Seite 1 von 2 12 LetzteLetzte
Ergebnis 1 bis 20 von 29
  1. #1
    Gesperrt
    Registriert seit
    Oct 2012
    Beiträge
    44
    Danksagungen
    0

    Standard SSL-Verschlüsselung laut Studie unsicher

    Einer Analyse von rund einer Million Webseiten zufolge ist die Verschlüsselungstechnik Secure Sockets Layer (SSL) nicht wirklich sicher. Zu diesem Ergebnis kommt jedenfalls die Münchner Firma SecureNet, die sich auf Anwendungssicherheit spezialisiert hat.

    zur News

  2. #2
    Mitglied
    Registriert seit
    Apr 2012
    Beiträge
    2.415
    Danksagungen
    58

    Standard Re: SSL-Verschlüsselung laut Studie unsicher

    Den für dieses Problem bestehenden Schutzmechanismus gibt es ebenfalls seit 2009, allerdings nutzen ihn die wenigsten. Die Technik mit dem Namen HTTP Strict Transport Security (HSTS) ermöglicht es dem Server den Browser zu "zwingen" ausschließlich https-Links zu schicken.
    Sagt mir jetzt was? Dass mein Browser Links schickt und ich wusste noch gar nichts davon? Ich dachte immer, ich klicke Links an, die mir der Server liefert.

  3. #3
    Mitglied Avatar von HouseKatZe
    Registriert seit
    Apr 2010
    Ort
    /root
    Beiträge
    1.138
    NewsPresso
    10 (Fachgröße)
    Danksagungen
    35

    Standard Re: SSL-Verschlüsselung laut Studie unsicher

    Dass man HTTPS- in HTTP-Links, die über eine nicht verschlüsselte Verbindung geschickt werden, umwandelt hat mit SSL an sich erst mal nicht viel zu tun da es ja in diesem Fall zu keinem Zeitpunkt involviert gewesen ist. Demnach kann man die SSL-Verschlüsselung auch nicht als unsicher bezeichnen!

    Die Überschrift des Artikels und folgender Satz in der Einleitung sind leider inhaltlich nicht korrekt, Herr Raff: "Einer Analyse von rund einer Million Webseiten zufolge ist die Verschlüsselungstechnik Secure Sockets Layer (SSL) nicht wirklich sicher."

    PS: HSTS ist nicht die einzige Methode um sich gegen derartige Angriffe zu schützen. Es würde als Besucher einer Seite vollkommen ausreichen diese immer direkt per HTTPS-Link aufzurufen.

  4. #4
    Mitglied
    Registriert seit
    Apr 2012
    Beiträge
    875
    Danksagungen
    0

    Standard Re: SSL-Verschlüsselung laut Studie unsicher

    Wenn ich das richtig verstehe, würde man die Manipulation doch dadurch bemerken, dass in der Adressleiste plötzlich https mit http ersetzt wird?

  5. #5
    Gesperrt Avatar von P7BB
    Registriert seit
    May 2009
    Beiträge
    2.543
    NewsPresso
    5 (Könner)
    Danksagungen
    46

    Standard Re: SSL-Verschlüsselung laut Studie unsicher

    Zitat Zitat von HouseKatZe Beitrag anzeigen
    Dass man HTTPS- in HTTP-Links, die über eine nicht verschlüsselte Verbindung geschickt werden, umwandelt hat mit SSL an sich erst mal nicht viel zu tun da es ja in diesem Fall zu keinem Zeitpunkt involviert gewesen ist. Demnach kann man die SSL-Verschlüsselung auch nicht als unsicher bezeichnen!
    Dem kann ich nur zustimmen. Man knackt hierbei nicht die Verschlüsselung, sondern umgeht sie. Das wäre so, als wenn ich sage, dass alle Smartphones unsicher sind, weil man ja schädliche Apps installieren kann. Also völlig lächerliche Überschrift.

    Edit: @ Trollolol: Ja, würde man. Plugins wie https-Everywhere würden vermutlich schon Abhilfe schaffen

  6. #6
    Mitglied
    Registriert seit
    Nov 2011
    Ort
    Vorhanden
    Beiträge
    304
    NewsPresso
    1 (Talent)
    Danksagungen
    0

    Standard Re: SSL-Verschlüsselung laut Studie unsicher

    Zitat Zitat von P7BB Beitrag anzeigen
    Dem kann ich nur zustimmen. Man knackt hierbei nicht die Verschlüsselung, sondern umgeht sie. Das wäre so, als wenn ich sage, dass alle Smartphones unsicher sind, weil man ja schädliche Apps installieren kann. Also völlig lächerliche Überschrift.

