[HaBo]
| News & Ankündigungen Aktuelle News rund ums Netz - recherchiert von unseren Usern, sowie offizielles vom Team und Ankündigungen der Moderatoren findet ihr hier. |
wer traut SSL?
Diskussion: wer traut SSL? im Forum News & Ankündigungen, in der Kategorie Allgemeines; Anzeige Spannende News aus dem Land der CAs. BEsteht die Moeglichkeit, das die Feds saemtliche SSL verschluesselten Kommunikationen mitlesen koennen? ...
 |
26.03.10, 09:40
| #1 (permalink) |
| Moderator  Registriert seit: 30.06.08  Likes: 227 |  wer traut SSL? Anzeige Spannende News aus dem Land der CAs. BEsteht die Moeglichkeit, das die Feds saemtliche SSL verschluesselten Kommunikationen mitlesen koennen? In den USA gibt es einen Hersteller solcher spezieller Geraete, aber der "knackt" nichts  Lesen und aergern: http://www.eff.org/deeplinks/2010/03...ments-fake-ssl http://www.wired.com/threatlevel/201...ket-forensics/
__________________ Wenn ein Gesetz nicht gerecht ist, dann geht die Gerechtigkeit vor dem Gesetz! Habo Blog - http://blog.hackerboard.de/ |
|  |
|
27.03.10, 22:48
| #2 (permalink) |
 Registriert seit: 30.01.10 Likes: 1 | Naja, ich finde diese Meldung wenig überraschend. Jeder der sich näher mit dem Signierungsprozess von Zertifikaten beschäftigt hat, sollte schon gemerkt haben, dass sowas potentiell möglich ist. Vielleicht findet nun aber mal ein Umdenken bei den Browser-Herstellern statt, nicht Hunderte von CA-Zertifkaten fest in die Browser zu integrieren und danach einfach alles durchzuwinken...
__________________ Programming today is a race between software engineers striving to build bigger and better idiot-proof programs, and the Universe trying to produce bigger and better idiots. So far, the Universe is winning. - Rick Cook - |
|
| |
| HaBOT | - Anzeige - |
|
|
27.03.10, 23:29
| #3 (permalink) |
| Registriert seit: 30.06.08  Likes: 0 | Es gibt für Firefox diese Erweiterung: Perspectives. Im Prinzip fragt Firefox bei jeder neuen SSL-Verbindung, ob das Zertifikat bereits anderen Nutzern bekannt ist. So soll sichergestellt werden, dass bei selbstsignierten Zertifikaten kein einfacher mitm-Angriff möglich ist, weil keiner den Fingerprint auswendig kennt  Hilft aber nicht gegen langfristig durchgeführte Angriffe. |
|
| |
|
28.03.10, 01:35
| #4 (permalink) |
| Registriert seit: 05.10.05  Likes: 5 | Ich bin der Meinung von Dresko. Es ist eigentlich nichts neues. Unser Informatik Lehrer hat dies sogar erwähnt als wir das Thema "Verschlüsselung und Signierung" durchmachten. Es ist aber die beste Alternative zum normalen http. Worüber ich mir mehr sorgen mache ist die Einbindung in Web-Services: Ein bekanntes soziales Netzwerk, dessen Name ich jetzt nicht nennen will, verfügt zum Beispiel über so eine geniale Einbindung. Die original Seite ruft beim Login eine https-Seite auf. Warum sollte ich auf die https-Verbindung warten, wenn ich direkt die Login-Seite manipulieren kann und so beim klicken des Login Buttons das Passwort an mich, als MITM-Angreifer, senden kann. Von mir aus gleich ein redirect weiter an den original Server. So bemerkt der User nichts. (Advanced: Login-Formular so bearbeiten das ein Ajax-Request an deinen Server mit dem Passwort gesendet wird und den Login normal durchführen. Proof of Concept Meine Meinung dazu ist entweder die Seite vollkommen mit SSL schützen oder es ganz zu lassen. Ein Mix aus beidem ist irgendwie seltsam. MfG Inliferty |
|
| |
|
| - Anzeige - | |
|
|
[HaBo] » Allgemeines » News & Ankündigungen » wer traut SSL?
| Themen-Optionen | |
| Ansicht | |
Linear-Darstellung
| |
