Blah-Archiv » TLS http://localhost/blah-dev Kurz und knapp und blah... Thu, 01 Aug 2013 18:58:27 +0000 de-DE hourly 1 http://wordpress.org/?v=3.6 Wischofon des Tages: Dieses HTTPS meint doch, da… http://localhost/blah-dev/2013/01/11/wischofon-des-tages-dieses-https-meint-doch-da/ http://localhost/blah-dev/2013/01/11/wischofon-des-tages-dieses-https-meint-doch-da/#comments Fri, 11 Jan 2013 13:21:44 +0000 Nachtwächter http://localhost/blah-dev/2013/01/11/wischofon-des-tages-dieses-https-meint-doch-da/ Wischofon des Tages: Dieses HTTPS meint doch, das die Verbindung so verschlüsselt ist, dass weder jemand mitlesen kann noch dass sich jemand anders als die Website ausgeben kann, die ich gerade bediene. Deshalb macht mein Browserchen da doch ein kleines Schloss hin, damit auch Mitmensch Kopfkäse weiß, dass das sicher ist. Einmal davon abgesehen, dass TLS im Arsch ist und sogar schon gefälschte Zertifikate von Google in der freien Wildbahn auftraten… bei Nokia-Händis… ach nee, das heißt jetzt ja smart phones, weil das Hirn zum Fon gewandert ist… also bei Nokia-Händis für die totale Orwellness voller Vertrauen gegenüber irgendwelchen zentralen Dienststellen, da stimmt nicht einmal mehr das mit der Verschlüsselung, die schicken das alles in Klartext über einen Nokia-Server. Kann bitte endlich mal jemand anfangen, diesem ganzen Pack negatives soziales Feedback zu geben!

]]>
http://localhost/blah-dev/2013/01/11/wischofon-des-tages-dieses-https-meint-doch-da/feed/ 1
Tja, früher haben die Menschen Browser benutzt…. http://localhost/blah-dev/2012/12/03/tja-frueher-haben-die-menschen-browser-benutzt/ http://localhost/blah-dev/2012/12/03/tja-frueher-haben-die-menschen-browser-benutzt/#comments Mon, 03 Dec 2012 18:22:11 +0000 Nachtwächter http://localhost/blah-dev/2012/12/03/tja-frueher-haben-die-menschen-browser-benutzt/ Tja, früher haben die Menschen Browser benutzt. Das sind diese Anwendungen, mit denen man (vor allem) das World Wide Web nutzen kann. Diese Browser haben unter anderem eine Adresszeile, in der man sieht, auf welcher Site man sich befindet und welche Ressource man dort anfordert – und ganz vorne steht das Schema, damit auch klar ist, welches Protokoll das ist. Wenn da http: steht, ist es unverschlüsseltes HTTP, und wenn da https: steht, ist es TLS-verschlüsseltes und damit relativ abhörsicheres HTTP. Das kann auch ein Mensch mit eher beschränkten mentalen Fähigkeiten noch gut verstehen und daraus ableiten, welches Verhalten gerade ziemlich doof wäre. Zum Beispiel kann er erkennen, dass es ziemlich doof wäre, in einem flugs genutzten offenen WLAN Zugangsdaten unverschlüsselt preiszugeben, um sich irgendwo einzuloggen und irgendwas zu machen, weil sonst ja jeder an den Account rankönnte. Und mit einem bisschen mehr technischer Ahnung kann er auch erkennen, dass ein Cookie einfach so mitgelesen werden könnte, wenn die Kommunikation nicht verschlüsselt ist.

Inzwischen haben viele Menschen diese tollen Wischofone, und darauf gilt es als unchic, wenn man etwas mit dem ollen Browser macht. Da macht man das alles mit Äpps, da wird für jeden noch so winzigen Internet-Anwendungsfall eine eigene Äpp geproggt und installiert. Ist ja auch besser, weil… ähm… tja, warum nur… ach ja, weil man dann nicht mehr lernen muss, wie man im Browser ein Lesezeichen setzt und anschließend nutzt. Und natürlich sind immer wieder Leute mit ihren Wischofonen in irgendwelchen WLANs unterwegs, weil es ist ja toll, dass es doch manchmal ein offenes gibt. Vor allem, wenn man eine dieser »Flatrates« hat, bei der nach einem bestimmten Datenvolumen einfach die Geschwindigkeit auf eine halbe Schnecke runtergeschraubt wird. Natürlich zeigen die Äpps – anders als jeder Browser – überhaupt nicht an, ob sie jetzt verschlüsselt mit irgendeinem Server kommunizieren oder nicht, denn das ist ja alles nur verwirrend. Tja, und so kommt es dann, dass bei unverschlüsselter Kommunikation einfach ein Account übernommen werden kann, wie jetzt mal wieder bei Instagram. Ohne, dass ein Nutzer auch nur die Chance hätte, das Problem irgendwie zu erkennen. Aber davon abgesehen sind die Äpps und generell die Wischofone mit ihrer dümmlichen 90er-Jahre-Security-Naivität in den 10er Jahren mit ihrer ausgeprägten Internetkriminalität ganz was tolles, was jeder unbedingt haben muss. Weil es ja besser und moderner und so…

]]>
http://localhost/blah-dev/2012/12/03/tja-frueher-haben-die-menschen-browser-benutzt/feed/ 1
TLS ist tot. Wenn selbst Verisign mehrfach gehac… http://localhost/blah-dev/2012/02/15/tls-ist-tot-wenn-selbst-verisign-mehrfach-gehac/ http://localhost/blah-dev/2012/02/15/tls-ist-tot-wenn-selbst-verisign-mehrfach-gehac/#comments Wed, 15 Feb 2012 18:18:27 +0000 Nachtwächter http://localhost/blah-dev/2012/02/15/tls-ist-tot-wenn-selbst-verisign-mehrfach-gehac/ TLS ist tot. Wenn selbst Verisign mehrfach gehackt wird und – als ob das noch schlimm genug wäre – versucht, das einfach totzuschweigen, statt den angemessenen Alarm zu machen; wenn also mutmaßlich gefälschte Zertifikate aller Art in gewissen Kreisen zirkulieren, dann betrachte ich dieses HTTPS nur noch als Schlangenöl. Oder, um es mit den Worten eines Anwalts der NSA zu sagen: Oh my God! That could allow people to imitate almost any company on the Net. Ja, jeder hätte sich ein Zertifikat ausstellen können, mit dem er sich als jede Website dieser Welt hätte ausgeben können, und alle Browser hätten diesem Zertifikat vertraut.

]]>
http://localhost/blah-dev/2012/02/15/tls-ist-tot-wenn-selbst-verisign-mehrfach-gehac/feed/ 0
Link auf Fefe, ohne weitere Hinzufügungen über … http://localhost/blah-dev/2011/12/08/link-auf-fefe-ohne-weitere-hinzufuegungen-ueber/ http://localhost/blah-dev/2011/12/08/link-auf-fefe-ohne-weitere-hinzufuegungen-ueber/#comments Thu, 08 Dec 2011 15:37:02 +0000 Nachtwächter http://localhost/blah-dev/2011/12/08/link-auf-fefe-ohne-weitere-hinzufuegungen-ueber/ Link auf Fefe, ohne weitere Hinzufügungen über die Klitschen, denen für die Sicherheit des Internet von jedem Browser voll vertraut wird.

Nachtrag: Die deutsche Meldung bei Heise ist für viele wohl leichter lesbar als Niederländisch…

]]>
http://localhost/blah-dev/2011/12/08/link-auf-fefe-ohne-weitere-hinzufuegungen-ueber/feed/ 0
Na, wenn das so ist, dass da bei einer CA seit v … http://localhost/blah-dev/2011/11/05/na-wenn-das-so-ist-dass-da-bei-einer-ca-seit-v/ http://localhost/blah-dev/2011/11/05/na-wenn-das-so-ist-dass-da-bei-einer-ca-seit-v/#comments Sat, 05 Nov 2011 17:54:31 +0000 Nachtwächter http://localhost/blah-dev/2011/11/05/na-wenn-das-so-ist-dass-da-bei-einer-ca-seit-v/ Na, wenn das so ist, dass da bei einer CA seit vier Jahren ein Server kompromittiert ist, dann sollte man vielleicht heute mal die weitere Ausgabe von Zertifikaten stoppen. Die umlaufenden Zertifikate sollen natürlich weiterhin gültig bleiben. Das sind die Stellen, denen vertraut wird, wenns um sichere Verschlüsselung im Web geht. m(

]]>
http://localhost/blah-dev/2011/11/05/na-wenn-das-so-ist-dass-da-bei-einer-ca-seit-v/feed/ 0
Na, glaubt immer noch jemand, dass dieses https … http://localhost/blah-dev/2011/10/28/na-glaubt-immer-noch-jemand-dass-dieses-https/ http://localhost/blah-dev/2011/10/28/na-glaubt-immer-noch-jemand-dass-dieses-https/#comments Fri, 28 Oct 2011 05:20:31 +0000 Nachtwächter http://localhost/blah-dev/2011/10/28/na-glaubt-immer-noch-jemand-dass-dieses-https/ Na, glaubt immer noch jemand, dass dieses »https« als Protokollangabe – das die modernen Browser so gern noch grafisch als »sicher« hervorheben – irgendwas mit Abhörsicherheit und der Gewissheit, dass man auch wirklich seine Daten zum richtigen Gegenüber überträgt, zu tun hat? Bei Heise gibts eine Therapie gegen diesen Glauben, es sind in den letzten vier Monaten mindestens fünf CAs missbraucht worden, um ein paar falsche Zertifikate auszuzstellen. Also vergesst das mit der einfachen, bequemen Schlangenöl-Sicherheit!

