Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

Antivirus und spybot

12 views
Skip to first unread message

Dieter Britz

unread,
May 6, 2013, 5:00:37 AM5/6/13
to
Ich habe Brassel mit gmail, und google sagt, ich soll
nach Vira und spybots suchen. Ich arbeite mit Suse
12.3. Gibt es überhaupt sowas für Linux?

Der Grund ist, dass jemand angeblich mein password
benutzt hat um sich (aus der Türkei) in mein gmail
einzuloggen (zu versuchen - google haben das verhindert).
Mein (voriges) passwort kann keiner raten, was wohl
ein spybot nahelegt.


--
Dieter Britz

Marcel Müller

unread,
May 6, 2013, 5:37:40 AM5/6/13
to
On 06.05.13 11.00, Dieter Britz wrote:
> Ich habe Brassel mit gmail, und google sagt, ich soll
> nach Vira und spybots suchen. Ich arbeite mit Suse
> 12.3. Gibt es �berhaupt sowas f�r Linux?

Klar, aber ...

> Der Grund ist, dass jemand angeblich mein password
> benutzt hat um sich (aus der T�rkei) in mein gmail
> einzuloggen (zu versuchen - google haben das verhindert).

vorausgesetzt diese angebliche Message kam von Google und nicht etwa von
jemanden, der nur will, dass Du auf die darin enthaltenen Links klickst! ;-)
Also l�sche den Spam und gut.


Marcel

Dieter Britz

unread,
May 6, 2013, 7:31:27 AM5/6/13
to
On Mon, 06 May 2013 11:37:40 +0200, Marcel Müller wrote:

> On 06.05.13 11.00, Dieter Britz wrote:
>> Ich habe Brassel mit gmail, und google sagt, ich soll nach Vira und
>> spybots suchen. Ich arbeite mit Suse 12.3. Gibt es überhaupt sowas für
>> Linux?
>
> Klar,

Und was ist da zu empfehlen?

aber ...
>
>> Der Grund ist, dass jemand angeblich mein password benutzt hat um sich
>> (aus der Türkei) in mein gmail einzuloggen (zu versuchen - google haben
>> das verhindert).
>
> vorausgesetzt diese angebliche Message kam von Google und nicht etwa von
> jemanden, der nur will, dass Du auf die darin enthaltenen Links klickst!
> ;-)
> Also lösche den Spam und gut.

Das kam wirklich von google, was ich später bekräftigt
bekam von denen. Ich verstehe nur nicht, wie jemand mein
password raten (oder ermitteln) konnte.

--
Dieter Britz

Ralph Aichinger

unread,
May 6, 2013, 7:51:33 AM5/6/13
to
Dieter Britz <dieterh...@gmail.com> wrote:
> Das kam wirklich von google, was ich später bekräftigt
> bekam von denen.

Wie hast du das bekräftigt bekommen?

Kannst du Ausschnitte aus dieser Mail posten?

> Ich verstehe nur nicht, wie jemand mein
> password raten (oder ermitteln) konnte.

Durch Täuschung?
Durch zwischengeschaltete Seiten (MITM)
Durch unverschlüsseltes WLAN
Durch verschlüsseltes WLAN in der Kontrolle des
Angreifers
Durch Einloggen auf einem Rechner in der Kontrolle des A.
Durch einen Hardwarekeylogger
Durch irgendwie abgegriffene Cookies (auf einem der obigen
Wege)
Durch ein Sicherheitproblem bei Google.

Oder sie haben das noch gar nicht, und die Mails sind gar
nicht von Google.

/ralph

Dieter Britz

unread,
May 6, 2013, 9:59:14 AM5/6/13
to
Das weiss ich (fast) alles, aber das soll doch mit Linux schwierig sein.
Na ja:

no-r...@accounts.google.com

4 May (2 days ago)

to me
Images are not displayed. Display images below - Always display images
from no-r...@accounts.google.com
Google Accounts Dieter Britz
Hi Dieter,

Someone recently used your password to try to sign in to your Google
Account - dieterh...@gmail.com.

We prevented the sign-in attempt in case this was a hijacker trying to
access your account. Please review the details of the sign-in attempt:

Saturday, 4 May 2013 18:01:48 o'clock UTC
IP Address: 85.105.231.107
Location: Antalya/Antalya Province, Turkey


If you do not recognise this sign-in attempt, someone else might be
trying to access your account. You should sign in to your account and
reset your password immediately.

Reset password

Yours sincerely,
The Google Accounts team
This email can't receive replies. For more information, visit the
Google Accounts Help Centre.


Das sieht sehr googlisch aus, und ich glaubte es ihnen. Ich bekam
auch ein sms mit der selben Nachricht.


--
Dieter Britz

Christoph Schmees

unread,
May 6, 2013, 10:14:35 AM5/6/13
to
On 06.05.2013 15:59, Dieter Britz wrote:
> On Mon, 06 May 2013 11:51:33 +0000, Ralph Aichinger wrote:
>
>> Dieter Britz <dieterh...@gmail.com> wrote:
>>> Das kam wirklich von google, was ich später bekräftigt bekam von denen.
>>
>> Wie hast du das bekräftigt bekommen?
>>
>> Kannst du Ausschnitte aus dieser Mail posten?
>>
>>> Ich verstehe nur nicht, wie jemand mein password raten (oder ermitteln)
>>> konnte.
>>
>> Durch Täuschung?
>> Durch zwischengeschaltete Seiten (MITM)
>> Durch unverschlüsseltes WLAN Durch verschlüsseltes WLAN in der Kontrolle
>> des
>> Angreifers
>> Durch Einloggen auf einem Rechner in der Kontrolle des A. Durch einen
>> Hardwarekeylogger Durch irgendwie abgegriffene Cookies (auf einem der
>> obigen
>> Wege)
>> Durch ein Sicherheitproblem bei Google.
>>
>> Oder sie haben das noch gar nicht, und die Mails sind gar nicht von
>> Google.
>>
>> /ralph
>
> Das weiss ich (fast) alles, aber das soll doch mit Linux schwierig sein.
> ...

das hat mit deinem lokalen Computer nichts zu tun, sondern beruht
auf Sicherheitslücken von gurgelmail:
<http://www.mister-wong.de/user/cjws/googelmail/>. Und das ist
nur meine subjektive Sammlung von Meldungen.

Ich persönlich würde, meiner Privatsphäre zuliebe, *niemals* ein
Konto bei gurgel anlegen. Und ich vermeide es nach Möglichkeit,
mit gurgelmail Konten zu korrespondieren. Durch solche
Korrespondenz gerate ich nämlich auch in die Überwachungs-Mühlen.
Wenn es wirklich unvermeidlich ist, dann schreibe ich nur die
allerwichtigsten Fakten. Im übrigen weise ich meine
Korrespondenzpartner auf meinen Vorbehalt hin. Der gilt übrigens
nicht nur für gurgel, sondern (wenn auch etwas abgeschwächt) für
*alle USA Anbieter* wie Microsoft, Apple, yahoo.

Christoph

--
email:
nurfuerspam -> gmx
de -> net

Joerg Lorenz

unread,
May 6, 2013, 12:09:19 PM5/6/13
to
Am 06.05.13 16:14, schrieb Christoph Schmees:
> On 06.05.2013 15:59, Dieter Britz wrote:
> Ich persᅵnlich wᅵrde, meiner Privatsphᅵre zuliebe, *niemals* ein
> Konto bei gurgel anlegen. Und ich vermeide es nach Mᅵglichkeit,
> mit gurgelmail Konten zu korrespondieren. Durch solche
> Korrespondenz gerate ich nᅵmlich auch in die ᅵberwachungs-Mᅵhlen.
> Wenn es wirklich unvermeidlich ist, dann schreibe ich nur die
> allerwichtigsten Fakten. Im ᅵbrigen weise ich meine
> Korrespondenzpartner auf meinen Vorbehalt hin. Der gilt ᅵbrigens
> nicht nur fᅵr gurgel, sondern (wenn auch etwas abgeschwᅵcht) fᅵr
> *alle USA Anbieter* wie Microsoft, Apple, yahoo.

Ich hoffe, Du hast kein iOS- oder Android-Smartphone. Sonst ist das
alles verlorene Liebesmᅵhe. Gilt auch fᅵr Blackberry und
Windows-Smartphones. Paranoide attestieren denen allen Backdoors.

Vielleicht hat ja deshalb das Firefox-OS Erfolg. Zu wᅵnschen wᅵre es.

>
> Christoph

Jᅵrg


--
http://www.albasani.net/index.html.de
Ein freier und kostenloser Server fuer Usenet/NetNews (NNTP)

Holger Marzen

unread,
May 6, 2013, 1:32:28 PM5/6/13
to
* On Mon, 06 May 2013 18:09:19 +0200, Joerg Lorenz wrote:

> Am 06.05.13 16:14, schrieb Christoph Schmees:
>> On 06.05.2013 15:59, Dieter Britz wrote:
>> Ich persönlich würde, meiner Privatsphäre zuliebe, *niemals* ein
>> Konto bei gurgel anlegen. Und ich vermeide es nach Möglichkeit,
>> mit gurgelmail Konten zu korrespondieren. Durch solche
>> Korrespondenz gerate ich nämlich auch in die Überwachungs-Mühlen.
>> Wenn es wirklich unvermeidlich ist, dann schreibe ich nur die
>> allerwichtigsten Fakten. Im übrigen weise ich meine
>> Korrespondenzpartner auf meinen Vorbehalt hin. Der gilt übrigens
>> nicht nur für gurgel, sondern (wenn auch etwas abgeschwächt) für
>> *alle USA Anbieter* wie Microsoft, Apple, yahoo.
>
> Ich hoffe, Du hast kein iOS- oder Android-Smartphone. Sonst ist das
> alles verlorene Liebesmühe. Gilt auch für Blackberry und
> Windows-Smartphones. Paranoide attestieren denen allen Backdoors.
>
> Vielleicht hat ja deshalb das Firefox-OS Erfolg. Zu wünschen wäre es.

Nuja, ein Google-Konto muss man ja nicht zum Mailen benutzen. Doof ist
natürlich, dass man es nicht anonym aufladen kann, um Apps zu kaufen.

Unsere Androiden nutzen den heimischen Mail- (imaps, smtp+tls+sasl) und
Kalenderserver (Owncloud). Kostenlose "echte" Zertifikate gibt es bei
startssl.

Man weiß natürlich nicht, was Apps mit diesen Daten so treiben. Leider
hat sich bei Android eine Closed-Source-Unkultur wie bei Windows
entwickelt.

Uwe Premer

unread,
May 7, 2013, 2:35:12 AM5/7/13
to
Am 06.05.13 19:32, schrieb Holger Marzen:
>* On Mon, 06 May 2013 18:09:19 +0200, Joerg Lorenz wrote:
>
>> Am 06.05.13 16:14, schrieb Christoph Schmees:
>>> On 06.05.2013 15:59, Dieter Britz wrote:
>>> Ich persönlich würde, meiner Privatsphäre zuliebe, *niemals* ein
>>> Konto bei gurgel anlegen. Und ich vermeide es nach Möglichkeit,
>>> mit gurgelmail Konten zu korrespondieren. Durch solche
>>> Korrespondenz gerate ich nämlich auch in die Überwachungs-Mühlen.
>>> Wenn es wirklich unvermeidlich ist, dann schreibe ich nur die
>>> allerwichtigsten Fakten. Im übrigen weise ich meine
>>> Korrespondenzpartner auf meinen Vorbehalt hin. Der gilt übrigens
>>> nicht nur für gurgel, sondern (wenn auch etwas abgeschwächt) für
>>> *alle USA Anbieter* wie Microsoft, Apple, yahoo.
>>
>> Ich hoffe, Du hast kein iOS- oder Android-Smartphone. Sonst ist das
>> alles verlorene Liebesmühe. Gilt auch für Blackberry und
>> Windows-Smartphones. Paranoide attestieren denen allen Backdoors.
>>
>> Vielleicht hat ja deshalb das Firefox-OS Erfolg. Zu wünschen wäre es.
>
>Nuja, ein Google-Konto muss man ja nicht zum Mailen benutzen. Doof ist
>natürlich, dass man es nicht anonym aufladen kann, um Apps zu kaufen.

Man denkt wohl grad an eine PayPal-Zahlmöglichkeit nach.
Für T-Mobile-Kunden gibt es die Möglichkeit, via Mobilfunkrechnung Apps zu
kaufen.
Hab ich bisher einmal problemlos verwendet.

Uwe

Christoph Schmees

unread,
May 7, 2013, 5:14:19 AM5/7/13
to
On 06.05.2013 18:09, Joerg Lorenz wrote:
> Am 06.05.13 16:14, schrieb Christoph Schmees:
>> On 06.05.2013 15:59, Dieter Britz wrote:
>> Ich persönlich würde, meiner Privatsphäre zuliebe, *niemals* ein
>> Konto bei gurgel anlegen. Und ich vermeide es nach Möglichkeit,
>> mit gurgelmail Konten zu korrespondieren. Durch solche
>> Korrespondenz gerate ich nämlich auch in die Überwachungs-Mühlen.
>> Wenn es wirklich unvermeidlich ist, dann schreibe ich nur die
>> allerwichtigsten Fakten. Im übrigen weise ich meine
>> Korrespondenzpartner auf meinen Vorbehalt hin. Der gilt übrigens
>> nicht nur für gurgel, sondern (wenn auch etwas abgeschwächt) für
>> *alle USA Anbieter* wie Microsoft, Apple, yahoo.
>
> Ich hoffe, Du hast kein iOS- oder Android-Smartphone. Sonst ist das
> alles verlorene Liebesmühe. Gilt auch für Blackberry und
> Windows-Smartphones.Paranoide attestieren denen allen
> Backdoors.

klaro. Noch benutze ich ein älteres Modell mit Windows Mobile 6.5
- das letzte, das noch lokale Synchronisation erlaubt. Falls ich
heute aktualisieren müsste, wäre Symbian meine erste Wahl. Das
ist gegenwärtig das einzige ernst zu nehmende System mit der
Möglichkeit, lokal zu synchronisieren.

>
> Vielleicht hat ja deshalb das Firefox-OS Erfolg. Zu wünschen wäre es.
>

+1
außerdem Meego oder wie immer das Ding aktuell gerade heißt ;-)

Dieter Britz

unread,
May 7, 2013, 7:41:59 AM5/7/13
to
On Mon, 06 May 2013 11:51:33 +0000, Ralph Aichinger wrote:

OK, aber das beantwortet nicht die Frage, ob es Programme für
Linux gibt, die spybots finden. Viren habe ich ja wohl nicht,
aber einen spybot?

Es kann aber auch sein, dass soetwas in einem laptop sitzt,
den ich ein einziges Mal bei Freunden benutzt habe wie ich
in Deutschland war, und meine emails lesen wollte. Der
arbeitet under Windows. Ich warne die mal.


--
Dieter Britz
Message has been deleted

Christoph Schmees

unread,
May 7, 2013, 9:46:19 AM5/7/13
to
On 07.05.2013 15:00, Heiko Schlenker wrote:
> * Dieter Britz <dieterh...@gmail.com> schrieb:
>> OK, aber das beantwortet nicht die Frage, ob es Programme für
>> Linux gibt, die spybots finden.
>
> Stichwort: Intrusion Detection System
>

oder auch /trip wire/ (Stolperdraht). Es gibt eine ganze Reihe
Möglichkeiten, ein Linux System zu schützen. Angefangen von
AppArmor, restriktiver Rechtevergabe bis hin zu "Fallen" für
ungebetene Gäste. Da muss man ziemlich viel Kenntnis der
Innereien eines Linux haben.

Andererseits, die Kompromittierung eines Linux Desktop-Systems,
das hinter einem NAT oder sogar einer ausgewachsenen SPI Firewall
steht, ist extrem unwahrscheinlich. Die o.g. Schutzmaßnahmen sind
für Server gedacht, die im Internet sichtbar sein sollen und dort
Angriffen ausgesetzt sind.

Helmut Hullen

unread,
May 7, 2013, 10:24:00 AM5/7/13
to
Hallo, Dieter,

Du meintest am 07.05.13:

[...]

> OK, aber das beantwortet nicht die Frage, ob es Programme f�r
> Linux gibt, die spybots finden. Viren habe ich ja wohl nicht,
> aber einen spybot?

Gibt es. Aber unter Linux sind eher Scan-Programme �blich, die den
aktuellen Zustand mit einem �lteren vergleichen, der als "ok" angenommen
wird.

Wenn ich "rkhunter" richtig verstanden habe: das Programm pr�ft a) gegen
einen �lteren Zustand und b) auf typisches Verhalten bestimmter
Sch�dlinge (z.B. Einnisten in einem bestimmten Verzeichnis).

"clamscan" kann auch einige rootkit-Programme erkennen. Einige andere
Scanner auch.

Viele Gruesse
Helmut

"Ubuntu" - an African word, meaning "Slackware is too hard for me".