    Edit: @ Trollolol: Ja, würde man. Plugins wie https-Everywhere würden vermutlich schon Abhilfe schaffen
    Ob man sie knackt oder umgeht ist meines Erachtens irrelevant. Eine Stahltür in ein Haus aus Pappe zu bauen bezeichnet ja auch niemand als "sicher". Auch wenn der Anbieter der Tür sicher gern behaupten wird das niemand die Tür aufbrechen kann.

  7. #7
    Mitglied
    Registriert seit
    Mar 2009
    Beiträge
    566
    Danksagungen
    13

    Standard Re: SSL-Verschlüsselung laut Studie unsicher

    Zitat Zitat von Cacheperl Beitrag anzeigen
    Ob man sie knackt oder umgeht ist meines Erachtens irrelevant. Eine Stahltür in ein Haus aus Pappe zu bauen bezeichnet ja auch niemand als "sicher". Auch wenn der Anbieter der Tür sicher gern behaupten wird das niemand die Tür aufbrechen kann.
    Der Verkäufer der Stahltür schon ^^

    Die Tür ist ja auch sicher, das Haus eben nicht.

    SSL ist "sicher" das gesamt Packet Browser-Sicherheit eben nicht.

  8. #8
    Mitglied Avatar von HouseKatZe
    Registriert seit
    Apr 2010
    Ort
    /root
    Beiträge
    1.138
    NewsPresso
    10 (Fachgröße)
    Danksagungen
    35

    Standard Re: SSL-Verschlüsselung laut Studie unsicher

    Es wäre toll wenn man im DNS seiner Domain (per TXT-RR oder als Erweiterung von DANE) angeben könnte, dass diese nur per HTTPS zu kontaktieren ist.

    Natürlich würde das nur in Verbindung mit DNSSEC-Signierten Domains Sinn machen.

  9. #9
    ex-Moderator Avatar von Kugelfisch23
    Registriert seit
    Oct 2007
    Beiträge
    18.640
    Danksagungen
    401

    Standard Re: SSL-Verschlüsselung laut Studie unsicher

    Zu erwähnen ist, dass HSTS nur während der im Header angegebenen Cache-Dauer vor einem MitM-Szenario schützt. Hat der Browser den Strict-Transport-Security-Header nicht durch einen vorherigen Kontakt über einen sicheren Kanal erhalten, kann ihn der Angreifer in einem MitM-Szenario ebenso filtern, wie er den beschriebenen sslstrip-Angriff durchführen kann. Insofern ist das meines Erachtens kein echter Schutz, sondern bloss ein teilweiser Workaround für ein Problem, welches auf der Benutzerseite zu suchen ist.

    Sinnvoller wäre meines Erachtens, einerseits dafür zu sorgen, dass per HTTPS erhaltene Cookies nicht per HTTP übermittelt werden - das ist in allen verbreiteten Browsern über das Secure-Only-Flag beim Setzen der Cookies möglich; dadurch verhindert man, dass ein Angreifer einen Benutzer von einer anderen Website auf die HTTP-Version der eigenen Website umleiten und die dabei unverschlüsselt übertragenen Cookies (welche u.U. Authentifizierungsinformationen enthalten) in einem ungeschützten Netzwerk ohne jeden MitM-Angriff passiv mitlesen kann. Auch könnten Benutzer versehentlich die eigene Website per HTTP statt per HTTPS aufrufen, wobei keine Cookies übertragen werden sollten.
    Andererseits sollte in jedem Browser offensichtlich sein, ob die aktuell angezeigte Seite und eventuelle externe Ressourcen per HTTPS übertragen wurde. Das ist bei modernen Browsern bereits der Fall (durch ganz oder teilweise farbige Adressleisten). Der Benutzer ist an diesem Punkt dafür verantwortlich, vor der Eingabe vertraulicher Daten zu überprüfen, ob HTTPS genutzt wird und der Hostname korrekt ist.
    Geändert von Kugelfisch23 (07. 11. 2012 um 23:06 Uhr) Grund: Tippfehler korrigiert.

