eentje te komen die P2P met fatsoenlijke UX combineert, en het probleem is definitief opgelost.
Een technische oplossing maakt niet dat berichten met bepaalde inhoud opeens 'legaal' zijn of zo, de Wet staat er nog altijd boven. Een technische 'oplossing' is er dus niet echt, want ook techniek staat niet boven de Wet. Ik begrijp wel wat je zegt, maar echt een 'oplossing' is het dus niet, want dan moet de Wet aangepast worden, wil je het goed oplossen, zoals in het voorbeeld van haat zaaien.
bbob
@Jace / TBL2 mei 2018 09:25
Je hebt het over landen waar nu niet echt een democratie is zoals wij die hier nog denken te hebben.

Als je in een land woont met een dwingende, dictatoriale overheid kun ej wel denken en roepen die overheid mag mijn data niet inzien, pech voor jou dat je in dat land woont.

Google amazon kiezen eieren voor hun geld als die landen ze helemaal blokkeren. Dan is het kiezen tussen geen geld verdienen in die landen of gewoon meewerken. Als google amazon of anderen zouden zeggen wij nemen het op voor vrijheid van meningsuiting betekend dat keihard da tin die landen andere bedrijven in het gat duiken.

Wat betreft app die gedecentraliseerd werkt. Deep packet en ze zien de app en blokkeren gewoon het verkeer.
Jace / TBL
@bbob2 mei 2018 11:04
Als je in een land woont met een dwingende, dictatoriale overheid kun ej wel denken en roepen die overheid mag mijn data niet inzien, pech voor jou dat je in dat land woont.
Het kan ook op manieren waarmee ze niet eens kunnen zien dat je encrypted data verstuurt. Laat staan dat ze die data kunnen zien. Het is technisch zo te regelen dat het niet uitmaakt of het "mag" of niet, of wat de regels dicteren. Een wet of veto van een dictator (al dan niet onder dreiging van geweld) tegen ondetecteerbare cryptografie maakt ondetecteerbare cryptografie niet detecteerbaar of leesbaar.
Wat betreft app die gedecentraliseerd werkt. Deep packet en ze zien de app en blokkeren gewoon het verkeer.
Alles 100% encrypted natuurlijk, dus ze zien helemaal geen app. En random ports. Zo nodig zelfs bestaande ports van bekende protocollen misbruiken.
--Andre-- @bbob2 mei 2018 13:58
Als de encryptie goed is uitgevoerd, is de data niet van random data te onderscheiden. Succes!
curumir @Jace / TBL2 mei 2018 11:16
De overheid etc. is niet aan het kijken wie wel of niet haat zaait. Degene die zich slachtoffer voelt van haatzaaien dient een klacht in bij de desbetreffende instantie. Die gaat dit verder beoordelen waarna uiteindelijk een rechter beslist of die wel of niet strafbaar was. Daarbij is haatzaaien per definitie iets wat je publiek doet, anders kun je immers geen derde partij aanzetten tot haat of geweld.

Er zijn inderdaad gevallen waar het er erg dik bovenop ligt waar op voorhand besloten is dat ze verwijderd moeten gaan worden. Denk aan ISIS filmpjes, nazi spullen etc. Dat is nieuw en wordt nog volop getuned. Zie ook het bericht waar Facebook laatst mee kwam dat ze van een nepnieuws-merk over zijn gegaan naar een kleinere inzet voor mogelijk nepnieuws.
Dit zijn gevallen waar de wetgeving achterloopt bij de techniek, en dit probeert in te halen. Het is immers niet mogelijk miljoenen rechtszaken aan te spannen.

Blijft een feit dat de meeste bekende gevallen in Nederland via een rechter zijn uitgevochten.

[Reactie gewijzigd door curumir op 24 juli 2024 16:34]

MeMoRy @CH4OS2 mei 2018 11:07
Samenscholing (ofwel met meer dan 2 personen bij elkaar staan) is in Nederland zelfs officieel verboden...

(Zo'n lekker kapstokartikel, waarbij de politie mag bepalen wie wel en niet bij elkaar mag staan)

[Reactie gewijzigd door MeMoRy op 24 juli 2024 16:34]

MSalters @MeMoRy2 mei 2018 11:49
Tip: als je iets van een random website quote dan is het niet officieel. En wat jij aanhaalt is ook geen wet. Kijk voor een officieel overzicht op wetten.overheid.nl.
MeMoRy @MSalters2 mei 2018 12:05
Link aangepast: uit Wetboek van strafrecht Artikel 186
Hij die opzettelijk bij gelegenheid van een volksoploop zich niet onmiddellijk verwijdert na het derde door of vanwege het bevoegd gezag gegeven bevel, wordt, als schuldig aan deelneming aan samenscholing, gestraft met gevangenisstraf van ten hoogste drie maanden of geldboete van de tweede categorie.
Wat een "volksoploop" inhoudt zie ik nergens gespecificeerd. Het staat niet in Van Dale.
Als je even googled, dan zie je dat de politie dit artikel te pas en te onpas toepast om hangjongeren uit elkaar te drijven.

[Reactie gewijzigd door MeMoRy op 24 juli 2024 16:34]

tisvonkje @MeMoRy2 mei 2018 12:43
Je haalt de zaak behoorlijk uit context. Als het meer dan 2 personen bij elkaar staan verboden is dan is zelfs in de rij bij de kassa staan verboden.
Misschien moet je lezen: er staat dat, bij een volksoploop je na een officieel bevel van een bevoegd persoon je niet verwijdert je schuldig kan zijn. Dus:
- er moet een volksoploop zijn
- je moet een bevel gekregen hebben waar je niet aan voldoet

Dus de eerste regel uit je post is gewoon onzin
MeMoRy @tisvonkje2 mei 2018 12:59
De definitie van "volksoploop" is niet te vinden. "menigte" of "groep mensen" heb ik gevonden. Of "samenscholing" waarbij het cirkeltje rond is.

De misdaad die je volgens WvSr 186 begaat is "schuldig aan deelneming aan samenscholing", waarbij "samenscholing" dus impliciet als een strafbaar feit wordt gezien.

Er zijn voldoende voorbeelden van hoe de politie en gemeentes deze wet toepassen als ze er zin in hebben:
- Drie jongens bij elkaar in parkeergarage
- 5 Jongens in een portiek
- "...mogen niet meer dan vier mensen bij elkaar staan"
- Boete voor Arnol Kox (welbekend in Eindhoven)
Die laatste toont mijns inziens toch wel aan dat dit een kapstokartikel is...

Als we toch bezig zijn: neem dan ook die wet op identificatieplicht. Wordt ook te pas en te onpas toegepast.
Bensimpel @MeMoRy2 mei 2018 13:50
https://uitspraken.rechts...n/ljn=BC4156&so=Relevance

Alleen als er een dreigende gevaar is van een groep mensen bij elkaar.
MeMoRy @Bensimpel2 mei 2018 14:44
Mooi van die uitspraak. Ik heb even doorgezocht en er zijn veel meer vrijspraken.

Ik vind het dus heel lullig dat de politie ter plekke besluit om mensen die bij elkaar staan een boete wegens samenscholing op te leggen, waardoor die personen gedwongen worden om hun gelijk bij de rechter te halen.
Een rechtszaak is geen pretje. Kost veel tijd en (daarmee alleen al) geld.

Maar goed, dit is allemaal erg offtopic geworden.
Mellow Jack @MeMoRy2 mei 2018 22:43
Inderdaad erg offtopic maar wel helemaal met je eens. Soms (nou ja vaak) worden wetten zo opgeschreven dat er altijd een groot grijs gebied is. Het lijkt erop alsof ze het erom doen om de wetten zo breed mogelijk te kunnen inzetten. Het resultaat komt op mij over als meer onduidelijkheid en dus meer rechtzaken en dus meer kosten voor de samenleving
tisvonkje @MeMoRy4 mei 2018 00:35
Er lijkt toch iets mis te zijn met je leeskwaliteit. Je kan volgens WvSr 186 pas schuldig zijn Als je na een bevel gekregen te hebben jezelf niet verwijdert

Natuurlijk kan er onenigheid zijn over de noodzaak of rechtvaardigheid over het bevel. Dit is overigens aan te vechten (en dat zal vast vaak gebeuren).
Ik ontken ook niet dat de politie deze wet kan misbruiken, ik probeer alleen uit te leggen het nooit zo kan zijn dat het wettelijk strafbaar zou zijn om met meer dan 2 personen bij elkaar te staan.
MeMoRy @tisvonkje4 mei 2018 15:04
Er lijkt toch iets mis te zijn met je leeskwaliteit.
Hoezo flamebait....

