[keweonDNS][Online Security und Adblock][Ohne Root][Offiziell-Support]

  • 2.196 Antworten
  • Letztes Antwortdatum
Status
Für weitere Antworten geschlossen.
Und mich würde mal interessieren, ob die bei Congstar genauso im Hintergrund alles abgreifen?! 🤪
 
@nik
Nee, nee. DNS kannst du sowas nicht mitschneiden, das ist klar. Da die aber - zumindest für die Werbung - einen ProxyDNS nutzen, damit geht das dann. Mit DNS allein kannst du das so nicht machen. Das ist dann falsch rübergekommen.
Beiträge automatisch zusammengeführt:

@foofighter
Bei der T-Mobile/T-Online/Telekom bin ich da auch nur draufgekommen, weil die das in den Datenschutzänderungen drin haben und weil die alles mit Gewalt betreiben, dass die Daten durch das Stoeerer Netzwerk gehen. Hätten die beides nicht gemacht, wäre das wahrscheinlich nie aufgefallen.

Bei Congstar bin ich selbst bzw. meine kleine Tochter. Da Congstar allerdings der LowBudget Dealer der Telekom für den Consumer Bereich ist, krieg ich grade leichte Panikzustände. Zumindest geht die Rechnungsstellung über die Telekom.
 
Zuletzt bearbeitet:
  • Danke
Reaktionen: nik
Ok, du gehst hier von einem klassischen Man in the middle aus. Aber wie kommst du hier auf das Mitschneiden von verschlüsselten Nachrichten? Der Proxy sieht ja auch nur, was nicht verschlüsselt übertragen würde.
 
Weil die das in der Konstellation so machen können. Da das allerdings keiner mitbekommen wird, wie hoch schätzt du die Wahrscheinlichkeit dass die das nicht machen?

Der Proxy sieht ja auch nur, was nicht verschlüsselt übertragen würde.

Nimm einfach mal Fiddler und schau dir an was damit machbar ist wenn du HTTPS Logging aktivierst. HTTPS selbst ist nur eine End2End Verschlüsselung - keine Datenverschlüsselung. Das bedeutet, der Traffic, selbst HTTPS, ist recht einfach in Echtzeit mitlesbar. Und einfach auf der rechten Seite mal "klicken" - schon ist es "entschlüsselt". Kurzum, das wäre technisch für die auch kein großes Ding, denn die Infrastruktur ist zum einen Vorbereitet wie man sieht und zum anderen, ganz ehrlich, die Telekom würde das alles aus der Portokasse zahlen und merkt es noch nicht mal dass sich irgendwo Zahlen bewegen.
 
Zuletzt bearbeitet:
@nik
Um fair zu bleibne, es gäbe noch eine "alternative" warum die das so gemacht haben. Da ich mit keweon der einzige war der das Stoeerer Netzwerk umgangen bin und weil keweonDNS viel in Deutschland genutzt wird, hat die Telekom die Seite extra wegen meiner DNS Server die Seite so umgebaut.

Das hätte den Vorteil, die müssten nur die Zahlen mit der Login Seite und die Zahlen mit dem Logoaufruf vergleichen. Sobald hier unterschiede wären, wüssten die sofort bescheid, dass hier das Netzwerk umgangen wird. Zusätzliche DNS Server, ProxyDNS Server, Backend Monitoring, Umbau der Webseite, zusätzliche Infrastruktur, Personal, etc, etc. - was allerdings immer noch bedeutet, die hätten weiterhin die Möglichkeiten alles mitzulesen.

Wenn die allerdings schon die Logindaten der Nutzer durch die Werbeinfrastruktur schicken, wenn du dir die "Datenschutzerklärung" ansiehst:
...including information we learn from your web and device usage data...
und
...we tie it to your mobile advertising identifier or another unique identifier...

1617081395893.png


wenn du überlegst welche Möglichkeiten die damit haben - was bitte klingt dann wahrscheinlicher?
ProxyDNS, mehr Daten sammeln und verkaufen - oder alles nur zum Schutz zur Erkennung von keweonDNS Nutzern?
 