  10. #10
    Gesperrt Avatar von musv
    Registriert seit
    Jul 2008
    Beiträge
    5.638
    Danksagungen
    16

    Standard Re: SSL-Verschlüsselung laut Studie unsicher

    Zitat Zitat von tobiasraff Beitrag anzeigen
    Einer Analyse von rund einer Million Webseiten zufolge ist die Verschlüsselungstechnik Secure Sockets Layer (SSL) nicht wirklich sicher.
    Ok, in der News wird beschrieben, dass SSL umgangen werden kann durch einen Man-In-The-Middle-Angriff, wo einfach die HTTPS-Verbindung in eine HTTP-Verbindung umgewandelt ist. Wie Kugelfisch schon erklärt hat, sieht man ja bei jedem aktuellen Browser, ob da oben jetzt ein HTTPS oder HTTP steht.

    Wo ist denn jetzt der Punkt, dass SSL nicht sicher ist? Ich würde mal grob behaupten, dass der Artikel, so wie er geschrieben ist, sachlich falsch ist.

  11. #11
    Mitglied
    Registriert seit
    Nov 2011
    Beiträge
    9
    Danksagungen
    0

    Thumbs up Re: SSL-Verschlüsselung laut Studie unsicher

    Zitat Zitat von HouseKatZe Beitrag anzeigen
    Es wäre toll wenn man im DNS seiner Domain (per TXT-RR oder als Erweiterung von DANE) angeben könnte, dass diese nur per HTTPS zu kontaktieren ist.

    Natürlich würde das nur in Verbindung mit DNSSEC-Signierten Domains Sinn machen.
    Wenn du firefox nutzt, kann dir evtl. das Plugin "https everywhere" helfen. Sollte ich seine Funktion nicht komplett missverstehen, zwingt es deinen Browser stets HTTPS zu verwenden, wenn dies von der angesurften Website angeboten wird.

  12. #12
    Mitglied Avatar von DaTroubler
    Registriert seit
    Sep 2004
    Ort
    Basra
    Beiträge
    2.531
    NewsPresso
    1 (Talent)
    Danksagungen
    20

    Standard Re: SSL-Verschlüsselung laut Studie unsicher

    Ich habe gerade Rücksprache mit meiner Bank gehalten. Die Lücke wird momentan nicht ausgenutzt und es gibt keine Möglichkeit die Lücke endgültig zu schließen. Das vorgeschlagene Erzwingen einer SSL Verbindung kann (laut meiner Bank) unterdrückt werden, so dass der Browser immer noch unverschlüsselt zu Gange ist.

  13. #13
    deaktivierter Nutzer
    deaktiviertes Benutzerkonto

    Standard Re: SSL-Verschlüsselung laut Studie unsicher

    Genau das ist das Problem, es ist nur ein zusätzlicher Header der man bei einer MiM-Attacke einfach raus filtern kann. Das ist ja auch das Gefährliche daran, der Client bekommt die Daten unter Umständen nur in modifizierter Form zu Gesicht.

    Teilweise ist sogar eine MiM-Attacke üblich bei dem der Client trotzdem eine SSL-Verbindung aufbaut, allerdings nicht mit dem Server sondern mit dem Angreifer. Die meisten Benutzer achten nicht auf die Sicherheitsstufe des Zertifikats und es gibt genug Anbieter über die man sich falsche Zertifikate signieren lassen kann.

  14. #14
    Mitglied Avatar von DaTroubler
    Registriert seit
    Sep 2004
    Ort
    Basra
    Beiträge
    2.531
    NewsPresso
    1 (Talent)
    Danksagungen
    20

    Standard Re: SSL-Verschlüsselung laut Studie unsicher

    Aber was halt beruhigt ist, dass ein Angriff nur "live" ausgeführt werden kann. Damit ist ein hoher Aufwand verbunden. In die Fläche geht der Angriff nicht.

  15. #15
    Mitglied Avatar von Novo
    Registriert seit
    Jul 2006
    Beiträge
    1.318
    Danksagungen
    1082

    Standard Re: SSL-Verschlüsselung laut Studie unsicher

    Also der Artikel ist so Sachlich falsch.
    HTTPS ist NICHT unsicher, im Moment kann HTTPS nur einfach umgangen werden.
    Tools wie HTTPS Everywhere sind zwr sinvoll, nützen dir aber nichts wenn der Webseitenbetreiber kein HTTPS anbietet bze. nebenher noch HTTP.

