Das längste Thema

  • Nochmal zu den 98%:


    Generell würde ich sagen, dass die Nodes aus erfahrung so stabil laufen, dass ich es ausprobieren würde :)


    Darüber hinaus:

    Hat man eine Anwendung auf zwei Nodes bei 99,6% und wechselt auf drei Nodes mit 98%, so ist dies sogar stabiler, wenn die Nodes nicht gleichzeitig ausfallen. Hat man dann noch einen geringeren Preis, so wäre dies super.

    Für kleine Datenbanken, verteilte Anwendungen, DNS oder Mail also super.

  • Generell würde ich sagen, dass die Nodes aus erfahrung so stabil laufen, dass ich es ausprobieren würde :)

    Ich würde das nur bedingt mit den bisherigen Produkten vergleichen. Sollte es plötzlich 98% Produkte mit einem deutlich niedrigeren Monatspreis geben, muss diese Preisersparnis irgendwo her kommen. Und dabei wird höchstwahrscheinlich hauptsächlich an der Hardware gespart werden. Ein anderer Hersteller oder preiswertere Teile könnten für völlig andere Ausfallsraten sorgen.


    Klar, das muss nicht passieren, aber die Gefahr besteht. Und damit mich niemand missversteht: Ich halte 98% Produkte, wie bereits geschrieben, trotzdem für eine interessante Sache, solange sich bei den anderen VPS nichts ändert.

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • Das ist generell richtig, doch bisher hatte ich meist nur folgende Fälle:


    "aktuell liegt eine Hardwarefehler am Node Ihres vServers vor."

    "Durch diesen Prozess beträgt die Ausfallzeit in der Regel nur 1-5 Minuten."


    Das Stellt bei einer Ersparnis und redundanten Systemen selbst bei verstärkten Auftreten vermutlich kein Problem dar.


    Folglich gilt: Es bleibt gespannt zu warten :) (wenn das Angebot denn kommt)

  • von wo aus wird geprüft, also was ist die QuellIP? bitte mal mit MTRs in beide Richtungen an den Support wenden

    Ich habe tagsüber immer wieder ins Monitoring geschaut. Dort waren relativ viele IPv6 Aussetzer zu sehen, die immer so 5-10 Minuten gingen. Ich habe den Fehler aber nie „live“ gesehen. Wenn das Monitoring grün ist, bringt das mtr ja nichts. In der Historie waren Probleme zu Zielen innerhalb von Netcup und auch nach extern sichtbar. Es hat sich jetzt aber wieder alles beruhigt.

  • das hier habe ich auf die Schnelle gefunden ...

    http://ietf.org/mail-archive/web/tls/current/msg11727.html

    Das ist ja auch schon älter und betrifft nicht TLS 1.3 als Protokoll. Da geht es doch um eine bestimmte Library, die EC implementiert. In kommerziellen Versionen der lib haben sie wohl die Verschlüsselung geschwächt. Nimmst Du eine andere Implementierung hast Du das nicht. Und ich finde jetzt im TLS 1.3 Standard nichts direktes dazu.

  • voja ja das ist älter, die haben damals schon mit TLS1.3 begonnen,

    schau Dir das an: http://ietf.org/mail-archive/web/tls/current/msg11745.html

    von daher ist TLSv1.3 nicht unumstritten ...

    (nachdem was man da in dem Archiv da so liest, würd ich TLSv1.3 nicht unbedingt vertrauen)

    Das ist wieder der selbe Link. Das habe ich gelesen und nochmal recherchiert und bin dann zu meinem vorherigen Post gekommen.

  • mainziman Es gibt einen Unterschied zwischen der Cryptobibliothek und dem TLS Protokoll. Es gab(!) eine Implementierung einer kommerziellen Bibliothek, in der die EC Ciphern geschwächt wurden. Die wurde nur für die US Regierung genutzt. Das war aber alles vor TLS 1.3. Und das hat zu Inkompatibilitäten geführt, weil der Implementierer einen Fehler begangen hat.

  • voja wenn mann dann sowas wie hier sieht

    https://www.ietf.org/mail-arch…tls/current/msg21275.html

    https://www.cyberscoop.com/tls…-financial-industry-ietf/


    (die in den WGs Schnattern was das Zeug hält, und nachdem was da des öfteren

    f. "Staunen wie Mondraketen" retour kam bzw, Unfug¹ Dritter gewünscht wird,

    bin ich hier etwas voreingenommen)


    mir fehlt hier einfach das Vertrauen;:/


    ¹ man wollte hier z.B. allen ernstes einen Mechanismus entwerfen, welcher es ermöglicht

    verschlüsselte Obejkte so per HTTP zum Server zu senden, daß nichtmal der Server selbst

    weiß was es ist ... -> Malwaretransfer?


    auch wollte man gleich die gesamte Systemconfig per HTTP-Request schicken

    wo es ausdrücklich einen Webentwickler nicht empfohlen wird:

    an Hand eines Useragents sein Werk aufzubauen


    von daher würde ich meine Hand nicht ins Feuer legen, wenn es um die "Sauberkeit" von TLS1.3 geht:/

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

  • Erster Satz: "Alle Security-Experten sind sich einig, dass der Standard TLS 1.3 ein deutlicher Schritt zu mehr Sicherheit im Internet wäre." Klingt doch gut finde ich mal ^^^^


    "Doch ausgerechnet Security-Devices, die Verschlüsselung aufbrechen, verhindern die Einführung auf nicht absehbare Zeit." => und warum? Weil sie die Verbindung nun nicht mehr aufbrechen können ^^ Für mich klingt das jetzt nicht nach Backdoor oder so in der Protokoll-Spezifizierung :/

  • Weil sie die Verbindung nun nicht mehr aufbrechen können

    Äh, die Verbindung kannst ja ohnehin nur in der Art aufbrechen, indem Du sie bei Dir terminierst und wieder verschlüsselst,

    und der eigentliche Client Dein Stammzert. benötigt;

    meist sind dies Proxy-Server, die dies tun;

    was ändert daran TLS1.3?

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

  • Äh, die Verbindung kannst ja ohnehin nur in der Art aufbrechen, indem Du sie bei Dir terminierst und wieder verschlüsselst,

    [...]

    was ändert daran TLS1.3?


    Vielleicht weil das bei TLS1.2 anders wars? Du kennst offenbar nicht die Unterschiede zwischen TLS1.2 und TLS1.3. Wieso liest du dich nicht mal ansatzweise in das Thema ein?

    "Security is like an onion - the more you dig in the more you want to cry"

  • joas das ist mir schon klar, und Dein Beispiel mit de.ssl-tools.org kenne ich bereits, und klappt bei IPv6 ebenfalls nicht ...

    und des hardenize.com liefert einen kompletten Quark (mail01.ipv6help.de ist kein SMTP Host - was ist des dann?;));


    ist das jetzt eine Verschwörung gegen IPv6?:D

    Wieso soll hardenize.com Quatsch ausspucken? Der MX-Eintrag von ipv6help.de ist momentan auf mail01.ipv6help.de gesetzt, und somit ist dies für die Außenwelt ein SMTP-Host. ;)

  • Hay,

    Der MX-Eintrag von ipv6help.de ist momentan auf mail01.ipv6help.de gesetzt, und somit ist dies für die Außenwelt ein SMTP-Host.

    und ein Check mit der mxtoolbox ist auch positiv (allerdings 1 Fehler und 6 Warnings), aber dem Kern nach ist das ein Mailserver.


    CU, Peter

    Peter Kleemann // https://www.pkleemann.de // +49 621 1806222-0 // Kann Programme, Internet, Netzwerke und Telefon.

  • vmk was war bei TLS1.2 anders? daß man ohne die Verbindung aufzubrechen den entschlüsselten Inhalt ohne gröberen Aufwand bekommt?


    darum hast Du verstanden wie ich das mit dem Proxy beschrieben habe?

    (das hat mit TLS1.2, 1.3, ... gar nichts zu tun, das geht immer)

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

  • was ändert daran TLS1.3?

    was war bei TLS1.2 anders? daß man ohne die Verbindung aufzubrechen den entschlüsselten Inhalt ohne gröberen Aufwand bekommt?

    Zunächst einmal zwei Dinge: Die Hersteller müssen es implementieren (das dauert teilweise), aber viele Mechanismen funktionieren anders und lassen sich nicht 1:1 übertragen, wie vmk schon angemerkt hat. Wenn TLSv1.3 genau wie TLSv1.2 wäre hätte man es ja nicht gebraucht ;) Security und Crypto ist hochkomplex, kleinste Änderungen können einen Algorithmus schon nutzlos machen, von daher verlinke ich für Details einfach mal auf folgenden Artikel, dort sind etliche Szenarien mit Details beschrieben was sich mit TLSv1.3 ändert: https://tools.ietf.org/html/draft-camwinget-tls-use-cases-00

    Code
     To improve its overall security and privacy, TLS 1.3 introduces
     several changes to TLS 1.2; in doing so, some of the changes present
     a negative impact on network based security.
    
    [...]
    
    There are several techniques that can be utilized.  Those techniques
    function with TLS 1.2 and earlier versions but not with TLS 1.3.

    Es ging in dem Artikel auch darum das es "Stand des Artikels" nicht möglich ist TLSv1.3 zu "100%" auszurollen, weil schlichtweg ein Großteil des Verbindungsaufbaus an solchen Security Boxen gescheitert ist.


    Von daher sehe ich keinen Grund TLSv1.3 schlecht zu reden. Lediglich ein kommerzieller Hersteller hat in einer Closed-Source-Software Bockmist gebaut und (vielleicht absichtlich) gegen den Standard implementiert und dadurch eine theoretische Sicherheitslücke verursacht. Das hat aber nichts mit TLSv1.3 zu tun, man kann jeden Standard verbiegen und ignorieren, daher immer schön auf openSource setzten. Und das es "Security Boxen" jetzt schwerer haben die Verbindung aufzubrechen empfinde ich eher positiv wie negativ :) Von daher spricht im Grunde alles für TLSv1.3 und nichts dagegen.


    Und das es Parteien gibt die einen Standard aufweichen wollen (wie z.B. die Banken, eben um den Zugriff über "Security Boxen" leichter zu machen) ist ja immer so. So wollen auch immer die Autohersteller die Grenzwerte erhöhen, Bayer will Glyphosphat verkaufen, ... so funktioniert halt Demokratie, solange es einen Gegenpol gibt ist alles gut.

  • darum hast Du verstanden wie ich das mit dem Proxy beschrieben habe?

    (das hat mit TLS1.2, 1.3, ... gar nichts zu tun, das geht immer)

    Das stimmt so auch wieder nicht, spätestens mit Certificate Pinning (oder ähnlichen Mechanismen) funktioniert das eben nicht mehr. In vielen mir bekannten Firmen-Netzwerken werden daher teilweise "manipulierte" Clients eingesetzt wo gewisse Sicherheitsfunktionen ausgeschaltet sind, damit solche Security Boxen noch an den Traffic kommen. Und wenn man den Client beliebig manipulieren kann, bringt natürlich kein Standard mehr was wenn er nicht befolgt wird. Aber wenn du einen standardkonformen Client benutzt haben die Hersteller es schwer sich mit ihren Security Boxen in jeden Traffic dazwischen zu klinken.