Das ist auch historisch gewachsen. T-Online war früher ein eigenes Unternehmen, dann wurde T-Online wieder zur Telekom zurückgeholt. Die Seite von T-Online wurde von den Usern aber weiter gern als News-Seite genutzt, was der Telekom mit der Zeit zu viel Aufwand wurde, weswegen die Seite dann verkauft wurde. Um die Nutzer nicht zu sehr vor den Kopf zu stoßen (und wahrscheinlich auch wegen irgendwelcher halbseidenen Verträge) hat man den Login für den Mail-Zugang auf der Port-Seite belassen.

Und schon allein wegen irgendwelcher Zuständigkeiten, ist das nicht so ganz einfach. Und das sich die Telekom nicht immer für die technisch einwandfreiste Lösung entscheidet, wurde ja nun des öfteren bewiesen.

MrT69 schrieb:
Und einfach auf der rechten Seite mal "klicken" - schon ist es "entschlüsselt".
ja, dann bekommt der Nutzer eine Fehlermeldung, was in modernen Browsern ziemlich schnell auffällt. Ganz so trivial ist das nicht. Und die Inhalte von der Mail-Seite werden wiederum mit einem anderen Zertifikat verschlüsselt, weshalb Ströer nur den verschlüsselten Traffic Richtung Telekom sehen dürfte, falls das Szenario so zutrifft.
 
@nik
Nimm einen Switch, PortMirroring aktiv, eine CISCO WSA (Web Security Appliances) und dann kriegst du alles in klartext ohne das der "echte Traffic" angefasst wird. PortMirroring kann heute sogar jeder billige Netgear Switch.
 
Ja, und bei nem Web-Proxy brauchst du auch ein root-Zertifikat, dem der Client vertraut, wie bei deinem Dienst auch. Wenn man das nicht installiert, gibt es eben nen Zertifikatsfehler. Ohne wird der Client eine Fehlermeldung bekommen und die Verbindung wird nicht aufgebaut.
 
  • Danke
Reaktionen: MrT69
@nik
Das ist die Theorie. So sieht allerdings die Praxis aus wenn du folgende Adresse aufrufst:
Code:
https://login.stroeerdp.de

Bei Chrome landest du auf T-Online. Auf anderen Browsern, hier beim EDGE, Zertifikatsfehler.
1617169096445.png

Am Handy das gleiche. Chrome geht, Safari bringt einen Fehler und es geht trotzdem. Kann mir das einer erklären?
 
Servus,

Mir ist bei der Android-App von Etoro (Playstore) aufgefallen
wenn ich deine DNS aktiv habe (dot.asecdns.com) kann ich mich nicht bei der App einloggen.
Aber wenn ich die DNS deaktiviere, funktioniert die App und ich kann mich einloggen.

Vielen Dank schon mal im voraus
MFG Schizo1987
 
  • Danke
Reaktionen: MrT69
@Schizo1987
Sollte jetzt laufen 😉
 
  • Danke
Reaktionen: Schizo1987
Cool vielen Dank!

Einloggen kann ich mich jetzt, aber mit der DNS zeigt mir die App jetzt keine Bilder mehr an, ohne schon.


Bild einmal mit DNS und einmal ohne DNS
IMG_20210405_215441.jpg IMG_20210405_215526.jpg

MFG Schizo1987
 
Zuletzt bearbeitet von einem Moderator:
Bearbeitet von: hagex - Grund: Bilder verkleinert. Gruß von hagex
  • Danke
Reaktionen: MrT69
@Schizo1987
Jetzt schaut auch die Hauptseite von etoro.de besser aus ;) Danke dir.
 
  • Danke
Reaktionen: Schizo1987
Ne ne ich habe dir zu Danken @MrT69 !!!
Jetzt funktioniert alles Perfekt vielen Dank für deine zeitnahe Unterstützung.

MFG Schizo1987
 
amazon.de

Wozu es eigentlich die DSGVO gibt ist mir inzwischen ein Rätsel. Daten schützen in Europa? Von wegen, denn hier mal ein weiteres Beispiel von Amazon.

1619440138521.png


Das ist ein Remote Logging eines deutschen Users und hier passiert folgendes:

Vor der blauen Linie klickt die Nutzerin auf Bestellübersicht/Status in der Amazon App (Android). Was dann passiert ist mir nicht ganz klar, denn das geht auf einen Cloudfront Server. Dann wird's aber wieder lustig. Amazon schickt die Daten über Facebook (graph.facebook.com) und anschließend noch über trk.pinterest.com - wobei die Nutzerin keine Facebook App installiert hat und die Pinterest App geschlossen war.

Spannend ist die Kommunikation - denn das switcht gewaltig zwischen trk und api von Pinterest wie auch graph von Facebook.
Aber hey, immerhin haben die ja eine Datenschutzerklärung. Das ist alles gewissenhaft und sorgfältig.

1619440680236.png
 
  • Danke
Reaktionen: s30507090, orgshooter, Wattsolls und eine weitere Person
Krass!
😱
Jetzt kapiere ich erst, wieso du mich gefragt hast, ob ich Pinterest und Facebook offen habe. 😂
Das ist echt Übel... Zumal ich weder Facebook noch Pinterest jemals mit Amazon verknüpft hatte...
Schon heftig... Manches will man einfach nicht wissen...

Danke für die Erklärung @MrT69
 
  • Danke
Reaktionen: Wattsolls und MrT69
@Sitara Aci La Rose

Oh… wusste gar nicht dass du hier auch bist 😉
 
  • Haha
Reaktionen: Sitara Aci La Rose
@MrT69 hast du das mal auch mit der Browserversion probiert? Tritt dort ein ähnliches Phänomen auf?
 
  • Danke
Reaktionen: MrT69
@orgshooter
Ne, aber das ist ne gute Idee. Wenn Frau oder ich das nächste mal Shoppen gehen, werd ich das dann sogar mal mit HTTPS Inspection ansehen. Browser und App.

Ich will mal sehen was die da wo und wie an Daten sorgfältig und gewissenhaft übertragen.
 
  • Danke
Reaktionen: orgshooter und Wattsolls
Info:

Da bei dns.keweon.center demnächst die Zertifikate ablaufen, hab ich nicht nur diese erneut, sondern einen kompletten Server Upgrade durchgeführt.

Bis auf einen Server (176.9.62.58 bzw. 62) sind jetzt alle Server auf einem aktuellen Stand und um es kurz zu machen, zumindest in Deutschland dürfte es keinen schnelleren DoH/DoT Server geben.

Die Hardware ist gleich geblieben, und ihr solltet definitiv einen Unterschied bemerken, vor allem bei den Ladezeiten von Webseiten.

DoH:

DoT (z.B. Android Privates DNS)
dns.keweon.center

Da gerade SSL/TLS extrem auf CPU und RAM geht, haben sich die 2 Jahre Entwicklung - aus meiner Sicht - rentiert. Da ist zwar immer noch Luft nach oben, aber ich denke mit den Servern kann man definitiv leben.

Die Systemstabilität wie auch Sicherheit wurden drastisch erhöht, denn die Server laufen nicht mehr auf Linux, sondern auf Unix.

Es gab vereinzelt Fälle in denen eine Domain nicht aufgelöst werden konnte, obwohl diese definitiv nicht in der Blackliste war. Das führte, manchmal, zu gravierenden Fehlern und teilweise gingen Apps auch nicht mehr richtig. Warum dass der Fall war kann ich bis heute nicht nachvollziehen.

Freu mich über jedes Feedback - und auch wenn es schlechter geworden sein sollte, ruhig raus damit.

In diesem Sinne, viel Spaß!
 
Zuletzt bearbeitet:
  • Danke
  • Freude
Reaktionen: s30507090, cptechnik, orgshooter und 2 andere
Status
Für weitere Antworten geschlossen.

Ähnliche Themen

5
Antworten
14
Aufrufe
2.630
holms
holms
onemaster
Antworten
10
Aufrufe
706
holms
holms
Liverpool
  • Liverpool
Antworten
18
Aufrufe
2.350
bibo007
B
Zurück
Oben Unten