    Zitat Zitat von DaTroubler Beitrag anzeigen
    Aber was halt beruhigt ist, dass ein Angriff nur "live" ausgeführt werden kann. Damit ist ein hoher Aufwand verbunden. In die Fläche geht der Angriff nicht.
    gibt diverse scripts um das zu automatisieren wenn du in einem öffentlichen wlan hockst.

  16. #16
    Mitglied Avatar von HouseKatZe
    Registriert seit
    Apr 2010
    Ort
    /root
    Beiträge
    1.138
    NewsPresso
    10 (Fachgröße)
    Danksagungen
    35

    Standard Re: SSL-Verschlüsselung laut Studie unsicher

    Zitat Zitat von Novo Beitrag anzeigen
    Also der Artikel ist so Sachlich falsch.
    Sehe ich auch so. Zumindest die zwei Sätze die ich weiter oben erwähnt hatte. Wieso wird das nicht korrigiert?

    Zitat Zitat von Novo Beitrag anzeigen
    Tools wie HTTPS Everywhere sind zwr sinvoll, nützen dir aber nichts wenn der Webseitenbetreiber kein HTTPS anbietet bze. nebenher noch HTTP.
    Ja, doch. Genau dafür gibt es ja das Add-On. Alle Seiten in der Liste unterstützen HTTP und HTTPS. Das Add-On schreibt, lokal in deinem Browser, alle HTTP-Links zu HTTPS-Links um. Oder meintest du 'Mixed-Scripting'? Dann sind wir einer Meinung.

    PS: Alle die sich mehr für solche Themen interessieren kann ich den Blog des Chrome-Entwicklers Adam Langley empfehlen.

  17. #17
    Mitglied Avatar von DaTroubler
    Registriert seit
    Sep 2004
    Ort
    Basra
    Beiträge
    2.531
    NewsPresso
    1 (Talent)
    Danksagungen
    20

    Standard Re: SSL-Verschlüsselung laut Studie unsicher

    HTTPS Everywhere bringt doch bei dem Angriff nichts wenn der Man in the Middle Https blockt.
    gibt diverse scripts um das zu automatisieren wenn du in einem öffentlichen wlan hockst.
    Ja trotzdem muss die "live" laufen im öffentlichen wlan. Die Trojaner werden in die masse gestreut da muss kein PC an sein (außer halt die server) und trotzdem gehen Überweisungen von den Opfern aufs Konto ein. Musst also nicht neben dran sitzen.

  18. #18
    Gesperrt Avatar von P7BB
    Registriert seit
    May 2009
    Beiträge
    2.543
    NewsPresso
    5 (Könner)
    Danksagungen
    46

    Standard Re: SSL-Verschlüsselung laut Studie unsicher

    Zitat Zitat von DaTroubler Beitrag anzeigen
    HTTPS Everywhere bringt doch bei dem Angriff nichts wenn der Man in the Middle Https blockt.
    Wenn das immer so leicht wäre, wie du es klingen lässt, hätte ich in der Schule schon lange kein Internet mehr

  19. #19
    Mitglied Avatar von DaTroubler
    Registriert seit
    Sep 2004
    Ort
    Basra
    Beiträge
    2.531
    NewsPresso
    1 (Talent)
    Danksagungen
    20

    Standard Re: SSL-Verschlüsselung laut Studie unsicher

    Naja der MiM kann doch kontrollieren was durch die Leitung kommt und was nicht. Und somit kann er auch vor HTTPs everywhere "geheimhalten" dass die Seite https kann.

  20. #20
    Mitglied
    Registriert seit
    Apr 2012
    Beiträge
    875
    Danksagungen
    0

    Standard Re: SSL-Verschlüsselung laut Studie unsicher

    Zitat Zitat von DaTroubler Beitrag anzeigen
    Naja der MiM kann doch kontrollieren was durch die Leitung kommt und was nicht. Und somit kann er auch vor HTTPs everywhere "geheimhalten" dass die Seite https kann.
    Wenn ich das add-on richtig verstanden habe, geht das nicht, weil es eine Liste aller ssl unterstützenden Seiten hat und somit von anfang an https verwendet wird, somit der MiM auch gar nicht erst überhaupt etwas sieht und drehen kann.

  21.  
     
     
Seite 1 von 2 12 LetzteLetzte

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •