Dit stond donderdag al op deze website https://www.security.nl/posting/685074/Firefox+gaat+TLS-handshake+via+Encrypted+Client+Hello+beschermen

Ik denk dat we te ver gaan met proberen te verhullen met welke websites we communiceren. Iets dat sowieso onmogelijk is (even los van TOR en publieke VPN's), want zelfs als je DoH gebruikt om het IP-adres en public key (voor ESNI of ECH) op te halen, is er minstens 1 partij die weet dat jij dit doet. Belangrijker, daarna communiceert jouw browser met een IP-adres dat representatief is voor één of meer websites.

Als het om meer dan één website gaat, bestaat de kans dat de hoeveelheid door de site verzonden bytes verraadt om welke site (op dat IP-adres) het gaat. Bovendien kan elk van die websites jouw browser met een uniek patroon van verschillende andere websites (jquery, google-analytics, ...), en in een bepaalde volgorde, aanvullende data laten ophalen, waardoor iemand met toegang tot de verbinding in de buurt van jouw device alsnog precies kan vaststellen welke website jij bezoekt.

Met al deze flauwekul vergroten we de complexiteit (dat leidt altijd tot meer securityproblemen) en dit maakt foutzoeken lastiger. Je bent nooit 100% anoniem op internet, en om misbruik aan te kunnen pakken is dat maar goed ook.

Maar misschien zie ik dit verkeerd en kunnen jullie mij met steekhoudende argumenten overtuigen waarom ESNI en/of ECH toch een goed idee zijn.

Het gaat er vooral om dat er minder gegevens beschikbaar zijn voor iemand die passief je internet verkeer afluistert. Daar helpt het wel tegen. Althans, als de websites die je gebruikt worden gehost op een groot platform, zodat alleen een IP-adres niks zegt over welke website je bezoekt. Alle beetjes helpen. Dat deze code/protocollen ook security implicaties heeft/hebben ga ik niet in mee. Net als bij TLSv1.3 meen ik dat ze hier een formele analyse voor maken om security problemen te voorkomen.

Als je het bekijkt vanuit het standpunt van eigenaars of ouders die bezoek van bepaalde websites willen beperken dan
heeft het wel degelijk implicaties.

Passief afluisteren volstaat om IP-adressen van bezochte websites te zien. Bovendien zie ik nog steeds veel websites die expliciete http:// links naar andere websites in hun pagina's opnemen (alleen als zo'n doel-site HSTS goed implementeert en de surfer die site recentelijk bezocht heeft met de nu gebruikte browser, zal de browser meteen via https communiceren; anders met plain text).

Daarnaast is het naïef om te denken dat kwaadwillende overheden en cybercriminelen niet actief zouden kunnen "afluisteren" of beïnvloeden (bijv. door netwerkverkeer om te leiden), maar om het IP-adres van een website te achterhalen is dat niet eens nodig.

Geldt dat ook voor alle beetjes schijnveiligheid? De meeste websurfers hebben geen idee of een website, die zij willen bezoeken, op shared hosting draait of niet. Bovendien maken alle websites van enig formaat geen gebruik van shared hosting.

En zoals ik schreef, mocht je denken te kunnen verhullen welke shared-hosting-website jij bezoekt: zelfs dan zijn er mogelijkheden om alsnog te identificeren welke websites jij bekijkt (en bij publiek toegankelijke websites zelfs welke pagina's jij opent). Vooral als het om websites met extremistische ideeën gaat, zullen veiligheidsdiensten (van een land dat die ideeën als extremistisch bestempelt) geïnteresseerd zijn wie de bezoekers zijn en hoe vaak zo'n site bezocht wordt.

Mocht ik je nog niet hebben overtuigd: noem eens wat voorbeelden van websites met shared hosting waarvan jij niet zou willen dat overheden, cybercrimenelen of welke derde partij dan ook (anders dan analytics sites e.d.) weten dat jij ze bezoekt.

M.b.t. protocollen: bij SSL v1.0 t/m v3.0 en TLS v1.0 t/m v1.2 is er ook door knappe koppen nagedacht over security, maar ook die bleken later allemaal ronduit lek of op z'n minst voor verbetering vatbaar. Ik heb nieuws voor je: TLS v1.3 gaat niet de laatste versie zijn. Meer zorgen maak ik mij echter over implementatiefouten (daarvan regent het voordurend).