Maar ja, aangezien er toch niet gemodereerd wordt:
Ik heb dat wel degelijk gelezen. Meneer agent bepaalt alleen vaak zelf wanneer hij dat bevel geeft, en dus wanneer het strafbaar is. En dat kan hij al bij meer dan twee personen vinden, zie mijn eerdergenoemde link.

Je kan dus ook niet claimen dat met meer dan twee personen bij elkaar staan niet strafbaar is. Meneer agent kan het ineens strafbaar vinden en een bevel geven.
Overigens is er als ik de casus in de link lees geen duidelijk bevel vooraf gegeven en al direct tot boete overgegaan.

[Reactie gewijzigd door MeMoRy op 24 juli 2024 16:34]

tisvonkje @MeMoRy5 mei 2018 00:51
Nog één poging:

- je staat met twee personen bij elkaar: niet strafbaar
- je staat met twee personen bij elkaar wat iemand een volksoploop noemt: niet strafbaar
- je staat met twee personen bij elkaar wat iemand een volksoploop noemt, en je krijgt een bevel om je te verwijderen niet strafbaar
- je staat met twee personen bij elkaar wat iemand een volksoploop noemt, en nadat je een bevel hebt gekregen om je te verwijderen besluit je dat niet te doen: strafbaar

Als je het nu nog niet snapt geef ik het op.
MeMoRy @tisvonkje5 mei 2018 13:57
Als je het nu nog niet snapt geef ik het op.
Eerst zien, dan geloven

Je illustreert precies wat ik bedoel. Om van 1 naar 4 te gaan is een kleine stap: één enkele agent kan bepalen dat hij /zij samen staan 'volksoploop' vindt, een bevel geven en besluiten dat hij/zijn vind dat je onvoldoende gehoor geeft aan dat bevel. Die ene agent kan dus naar eigen inzicht bepalen wanneer hij iets strafbaar vindt. Zoals je in de links in andere reacties kan zien, is de rechter het gelukkig regelmatig niet eens met zo'n agent.

Ik vind dat agenten dit machtsmiddel niet moeten hebben. Bijvoorbeeld alleen al omdat ze etnisch profileren.
Verwijderd @CH4OS2 mei 2018 16:37
dan ga je achter de gebruikers aan, en niet de hele tool verbieden.... toch...? TOCH!??? :)
YangWenli @Neko Koneko2 mei 2018 11:16
Nobel is leuk maar Amazon is een beursgenoteerd bedrijf en geld verdienen is nóg nobeler.
LankHoar 2 mei 2018 07:52
Waarom willen bedrijven als Google en Amazon dit zo nodig weren? Hoe lijden zij hierdoor?
Ojjorz @LankHoar2 mei 2018 07:55
Omdat de kans aanwezig is dat alle Amazon of Google adressen worden geblokkeerd in de landen die Signal willen blokkeren. Dit kan voor Amazon of Google aanzienlijke schade betekenen.
tom.cx @Ojjorz2 mei 2018 08:44
Wat nu al deels gebeurt in Rusland met Telegram. Grote op blokken van Google en Amazon zijn al geblokkeerd. Het is daarom de vraag of er een goed alternatief komt die niet te blokkeren is.

Het is gewoon paniek bij Google en Amazon. Daarom verbieden ze Domain Fronting. Ook omdat ze zien wat een schade Telegram inmiddels voor ze heeft veroorzaakt in Rusland. Miljoenen ip-adressen zijn geblokkeerd. Het resultaat: Heel soms werkt Telegram niet. Daarnaast kan je zo eenvoudig in het buitenland een eigen proxy server opzetten of VPS met VPN (moet je wel kennis van zaken hebben). Dan is het weer zo te omzeilen. Geblokkeerd ip? Dan hang je er weer een nieuwe aan.