]]>
http://localhost/blah-dev/2011/10/28/na-glaubt-immer-noch-jemand-dass-dieses-https/feed/ 0
Security-Fail des Tages: Nicht nur DigiNotar wur … http://localhost/blah-dev/2011/09/10/security-fail-des-tages-nicht-nur-diginotar-wur/ http://localhost/blah-dev/2011/09/10/security-fail-des-tages-nicht-nur-diginotar-wur/#comments Sat, 10 Sep 2011 19:00:12 +0000 Nachtwächter http://localhost/blah-dev/2011/09/10/security-fail-des-tages-nicht-nur-diginotar-wur/ Security-Fail des Tages: Nicht nur DigiNotar wurde gehackt, auch GlobalSign musste gerade etwas recht peinliches vermelden. Mit Gruß von diesen ganzen CAs, auf die sich alle Browser dieser Welt ab Werk vorbehaltlos verlassen.

Wollen wir mal hoffen, dass der Webserver wirklich so isoliert vom Rest der technischen Infrastruktur war, wie sich das gehört. Wenn nicht, könnten jetzt noch mehr falsche Zertifikate im Umlauf sein.

]]>
http://localhost/blah-dev/2011/09/10/security-fail-des-tages-nicht-nur-diginotar-wur/feed/ 0
Aber wir sind doch eine CA. Wir sind doch die Si … http://localhost/blah-dev/2011/09/07/aber-wir-sind-doch-eine-ca-wir-sind-doch-die-si/ http://localhost/blah-dev/2011/09/07/aber-wir-sind-doch-eine-ca-wir-sind-doch-die-si/#comments Tue, 06 Sep 2011 22:44:44 +0000 Nachtwächter http://localhost/blah-dev/2011/09/07/aber-wir-sind-doch-eine-ca-wir-sind-doch-die-si/ Aber wir sind doch eine CA. Wir sind doch die Sicherheit. Da brauchen wir doch keine besondere Sicherheit für unsere Systeme. m(

]]>
http://localhost/blah-dev/2011/09/07/aber-wir-sind-doch-eine-ca-wir-sind-doch-die-si/feed/ 0
Oops! »eine Liste mit 531 Zertifikaten ausgehä … http://localhost/blah-dev/2011/09/05/oops-eine-liste-mit-531-zertifikaten-ausgehae/ http://localhost/blah-dev/2011/09/05/oops-eine-liste-mit-531-zertifikaten-ausgehae/#comments Mon, 05 Sep 2011 16:41:04 +0000 Nachtwächter http://localhost/blah-dev/2011/09/05/oops-eine-liste-mit-531-zertifikaten-ausgehae/ Oops! »[…] eine Liste mit 531 Zertifikaten ausgehändigt, in der sich auch die Domains zahlreicher Geheimdienste wiederfinden: Die Angreifer konnten jeweils mehrere Zertifikate für www.sis.gov.uk (MI6), www.cia.gov und www.mossad.gov.il ausstellen. Auch für diverse Microsoft-Domains wurden missbräuchlich Zertifikate ausgestellt, darunter microsoft.com, windowsupdate.com, login.live.com und skype.com. Weitere Prominente Opfer sind facebook.com, twitter.com, aol.com, android.com und secure.logmein.com« – schon bemerkenswert, dieser Crack bei DigiNotar. Vor allem ists bemerkenswert, wie so nach und nach die Informationen über den wirklichen Umfang rausgetröpfelt werden und hoffentlich für ein allgemeines Misstrauen sorgen. Sonst fängt noch jemand an, zu glauben, dass mit TLS verschlüsselte Internetverbindungen sicher, authentifiziert und unbelauschbar sind. (Sind sie nicht und sind sie nie gewesen, wer es nicht glaubt, schaue bitte mal in seinen Browsereinstellungen, welchen Zertifizierungsstellen ab Werk vorbehaltlos vertraut wird.) Zertifikate sind über dieses besondere Vertrauen gegenüber Regierungsstellungen hinaus vollkommen wertlos, was sich daran zeigt, dass das Gesamtsystem kompromittiert werden kann, wenn es gelingt, in eine einzige Klitsche einzudringen und sich nach Herzenslust welche auszustellen.

Nachtrag: Aufgrund des Vertrauensverlusts gegenüber DigiNotar und und um einen weiteren Missbrauch zu verhindern, habe die niederländische Regierung die Kontrolle über DigiNotar übernommen… aber glaube mal keiner, dass die niederländische Regierung kompromittierte Infrastrukturen abschaltet, indem sie die Zertifikate zurückzieht! Das würde ja zu Ausfällen führen, huch wie schrecklich. Wenn ich DigiNotar gehäckselt hätte, dann würde ich mir jetzt die Hände reiben und mich sehr darüber freuen, dass die von mir kompromittierten Systeme jetzt mit der scheinbaren Autorität eines staatlich kontrollierten Ladens laufen. Was für ein Fail!

]]>
http://localhost/blah-dev/2011/09/05/oops-eine-liste-mit-531-zertifikaten-ausgehae/feed/ 0