Message has been deleted

Christoph Schmees

unread,
May 7, 2013, 12:35:20 PM5/7/13
to
On 07.05.2013 16:48, Heiko Schlenker wrote:
> * Christoph Schmees <cj...@nurfuerspam.de> schrieb:
>> On 07.05.2013 15:00, Heiko Schlenker wrote:
>>> * Dieter Britz <dieterh...@gmail.com> schrieb:
>>>> OK, aber das beantwortet nicht die Frage, ob es Programme für
>>>> Linux gibt, die spybots finden.
>>>
>>> Stichwort: Intrusion Detection System
>>>
>>
>> oder auch /trip wire/ (Stolperdraht).
>
> Tripwire gehört zu den bekanntesten Intrusion Detection Systems. ;)
> ...

sagen wir mal so: Es gibt ein (bekanntes) opensource Produkt
namens tripwire.
Aber im Grundsatz ist tripwire ein generischer Begriff aus der
englischen Sprache mit der Bedeutung "Stolperdraht", siehe
<https://en.wikipedia.org/wiki/Tripwire> oder
<http://dict.leo.org/ende/?lang=de&search=tripwire>.
Außerdem gibt es eine Firma mit dem Namen:
<http://www.tripwire.com/>. Weiterhin gibt es noch eine ganze
Reihe von möglichen Bedeutungen:
<https://en.wikipedia.org/wiki/Tripwire_%28disambiguation%29>.
Alle Klarheiten beseitigt?

Manuel Reimer

unread,
May 7, 2013, 4:54:57 PM5/7/13
to
Heiko Schlenker wrote:
> NAT setzt IP-Adressen um. Indem eine öffentliche Adresse auf private
> Adressen umgesetzt wird, sind plötzlich Systeme über das WAN
> ("Internet") erreichbar, die ansonsten nur im LAN angesprochen werden
> könnten. NAT stellt gewissermaßen eine Brücke über einen Burggraben
> dar.

Zusätzlich zum NAT braucht es natürlich noch einen echten Paketfilter mit klaren
Regeln was rein und raus darf.

Dennoch kann NAT durchaus auch bedingt als Sicherheitsfunktion gesehen werden,
denn es verschleiert im gewissen Maß die interne Netzstruktur. Nach außen ist
das ganze LAN mit einer einzigen IP vertreten.

Zumindest mir gefällt der Gedanke nämlich nicht besonders bei IPv6 dann für
jedes System öffentliche Adressen zu haben.

Gruß

Manuel
Message has been deleted
Message has been deleted
Message has been deleted

Joerg Lorenz

unread,
May 8, 2013, 12:35:46 AM5/8/13
to
Am 07.05.13 11:14, schrieb Christoph Schmees:
> On 06.05.2013 18:09, Joerg Lorenz wrote:
>> Vielleicht hat ja deshalb das Firefox-OS Erfolg. Zu wᅵnschen wᅵre es.
>>
>
> +1
> auᅵerdem Meego oder wie immer das Ding aktuell gerade heiᅵt ;-)

Ist, so viel ich weiss, mangels Fᅵrderung durch Firmen bereits
verstorben. Hat mal geheissen, BMW unterstᅵtze Meego.

>
> Christoph

Gruss, Jᅵrg

Juergen Ilse

unread,
May 8, 2013, 1:21:59 AM5/8/13
to
Hallo,

Manuel Reimer <Manuel.N...@nurfuerspam.de> wrote:
> Dennoch kann NAT durchaus auch bedingt als Sicherheitsfunktion gesehen werden,
> denn es verschleiert im gewissen Maᅵ die interne Netzstruktur.

Die Netzstruktur bei "Privatkunden mit NAT-Router" ist eigentlich fast
immer gleich: intern ein /24 Netz aus dem Bereich 192.168.0.0/16, dass
nach aussen hin hinter der externen IP des NAT-Routers genatted wird
und das nicht weiter subnettiert ist ...

> Nach auᅵen ist das ganze LAN mit einer einzigen IP vertreten.
> Zumindest mir gefᅵllt der Gedanke nᅵmlich nicht besonders bei IPv6 dann fᅵr
> jedes System ᅵffentliche Adressen zu haben.

Warum nicht? Bei Nutzung der "privacy extensions" erreichst du bei
ebenfalls nur einem Subnetz die gleiche Sicherheit wie bei NAT
(Traffic ist nur bis an die Grenze des Netzes eindeutig rueckver-
folgbar, aber nicht bis zum einzelnen Host), nur erreicht man das
dort mit anderen Mitteln (temporaere IP-Adressen statt NAT).

Tschuess,
Juergen Ilse (jue...@usenet-verwaltung.de)
--
Ein Domainname ist nur ein Name, nicht mehr und nicht weniger.
Wer mehr hineininterpretiert, hat das Domain-Name-System nicht
verstanden.

Sieghard Schicktanz

unread,
May 8, 2013, 7:21:00 PM5/8/13
to
Hallo Manuel,

Du schriebst am Tue, 07 May 2013 22:54:57 +0200:

> Dennoch kann NAT durchaus auch bedingt als Sicherheitsfunktion gesehen
> werden, denn es verschleiert im gewissen Ma� die interne Netzstruktur.

Das n�tzt Dir aber in Puncto Sicherheit vor Angiffen �berhaupt nichts -
wenn der Angreifer erstmal einen Zugang hat, dann kann er auch Dein Netz
durchsuchen. NAT erreicht evtl., da� Du eine SPAM-Mail nur einmal f�r das
ganze Netz bekommst, weil der Server dann die Adresse "abgehakt" hat.

> Nach au�en ist das ganze LAN mit einer einzigen IP vertreten.

Die nach innen aber wieder "passend" auseinandergefieselt wird. Ein
Angreifer kann immer den Gateway erreichen, wenn er den geschafft hat, hat
er freie Bahn.

> Zumindest mir gef�llt der Gedanke n�mlich nicht besonders bei IPv6 dann
> f�r jedes System �ffentliche Adressen zu haben.

Kann ich nur beipflichten - aber man wird das "schlucken" m�ssen, da helfen
auch alle "privacy extensions" nix. Auch die 64 Bit fester Teil der Adresse
werden den Sch�dlingen reichen, um ihren Unsinn ausreichend zu verbreiten,
egal wie die "privaten" 64 Bit aussehen. Auch die Adress-Statistiker kommen
voll auf ihre Kosten (bzw. Daten) - die 64 Bit fester Teil reichen bei
weitem aus, was da "dahinter" steht, wird halt "ausgemittelt".

--
(Weitergabe von Adressdaten, Telefonnummern u.�. ohne Zustimmung
nicht gestattet, ebenso Zusendung von Werbung oder �hnlichem)
-----------------------------------------------------------
Mit freundlichen Gr��en, S. Schicktanz
-----------------------------------------------------------

Juergen Ilse

unread,
May 9, 2013, 2:21:44 AM5/9/13
to
Hallo,

Sieghard Schicktanz <Sieghard....@schs.de> wrote:
>> Zumindest mir gefᅵllt der Gedanke nᅵmlich nicht besonders bei IPv6 dann
>> fᅵr jedes System ᅵffentliche Adressen zu haben.
> Kann ich nur beipflichten - aber man wird das "schlucken" mᅵssen, da helfen
> auch alle "privacy extensions" nix.

Die 64 Bit Hostanteil sorgen dafuer, dass es fuer einen potentiellen
Angreifer nahezu unmoeglich ist, einen Scan ueber ein gesamtes Netz
durchzufuehren (denn das 3 Mrd mal so viel wie der gesamte IPv4 Adress-
raum, und davon sind "fast keine" besetzt). In diesem Bereich einen
Host aufzustoebern, dessen Adresse man nicht schon vorher kennt, ist
dadurch nahezu unmoeglich. Und dank der privacy extensions wird fuer
"ausgehenden Traffic" nur jeweils eine zufaellig gewaehlte und nur
zeitlich begrenzt gueltige Adresse verwendet. Zwar wird durch die
mehreren gueltigen IP-Adressen auf jedem Host die Chance etwas
groesser, zufaellig eine gueltige Adresse eines Rechners zu erraten,
aber dennoch bleibt diese Chance verschwindend gering. Ein Angriff
auf eine nicht bekannte IP-Adresse ist schwierig ...
Zwar reicht das als alleinige Sicherheitsmassnahme nicht aus, aber
ich wuerde mich bei IPv4 auch nicht auf Masquerading als alleinige
Sicherheitsmassnahme verlassen wollen. En stateful paketfilter sollte
in Kombination mit "Rechtetrennung auf den Hosts", aktuell halten
aller Software und Verzicht auf bekanntermassen unsichere Software
sowie etwas nachdenken beim Nutzer das notwendige Mass an Sicherheit
bieten, und zwar sowohl bei IPv4 als auch bei IPv6.

> Auch die 64 Bit fester Teil der Adresse werden den Schᅵdlingen reichen,
> um ihren Unsinn ausreichend zu verbreiten,

Um einen Angriff durchzufuehren, muss man die IP-Adresse eines moeglichen
Angriffsziels kennen (und zwar *exakt* und nicht nur "so ungefaehr").
Wie soll der Angreifer bei aktivierten privacy extensions die autokon-
figurierte IPv6-Adresse ermitteln, um gegen diese einen Angriff zu fahreb?

> egal wie die "privaten" 64 Bit aussehen. Auch die Adress-Statistiker kommen
> voll auf ihre Kosten (bzw. Daten) - die 64 Bit fester Teil reichen bei
> weitem aus, was da "dahinter" steht, wird halt "ausgemittelt".

Wie, wenn (auch bei grossen Netzen) "fast alles" im Netz frei ist?
Selbst bei 2000 belegten IP-Adressen in einem /64 Netz steht die
Chance, dass eine zufaellige gewaehlte Adresse aus dem Netz gerade
belegt ist, ungefaehr 1 zu 9223372036854775. Wie lange willst du
denn raten, um eine gueltigeIP-Adresse in dem Netz zu ermitteln?

Manuel Reimer

unread,
May 9, 2013, 6:49:46 AM5/9/13
to
Sieghard Schicktanz wrote:
>> Zumindest mir gef�llt der Gedanke n�mlich nicht besonders bei IPv6 dann
>> f�r jedes System �ffentliche Adressen zu haben.
>
> Kann ich nur beipflichten - aber man wird das "schlucken" m�ssen, da helfen
> auch alle "privacy extensions" nix.

Man muss erstmal garnichts. Mein LAN bleibt einfach IPv4 und von den X
IPv6-Adressen, die ich nutzen *k�nnte* verwende ich nach au�en nur eine.

Gru�

Manuel

Sieghard Schicktanz

unread,
May 10, 2013, 3:39:59 PM5/10/13
to
Hallo Juergen,

Du schriebst am 09 May 2013 06:21:44 GMT:

> > helfen auch alle "privacy extensions" nix.
>
> Die 64 Bit Hostanteil sorgen dafuer, dass es fuer einen potentiellen
> Angreifer nahezu unmoeglich ist, einen Scan ueber ein gesamtes Netz

Na und - warum soll er den denn machen wollen? Wenn er irgendeine _aktive_
Adresse daraus kennt (und eine solche wird er immer wieder mal finden),
dann kann er sich doch darauf verlegen.

> dadurch nahezu unmoeglich. Und dank der privacy extensions wird fuer
> "ausgehenden Traffic" nur jeweils eine zufaellig gewaehlte und nur
> zeitlich begrenzt gueltige Adresse verwendet. Zwar wird durch die

Na, wirklich enorm sicher. Da wei� der Angreifer wenigstens gleich,
wielange er noch Zeit hat, an dieser Adresse rumzuknabbern, bevor er die
n�chste abfangen mu�. Die mu� dann ja aus demselben /64_Netz kommen, und
wenn die synchron genug auftaucht, was wird das dann wohl f�r eine Kiste
sein?

> Zwar reicht das als alleinige Sicherheitsmassnahme nicht aus, aber

Das sehe ich allerdings auch so.

> ich wuerde mich bei IPv4 auch nicht auf Masquerading als alleinige
> Sicherheitsmassnahme verlassen wollen. En stateful paketfilter sollte

Hatte irgendwer behaupten wollen, da� NAT ein "Sicherheitsma�nahme" w�re?
(Will irgendwer behaupten, der Aufenthalt in einer Gastst�tte w�re eine
Sicherheitsma�nahme? ];-> )

> Um einen Angriff durchzufuehren, muss man die IP-Adresse eines moeglichen
> Angriffsziels kennen (und zwar *exakt* und nicht nur "so ungefaehr").
> Wie soll der Angreifer bei aktivierten privacy extensions die autokon-
> figurierte IPv6-Adresse ermitteln, um gegen diese einen Angriff zu fahreb?

S.o.
Wenn einer aber garnicht an der "*exakt*en" Adresse iunteressiert ist, weil
er "nur" Statistiken macht, was von wo wann abgerufen oder gesendet wird?
Der wird sich nat�rlich �ber IPv6 sehr freuen, weil dann "endlich" die
Unsicherheit wegf�llt, ob die Adresse jetzt immer noch demselben Host
geh�rt oder wegen der dynamischen Zuweisung bei IPv4 jetzt doch wer anders
dahintersteckt.

> Wie, wenn (auch bei grossen Netzen) "fast alles" im Netz frei ist?

Und bei kleinen Netzen (<< 100 Hosts)? Bei Deinem _privaten_ Rechner (mit
Notebook und Drucker allein im /64-Subnet)? Du bist da voll transparent!
"Fast alles leer" hei�t auch "das benutzte ist das vorhandene"!
Und, sagst Du nicht auch imnmer wieder: "security by obscurity"
funktioniert nicht? "Fast alles leer" _ist_ "security by obscurity".

> Selbst bei 2000 belegten IP-Adressen in einem /64 Netz steht die
> Chance, dass eine zufaellige gewaehlte Adresse aus dem Netz gerade
> belegt ist, ungefaehr 1 zu 9223372036854775. Wie lange willst du
> denn raten, um eine gueltigeIP-Adresse in dem Netz zu ermitteln?

Es ging um Statistiken - die "mitteln" dann eben �ber das Netz, das halt
dann eine ganze Firma umfasst - die bei gen�gender Gr��e f�r die Statistiker
wohl im allgemeinen eh uninteressant ist, weil man an deren diesbez�gliche
Daten auf anderen Wegen einfacher 'rankommt.
Da ist der Privatmann und sind Kleinfirmen eher interessant, und die stehen
wegen deren dann vollst�ndig festen /64er Subnetzen v�llig ungeschirmt da.

Erik Heinz

unread,
May 10, 2013, 4:40:19 PM5/10/13
to
* Sieghard Schicktanz wrote:
>>
>> Die 64 Bit Hostanteil sorgen dafuer, dass es fuer einen potentiellen
>> Angreifer nahezu unmoeglich ist, einen Scan ueber ein gesamtes Netz
>
> Na und - warum soll er den denn machen wollen? Wenn er irgendeine _aktive_
> Adresse daraus kennt (und eine solche wird er immer wieder mal finden),
> dann kann er sich doch darauf verlegen.

Weil Aussp�hen und Auswerten von Internet-Traffic erheblich aufw�ndiger ist
als stupides Scannen ganzer Adressbereiche. Letzteres ist bei IPv4 von je
her recht popul�r, weil technisch nicht aufw�ndig. Bei IPv6 sieht das
komplett anders aus. Das "Grundrauschen" des Netzes ist dort bisher sehr
gering.

Du musst auch bedenken, dass die allermeisten Angriffe automatisiert und mit
wenig krimineller Intelligenz erfolgen. Wirklich intelligente Angriffe sind
selten, vermutlich sehr teuer und den lohnenswerten Zielen vorbehalten.

> Es ging um Statistiken - die "mitteln" dann eben �ber das Netz,

Um die Statistiken zu erstellen, muss der Angreifer schon (fast) im Netz
drin sein. Von ferne geht das nicht.

Gru�,
Erik

Juergen Ilse

unread,
May 11, 2013, 1:10:10 AM5/11/13
to
Hallo,

Sieghard Schicktanz <Sieghard....@schs.de> wrote:
> Du schriebst am 09 May 2013 06:21:44 GMT:
>> > helfen auch alle "privacy extensions" nix.
>> Die 64 Bit Hostanteil sorgen dafuer, dass es fuer einen potentiellen
>> Angreifer nahezu unmoeglich ist, einen Scan ueber ein gesamtes Netz
> Na und - warum soll er den denn machen wollen?

Um eine _aktive_ IP-Adresse aus dem Netz zu *ermitteln*.

> Wenn er irgendeine _aktive_ Adresse daraus kennt (und eine solche wird
> er immer wieder mal finden),

Wie (solange nicht ein Host aus dem Netz gerade mit einem Rechner
des Angreifers kommuniziert)?

>> dadurch nahezu unmoeglich. Und dank der privacy extensions wird fuer
>> "ausgehenden Traffic" nur jeweils eine zufaellig gewaehlte und nur
>> zeitlich begrenzt gueltige Adresse verwendet. Zwar wird durch die
> Na, wirklich enorm sicher. Da weiᅵ der Angreifer wenigstens gleich,
> wielange er noch Zeit hat, an dieser Adresse rumzuknabbern, bevor er die
> nᅵchste abfangen muᅵ. Die muᅵ dann ja aus demselben /64_Netz kommen, und
> wenn die synchron genug auftaucht, was wird das dann wohl fᅵr eine Kiste
> sein?

Wie willst du denn ermitteln, wann welche Adresse in dem Netz
"neu auftaucht"? Wenn du nicht gerade das Defaultgateway in dem
Netz unter deiner kompletten Kontrolle hast, kannst du noch nicht
einmal ermitteln, welche IP-Adressen gerade fuer die Kommunikation
"nach draussen" verwendet werden (von Adressen, die nur fuer netz-
interne Kommunikation verwendet werden ganz abgesehen).

Du hast (wie so viele Kritiker an IPv6) offenbar nicht die geringste
Ahnung wie das alles funktioniert. Mach doch erst mal selbst ein paar
Erfahrungen mit IPv6 (wenn dein Provider es noch nicht anbietet, dann
ueber einen der zahlreichen Tunnelprovider) bevor du es fuer noetig
haeltst, Unfug darueber zu verbreiten.

>> Um einen Angriff durchzufuehren, muss man die IP-Adresse eines moeglichen
>> Angriffsziels kennen (und zwar *exakt* und nicht nur "so ungefaehr").
>> Wie soll der Angreifer bei aktivierten privacy extensions die autokon-
>> figurierte IPv6-Adresse ermitteln, um gegen diese einen Angriff zu fahreb?
> S.o.

Nur hattest du diese Frage bisher noch nicht beantwortet sondern nur
mit "wenn er eine _aktive_ Adresse kennt" argumentiert, ohne auch
nur einen Hinweis zu geben, wie er denn diese ermitteln soll, und
dann noch damit argumentiert, dass der Abgreifer irgenwie "mit-
lesen" koenne, wann welche neuen Adressen aus dem /64 Netz aktiv
werden (was er gar nicht ermitteln kann).

> Wenn einer aber garnicht an der "*exakt*en" Adresse iunteressiert ist, weil
> er "nur" Statistiken macht, was von wo wann abgerufen oder gesendet wird?
> Der wird sich natᅵrlich ᅵber IPv6 sehr freuen, weil dann "endlich" die
> Unsicherheit wegfᅵllt, ob die Adresse jetzt immer noch demselben Host
> gehᅵrt oder wegen der dynamischen Zuweisung bei IPv4 jetzt doch wer anders
> dahintersteckt.

Bei IPv6 bekommt er nur die Zuordnung zum selben /64 Netz sicher hin,
aber nicht die Zuordnung zu einem bestimmten Host innerhalb des Netzes.
Bei IPv4 und Masquerading ist es *exakt* *das* *selbe*, ausserdass es
statt des /64 Prefix die "externe IPv4-Adresse hinter der genattetd
wird" ist. Exakte Rueckverfolgbarkeit ist in *beiden* Faellen bis
*genau* an die Grenze des lokalen Netzes gegeben.

>> Wie, wenn (auch bei grossen Netzen) "fast alles" im Netz frei ist?
> Und bei kleinen Netzen (<< 100 Hosts)?

... ist bei IPv6 ebenfalls fast alles frei.

> Bei Deinem _privaten_ Rechner (mit Notebook und Drucker allein im
> /64-Subnet)? Du bist da voll transparent!

Bei nur einem Rechner hinter einem IPv4-NAT-Router? Du bist da voll
transparent! Es ist *genau* *das* *selbe*. NAT bietet dir nicht mehr
und nicht weniger "Rueckverfolgbarkeit" als IPv6 mit "offiziellen"
IPv6-Adressen.

> "Fast alles leer" heiᅵt auch "das benutzte ist das vorhandene"!

Wo ist der Unterschied zu IPv4 und Masquerading? Aller Traffic von der
"NAT-IP-Adresse" kommt garantiert von einem Host aus dem genatteten
Netz, und wenn dort nur ein Host steht, kommt der Traffic garantiert
von eben diesem Host ...
Du fabulierst dir hier Vorteile von "IPv4 und NAT" herbei, die es in
Wirklichkeit gar nicht gibt.

> Und, sagst Du nicht auch imnmer wieder: "security by obscurity"
> funktioniert nicht? "Fast alles leer" _ist_ "security by obscurity".

Ist es nur bedingt. Ganz praktisch ist bei IPv6 ein Subnetz schlicht
zu gross, um als "wirklich aussenstehender, mit dem nicht gerade aus
dem Netz heraus kommuniziert wird" in absehbarer Zeit eine gerade
benutzte IP-Adresse aus einem Subnetz ermittelb zu koennen.

>> Selbst bei 2000 belegten IP-Adressen in einem /64 Netz steht die
>> Chance, dass eine zufaellige gewaehlte Adresse aus dem Netz gerade
>> belegt ist, ungefaehr 1 zu 9223372036854775. Wie lange willst du
>> denn raten, um eine gueltigeIP-Adresse in dem Netz zu ermitteln?
> Es ging um Statistiken - die "mitteln" dann eben ᅵber das Netz, das halt
> dann eine ganze Firma umfasst - die bei genᅵgender Grᅵᅵe fᅵr die Statistiker
> wohl im allgemeinen eh uninteressant ist, weil man an deren diesbezᅵgliche
> Daten auf anderen Wegen einfacher 'rankommt.

Was "mitteln" die und zu welchem Zweck? Welche Daten ueber die User
bekommen die auf diese Weise heraus, die sie im Falle von IPv4 und NAT
nicht herausbekommen wuerden? Werde doch *endlich* mal konkret.

Sieghard Schicktanz

unread,
May 11, 2013, 4:06:35 PM5/11/13
to
Hallo Juergen,

Du schriebst am 11 May 2013 05:10:10 GMT:

> >> Angreifer nahezu unmoeglich ist, einen Scan ueber ein gesamtes Netz
> > Na und - warum soll er den denn machen wollen?
>
> Um eine _aktive_ IP-Adresse aus dem Netz zu *ermitteln*.
>
> > Wenn er irgendeine _aktive_ Adresse daraus kennt (und eine solche wird
> > er immer wieder mal finden),
>
> Wie (solange nicht ein Host aus dem Netz gerade mit einem Rechner
> des Angreifers kommuniziert)?

Genau dadurch, _da�_ "ein Host aus dem Netz gerade mit einem Rechner des
Angreifers kommuniziert", wobei als letzterer auch jeder z�hlt, auf dem eine
zur Adressensammlung nutzbare Software l�uft, evtl. nicht ganz offiziell.
Oder kann es das Deiner Meinung nach nicht geben?

> Wie willst du denn ermitteln, wann welche Adresse in dem Netz
> "neu auftaucht"? Wenn du nicht gerade das Defaultgateway in dem

Na, es reicht ja wohl, wenn dasselbe Ziel, das "gerade noch" von einer
bestimmten Adresse eines /64-Netzes "bearbeitet" wurde, auf einmal von
einer anderen solchen angesprochen wird. F�r mich l�ge da der Verdacht
nahe, da� da derselbe Host dahintersteckt. Sicher kann das auch ein
anderer, neuer Intererssent aus demselben Netz sein. Aber was schlie�t Du,
wenn sich danach der "alte" �berhaupt nicht mehr meldet?

> >> Um einen Angriff durchzufuehren, muss man die IP-Adresse eines
> >> moeglichen Angriffsziels kennen (und zwar *exakt* und nicht nur "so
...
> Nur hattest du diese Frage bisher noch nicht beantwortet sondern nur
> mit "wenn er eine _aktive_ Adresse kennt" argumentiert, ohne auch

Ja, _kennt_ man dann nicht die *exakt*e Adresse?

> nur einen Hinweis zu geben, wie er denn diese ermitteln soll, und

Horchen, z.B.

[Statistiken]
> Bei IPv6 bekommt er nur die Zuordnung zum selben /64 Netz sicher hin,
> aber nicht die Zuordnung zu einem bestimmten Host innerhalb des Netzes.

Ja, gut, reicht doch f�r alles, was bisher auch gemacht wird. Auch nix
anderes als bei NAT.

> Bei IPv4 und Masquerading ist es *exakt* *das* *selbe*, ausserdass es
> statt des /64 Prefix die "externe IPv4-Adresse hinter der genattetd
> wird" ist. Exakte Rueckverfolgbarkeit ist in *beiden* Faellen bis
> *genau* an die Grenze des lokalen Netzes gegeben.

Genau.

> > Bei Deinem _privaten_ Rechner (mit Notebook und Drucker allein im
> > /64-Subnet)? Du bist da voll transparent!
>
> Bei nur einem Rechner hinter einem IPv4-NAT-Router? Du bist da voll
> transparent! Es ist *genau* *das* *selbe*. NAT bietet dir nicht mehr
> und nicht weniger "Rueckverfolgbarkeit" als IPv6 mit "offiziellen"
> IPv6-Adressen.

Genau, Du hast das voll erfasst! Und das gilt sowohl r�ck- wie vorw�rts.

> Du fabulierst dir hier Vorteile von "IPv4 und NAT" herbei, die es in
> Wirklichkeit gar nicht gibt.

Quatsch. Du _meinst_ nur hier gegen etwas argumentieren zu m�ssen -
tats�chlich habe ich genau dasselbe gesagt wie Du.

> > funktioniert nicht? "Fast alles leer" _ist_ "security by obscurity".
>
> Ist es nur bedingt. Ganz praktisch ist bei IPv6 ein Subnetz schlicht
> zu gross, um als "wirklich aussenstehender, mit dem nicht gerade aus
> dem Netz heraus kommuniziert wird" in absehbarer Zeit eine gerade
> benutzte IP-Adresse aus einem Subnetz ermittelb zu koennen.

Dein Optimismus in Ehren - das wird nicht halten. Nur ein Netz, das _nie_
nach au�en hin kommuniziert, ist in dieser Hinsicht sicher.
(Allenfalls k�nnte es klappen, wenn bei _jedem_ neuen Zugriff eine neue
Adresse benutzt wird. 2^64 ist immerhin was um 10^19, das reicht auch bei
10^5 Zugriffen/sec ein paar Millionen Jahre. Braucht man nur einen guten
[einmaligen] Zufallszahlengenerator und darf nur verbindungslose Protokolle
benutzen.)

> Was "mitteln" die und zu welchem Zweck? Welche Daten ueber die User
> bekommen die auf diese Weise heraus, die sie im Falle von IPv4 und NAT
> nicht herausbekommen wuerden? Werde doch *endlich* mal konkret.

Dieselben, schlie�lich sagtest Du doch selber, da� sich NAT und IPv6
"privacy" da nicht unterscheiden.

Sieghard Schicktanz

unread,
May 11, 2013, 3:41:31 PM5/11/13
to
Hallo Erik,

Du schriebst am Fri, 10 May 2013 20:40:19 +0000 (UTC):

> > _aktive_ Adresse daraus kennt (und eine solche wird er immer wieder mal
> > finden), dann kann er sich doch darauf verlegen.
>
> Weil Aussp�hen und Auswerten von Internet-Traffic erheblich aufw�ndiger
^ >-I
> ist als stupides Scannen ganzer Adressbereiche. Letzteres ist bei IPv4

Wenn's nur darauf ankommt, Adressen zum "Bearbeiten" zu finden, d�rfte
jeder Server gen�gend "Material" bekommen. Auch wenn es etwas l�nger dauert.

> Du musst auch bedenken, dass die allermeisten Angriffe automatisiert und
> mit wenig krimineller Intelligenz erfolgen. Wirklich intelligente

Sch�n, wenn das wirklich eine _Reduzierung_ solcher Aktionen br�chte, dann
w�re das schon was wert. Aber einfach nur horchen braucht auch keine
merkliche "Intelligenz", und auch wenn's bisserl l�nger dauert - wenn da
"Ziel" erreicht wird, werden die M�glichkeiten ausgenutzt werden.

> Angriffe sind selten, vermutlich sehr teuer und den lohnenswerten Zielen
> vorbehalten.

_Das_ ist dann wohl sowieso eine andere Klasse, und da wird der Aufwand
wohl durch entsprechende Aufwendungen abgedeckt sein - sprich, es wird
nichts zu teuer sein, um das Ziel zu erreichen.

> > Es ging um Statistiken - die "mitteln" dann eben �ber das Netz,
>
> Um die Statistiken zu erstellen, muss der Angreifer schon (fast) im Netz
> drin sein. Von ferne geht das nicht.

Kommt durchaus auf die Statistik an - Zugriffsstatistiken f�r Web-Server
brauchen nur einen kleinen Logger auf dem Server selber. Oder auf einem
Server, der ihm zuarbeitet (...ad..., z.B.). Da ist es reichlich egal, ob
da eine vollst�ndige Adresse , die evtl. �ber NAT aufgesplittet ist, oder
ein ganzes Subnetz mit wahrscheinlich nur wenigen Teilnehmern geloggt wird.

gregor herrmann

unread,
May 11, 2013, 9:08:15 PM5/11/13
to
On Wed, 08 May 2013 06:35:46 +0200, Joerg Lorenz wrote:

>> au�erdem Meego oder wie immer das Ding aktuell gerade hei�t ;-)
> Ist, so viel ich weiss, mangels F�rderung durch Firmen bereits
> verstorben. Hat mal geheissen, BMW unterst�tze Meego.

meego an sich ist tot, aber mer scheint noch zu existieren, und
darauf baut dann jolla mit sailfishos auf:
https://en.wikipedia.org/wiki/Sailfish_OS

oder so.


gregor
--
.''`. Homepage: http://info.comodo.priv.at/ - OpenPGP key 0xBB3A68018649AA06
: :' : Debian GNU/Linux user, admin, and developer - http://www.debian.org/
`. `' Member of VIBE!AT & SPI, fellow of the Free Software Foundation Europe
`-

Juergen Ilse

unread,
May 12, 2013, 3:08:10 AM5/12/13
to
Hallo,

Sieghard Schicktanz <Sieghard....@schs.de> wrote:
> Du schriebst am 11 May 2013 05:10:10 GMT:
>> > Wenn er irgendeine _aktive_ Adresse daraus kennt (und eine solche wird
>> > er immer wieder mal finden),
>> Wie (solange nicht ein Host aus dem Netz gerade mit einem Rechner
>> des Angreifers kommuniziert)?
> Genau dadurch, _daᅵ_ "ein Host aus dem Netz gerade mit einem Rechner des
> Angreifers kommuniziert",

Der Angreifer muss also bereits auf einen Rechner Zugriff haben, mit
dem der anzugreifende kommuniziert. Das ist gegenueber der Situation
bei IPv4 bereits eine grosse zusaetzliche Huerde.

> wobei als letzterer auch jeder zᅵhlt, auf dem eine zur Adressensammlung
> nutzbare Software lᅵuft, evtl. nicht ganz offiziell.

... und diese Daten sehr zeitnah ausgewertet werden. Wenn du als
Angreifer nur jeden Tag einmal nachsiehst, sind sehr viele gesammelte
Adressen wieder ungueltig geworden. Bei IPv4 wuerde die Adresse nach
Ablauf eines Tages moeglicherweise zu einem anderen Rechner gehoeren,
aber sie ist mit recht hoher Wahrscheinichkeit wieder vergeben.
*Das* ist bei IPv6 anders.

>> Wie willst du denn ermitteln, wann welche Adresse in dem Netz
>> "neu auftaucht"? Wenn du nicht gerade das Defaultgateway in dem
> Na, es reicht ja wohl, wenn dasselbe Ziel, das "gerade noch" von einer
> bestimmten Adresse eines /64-Netzes "bearbeitet" wurde, auf einmal von
> einer anderen solchen angesprochen wird.

Nein, das reicht nicht. Nei aktivierten privacy extensions werden
neue Adressen teils bereits hinzugenommen, bevor eine andere ungueltig
wird, du hast also eigentlich kein brauchbares Indiz, ob du es bei
einer neu auftauchenden Adresse zur selben Maschine gehoert wie eine
gerade nicht mehr auftauchende Adresse.

> Fᅵr mich lᅵge da der Verdacht nahe, daᅵ da derselbe Host dahintersteckt.

Zu Unrecht.

> Sicher kann das auch ein anderer, neuer Intererssent aus demselben
> Netz sein. Aber was schlieᅵt Du, wenn sich danach der "alte" ᅵberhaupt
> nicht mehr meldet?

Das sich der Nutzer nun einem anderen Server zugewandt hat?

>> >> Um einen Angriff durchzufuehren, muss man die IP-Adresse eines
>> >> moeglichen Angriffsziels kennen (und zwar *exakt* und nicht nur "so
> ...
>> Nur hattest du diese Frage bisher noch nicht beantwortet sondern nur
>> mit "wenn er eine _aktive_ Adresse kennt" argumentiert, ohne auch
> Ja, _kennt_ man dann nicht die *exakt*e Adresse?