[Reactie gewijzigd door tom.cx op 24 juli 2024 16:34]

jeroen7s @tom.cx2 mei 2018 09:13
ring.cx, tox, retroshare of ricochet zijn opties, deze zijn compleet decentraal, al zijn ze meestal niet zo stabiel/betrouwbaar als centralized services
dakathefox @tom.cx2 mei 2018 10:26
Het is gewoon paniek bij Google en Amazon. Daarom verbieden ze Domain Fronting.
Het is natuurlijk ook gewoon niet fraai. Ik ga me ook niet voordoen als tom.cx
tom.cx @dakathefox2 mei 2018 11:16
Ik heb er een dubbel gevoel over. Want als het nodig is vind ik het prima. Zeker als op deze manier censuur kan worden tegen gegaan.
Pimmetje16 @LankHoar2 mei 2018 07:58
Àls google of amazon niet meer bereikbaar zijn in betreffende landen kunnen klanten naar de concurrent gaan.

Google en Amazon lopen dit risico omdat deze landen bepaalde dienste boven alles willen blokkeren.
shoombak @LankHoar2 mei 2018 08:07
Hackers kunnen ook verkeer op deze manier maskeren waardoor veel proxy's dit verkeer naar bijvoorbeeld c&c servers doorlaten
Verwijderd 2 mei 2018 09:35
Hoe je het ook went of keert, domain fronting betekent in de praktijk vaak dat je een server van een ongerelateerde partij misbruikt als proxy. In plaats daarvan kun je natuurlijk ook gewoon een server huren bij Amazon/Google en je eigen proxy erop draaien. Dan heeft Amazon/Google een contractuele verplichting het zaakje overeind te houden.

Signal is dan nog wel klein, maar Telegram met zo'n 200 miljoen gebruikers zou met domain fronting ongevraagd behoorlijk veel banbreedte gaan opslokken. Daarnaast zijn er dus landen zoals Rusland die alle collateral damage maar voor lief nemen en gerust een grote partij als Amazon/Google in het geheel blokkeren.
leuk_he @Verwijderd2 mei 2018 10:03
Eh... dat valt wel mee. Je huurt immers gewoon een server bij amazon/google voor geld. En de front-end loadbalancers van google/amazon regelen dat het op jouw app-server terecht komt.

De bandbreedte waar je over praat wordt dus gewoon betaald.

Signal is in gebruikershoeveleheden klein, maar principes zijn voor sommigen staten belangrijker dan hoeveelhelen gebruikers.
Rob @leuk_he2 mei 2018 10:32
Als het verkeer van cloudfront naar een service (EC2, ELB, S3 etc) gaat in het AWS netwerk, dan is het verkeer gratis, zie https://aws.amazon.com/cloudfront/pricing/ : ´If you are using an AWS origin, effective December 1, 2014, data transferred from origin to edge locations (Amazon CloudFront "origin fetches") will be free of charge.'

In het geval van Domain Fronting betekent het dat alleen de eigenaar van het desbetreffende cloudfront betaalt voor het verkeer. Het verkeer van cloudfront naar de AWS origins is immers gratis.
Signal maakt dus zeker misbruik van andermans dataverkeer en portemonnee.

[Reactie gewijzigd door Rob op 24 juli 2024 16:34]

CAPSLOCK2000
@Verwijderd2 mei 2018 09:53
Hoe je het ook went of keert, domain fronting betekent in de praktijk vaak dat je een server van een ongerelateerde partij misbruikt als proxy. In plaats daarvan kun je natuurlijk ook gewoon een server huren bij Amazon/Google en je eigen proxy erop draaien. Dan heeft Amazon/Google een contractuele verplichting het zaakje overeind te houden.
Volgens mij betalen ze gewoon en werkt Domain Fronting alleen als je klant bent van zo'n bedrijf. Je moet een legitieme reden hebben om op die webservers te zijn. Het hele Domain Fronting idee is gebaseerd op het feit dat verschillende klanten van Amazon gehost worden op dezelfde servers.
Ze betaken weliswaar niet specifiek voor proxy-diensten, maar ze betalen net zo veel als de andere klanten.
bkor @Verwijderd2 mei 2018 09:56
Signal is dan nog wel klein, maar Telegram met zo'n 200 miljoen gebruikers zou met domain fronting ongevraagd behoorlijk veel banbreedte gaan opslokken.
Domain fronting is niets anders dan liegen over de website ten tijde van het verbinden (Host: header anders dan later zodra alles ge-encrypt is). Later vertel je wel welke website je mee aan het verbinden bent. Google/Amazon is weet dus exact voor wie het verkeer is. Met domain fronting wordt dus niks misbruikt / stiekem een proxy gebruikt / stiekem bandbreedte gebruikt / ongevraagd / etc. Na de gratis hoeveelheid verkeer zal je gewoon ervoor moeten betalen om dit mogelijk te maken.
Verwijderd 2 mei 2018 08:07
tijd om een domain fronting domein neer te zetten op IJsland. Probleem opgelost.
Nicked @Verwijderd2 mei 2018 08:13
Dat domein is dan in no time geblokkeerd in de landen die signal willen blokkeren. Het idee is juist een heel bekend en veelgebruikt domein voor domain fronting, zodat blokkeren grote gevolgen heeft en een land daar dus vanaf ziet. Het probleem nu is dat een land ook daar niet vanaf ziet en dus diensten als Google en Amazon ook blokkeert (en die diensten zijn daar allerminst blij mee).
Verwijderd @Nicked2 mei 2018 08:19
blijkbaar zwichten zelfs Google en Amazon voor de 'rogue governments' uit angst voor blokkade dus uiteindelijk lijkt het niet uit te maken of het nou een grote dienst is of een klein prutsdomeintje.
Jace / TBL
@Verwijderd2 mei 2018 08:39
Google en Amazon zwichtten helaas zelf, zij worden niet geblokkeerd door rogue governments (al zijn ze daar helaas wel bang voor).