Browsermakers kunnen hun tijd m.i. beter besteden aan systemen en/of GUI's die phishing (domainname spoofing/theft) moelijker maken en/of deze aanvallen beter herkenbaar maken voor gebruikers (in plaats van het schrappen van EV-certificaten, het moelijker maken domeinnamen in z'n geheel te zien, verwarrende/afleidende symbolen toe te voegen aan de URL-balk en überhaupt bij elke nieuwe versie veranderingen in dit gebied aan te brengen).

En als browsermakers serieus wat aan privacy willen doen, zouden gebruikers in staat moeten stellen om te opt-outen van alle analytics sites die meekijken met alles wat jij doet op een website.

Het is altijd vermakelijk om te horen/zien hoe kinderen hun (veelal) digibete ouders overtreffen door allerlei opgelegde digitale beperkingen te omzeilen/hacken. Die hebben dat genoeg kunnen oefenen op de meestal brakke 'schoolwifi'. Met dezelfde 'beperkingen'. Daarnaast regeert nu ook de Leugen met als gevolg dat er een generatie opgroeit die gehakt zal maken van beperkingen en censuur.

Ik vind het niet vermakelijk dat je op lokale (bedrijfs-) netwerken steeds minder goed kunt opmerken (op netwerkniveau) dat een device is gecompromitteerd.

Als endpoint malware-detectie heeft gefaald (niet ongebruikelijk) en is uitgeschakeld, en alle legitieme communicatie wordt versleuteld, zie je geen verschil meer met versleutelde communicatie door malware (waarbij je je niet op het verkeerde been moet laten zetten door niet versleutelde SNI voor bijvoorbeeld "security.nl" die naar het IP-adres van een C&C server wordt gestuurd die niets met security.nl te maken heeft - maar wellicht, om onderzoekers te misleiden, alleen commando's en/of aanvullende malware retourneert als specifieke SNI wordt meegestuurd).

Mozilla heeft ook al partij gekozen binnen de nu dystopische verdeeldheid van de United States of Anarchy:
https://www.rt.com/usa/511996-mozilla-firefox-deplatform-trump-internet/

Ik denk dat dit goed nieuws is voor de Brave browser, met als (aan)stichter de javascript ontwerper met de orthodox christelijke achtergrond, namelijk Brendan Eich, die al eerder door de links groene leiding van Firefox-Mozilla juist daarom is weggestuurd. Epic Browser zal niet veel verschil maken. Misschien komen er Patriot-only browsers?

Laten we eens er eventjes op los speculeren - even uit de losse pols dus.

De volgende maand begint de era van Aquarius. We beginnen het al te merken. Elke zodiak-periode van zo'n 2600 jaar kende de eigen accenten.

Het teken Stier met Kreta, de doortocht door de Rode Zee en de aanbidding van het Gouden Kalf.

Dan de periode van het teken Ram na de uitocht uit Egypte, het volk dat zich verenigde onder de tonen van de sjofar (ramshoorn) en vanwege de afvalligheid van het gouden kalf alleen een ramshoorn geen andere hoorns.

Daarna na de verwoesting van de tempel begint de era van Vissen met het Christendom en de Islam.

Wat komt er nu, een technocratische tijd waarbij het geloofs-chromosoom via ingrijpen van Big Pharma Tech verwijderd zal worden? Robocop en trans-humanistische verwanten. AI on top.

De tijd voor een nieuwe Androgyne Godheid, de Asmodeus Obey Me-Baphometh. Tevens vormt het het eind en de volledige neergang aan het einde van het grote cyclische tijdvak, bekend als de Kali-Yuga.
Vol met mensen die niet ouder zullen worden dan 50 jaar? We zullen zien. Een leeg Europa en een ontvolkte aarde?

Kofiedik-kijkers aller landen verenigt u, wat zal het worden? Is alles gepredestineerd en ligt het vast in de eeuwige kronieken?

Zijn we aan het eind gekomen van deze virtuele simulatie-wereld en moet de Great Reset deze opnieuw gaan herstarten?
Na matrix zoveel een nieuwe matrix als detentie-onderkomen voor ons eeuwige zielen, maar nu met nog minder escapes?
Wie speelt er PAC-mannetje met ons?

Joris Goedbloed

Daarom laat je je bedrijfsfirewall waar mogelijk ssl/tls-inspectie uitvoeren.

Dat kan binnenkort ook niet meer. Sites zullen meteen in de gaten hebben dat er een man-in-the-middle is.
Bovendien werkte dit toch alleen voor door het bedrijf beheerde computers en niet voor eigen devices.