Wenn derjenige nicht zufaellig mit einem Rechner kommuniziert, der
unter deiner Kontrolle steht i.d.R. nicht.

> [Statistiken]
>> Bei IPv6 bekommt er nur die Zuordnung zum selben /64 Netz sicher hin,
>> aber nicht die Zuordnung zu einem bestimmten Host innerhalb des Netzes.
> Ja, gut, reicht doch fᅵr alles, was bisher auch gemacht wird. Auch nix
> anderes als bei NAT.

Eben, es ist nichts anderes, du stehst also mit IPv6 kein bischen
schlechter da als bei IPv4. Und der Ausgangspunkt der Diskussion
war ja ein "ungutes Gefuehl" wenn der eigene Rechner eine (bzw.
mehrere) global erreichbare Adresse(n) besitzt. Im Endeffekt ist
dieses ungute Gefuehl ziemlich unbegruendet, und das ist der in
dieser Diskussion hoddentlich deutlich gewordene Punkt.

>> > Bei Deinem _privaten_ Rechner (mit Notebook und Drucker allein im
>> > /64-Subnet)? Du bist da voll transparent!
>> Bei nur einem Rechner hinter einem IPv4-NAT-Router? Du bist da voll
>> transparent! Es ist *genau* *das* *selbe*. NAT bietet dir nicht mehr
>> und nicht weniger "Rueckverfolgbarkeit" als IPv6 mit "offiziellen"
>> IPv6-Adressen.
> Genau, Du hast das voll erfasst! Und das gilt sowohl rᅵck- wie vorwᅵrts.

Also wiederum kein Vorteil fuer IPv4. Warum hast du dann bei IPv6
+ privacy extensions ein weniger gutes Gefuehl als bei IPv4 + NAT?

ds_Dieter_Schultheis

unread,
May 12, 2013, 8:14:29 AM5/12/13
to
Am 06.05.2013 15:59, schrieb Dieter Britz:
> On Mon, 06 May 2013 11:51:33 +0000, Ralph Aichinger wrote:
>
>> Dieter Britz <dieterh...@gmail.com> wrote:
>>> Das kam wirklich von google, was ich später bekräftigt bekam von denen.
>>
>> Wie hast du das bekräftigt bekommen?
>>
>> Kannst du Ausschnitte aus dieser Mail posten?
>>
>>> Ich verstehe nur nicht, wie jemand mein password raten (oder ermitteln)
>>> konnte.
>>
>> Durch Täuschung?
>> Durch zwischengeschaltete Seiten (MITM)
>> Durch unverschlüsseltes WLAN Durch verschlüsseltes WLAN in der Kontrolle
>> des
>> Angreifers
>> Durch Einloggen auf einem Rechner in der Kontrolle des A. Durch einen
>> Hardwarekeylogger Durch irgendwie abgegriffene Cookies (auf einem der
>> obigen
>> Wege)
>> Durch ein Sicherheitproblem bei Google.
>>
>> Oder sie haben das noch gar nicht, und die Mails sind gar nicht von
>> Google.
>>
>> /ralph
>
> Das weiss ich (fast) alles, aber das soll doch mit Linux schwierig sein.
> Na ja:
>
> no-r...@accounts.google.com
>
> 4 May (2 days ago)
>
> to me
> Images are not displayed. Display images below - Always display images
> from no-r...@accounts.google.com
> Google Accounts Dieter Britz
> Hi Dieter,
>
> Someone recently used your password to try to sign in to your Google
> Account - dieterh...@gmail.com.
>
> We prevented the sign-in attempt in case this was a hijacker trying to
> access your account. Please review the details of the sign-in attempt:
>
> Saturday, 4 May 2013 18:01:48 o'clock UTC
> IP Address: 85.105.231.107
> Location: Antalya/Antalya Province, Turkey
>
>
> If you do not recognise this sign-in attempt, someone else might be
> trying to access your account. You should sign in to your account and
> reset your password immediately.
>
> Reset password
>
> Yours sincerely,
> The Google Accounts team
> This email can't receive replies. For more information, visit the
> Google Accounts Help Centre.
>
>
> Das sieht sehr googlisch aus, und ich glaubte es ihnen. Ich bekam
> auch ein sms mit der selben Nachricht.
>
>


Die bei normaler Einstellung angezeigte Absende Adresse lässt sich
fälschen. Welchen Serververlauf zeigen denn die erweiteren Einträge des
e-Mail Headers (Kopf) an.


Nur weil mehrere Leute eine bestimmte E-Mail bekommen haben, sagt noch
nicht, das deise Orginal ist.

'Und bei "Copy & Paste" des Textes kann man Orgianl und Phihing kaum
auseinanderhalten.

Beispiel:
Bei den elektronischen Rechnungen der Telekom ist der Inhalt der
gefälschten mittlerweile 1 zu 1 nachgebaut. Nur die persönliche Anrede
und das Buchungskonto aus den Details des Festnetzvertrages bekommen die
Betrüger in dieswn Phising Mails nicht hin.

--

MfG
Dieter

Sieghard Schicktanz

unread,
May 12, 2013, 2:47:41 PM5/12/13
to
Hallo Juergen,

Du schriebst am 12 May 2013 07:08:10 GMT:

> Der Angreifer muss also bereits auf einen Rechner Zugriff haben, mit
> dem der anzugreifende kommuniziert. Das ist gegenueber der Situation
> bei IPv4 bereits eine grosse zusaetzliche Huerde.

Naja, nach dem, was man so immer wieder hört und liest nur ein mäßige.
Aber vielleicht doch eine zusätzliche.

> > wobei als letzterer auch jeder zählt, auf dem eine zur Adressensammlung
> > nutzbare Software läuft, evtl. nicht ganz offiziell.
>
> ... und diese Daten sehr zeitnah ausgewertet werden. Wenn du als
> Angreifer nur jeden Tag einmal nachsiehst, sind sehr viele gesammelte

Nanana, redest Du hier von Software oder von Archäologie? "Natürlich"
werden diese Daten zeitnah ausgewertet, so zeitnah, daß sie schon wieder
irrelevant sind, wenn sie auf einer Platte landen könnten.

> > Na, es reicht ja wohl, wenn dasselbe Ziel, das "gerade noch" von einer
> > bestimmten Adresse eines /64-Netzes "bearbeitet" wurde, auf einmal von
> > einer anderen solchen angesprochen wird.
>
> Nein, das reicht nicht. Nei aktivierten privacy extensions werden
> neue Adressen teils bereits hinzugenommen, bevor eine andere ungueltig
> wird, du hast also eigentlich kein brauchbares Indiz, ob du es bei
> einer neu auftauchenden Adresse zur selben Maschine gehoert wie eine
> gerade nicht mehr auftauchende Adresse.

Dann müßte es aber so laufen, daß _eine_, d.h. _ein und dieselbe_, Maschine
zeitweise parallel unter _zwei_ (oder mehr) unterschiedlichen Adressen
sendet und erreichbar ist.

> > Sicher kann das auch ein anderer, neuer Intererssent aus demselben
> > Netz sein. Aber was schließt Du, wenn sich danach der "alte" überhaupt
> > nicht mehr meldet?
>
> Das sich der Nutzer nun einem anderen Server zugewandt hat?

Das eher dann, wenn dann überhaupt nichts mehr aus demselben Netz kommt.
Wenn die Aktivität ähnlich bleibt, eher nicht.

> >> mit "wenn er eine _aktive_ Adresse kennt" argumentiert, ohne auch
> > Ja, _kennt_ man dann nicht die *exakt*e Adresse?
>
> Wenn derjenige nicht zufaellig mit einem Rechner kommuniziert, der
> unter deiner Kontrolle steht i.d.R. nicht.

Hmm, das wäre direkt eine Möglichkeit: wenn ein Host für _jede_ Verbindung
mit unterschiedlichen Gegenstellen unterschiedliche Adressen benutzt, dann
könnte das schwierig werden, den "festzunageln". Das müßte bei mehreren
Verbindungen aber natürlich parallel gehen.

> > [Statistiken]
> Eben, es ist nichts anderes, du stehst also mit IPv6 kein bischen
> schlechter da als bei IPv4. Und der Ausgangspunkt der Diskussion
> war ja ein "ungutes Gefuehl" wenn der eigene Rechner eine (bzw.
> mehrere) global erreichbare Adresse(n) besitzt. Im Endeffekt ist

Doch Du stehst schlechter da, wenn da NAT auch nicht der Grund dafür ist:
Bei der normalerweise genutzten dynamischen Adressvergabe bei IPv4 kann
sich die _gesamte_ Adresse ändern, so daß derselbe Host unter
unterschiedlichen Adressen auftritt und dieselbe Adresse unterschiedliche
Hosts repräsentiert.
Bei IPv6 ist die /64er Subnetzadresse (nach bisheriger Lesart) _immer_
_fest_ zugeordnet und bezeichnet damit eine immer gleiche Gruppe von Hosts,
bis hinab zu einem einzelnen bei _der_ Klasse, für die das am
unangenehmsten ist, bei Privatleuten.
(D.h. man könnte mutmaßen, daß IPv6 zum Schutz von Großkonzernen für deren
Maßnahmen zum Spionieren bei den "Konsumenten" entworfen wurde...)

> dieses ungute Gefuehl ziemlich unbegruendet, und das ist der in

Dochdoch, das ist schon begründet. Und es kommt ja noch dazu, daß der
immense, völlig überdimensionierte Adressraum die Gier nach dem "internet
der Dinge" geweckt hat, in dem _jedes_ einigermaßen dazu fähige Gerät eine
eigene, routingfähige Adresse haben soll. Und _das_ finde ich schon
reichlich er- und abschreckend.

> dieser Diskussion hoddentlich deutlich gewordene Punkt.

Na, wenn Du immer so hoddelich diskutierst... ];->

> >> > Bei Deinem _privaten_ Rechner (mit Notebook und Drucker allein im
> >> > /64-Subnet)? Du bist da voll transparent!
> >> Bei nur einem Rechner hinter einem IPv4-NAT-Router? Du bist da voll
> >> transparent! Es ist *genau* *das* *selbe*. NAT bietet dir nicht mehr
...
> Also wiederum kein Vorteil fuer IPv4. Warum hast du dann bei IPv6
> + privacy extensions ein weniger gutes Gefuehl als bei IPv4 + NAT?

Trash NAT. Das ist nicht der Punkt, den Punkt habe ich vorhin erklärt.
Ich möchte gerne meine Haustür _zu_ halten können und nur aufmachen, wenn
ich draußen was machen will. IPv6 - mit dem ganzen darum aufgebauten Ramsch
- ist das genaue Gegenteil davon:
Du bist, bildlich gesprochen, gezwungen, Dein Leben mit allen Anderen in
einer riesigen Gemeinschaftshalle zu verbringen, in der es keine Wände
gibt. (Ja, sowas ähnliches wie Großraumbüros - aber auch für die Freizeit!)

--
(Weitergabe von Adressdaten, Telefonnummern u.ä. ohne Zustimmung
nicht gestattet, ebenso Zusendung von Werbung oder ähnlichem)
-----------------------------------------------------------
Mit freundlichen Grüßen, S. Schicktanz
-----------------------------------------------------------

Juergen Ilse

unread,
May 13, 2013, 3:17:52 AM5/13/13
to
Hallo,

Sieghard Schicktanz <Sieghard....@schs.de> wrote:
> Dann mᅵᅵte es aber so laufen, daᅵ _eine_, d.h. _ein und dieselbe_, Maschine
> zeitweise parallel unter _zwei_ (oder mehr) unterschiedlichen Adressen
> sendet und erreichbar ist.

Ja, ist auch so. Und?

>> > [Statistiken]
>> Eben, es ist nichts anderes, du stehst also mit IPv6 kein bischen
>> schlechter da als bei IPv4. Und der Ausgangspunkt der Diskussion
>> war ja ein "ungutes Gefuehl" wenn der eigene Rechner eine (bzw.
>> mehrere) global erreichbare Adresse(n) besitzt. Im Endeffekt ist
> Doch Du stehst schlechter da, wenn da NAT auch nicht der Grund dafᅵr ist:
> Bei der normalerweise genutzten dynamischen Adressvergabe bei IPv4 kann
> sich die _gesamte_ Adresse ᅵndern, so daᅵ derselbe Host unter
> unterschiedlichen Adressen auftritt und dieselbe Adresse unterschiedliche
> Hosts reprᅵsentiert.

Dynamische Zuweisung von IPv6-Praefixen ist genauso moeglich, wie
Statische Zuweisung von IPv4-Adressen und AFAIK findet man auch beides
im praktischen Einsatz. Der von dir angesprochene Unterschied ist also
kein Unterschied, der an "IPv4 oder IPv6" festzumachen waere.

> Bei IPv6 ist die /64er Subnetzadresse (nach bisheriger Lesart) _immer_
> _fest_ zugeordnet und bezeichnet damit eine immer gleiche Gruppe von Hosts,
> bis hinab zu einem einzelnen bei _der_ Klasse, fᅵr die das am
> unangenehmsten ist, bei Privatleuten.

Du meinst hier den Praefix, nicht die Netzmaske. Ja, das ist so, solange
der Praefix sich nicht aendert. Bei dynamischer Praefix-Vergabe wuerde
er sich aendern, wenn denn ein neuer Praefix zugewiesen wird. Ob und wann
das der Fall ist, haengt vom Provider ab und nicht etwa vom Protokoll.

>> dieses ungute Gefuehl ziemlich unbegruendet, und das ist der in
> Dochdoch, das ist schon begrᅵndet. Und es kommt ja noch dazu, daᅵ der
> immense, vᅵllig ᅵberdimensionierte Adressraum die Gier nach dem "internet
> der Dinge" geweckt hat, in dem _jedes_ einigermaᅵen dazu fᅵhige Gerᅵt eine
> eigene, routingfᅵhige Adresse haben soll. Und _das_ finde ich schon
> reichlich er- und abschreckend.

Es mag sein, dass das solche Begehrlichkeiten weckt, aber das wird damit
weder wahrscheinlicher noch einfacher moeglich. Und "routebare" sprich
weltweit eindeutige IPv6-Adresse heisst noch laengst nicht "aus dem
Internet erreichbar". Es steht jedem frei, Paketfilter zu installieren
die das verhindern oder einfach das Kabel der Internet-verbindung zu
ziehen (gerade bei irgendwelchen "Dingen" die nicht per Internet erreich-
bar sein muessen).

>> >> > Bei Deinem _privaten_ Rechner (mit Notebook und Drucker allein im
>> >> > /64-Subnet)? Du bist da voll transparent!
>> >> Bei nur einem Rechner hinter einem IPv4-NAT-Router? Du bist da voll
>> >> transparent! Es ist *genau* *das* *selbe*. NAT bietet dir nicht mehr
> ...
>> Also wiederum kein Vorteil fuer IPv4. Warum hast du dann bei IPv6
>> + privacy extensions ein weniger gutes Gefuehl als bei IPv4 + NAT?
> Trash NAT. Das ist nicht der Punkt, den Punkt habe ich vorhin erklᅵrt.
> Ich mᅵchte gerne meine Haustᅵr _zu_ halten kᅵnnen und nur aufmachen, wenn
> ich drauᅵen was machen will.

Wer hindert dich denn daran? Kann man deinen Rechner ploetzlich nicht
mehr ausschalten, wenn er nicht benoetigt wird, sobald er einmal mit
IPv6 laeuft? Oder ist durch die Nutzung von IPv6 das Netzwerkkabel in
der Netzwerkkarte festgeschweisst? Oder laesst sich ein IPv6-faehiger
Router im Gegensatz zum IPv4-Pendant nicht mehr ausschalten oder offline
nehmen? Und wird die durch die Nutzung von IPv6 eine Gehirnwaesche
verpasst, dir die ein "ifconfig eth0 down" verbietet?

> IPv6 - mit dem ganzen darum aufgebauten Ramsch

Warum aeusserst du dich zu dem Thema, wenn du keine Ahnung davon hast?
Hast du das von unseren Politikern gelernt, die auch keine Ahnung davon
haben aber meinen, sich die Maeuler darueber zerreissen zu muessen?

> - ist das genaue Gegenteil davon:
> Du bist, bildlich gesprochen, gezwungen, Dein Leben mit allen Anderen in
> einer riesigen Gemeinschaftshalle zu verbringen, in der es keine Wᅵnde
> gibt. (Ja, sowas ᅵhnliches wie Groᅵraumbᅵros - aber auch fᅵr die Freizeit!)

Ich nutze IPv6 seit etlichen Jahren und ich war dadurch zu exakt gar
nichts gezwungen. Wovon zum Kuckuck schreibst du denn?

Tschuess,
Juergen Ilse (jue...@suenet-verwaltung.de)
Message has been deleted

Juergen Ilse

unread,
May 13, 2013, 8:17:27 AM5/13/13
to
Hallo,

Heiko Schlenker <hsc...@gmx.de> wrote:
> * Juergen Ilse <jue...@usenet-verwaltung.de> schrieb:
>> Sieghard Schicktanz <Sieghard....@schs.de> wrote:
>>> Bei IPv6 ist die /64er Subnetzadresse (nach bisheriger Lesart) _immer_
>>> _fest_ zugeordnet und bezeichnet damit eine immer gleiche Gruppe von Hosts,
>>> bis hinab zu einem einzelnen bei _der_ Klasse, fᅵr die das am
>>> unangenehmsten ist, bei Privatleuten.
>> Du meinst hier den Praefix, nicht die Netzmaske. Ja, das ist so, solange
>> der Praefix sich nicht aendert. Bei dynamischer Praefix-Vergabe wuerde
>> er sich aendern, wenn denn ein neuer Praefix zugewiesen wird. Ob und wann
>> das der Fall ist, haengt vom Provider ab und nicht etwa vom Protokoll.
> Auch bei konstantem Prᅵfix lᅵge im Vergleich zu IPv4 kein "Nachteil"
> vor, denn die Menge der 2^64 Adressen ist vier Milliarden mal grᅵᅵer
> als alle verfᅵgbaren 2^32 IPv4-Adressen zusammen. ;-)

Bei konstantem Praefix und nur einem Host im lokalen Subnet kann der
Traffic stets diesem einen Host zugeordnet werden, egal von welcher
IP-Adresse aus dem Subnet er kommt. Allerdings hat ein potentieller
Angreifer im Zweifelsfalle nicht die Information, dass es nur einen
Host in dem Subnet gibt ...

Tschuess,
Juergen Ilse (jue...@usenet-verwaltung.de)

addre...@invalid.invalid

unread,
May 14, 2013, 5:41:35 PM5/14/13
to
> klaro. Noch benutze ich ein älteres Modell mit Windows Mobile 6.5
> - das letzte, das noch lokale Synchronisation erlaubt. Falls ich
> heute aktualisieren müsste, wäre Symbian meine erste Wahl. Das
> ist gegenwärtig das einzige ernst zu nehmende System mit der
> Möglichkeit, lokal zu synchronisieren.

Hmm. mein iPhone synct mit owncloud WLAN-lokal auch ganz gut. ebenso
firefox mit dem Kalender-addon.

Christoph Schmees

unread,
May 15, 2013, 6:32:59 AM5/15/13
to
owncloud setzt voraus, dass du lokal einen eigenen Server laufen
hast. Das trifft auf ONU nicht zu. Ich redete von Lösungen, die
*jeder* User ohne Zusatzaufwand nutzen kann: PC - Smartphone und
sonst nichts, wie früher Active-Sync.

Christoph Schmees

unread,
May 15, 2013, 6:43:06 AM5/15/13
to
On 08.05.2013 01:48, Heiko Schlenker wrote:
> * Christoph Schmees <cj...@nurfuerspam.de> schrieb:
>> On 07.05.2013 16:48, Heiko Schlenker wrote:
>>> * Christoph Schmees <cj...@nurfuerspam.de> schrieb:
>>>> On 07.05.2013 15:00, Heiko Schlenker wrote:
>>>>> * Dieter Britz <dieterh...@gmail.com> schrieb:
>>>>>> OK, aber das beantwortet nicht die Frage, ob es Programme für
>>>>>> Linux gibt, die spybots finden.
>>>>>
>>>>> Stichwort: Intrusion Detection System
>>>>>
>>>>
>>>> oder auch /trip wire/ (Stolperdraht).
>>>
>>> Tripwire gehört zu den bekanntesten Intrusion Detection Systems. ;)
>>> ...
>>
>> sagen wir mal so: Es gibt ein (bekanntes) opensource Produkt
>> namens tripwire.
>> Aber im Grundsatz ist tripwire ein generischer Begriff aus der
>> englischen Sprache mit der Bedeutung "Stolperdraht",
>
> Ach so.
>
> Tripwire ist aber kein generischer Fachbegriff der IT-Sicherheit. In
> jenem Kontext ist damit üblicherweise das Intrusion Detection System
> dieses Namens gemeint. Ein anderer Gebrauch führt bloß zu
> Missverständnissen.
>

das solltest du den Machern des Programms /tripwire/ sagen. Die
hatten die Schnapsidee, ihr Programm mit einem generischen
Begriff zu bezeichnen. Das ist so, als wenn du ein Programm für
einen Proxy-Server "Proxy" nennen würdest (statt z.B. SQUID) etc.
Message has been deleted

Sieghard Schicktanz

unread,
May 17, 2013, 8:21:25 PM5/17/13
to
Hallo Juergen,

Du schriebst am 13 May 2013 07:17:52 GMT:

> > Maschine zeitweise parallel unter _zwei_ (oder mehr) unterschiedlichen
> > Adressen sendet und erreichbar ist.
>
> Ja, ist auch so. Und?

Dann lie�e sich ein "fliegender Adress-Wechsel" implementieren:
noch offene Verbindungen werden unter der alten Adresse fertig bearbeitet,
neue unter einer neuen aufgemacht. Be mehr als zwei aktiven Adressen ginge
das sogar mit einer neuen Adresse f�r jede neue Verbindung. Damit k�nnte
schon eine gewisse Anonymisierung erreicht werden, solange nicht andere
Kriterien die Identit�t einer Maschine verraten.

> Dynamische Zuweisung von IPv6-Praefixen ist genauso moeglich, wie
> Statische Zuweisung von IPv4-Adressen und AFAIK findet man auch beides
> im praktischen Einsatz. Der von dir angesprochene Unterschied ist also
> kein Unterschied, der an "IPv4 oder IPv6" festzumachen waere.

Ich habe ja auch nicht behauptet, da� es nicht ginge, sondern nur darauf
verwiesen, da� (auch hier) immer wieder erw�hnt wird, da� es bei IPv6
_immer_ statische (/64er) Adressen geben soll, w�hrend "man" bei IPv4
"gezwungen" w�re, die weitgehend dynamisch zu vergeben (weil bei der
anf�nglichen Vergabe so unsinnig mit dem "riesigen" Adressraum geaast
wurde).

> > immense, v�llig �berdimensionierte Adressraum die Gier nach dem
> > "internet der Dinge" geweckt hat, in dem _jedes_ einigerma�en dazu
...
> Es mag sein, dass das solche Begehrlichkeiten weckt, aber das wird damit
> weder wahrscheinlicher noch einfacher moeglich. Und "routebare" sprich

Dein Optimismus in Gottes Ohr. Leider ist bisher die Entwicklung immer noch
so gelaufen, da� vor allem die M�glichkeiten ausgebaut wurden, die zum
einen den Kaufleuten den gr��ten Profit bringen und zum anderen den
Betreibern (und Beh�rden) die besten �berwachungsm�glichkeiten bieten.

> weltweit eindeutige IPv6-Adresse heisst noch laengst nicht "aus dem
> Internet erreichbar". Es steht jedem frei, Paketfilter zu installieren

Ja, das ist schon mal ein kleiner Lichtblick, wenigstens f�r die Systeme
(und Benutzer), die sowas anbieten (bzw. in der Lage sind, sowas zu nutzen).

> die das verhindern oder einfach das Kabel der Internet-verbindung zu
> ziehen (gerade bei irgendwelchen "Dingen" die nicht per Internet erreich-
> bar sein muessen).

Die Hersteller werden es fertigbringen, da� die internet-Verbindung f�r
die Funktion _notwendig_ bestehen mu�. Was machste dann?
(Wenn der K�hlschrank nur noch im Notbetrieb mit dauernd laufendem Aggregat
arbeitet - -10�C Innentemperatur - wenn der Netzwerkstecker abgezogen ist,
z.B.) (BTW, Es gibt _bereits heute_ Autos, die einen dauernd aktiven, _durch
den Hersteller gesteuerten_ "Service"-Zugang beinhalten, den der "Besitzer"
_nicht_ abschalten kann.) (Und weiter: die EG _verlangt_ f�r jedes neue
Auto ab 2015 einen _nicht abschaltbaren und dauernd aktiven_ "eCall"-
Transceiver f�r Notrufe bei Unf�llen. Interessenten f�r "Zusatznutzungen"
[die auch noch extra kosten k�nnen] stehen schon Schlange.)

> Wer hindert dich denn daran? Kann man deinen Rechner ploetzlich nicht
> mehr ausschalten, wenn er nicht benoetigt wird, sobald er einmal mit

_Noch_ geht das. Und nein, das h�ngt nicht and _IPv6_, das h�ngt an der
ganzen aktuellen Entwicklung, von der IPv6 und _seine Nutzung_ (vor allem
von Anbieterseite) sozusagen "ein kleiner Mosaikstein" ist.

> > IPv6 - mit dem ganzen darum aufgebauten Ramsch
>
> Warum aeusserst du dich zu dem Thema, wenn du keine Ahnung davon hast?

Sorry, wenn Du nicht verstehst, da� es bei diesen Entwicklungen eigentlich
nicht prim�r um die Technik geht. Leider _erm�glicht_ aber die Technik
diese Entwicklungen erst, und leider sind die Techniker oft recht
verst�ndnislos gegen�ber solchen (mi�br�uchlichen) Nutzungen. (Und leider
gibt es kaum M�glichkeiten, diese zu verhindern, sind sie erst einmal
erm�glicht.)
Aber wir lassen das wohl dann hier besser, das f�hrt offenbar zu nichts.

--

Juergen Ilse

unread,
May 20, 2013, 12:26:53 AM5/20/13
to
Hallo,

Sieghard Schicktanz <Sieghard....@schs.de> wrote:
> Du schriebst am 13 May 2013 07:17:52 GMT:
>> > Maschine zeitweise parallel unter _zwei_ (oder mehr) unterschiedlichen
>> > Adressen sendet und erreichbar ist.
>> Ja, ist auch so. Und?
> Dann lieᅵe sich ein "fliegender Adress-Wechsel" implementieren:
> noch offene Verbindungen werden unter der alten Adresse fertig bearbeitet,
> neue unter einer neuen aufgemacht. Be mehr als zwei aktiven Adressen ginge
> das sogar mit einer neuen Adresse fᅵr jede neue Verbindung. Damit kᅵnnte
> schon eine gewisse Anonymisierung erreicht werden, solange nicht andere
> Kriterien die Identitᅵt einer Maschine verraten.

Bingo.

>> Dynamische Zuweisung von IPv6-Praefixen ist genauso moeglich, wie
>> Statische Zuweisung von IPv4-Adressen und AFAIK findet man auch beides
>> im praktischen Einsatz. Der von dir angesprochene Unterschied ist also
>> kein Unterschied, der an "IPv4 oder IPv6" festzumachen waere.
> Ich habe ja auch nicht behauptet, daᅵ es nicht ginge, sondern nur darauf
> verwiesen, daᅵ (auch hier) immer wieder erwᅵhnt wird, daᅵ es bei IPv6
> _immer_ statische (/64er) Adressen geben soll,

Nein, global routebare weltweit eindeutige IPv6-Adressen. Statische
IPv6-Prefixe haben durchaus Vorteile (auf die ich auch nicht ver-
zichten moechte), aber ich habe nie behauptet, dass es nur statische
IPv6-Prefice geben sollte. Es gibt aber (egal ob statische oder
dynamische Prefixe) bei IPv6 normalerweise immer nur Internetzugang
mit global gerouteten, weltweit eindeutigen IPv6-Adressen fuer jedes
Geraet (unabhaengig davon, ob die dann witklich statisch sind oder nicht).

>> weltweit eindeutige IPv6-Adresse heisst noch laengst nicht "aus dem
>> Internet erreichbar". Es steht jedem frei, Paketfilter zu installieren
>> die das verhindern oder einfach das Kabel der Internet-verbindung zu
>> ziehen (gerade bei irgendwelchen "Dingen" die nicht per Internet erreich-
>> bar sein muessen).
> Die Hersteller werden es fertigbringen, daᅵ die internet-Verbindung fᅵr
> die Funktion _notwendig_ bestehen muᅵ. Was machste dann?

Ich wechsele den Hersteller.

>> > IPv6 - mit dem ganzen darum aufgebauten Ramsch
>> Warum aeusserst du dich zu dem Thema, wenn du keine Ahnung davon hast?
> Sorry, wenn Du nicht verstehst, daᅵ es bei diesen Entwicklungen eigentlich
> nicht primᅵr um die Technik geht.

Eigentlich geht es dabei *nur* um die Technik. Es gibt bei IPv4 einen
zu knappen Adressraum, das ist Fakt. IPv6 wurde entwickelt, um diese
Unzulaenglichkeit zu beseitigen. Auch das ist Fakt. Und wenn beim
Protokoll IPv6 besondere Ruecksicht auf "leichte Ueberwachbarkeit"
genommen worden waere, saehe das Protokoll deutlich anders aus.

> Leider _ermᅵglicht_ aber die Technik
> diese Entwicklungen erst, und leider sind die Techniker oft recht
> verstᅵndnislos gegenᅵber solchen (miᅵbrᅵuchlichen) Nutzungen. (Und leider
> gibt es kaum Mᅵglichkeiten, diese zu verhindern, sind sie erst einmal
> ermᅵglicht.)

Das verweigern besserer Technik, um Missbrauchsmoeglichkeiten zu
verhindern, ist aber keine Loesung, insbesondere dann nicht, wenn
die Grenzen der bisherigen Technik laengst erreicht sind.

Tschuess,
Juergen Ilse (jue...@usenet-verwaltung.de)

Sieghard Schicktanz

unread,
May 21, 2013, 8:06:28 PM5/21/13
to
Hallo Juergen,

Du schriebst am 20 May 2013 04:26:53 GMT:

> >> > Maschine zeitweise parallel unter _zwei_ (oder mehr)
> >> > unterschiedlichen Adressen sendet und erreichbar ist.
...
> > Verbindung. Damit k�nnte schon eine gewisse Anonymisierung erreicht
> > werden, solange nicht andere Kriterien die Identit�t einer Maschine
> > verraten.
>
> Bingo.

Sch�n. 1 Punkt pro.

> > verwiesen, da� (auch hier) immer wieder erw�hnt wird, da� es bei IPv6
> > _immer_ statische (/64er) Adressen geben soll,
>
> Nein, global routebare weltweit eindeutige IPv6-Adressen. Statische

Die mu� es sowieso geben.

> IPv6-Prefixe haben durchaus Vorteile (auf die ich auch nicht ver-
> zichten moechte), aber ich habe nie behauptet, dass es nur statische
> IPv6-Prefice geben sollte. Es gibt aber (egal ob statische oder

Du vielleicht nicht, aber es gab durchaus "Behauptungen", da� dem so sein
sollte.

> dynamische Prefixe) bei IPv6 normalerweise immer nur Internetzugang
> mit global gerouteten, weltweit eindeutigen IPv6-Adressen fuer jedes
> Geraet (unabhaengig davon, ob die dann witklich statisch sind oder nicht).

Bei Ger�ten mit der "Intelligenz einer Kaffeebohne", d.h. wirklich kleinem
Prozessor und Speicher, wird wohl kaum was anderes gehen. Und das wird
irgendwann die Mehrzahl der Teilnehmer sein.

...
> > Die Hersteller werden es fertigbringen, da� die internet-Verbindung f�r
> > die Funktion _notwendig_ bestehen mu�. Was machste dann?
>
> Ich wechsele den Hersteller.

Es gibt keinen Hersteller mehr, der es anders macht. Das geht auch
garnicht, weil der Prozessor wichtige Daten "aus der Cloud" ben�tigt.
Und jetzt?
(BTW, Du wei�t um den EG-Beschlu�, da� ab 2015 _jedes_ neue Auto zwingend
einen st�ndig aktiven �berwachungsrechner enthalten mu�, den sog. eCall-
"Notruf"-Transceiver? Und ja, der ist durchaus in der Lage, auch von au�en
Daten zu empfangen und solche ohne Wissen des Benutzers zu senden. Da ist
jedenfalls irgendwo auch das internet beteiligt, mit IPv6-Adressierung.)

> > eigentlich nicht prim�r um die Technik geht.
>
> Eigentlich geht es dabei *nur* um die Technik. Es gibt bei IPv4 einen

Es geht darum, da� es hier "gewisse Leute" gibt, die die M�glichkeiten
einer Technik f�r ihre Zwecke und nicht "unbedingt" zum Wohle der
Betroffenen auszunutzen suchen. Dene ist die _Technik_ selber wurscht.

> zu knappen Adressraum, das ist Fakt. IPv6 wurde entwickelt, um diese

Das ist nicht Fakt, sondern eine unhaltbare Behauptung. Wieviele Adressen
brauchen die Rechnergruppen ("Netzwerke") der Welt, um ohne Kollisionen
miteinander Daten austauschen zu k�nnen? Sicher keine 4 Milliarden - nicht
einmal dann, wenn es mehr als 4 Milliarden IP-f�hige Rechner g�be.
Schlie�lich sind viele davon in eigenen Netzen (mit nicht gerouteten
Adressen) zusammengeschaltet und verbinden sich nur per "Relais"
("Provider") �ber eine Zwischenstufe mit dem internet. Nur _diese_
letzteren brauchen eindeutige Adressen.
Aber man hat ja zu Beginn der Netzwerkerei die Adressen recht gr��z�gig
verschenkt, und jetzt traut sich die Netzwerkverwaltung nicht mehr, den
Beschenkten "ihren" Adressraum zu beschneiden, auch wenn die nur einen
winzigen Bruchteil davon nutzen (k�nnen).
Da ist nichts technisch bedingt, das ist reine Politik.

> Protokoll IPv6 besondere Ruecksicht auf "leichte Ueberwachbarkeit"
> genommen worden waere, saehe das Protokoll deutlich anders aus.

Einiges von dem, was Du hier in Richtung "Anonymisierung" angebracht hast,
ist erst viel sp�ter dazugekommen - insbesondere auch die omin�sen "privacy
extensions", was ja schon im Namen ausgedr�ckt ist. Die urspr�ngliche
Absicht bei IPv6 war doch durchaus, eine Adressierung zu schaffen, die es
erm�glicht, _jedem_ denkbaren teilnehmenden Ger�t eine eindeutige,
unverwechselbare Adresse geben zu k�nnen. Sicher in bester Absicht der
Entwickler, aber leider ohne Gedanken daran, was das an M�glichkeiten zum
_Mi�brauch_ beinhalten k�nnte.

> Das verweigern besserer Technik, um Missbrauchsmoeglichkeiten zu
> verhindern, ist aber keine Loesung, insbesondere dann nicht, wenn

Nicht in der Allgemeinheit - aber man sollte durchaus schon zu Anfang daran
denken, wie man Mi�brauch m�glichst einschr�nken kann - und zwar bevor man
dem alle T�ren schon aufgerissen hat...

> die Grenzen der bisherigen Technik laengst erreicht sind.

Sind sie aber nicht.
(Doch, ich denke hier durchaus an NAT - es mag eine Kr�cke sein, aber es
ist _bew�hrte Technik_ - funktioniert und erlaubt die Grenzen sehr weit
hinauszuschieben. Und zudem reduziert es das Datenaufkommen.)

Joerg Lorenz

unread,
May 22, 2013, 1:51:13 AM5/22/13
to
Am 22.05.13 02:06, schrieb Sieghard Schicktanz:
> (BTW, Du wei�t um den EG-Beschlu�, da� ab 2015 _jedes_ neue Auto zwingend
> einen st�ndig aktiven �berwachungsrechner enthalten mu�, den sog. eCall-
> "Notruf"-Transceiver? Und ja, der ist durchaus in der Lage, auch von au�en
> Daten zu empfangen und solche ohne Wissen des Benutzers zu senden. Da ist
> jedenfalls irgendwo auch das internet beteiligt, mit IPv6-Adressierung.)

Die EG gibt es seit Jahren nicht mehr.
Und ein aktives Ger�t kann, wie auch immer, "ausgeschaltet" werden.
Deine Behauptung bezweifle ich mal ganz, ganz stark.

Bring Belege f�r solche Behauptungen.

Juergen Ilse

unread,
May 22, 2013, 1:52:56 AM5/22/13
to
Hallo,

Sieghard Schicktanz <Sieghard....@schs.de> wrote:
>> > verwiesen, daᅵ (auch hier) immer wieder erwᅵhnt wird, daᅵ es bei IPv6
>> > _immer_ statische (/64er) Adressen geben soll,
>> Nein, global routebare weltweit eindeutige IPv6-Adressen. Statische
> Die muᅵ es sowieso geben.

Bei IPv4 und NAT gibt es sie nicht auf den einzelnen Endgeraeten,
bei IPv6 schon ...

>> IPv6-Prefixe haben durchaus Vorteile (auf die ich auch nicht ver-
>> zichten moechte), aber ich habe nie behauptet, dass es nur statische
>> IPv6-Prefice geben sollte. Es gibt aber (egal ob statische oder
> Du vielleicht nicht, aber es gab durchaus "Behauptungen", daᅵ dem so sein
> sollte.

Ich lese i.d.R. nur, dass es so sein *koennte*, und das ist korrekt.

> ...
>> > Die Hersteller werden es fertigbringen, daᅵ die internet-Verbindung fᅵr
>> > die Funktion _notwendig_ bestehen muᅵ. Was machste dann?
>> Ich wechsele den Hersteller.
> Es gibt keinen Hersteller mehr, der es anders macht. Das geht auch
> garnicht, weil der Prozessor wichtige Daten "aus der Cloud" benᅵtigt.
> Und jetzt?

Dann benutze ich statt dessen meinen jetzigen Rechner weiter, der auch
ohne staendige Netzwerkverbindung funktioniert ...

> (BTW, Du weiᅵt um den EG-Beschluᅵ, daᅵ ab 2015 _jedes_ neue Auto zwingend
> einen stᅵndig aktiven ᅵberwachungsrechner enthalten muᅵ, den sog. eCall-
> "Notruf"-Transceiver? Und ja, der ist durchaus in der Lage, auch von auᅵen
> Daten zu empfangen und solche ohne Wissen des Benutzers zu senden. Da ist
> jedenfalls irgendwo auch das internet beteiligt, mit IPv6-Adressierung.)

Das waere auch ohne Internet und IPv6 relisierbar. Wenn die Adressierung
in einem eigenen "Intranet" erfolgt, hat man auch nicht das Problem des
knappen IPv4-Addressraums. Auch hier ist nicht IPv6 das Problem.

>> > eigentlich nicht primᅵr um die Technik geht.
>> Eigentlich geht es dabei *nur* um die Technik. Es gibt bei IPv4 einen
> Es geht darum, daᅵ es hier "gewisse Leute" gibt, die die Mᅵglichkeiten
> einer Technik fᅵr ihre Zwecke und nicht "unbedingt" zum Wohle der
> Betroffenen auszunutzen suchen. Dene ist die _Technik_ selber wurscht.

Wenn sie das unbedingt realisieren wollten, wuerden sie das auch ohne
direkte Adressierung im Internet hinbekommen, denn es gaebe auch die
Moeglichkeit einfach ein Intranet/VPN/was auch immer drueber zu legen,
so dass man darin auch Adressen verwenden koennte, die im Internet
bereits anderweitig verwendet werden.

>> zu knappen Adressraum, das ist Fakt. IPv6 wurde entwickelt, um diese
> Das ist nicht Fakt, sondern eine unhaltbare Behauptung.

Realitaetsverweigerung ist keine Loesung.
NAT ist eine Kruecke, und selbst mit dieser Kruecke kommt man all-
maehlich an dem Punkt an, wo es trotz dieser Kruecke nicht mehr reicht.

> Wieviele Adressen brauchen die Rechnergruppen ("Netzwerke") der Welt,
> um ohne Kollisionen miteinander Daten austauschen zu kᅵnnen? Sicher
> keine 4 Milliarden

Stimmt, es sind erheblich mehr. Wenn auf der Erde 6 Milliarden Menschen
leben und man jedem Internetzugang gewaehren moechte, koennen allein
fuer deren Rechner 4 Mrd. Adressen nicht ausreichen, und da sind noch
nicht einmal Server und Infrastruktur (Transfernetze, Router, Load-
balancer, Firewalls, etc. drin). Fast jedes heutige Mobiltelefon ist
ein "Internetrechner", jedes Tablet, jeder Desktop-PC, jedes SIP-
Telefon, jedes "Smart-TV", ...

> - nicht einmal dann, wenn es mehr als 4 Milliarden IP-fᅵhige Rechner gᅵbe.

Es gibt mit Sicherheit schon heute erheblich mehr.

> Schlieᅵlich sind viele davon in eigenen Netzen (mit nicht gerouteten
> Adressen) zusammengeschaltet und verbinden sich nur per "Relais"
> ("Provider") ᅵber eine Zwischenstufe mit dem internet.

Wie ich bereits schrieb: NAT ist eine Kruecke, und auch wenn man sich
inzwischen daran gewoehnt hat, aendert das daran nichts.

> Aber man hat ja zu Beginn der Netzwerkerei die Adressen recht grᅵᅵzᅵgig
> verschenkt, und jetzt traut sich die Netzwerkverwaltung nicht mehr, den
> Beschenkten "ihren" Adressraum zu beschneiden, auch wenn die nur einen
> winzigen Bruchteil davon nutzen (kᅵnnen).

Hast du dir zuletzt die Zuwachsraten bei der Vergabe von IP-Adressen
angesehen? Trotz immer restriktiverer Vergabepolicy? Wuerde man die
grossen "so verschwenderisch vergebenen" Netze alle zu 100% neu verge-
ben koennen, haette das den (bereits erreichten) Zeipunkt, wo bereits
alle Adressen an die RIRs und von denen fast alle an dir LIRs vergeben
wurden, um vielleicht ein paar Monate, maximal 1 oder 2 Jahre hinaus-
schieben koennen. Was haette das denn gebracht?

> Da ist nichts technisch bedingt, das ist reine Politik.

Das ist die bloedsinnige Propaganda, wie sie von Vollidioten ohne die
geringste Ahnung von der Netzentwicklung immer gern verbreitet wird ...

>> Protokoll IPv6 besondere Ruecksicht auf "leichte Ueberwachbarkeit"
>> genommen worden waere, saehe das Protokoll deutlich anders aus.
> Einiges von dem, was Du hier in Richtung "Anonymisierung" angebracht hast,
> ist erst viel spᅵter dazugekommen - insbesondere auch die ominᅵsen "privacy
> extensions", was ja schon im Namen ausgedrᅵckt ist.

Der von der IETF abgesegnete IPv6-Standard wuerde 1998 verabschiedet.
Die erste Version des RFC fuer die privacy extensions erschien 2001,
also nur wenig spaeter. Ich sehe das zumindest nicht als "viel spaeter"
an ...

> Die ursprᅵngliche Absicht bei IPv6 war doch durchaus, eine Adressierung
> zu schaffen, die es ermᅵglicht, _jedem_ denkbaren teilnehmenden Gerᅵt
> eine eindeutige, unverwechselbare Adresse geben zu kᅵnnen.

Die urspruengliche Idee war es, die unmoegliche Kruecke NAT loszuwerden,
und zwar dauerhaft. Eine weitere Idee war das "one size fits it all":
Man wollte eine "Standardsubnetzgroesse", die fuer alle sinnvollen
Anwendungsfaelle ausreichend gross ist, und was dabei herausgekommen
ist, waren die /64 Subnetze ...

>> Das verweigern besserer Technik, um Missbrauchsmoeglichkeiten zu
>> verhindern, ist aber keine Loesung, insbesondere dann nicht, wenn
> Nicht in der Allgemeinheit - aber man sollte durchaus schon zu Anfang daran
> denken, wie man Miᅵbrauch mᅵglichst einschrᅵnken kann - und zwar bevor man
> dem alle Tᅵren schon aufgerissen hat...

Die Missbrauchsmoeglichkeiten sind nicht groesser als bei IPv4, wenn
man sich mit den Moeglichkeiten mal naeher beschaeftigt hat.

>> die Grenzen der bisherigen Technik laengst erreicht sind.
> Sind sie aber nicht.

Doch, auch wenn viele Laien es nicht begreifen ...

> (Doch, ich denke hier durchaus an NAT - es mag eine Krᅵcke sein, aber es
> ist _bewᅵhrte Technik_

Es fuehrt abseits von den "gaengigsten Protokollen" wie einfache TCP-
Connections und DNS nur von einer Sackgasse in die naechste. Und auch
wenn man immer weitere Kruecken hinzugwfuegt (wie z.B. NAT-Traversal
und der komplette Verzicht auf AH bei IPsec) funktioniert manches (wie
PPTP) durch NAT hindurch gar nicht oder wenn dann eher "nur rein zu-
faellig". Das Zeugs ist Mist, ein bloeder Workaround, den man besser
heute als morgen entsorgt, und der nur dazu getaugt hat, die Zeit
bis zum Nachfolger von IPv4 noch halbwegs ueberbruecken zu koennen.

> - funktioniert und erlaubt die Grenzen sehr weit
> hinauszuschieben.

Die Grenze, wo man noch weiter hinausschieben koennte, ist allmaehlich
schon erreicht (bzw. so nahegekommen, dass die Umstellung auf IPv6 nicht
mehr abwendbar sein kann). Wer anderes behauptet, ist ein Realitaets-
verweigerer.

> Und zudem reduziert es das Datenaufkommen.)

Wie kommst du denn auf das schmale Brett?

Sieghard Schicktanz

unread,
May 22, 2013, 3:14:55 PM5/22/13
to
Hallo Joerg,

Du schriebst am Wed, 22 May 2013 07:51:13 +0200:

> > zwingend einen st�ndig aktiven �berwachungsrechner enthalten mu�, den
> > sog. eCall- "Notruf"-Transceiver? Und ja, der ist durchaus in der Lage,
...
> Die EG gibt es seit Jahren nicht mehr.

"s/EG/EU/". Wer soll denn bei den st�ndigen Umbennenungen noch auf dem
Laufenden bleiben? ;=>

> Und ein aktives Ger�t kann, wie auch immer, "ausgeschaltet" werden.
> Deine Behauptung bezweifle ich mal ganz, ganz stark.

Klar kann das "ausgeschaltet" werden. Ich habe nicht das Gegenteil
behauptet - nur erw�hnt, da� es "st�ndig _aktiv_" sein soll. Fragt sich
auch noch, was damit alles verbunden ist und dann auch nicht mehr geht.
(So wie schon manche Software ohne internet-Verbindung kaum noch benutzbar
ist.)

> Bring Belege f�r solche Behauptungen.

Akzeptierst Du einen Artikel in der Zeitschrift "Elektronik"?
"elektronik automotive" 12/2012, S. 10. WEKA-Verlag, www.weka-fachmedien.de

Sieghard Schicktanz

unread,
May 25, 2013, 9:08:19 AM5/25/13
to
Hallo Juergen,

Du schriebst am 22 May 2013 05:52:56 GMT:

> >> Nein, global routebare weltweit eindeutige IPv6-Adressen. Statische
> > Die mu� es sowieso geben.
>
> Bei IPv4 und NAT gibt es sie nicht auf den einzelnen Endgeraeten,

Aber bei IPv4 ohne NAT. Oder willst Du sagen, da� es bei IPv4 kein einziges
"Endger�t" mehr g�be, das direkt "am Netz" h�ngt?

> bei IPv6 schon ...

[eindeutige feste Ger�teadressen]
> Ich lese i.d.R. nur, dass es so sein *koennte*, und das ist korrekt.

Ja, sicher _k�nnte_ es auch anders sein. Aber es wird im allgemeinen so
"verkauft", als ob es so sein m��te und da� das auch noch der allergr��te
Vorteil von IPv6 w�re. (Ich lese da grade einen Artikel [Elektronik 9/2013,
S. 42pp, "JavaScript auf Embedded-Ger�ten"], der da schon in den ersten
S�tzen ganz tief in diese Argumentation einsteigt. "Marketing Blurb"? Ja,
sicher - nur sind das leider _die_ Argumentationen, nach denen sich heute
die "Entscheider" richten...)

> > ...
> >> > Die Hersteller werden es fertigbringen, da� die internet-Verbindung
> >> > f�r die Funktion _notwendig_ bestehen mu�. Was machste dann?
> >> Ich wechsele den Hersteller.
> > Es gibt keinen Hersteller mehr, der es anders macht. Das geht auch
> > garnicht, weil der Prozessor wichtige Daten "aus der Cloud" ben�tigt.
> > Und jetzt?
>
> Dann benutze ich statt dessen meinen jetzigen Rechner weiter, der auch
> ohne staendige Netzwerkverbindung funktioniert ...

Du brauchst aber neue Software, bei der das nicht mehr der Fall ist. ?
Nein, Du kommst dem nicht aus. Wie h�ltst Du z.B. Dein Linux aktuell?
Orderst Du daf�r jedesmal eine neue CD? Die gibt es nicht mehr? Wieso?

[eCall]
> Das waere auch ohne Internet und IPv6 relisierbar. Wenn die Adressierung

Ja, sicher, es k�nnte ein ganz separates System sein. Aber verliert es
dadurch seine �berwachungsfunktion?

> >> > eigentlich nicht prim�r um die Technik geht.
> >> Eigentlich geht es dabei *nur* um die Technik. Es gibt bei IPv4 einen
> > Es geht darum, da� es hier "gewisse Leute" gibt, die die M�glichkeiten
> > einer Technik f�r ihre Zwecke und nicht "unbedingt" zum Wohle der
> > Betroffenen auszunutzen suchen. Dene ist die _Technik_ selber wurscht.
...

> >> zu knappen Adressraum, das ist Fakt. IPv6 wurde entwickelt, um diese
> > Das ist nicht Fakt, sondern eine unhaltbare Behauptung.
>
> Realitaetsverweigerung ist keine Loesung.
> NAT ist eine Kruecke, und selbst mit dieser Kruecke kommt man all-
> maehlich an dem Punkt an, wo es trotz dieser Kruecke nicht mehr reicht.

Beweisen.

> > Wieviele Adressen brauchen die Rechnergruppen ("Netzwerke") der Welt,
...
> Stimmt, es sind erheblich mehr. Wenn auf der Erde 6 Milliarden Menschen
> leben und man jedem Internetzugang gewaehren moechte, koennen allein
> fuer deren Rechner 4 Mrd. Adressen nicht ausreichen, und da sind noch

Du argumentierst wie ein Marketeer. Hat jedes Baby einen Rechner mit
internet-Zugang, und jeder Einsiedler, M�nch oder �hnliche genauso?
Zudem, wieviele Adressen braucht _ein_ Mensch?
Du hast Dir offenbar auch noch nie angeschaut, wie das Telefon-Festnetz
funktioniert (und das Funknetz genauso). Nein, Du hast _nicht_ eine eigene
Leitung f�r �berallhin zur Verf�gung, Deine "eigene" Leitung endet bei der
n�chsten Vermittlung, und was von dort weitergeht, reicht bei weitem nicht
daf�r, alle dort angeschlossene Teilnehmer gleichzeitig ein Gespr�ch f�hren
zu lassen. Das ist _auch_ eine Art von "NAT", jahrzehntelang in Betrieb,
bew�hrt und akzeptiert.

> nicht einmal Server und Infrastruktur (Transfernetze, Router, Load-
> balancer, Firewalls, etc. drin). Fast jedes heutige Mobiltelefon ist
> ein "Internetrechner", jedes Tablet, jeder Desktop-PC, jedes SIP-
> Telefon, jedes "Smart-TV", ...

Ja, und? Aber doch nie alle gleichzeitig.

> Wie ich bereits schrieb: NAT ist eine Kruecke, und auch wenn man sich
> inzwischen daran gewoehnt hat, aendert das daran nichts.

Und es �ndert auch nichts daran, da� es zuverl�ssig funktioniert und
bew�hrt ist.
(BTW, sieh' die externe Adresse doch einfach mal nicht als _Adresse_,
sondern als Verbindungsnummer, wie die Leitung beim Telefon. Das
relativiert die Sache doch erheblich - wieviele _Verbindungen_ bestehen
wohl im Normalfall gleichzeitig? Besonders bei einem Medium, das einen sehr
schnellen Umschlag bei den Verbindungen aufweist.)

...
> > Da ist nichts technisch bedingt, das ist reine Politik.
>
> Das ist die bloedsinnige Propaganda, wie sie von Vollidioten ohne die
> geringste Ahnung von der Netzentwicklung immer gern verbreitet wird ...

Danke, die Einsch�tzung gebe ich gerne zur�ck. Es gibt durchaus
unterschiedliche M�glichkeiten, echte und angenommene Knappheiten zu
bew�ltigen. Und es gibt durchaus auch M�glichkeiten, Knappheiten k�nstlich
zu erzeugen oder zumindest zu f�rdern, ganz davon abgesehen, Knappheiten
als zuk�nftige Gefahr f�r eine sichere Funktion in Aussicht zu stellen,
(Geh�ssige Randbemerkung, scnr: Daf�r sind Tellerr�nder immer sehr gut als
Erwartungshorizonte nutzbar.)

> >> Protokoll IPv6 besondere Ruecksicht auf "leichte Ueberwachbarkeit"
...
> Der von der IETF abgesegnete IPv6-Standard wuerde 1998 verabschiedet.
> Die erste Version des RFC fuer die privacy extensions erschien 2001,
> also nur wenig spaeter. Ich sehe das zumindest nicht als "viel spaeter"
> an ...
Deine pers�nliche Einsch�tzung. Es hat immerhin 3 Jahre gedauert - eher
mehr, weil die _Verabschiedung_ des Standards ja auch erstmal einige Zeit
diskutiert werden mu�te - bevor eine Nachbesserung (die wohl schon bei
Verabschiedung im Gespr�ch war) dann auch dazugenommen wurde.

> > Die urspr�ngliche Absicht bei IPv6 war doch durchaus, eine Adressierung
> > zu schaffen, die es erm�glicht, _jedem_ denkbaren teilnehmenden Ger�t
> > eine eindeutige, unverwechselbare Adresse geben zu k�nnen.
>
> Die urspruengliche Idee war es, die unmoegliche Kruecke NAT loszuwerden,

Damals war NAT aber eher noch nicht so das Argument. Aber zugegeben, die
genaue Begr�ndung f�r die "Notwendigkeit" einer 16 Byte (128 Bit)
umfassenden Adresse f�r Netzwerkger�te kenne ich nicht.

[NAT]
> > Und zudem reduziert es das Datenaufkommen.)
>
> Wie kommst du denn auf das schmale Brett?

Na, immerhin 12 Byte pro Datenpaket, oder gar 24, weil ja Sender- und
Empf�ngeradresse drinstecken...
(Kannst Du mal absch�tzen, wieviel Prozent der durchschnittlichen
Paketl�nge das ausmacht?)

Jan Heitkötter

unread,
May 25, 2013, 10:31:41 AM5/25/13
to
Am 06.05.2013 15:59, schrieb Dieter Britz:

[...]
> Das sieht sehr googlisch aus, und ich glaubte es ihnen. Ich bekam
> auch ein sms mit der selben Nachricht.

Der Text sieht gut aus -- ich war gerade in Frankreich und kenne das
Spielchen inkl. Freischaltung mit Mobile-TAN per SMS. Bei mir war die
Mail allerdings auf Deutsch.

Da Google seine Mails nicht digital signiert, kann das aber immer noch
eine geschickte Fälschung sein.

Gruß

Jan

Klaus von der Heyde

unread,
May 26, 2013, 3:58:23 AM5/26/13
to
Sieghard Schicktanz wrote:
> Du argumentierst wie ein Marketeer. Hat jedes Baby einen Rechner mit
> internet-Zugang, und jeder Einsiedler, Mᅵnch oder ᅵhnliche genauso?
> Zudem, wieviele Adressen braucht _ein_ Mensch?

Warum sollte man die Ressource beschrᅵnken?

> Du hast Dir offenbar auch noch nie angeschaut, wie das
> Telefon-Festnetz funktioniert (und das Funknetz genauso).

Leitungsvermittelt gegenᅵber paketvermittelt, das sieht nach einem
hinkenden Vergleich aus.

Jedenfalls, im Telefonnetz wird es als praktisch empfunden, wenn man
direkt von Endgerᅵt zu Endgerᅵt mit global eindeutiger Nummer
ᅵdurchwᅵhlenᅵ kann.

> Nein, Du
> hast _nicht_ eine eigene Leitung fᅵr ᅵberallhin zur Verfᅵgung,

Das ist allerdings den IP- und Telefonnetzen gleich, wenn auch die
Ressourcenzuteilung vᅵllig anders gestaltet ist.

> Deine
> "eigene" Leitung endet bei der nᅵchsten Vermittlung, und was von
> dort weitergeht, reicht bei weitem nicht dafᅵr, alle dort
> angeschlossene Teilnehmer gleichzeitig ein Gesprᅵch fᅵhren zu
> lassen.

Aber es reicht, um alle potenziell miteinander kommunizieren zu
lassen. Dieses Potenzial ist auch ᅵgleichzeitigᅵ vorhanden. Die Idee
des IP-Netzes ist auch, jederzeit Pakete ᅵberall hin schicken zu
kᅵnnen. Nur, ob sie ankommen ist eben fraglich, und was der Empfᅵnger
damit anstellt, auch.

> Das ist _auch_ eine Art von "NAT", jahrzehntelang in
> Betrieb, bewᅵhrt und akzeptiert.

Was das mit ᅵAddress Translationᅵ zu tun hat, erschlieᅵt sich mir
nicht ... aber wie gesagt, die Netze sind schwer vergleichbar.

> Und es ᅵndert auch nichts daran, daᅵ es zuverlᅵssig funktioniert und
> bewᅵhrt ist.

Das Wort ᅵDauerprovisoriumᅵ kommt mir da in den Sinn ...

> (BTW, sieh' die externe Adresse doch einfach mal nicht als
> _Adresse_, sondern als Verbindungsnummer, wie die Leitung beim
> Telefon.

Bei IP ist es aber vielleicht praktisch, die Adresse als Adresse zu
sehen ... ᅵbrigens auch die Telefonnummer als Telefonnummer, unter
der ich den Teilnehmer erreichen kann, auch wenn er bis vor 5 Minuten
noch mit jemand anderem verbunden war.

> Das relativiert die Sache doch erheblich - wieviele
> _Verbindungen_ bestehen wohl im Normalfall gleichzeitig? Besonders
> bei einem Medium, das einen sehr schnellen Umschlag bei den
> Verbindungen aufweist.)

Normal ist gar nichts ... und man sollte das auch nicht einschrᅵnken.
Es gibt z.B. lange TCP-ᅵVerbindungenᅵ zu IRC-Servern, SSH-Sessions.
Oder sehr kurze (DNS). IP ist aber verbindungslos. Ein Problem bei
dem typischen ᅵNATᅵ ist es, auch die hᅵheren Protokollebenen
berᅵcksichtigen zu mᅵssen, auch auf dem Router, der sich eigentlich
nur mit IP beschᅵftigen sollte.

Da traut man sich schon gar nicht, ein neues Protokoll zu entwerfen
(z.B. ᅵber UDP), auch wo dies ansonsten sinnvoll erscheinen wᅵrde,
weil es ᅵber ᅵNATᅵ erst funktioniert, wenn es die ᅵNATᅵ-Router kennen
und kᅵnnen. Hemmt irgendwie, oder?

> Na, immerhin 12 Byte pro Datenpaket, oder gar 24, weil ja Sender-
> und Empfᅵngeradresse drinstecken...

Ohne Optionen: IPv4: 20 Bytes, IPv6: 40 Bytes.

Klaus

Juergen Ilse

unread,
May 26, 2013, 11:10:15 PM5/26/13
to
Hallo,

Sieghard Schicktanz <Sieghard....@schs.de> wrote:
> Du schriebst am 22 May 2013 05:52:56 GMT:
>> >> Nein, global routebare weltweit eindeutige IPv6-Adressen. Statische
>> > Die muᅵ es sowieso geben.
>> Bei IPv4 und NAT gibt es sie nicht auf den einzelnen Endgeraeten,
> Aber bei IPv4 ohne NAT. Oder willst Du sagen, daᅵ es bei IPv4 kein einziges
> "Endgerᅵt" mehr gᅵbe, das direkt "am Netz" hᅵngt?

Der "Normalfall" bei Privatkundenanschluessen ist NAT bei IPv4 und
(sofern auch IPv6 verfuegbar ist) global geroutete Adressen bei IPv6.

>> bei IPv6 schon ...
> [eindeutige feste Gerᅵteadressen]
>> Ich lese i.d.R. nur, dass es so sein *koennte*, und das ist korrekt.
> Ja, sicher _kᅵnnte_ es auch anders sein. Aber es wird im allgemeinen so
> "verkauft", als ob es so sein mᅵᅵte und daᅵ das auch noch der allergrᅵᅵte
> Vorteil von IPv6 wᅵre.

Der groesste Vorteil von IPv6 isz die fehlende Notwendigkeit fuer NAT.
Ich habe bisher kaum andere Aussagen gelesen (jedenfalls kaum quali-
fizierte).

> (Ich lese da grade einen Artikel [Elektronik 9/2013,
> S. 42pp, "JavaScript auf Embedded-Gerᅵten"], der da schon in den ersten
> Sᅵtzen ganz tief in diese Argumentation einsteigt. "Marketing Blurb"? Ja,
> sicher - nur sind das leider _die_ Argumentationen, nach denen sich heute
> die "Entscheider" richten...)

Klingt nach "Webdesigner" und deren Netzwerkkenntnisse sind i.d.R.
wher begrenzt ...

>> > ...
>> >> > Die Hersteller werden es fertigbringen, daᅵ die internet-Verbindung
>> >> > fᅵr die Funktion _notwendig_ bestehen muᅵ. Was machste dann?
>> >> Ich wechsele den Hersteller.
>> > Es gibt keinen Hersteller mehr, der es anders macht. Das geht auch
>> > garnicht, weil der Prozessor wichtige Daten "aus der Cloud" benᅵtigt.
>> > Und jetzt?
>> Dann benutze ich statt dessen meinen jetzigen Rechner weiter, der auch
>> ohne staendige Netzwerkverbindung funktioniert ...
> Du brauchst aber neue Software, bei der das nicht mehr der Fall ist. ?

Ich brauche keine solche Software wie du sie beschreibst.

> Nein, Du kommst dem nicht aus.

Wollen wir wetten?

> Wie hᅵltst Du z.B. Dein Linux aktuell?

Indem ich gelegentlich (i.d.R. sogar taeglich) auf Verfuegbarkeit von
Updates checke. Benoetige ich dafuer eine dauerhafte Internetverbindung?
Nein, nicht zwingend. Muss dazu mein Rechner staendig mit dem Software-
hersteller kommunizieren? Nein.

> [eCall]
>> Das waere auch ohne Internet und IPv6 relisierbar. Wenn die Adressierung
> Ja, sicher, es kᅵnnte ein ganz separates System sein. Aber verliert es
> dadurch seine ᅵberwachungsfunktion?

Nein. Also hat das nicht das geringste mit IPv6 zu tun.

>> >> zu knappen Adressraum, das ist Fakt. IPv6 wurde entwickelt, um diese
>> > Das ist nicht Fakt, sondern eine unhaltbare Behauptung.
>> Realitaetsverweigerung ist keine Loesung.
>> NAT ist eine Kruecke, und selbst mit dieser Kruecke kommt man all-
>> maehlich an dem Punkt an, wo es trotz dieser Kruecke nicht mehr reicht.
> Beweisen.

Die Zahlen ueber das Wachstum des Internets sind oeffentlich, dass die
letzten /8 Bloecke an die RIRs vergeben sind, ebenfalls, genauso, dass
z.B. das RIPE die letzte Phase der IPv4-Adressvergabe eingelautet hat
und welche Konsequenzen das hat. Die Ueberlegungen von z.B. Comcast,
die zum massiven pushen von IPv6 gefuehrt haben, kann man ebenso im
Netz nachlesen (trotz NAT haette Comcast sonst nach eigener Kalkulation
100000 zusaetzliche IPv4-Adressen benoetigt, aber keine Chance, diese
zu erhalten).

>> > Wieviele Adressen brauchen die Rechnergruppen ("Netzwerke") der Welt,
> ...
>> Stimmt, es sind erheblich mehr. Wenn auf der Erde 6 Milliarden Menschen
>> leben und man jedem Internetzugang gewaehren moechte, koennen allein
>> fuer deren Rechner 4 Mrd. Adressen nicht ausreichen, und da sind noch
> Du argumentierst wie ein Marketeer. Hat jedes Baby einen Rechner mit
> internet-Zugang, und jeder Einsiedler, Mᅵnch oder ᅵhnliche genauso?

Dafuer haben viele Personen auch mehr als einen Rechner, die meisten
Handynutzer hierzulande haben ihren "Zweitrechner" in der Regel immer
dabei ...

> Zudem, wieviele Adressen braucht _ein_ Mensch?

Keine, nur sein IT-Equipment benoetigt welche (auch wenn die meisten
Nutzer keine Ahnung davon haben).

> Du hast Dir offenbar auch noch nie angeschaut, wie das Telefon-Festnetz
> funktioniert (und das Funknetz genauso).

Das Telefon-Festnetz arbeitet mit Leitungsvermittlung (zumindest jetzt
noch), das Internet mit Paketvermittlung. Ist dir der Unterschied klar?

> Nein, Du hast _nicht_ eine eigene Leitung fᅵr ᅵberallhin zur Verfᅵgung,

Die Entsprechung fuer IP-Adressen sind nicht die Leitungen sondern
die Telefonnummern ...

> Deine "eigene" Leitung endet bei der nᅵchsten Vermittlung, und was von
> dort weitergeht, reicht bei weitem nicht dafᅵr, alle dort angeschlossene
> Teilnehmer gleichzeitig ein Gesprᅵch fᅵhren zu lassen.

Die Entsprechung fuer dieses overcommittment waere, dass die Backbone-
Kapazitaeten im Netz nicht dafuer ausreichen, dass jedes Endgeraet
staendig mit der maximalen Datenrate das Netz nutzen kann. Deine
Analogien sind voellig untauglich.

> Das ist _auch_ eine Art von "NAT",

Nein, die Nutzung der selben Telefonnummer fuer verschiedene Endgeraete
entspraeche "NAT"m und das hat sich (obwohl es teilweise moeglich waere)
nur in sehr begrenztem Umfang durchgesetzt (dabei wuerden aber die meisten
NAT.Probleme nicht auftreten, da es sich wie bereits erwaehnt um Lei-
tungsvermittlung und nicht um Paketvermittlung handelt).

> jahrzehntelang in Betrieb, bewᅵhrt und akzeptiert.

... und ist mit NAT in Datennetzen noch weniger vergleichbar als
ein Kuhfladen mit einer Sachertorte (letztere sind zumondest beide
einigermassen rund) ...

>> nicht einmal Server und Infrastruktur (Transfernetze, Router, Load-
>> balancer, Firewalls, etc. drin). Fast jedes heutige Mobiltelefon ist
>> ein "Internetrechner", jedes Tablet, jeder Desktop-PC, jedes SIP-
>> Telefon, jedes "Smart-TV", ...
> Ja, und? Aber doch nie alle gleichzeitig.

Die Infrastruktur, die Server, die Router, ... i.d.R. alle gleichzeitig,
und bei den Endkundengeraeten geht der Trend auch immer mehr zu "always
online" (z.B. weil jemand eigene Serverdienste anbieten moechte, im
Zweifelsfall vielleicht fuer seine eigenen Mobilgeraete, oder weil er
seinen Videorecorder mit Internetanschluss auch von Fern programmieren
koennen moechte, oder weil das Smart-TV staendig nebenbei Programm.
informationen aus dem Netz zieht, oder ...).

>> Wie ich bereits schrieb: NAT ist eine Kruecke, und auch wenn man sich
>> inzwischen daran gewoehnt hat, aendert das daran nichts.
> Und es ᅵndert auch nichts daran, daᅵ es zuverlᅵssig funktioniert und
> bewᅵhrt ist.

Fuer denkenigen, duer den das Internet nicht nur aus dem WWW und evt.
E-Mail besteht, funktioniert es in manchen Bereichen nicht sehr zuver-
laessig und in anderen Bereichen gar nicht. Und ha, das Internet
besteht aus mehr als WWW und E-Mail.

> (BTW, sieh' die externe Adresse doch einfach mal nicht als _Adresse_,
> sondern als Verbindungsnummer, wie die Leitung beim Telefon.

Dadurch, dass du deine schon jetzt unzutreffenden Analogien noch weiter
verbiegst, werden sie nicht wirklich besser ...

>> > Da ist nichts technisch bedingt, das ist reine Politik.
>> Das ist die bloedsinnige Propaganda, wie sie von Vollidioten ohne die
>> geringste Ahnung von der Netzentwicklung immer gern verbreitet wird ...
> Danke, die Einschᅵtzung gebe ich gerne zurᅵck. Es gibt durchaus
> unterschiedliche Mᅵglichkeiten, echte und angenommene Knappheiten zu
> bewᅵltigen.

Ausser IPv6 kamen von Leuten mit Ahnung aber noch keine praktikablen
Vorschlaege (Nein, das ignorieren des Mangels und die Hoffnung, dass
NAT auch zukuenftig reichen wird, ist *keine* praktikable Loiesung).

> Und es gibt durchaus auch Mᅵglichkeiten, Knappheiten kᅵnstlich
> zu erzeugen oder zumindest zu fᅵrdern,

Wo genau soll das bei IPv4 passiert sein?

>> > Die ursprᅵngliche Absicht bei IPv6 war doch durchaus, eine Adressierung
>> > zu schaffen, die es ermᅵglicht, _jedem_ denkbaren teilnehmenden Gerᅵt
>> > eine eindeutige, unverwechselbare Adresse geben zu kᅵnnen.
>> Die urspruengliche Idee war es, die unmoegliche Kruecke NAT loszuwerden,
> Damals war NAT aber eher noch nicht so das Argument.

NAT wurde erfunden, um die bereits damals absehbaren Engpaesse bei
IPv4-Adressen zu ueberbruecken, bis ein Nachfolgeprotokoll fuer IPv4
ohne diese Beschraenkungen verfuegbar ist. Es war von Anfang an nur
als Uebergangsloesung gedacht.

> Aber zugegeben, die genaue Begrᅵndung fᅵr die "Notwendigkeit" einer
> 16 Byte (128 Bit) umfassenden Adresse fᅵr Netzwerkgerᅵte kenne ich nicht.

Es sollte halt reichen, und es ist einfach nicht sinnvoll, hier so etwas
wie "Bitknauserei" zu betreiben ...

> [NAT]
>> > Und zudem reduziert es das Datenaufkommen.)
>> Wie kommst du denn auf das schmale Brett?
> Na, immerhin 12 Byte pro Datenpaket, oder gar 24, weil ja Sender- und
> Empfᅵngeradresse drinstecken...

Was fuer eine schwachsinnige Argumentation ...

Sieghard Schicktanz

unread,
May 28, 2013, 3:43:24 PM5/28/13
to
Hallo Klaus,

Du schriebst am Sun, 26 May 2013 09:58:23 +0200:

> > Zudem, wieviele Adressen braucht _ein_ Mensch?
>
> Warum sollte man die Ressource beschränken?

Wenn Du so fragst - ist dann nicht die _Beschränkung_ auf eine 128-Bit-
Adresse auch unnötig? Auch eine 1K-Byte-Adresse ist _beschränkt_.
Um keine Beschränkung haben zu können, müßte die Adresse beliebig lang
werden können.
BTW: welche Ressource ist _nicht_ beschränkt?

> Leitungsvermittelt gegenüber paketvermittelt, das sieht nach einem
> hinkenden Vergleich aus.

Leitungsgeschaltet gegenüber verbindungsgeschaltet.
Die Vermittlungstechnik war nicht das Kriterium, sondern (eben) die
Verwendung einer beschränkten, aber wiederverwendbaren Ressource zur
Bewältigung von Nutzungsanforderungen in größerer Zahl als unmittelbar
bearbeitbar.

> Jedenfalls, im Telefonnetz wird es als praktisch empfunden, wenn man
> direkt von Endgerät zu Endgerät mit global eindeutiger Nummer
> »durchwählen« kann.

Die Telefonnummer ist da ohne Belang - Du kannst nicht direkt von Endgerät
zu Endgerät mit global eindeutiger _Leitung_ sprechen. Die eindeutige
Leitung endet an der Vermittlung, dort wird eine "Übersetzung" gemacht auf
andere Leitungen, und das mehrfach bis zum Partnerteilnehmer. Nach Ende des
Gesprächs sind die _zwischengeschalteten_ Leitungen wieder für andere
Nutzung verfügbar.
Für's "Topic" ersetze "Leitung" durch "IP-Adresse".

> > dort weitergeht, reicht bei weitem nicht dafür, alle dort
> > angeschlossene Teilnehmer gleichzeitig ein Gespräch führen zu
> > lassen.
>
> Aber es reicht, um alle potenziell miteinander kommunizieren zu
> lassen. Dieses Potenzial ist auch »gleichzeitig« vorhanden. Die Idee

Nein, ist es nicht, nicht bei weitem. Es können kaum ein paar Prozent aller
Telefonteilnehmer _geleichzeitig_ miteinander sprechen.

> des IP-Netzes ist auch, jederzeit Pakete überall hin schicken zu
> können. Nur, ob sie ankommen ist eben fraglich, und was der Empfänger
> damit anstellt, auch.

Nicht bei Protokollen mit Verbindungsaufbau. Für diese ist eine
durchgehende Kontrolle und ggfs. "Reparatur" der Verbindung möglich (TCP
z.B.).
Bei _verbindungslosen_ Protokollen ist das nicht so einfach, das ist
richtig. Dafür gibt es im Leitungs-Analogon keine Entsprechung; im IP(v4)-
Netz ist aber sogar das behandelbar, weil jeder Teilnehmer mit seiner
Aufschaltung gegenüber dem _Netz_ (den Vermittlungen) identifizierbar ist -
er erhält dabei eine eindeutige Adresse gegenüber dem Netzwerk, die solange
bestehen bleibt, wie er die Anschaltung aufrecht erhält.

> > Das ist _auch_ eine Art von "NAT", jahrzehntelang in
> > Betrieb, bewährt und akzeptiert.
...
> Das Wort »Dauerprovisorium« kommt mir da in den Sinn ...

Naja, beim Telefonnetz inzwischen schon wielange in Benutzung?

> Normal ist gar nichts ... und man sollte das auch nicht einschränken.
> Es gibt z.B. lange TCP-»Verbindungen« zu IRC-Servern, SSH-Sessions.
> Oder sehr kurze (DNS). IP ist aber verbindungslos. Ein Problem bei

Kannst Du _ausschließlich_ mit dem IP (internet-Protokoll) Daten direkt
zwischen Endgeräten übertragen? Prinzipiell sollte das gehen.
Genauso wie bei den Standleitungen (fest geschaltete Leitungen zwischen
Teilnehmern / Endgeräten) in der Telefontechnik. Die zehren aber auch recht
heftig an der Ressource "Leitungskapazität" und sind deshalb teuer.

> Da traut man sich schon gar nicht, ein neues Protokoll zu entwerfen
...
> und können. Hemmt irgendwie, oder?

Wenn Du unbedingt beliebig viele Protokolle haben mußt, mußt Du halt mit
einer "Standleitung" (festen Adresse) arbeiten.

> > Na, immerhin 12 Byte pro Datenpaket, oder gar 24, weil ja Sender-
> > und Empfängeradresse drinstecken...
>
> Ohne Optionen: IPv4: 20 Bytes, IPv6: 40 Bytes.

Ok, diverse Unterschiede im Header-Aufbau modifizieren das etwas.
Und was ist die durchschnittliche Paketgröße?
(Bei 280 Byte durchschnittlicher Paketgröße wären das immerhin ca. 7%, bei
20K Byte nur noch 0,1% "Mehrbedarf".)

--

Sieghard Schicktanz

unread,
May 28, 2013, 4:29:35 PM5/28/13
to
Hallo Juergen,

Du schriebst am 27 May 2013 03:10:15 GMT:

> > [eindeutige feste Geräteadressen]
> Der groesste Vorteil von IPv6 isz die fehlende Notwendigkeit fuer NAT.

Und damit die eindeutige Identifizierbarkeit der Teilnehmer.

> Ich habe bisher kaum andere Aussagen gelesen (jedenfalls kaum quali-
> fizierte).

Nachdem Du andere Aussagen als unqualifiziert definierst, ist das klar.

> > (Ich lese da grade einen Artikel [Elektronik 9/2013,
> > S. 42pp, "JavaScript auf Embedded-Geräten"], der da schon in den ersten
> > Sätzen ganz tief in diese Argumentation einsteigt. "Marketing Blurb"?
> > Ja, sicher - nur sind das leider _die_ Argumentationen, nach denen sich
> > heute die "Entscheider" richten...)
>
> Klingt nach "Webdesigner" und deren Netzwerkkenntnisse sind i.d.R.
> wher begrenzt ...

Ja, _genau_! Und _diese_ _definieren_ die Nutzung eines eher überwiegenden
Teils des internet und damit das Verhalten der Provider, um diese Nutzung
zu ermöglichen. D.h. die Provider kriegen durch diese Hauptkunden die
Möglichkeit, ihre "Jäger- und Sammler-Leidenschaft" vollumfänglich zu
befriedigen, weil sie die _Nutzer_ nicht daran hindern - können.

[internet-basierte Software]
> > Nein, Du kommst dem nicht aus.
>
> Wollen wir wetten?

Ich wette zwar grundsätzlich nicht, aber hier würde ich schon was einsetzen.

> > Wie hältst Du z.B. Dein Linux aktuell?
>
> Indem ich gelegentlich (i.d.R. sogar taeglich) auf Verfuegbarkeit von
> Updates checke. Benoetige ich dafuer eine dauerhafte Internetverbindung?

Du benötigst immerhin eine internet-Verbindung, wenn auch nicht dauerhaft.
(Ich leider auch.) Du liest aber doch sicher auch Mails uns News? Auch das
geht ohne dauernde internet-Verbindung, aber da wird's schon schwieriger.
Du benutzt sicher auch keine Cloud-Dienste oder server-basierte Software
von (z.B.) Halbleiterherstellern. Da geht's ohne (wenigstens für die Dauer
der Nutzung) dauerhafte internet-Verbindung schon nicht mehr.

> > [eCall]
> Nein. Also hat das nicht das geringste mit IPv6 zu tun.

Nein. Aber das hat das _eigentliche_ Topic dieses Threads auch nicht...

[zu knapper Adressraum}
> Die Zahlen ueber das Wachstum des Internets sind oeffentlich, dass die

Jajaja, die politischen Angstvorstellungen halt...
Nein, ich habe die nicht aufs letzte Bit untersucht und werde das auch
nicht tun. Ein definitiver Nachweis, daß 4 Milliarden Datenströme
gleichzeitig über eine Leitung geschickt werden müßten, wird nicht darunter
sein und wohl auch nie gebracht werden. Das wäre das Kriterium für "zu
knappen Adressraum". Meinetwegen auch schon bei der Hälfte oder einem
Zehntel davon.
(10^9 Datenströme parallel auf einer 26Gb/s-Leitung [war irgendwo mal als
extremer Wert zu lesen] entspräche einer mittleren Datenrate von ca.
3Byte/s pro Datenstrom. Da müßten schon "ein paar" solcher Leitungen
parallel betrieben werden...)

> >> > Wieviele Adressen brauchen die Rechnergruppen ("Netzwerke") der Welt,
> > ...
> >> Stimmt, es sind erheblich mehr. Wenn auf der Erde 6 Milliarden Menschen
...
> > Du argumentierst wie ein Marketeer. Hat jedes Baby einen Rechner mit
> > internet-Zugang, und jeder Einsiedler, Mönch oder ähnliche genauso?

> Dafuer haben viele Personen auch mehr als einen Rechner, die meisten
> Handynutzer hierzulande haben ihren "Zweitrechner" in der Regel immer
> dabei ...

Ja, von vielleicht 2% der Erdbevölkerung mit Computern die Hälfte 4 Geräte?
Macht 5% von 6 Milliarden, also knapp 1/3 Milliarde.
Gut, kommt schon fast langsam auf ein Zehntel der 4 Milliarden hin, fängt
also tatsächlich schon langsam an, sich der Knappheit anzunähern...

> > Zudem, wieviele Adressen braucht _ein_ Mensch?
>
> Keine, nur sein IT-Equipment benoetigt welche (auch wenn die meisten

Gut erkannt... ;-) Und davon auch nur die Geräte, die gerade aktiv sind und
Netzdatenverkehr betreiben können sollen.
(BTW, nee, doch, _eine_ Adresse braucht jeder Mensch eigentlich schon,
irgendwo wohnen sollte er doch. Auch wenn's für manche nichtmal dafür
reicht...)

> > Du hast Dir offenbar auch noch nie angeschaut, wie das Telefon-Festnetz
> > funktioniert (und das Funknetz genauso).
>
> Das Telefon-Festnetz arbeitet mit Leitungsvermittlung (zumindest jetzt
> noch), das Internet mit Paketvermittlung. Ist dir der Unterschied klar?

Durchaus.

> Die Entsprechung fuer IP-Adressen sind nicht die Leitungen sondern
> die Telefonnummern ...

Nein. Das habe ich in der Antwort an Klaus beschrieben.

...
> Ausser IPv6 kamen von Leuten mit Ahnung aber noch keine praktikablen
> Vorschlaege (Nein, das ignorieren des Mangels und die Hoffnung, dass
> NAT auch zukuenftig reichen wird, ist *keine* praktikable Loiesung).

IPv6 ist eine vollkommen überzogene "Lösung" von Leuten, die keine
Vorstellung von Größenordnungen haben und sich als Zugpferd vor die
Machtgelüste von Politik und Wirtschaft spannen ließen.

> > Und es gibt durchaus auch Möglichkeiten, Knappheiten künstlich
> > zu erzeugen oder zumindest zu fördern,
>
> Wo genau soll das bei IPv4 passiert sein?

Durch extrem großzügige Vergabe von Adressen gleich zu Beginn, die sich
keiner traut, wieder zurückzunehmen. Oder sollte das jetzt etwa doch
passiert sein?

--
Message has been deleted

Christian Steins

unread,
Jun 23, 2013, 10:44:44 AM6/23/13
to
Am 07.05.2013 08:35, schrieb Uwe Premer:
>> Nuja, ein Google-Konto muss man ja nicht zum Mailen benutzen. Doof ist
>> natürlich, dass man es nicht anonym aufladen kann, um Apps zu kaufen.
>
> Man denkt wohl grad an eine PayPal-Zahlmöglichkeit nach.
> Für T-Mobile-Kunden gibt es die Möglichkeit, via Mobilfunkrechnung Apps zu
> kaufen.
> Hab ich bisher einmal problemlos verwendet.

Dito für Vodafone.

Christian

0 new messages