In het geval van een eigen prutsdomeintje in IJsland maakt het niet uit of je zwicht of niet, dat wordt gewoon direct geblokkeerd.

[Reactie gewijzigd door Jace / TBL op 24 juli 2024 16:34]

Osxy @Verwijderd2 mei 2018 08:11
Het idee van domein fronting is juist dat je domeinen gebruikt die breed worden gebruikt onder de bevolking waardoor deze niet te blokkeren is zonder hierbij grote collateraal schade te hebben.

Een nieuwe domein registreren kan iedereen en overal, maar dat is een kat een muis spel met de overheden dan.
DigitalExorcist @Verwijderd2 mei 2018 08:20
Ik dénk zomaar dat het in Egypte, Oman en Qatar geen enkel probleem zal zijn om compleet IJsland te blokkeren.
MrHankey @DigitalExorcist2 mei 2018 08:37
De behoefte aan ijs is daar juist heel groot
DigitalExorcist @MrHankey2 mei 2018 09:03
Dan kun je beter Groenland nemen. Meer ijs. En da's onderdeel van Denemarken, en om nou geheel Denemarken te blokkeren is wel weer iets lastiger.

[Reactie gewijzigd door DigitalExorcist op 24 juli 2024 16:34]

CH4OS @Verwijderd2 mei 2018 08:46
En waarom specifiek IJsland? Vergeet ook niet dat een dergelijk domein dan simpel geblokkeerd is en het dus feitelijk geen zin heeft. Zo wordt het een kat en muis spelletje.
Verwijderd @CH4OS2 mei 2018 16:40
omdat IJsland qua internetvrijheid, privacy etc. volgens mij een van de betere landen is om je spul neer te zetten. Uiteraard moet je je aan de wetten van het land houden, dus geen crimineel gedrag vertonen maar het is een thuishaven voor mensen die internetvrijheid en privacy zoeken.

Daarnaast natuurlijk groen en duurzaam mbt stroomvoorziening voor datacenters.
CAPSLOCK2000
2 mei 2018 10:02
Jammer maar begrijpelijk. Andere klanten kunnen last hebben van deze techniek. Ik draag Signal een warm hart toe, maar niet over de rug van anderen, hoe nobel het doel ook is.
Als techneut hoop ik dat het een positief gevolg heeft en iemand een mooie nieuwe oplossing bedenkt. Misschien iets distribueerd of p2p.
novasurp @CAPSLOCK20002 mei 2018 11:37
OpenWhisper Systems heeft een hekel aan gedecentraliseerde systemen. Ze hebben de blokkades dan ook over zichzelf afgeroepen vind ik.
CAPSLOCK2000
@novasurp2 mei 2018 15:38
Ben ik met je eens. Dit probleem hadden ze lang van te voren aan kunnen zien komen. Dat ze domain fronting hebben gebruikt als tussenoplossing kan ik nog begrijpen, maar ze hadden direct aan een andere oplossing moeten gaan werken.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq