1. Foren
  2. Kommentare
  3. Internet
  4. Alle Kommentare zum Artikel
  5. › Web Cryptography API: Verschlüsselung…

find ich ziemlich blöde ....

  1. Thema

Neues Thema Ansicht wechseln


  1. find ich ziemlich blöde ....

    Autor: microsoftanhänger 14.09.12 - 13:12

    warum?
    ganz einfach, eine halbherzige implementierung von sicherheitsfunktionen ist genau so schlimm - wenn nicht sogar schlimmer - als gar keine verschlüsselung. wenn nun die ganzen script kiddies anfangen, ihre scripte mit verschlüsselung laufen zu lassen, dann gibt das nur eine trügerische sicherheit. irgendwelche fehler werden dann mit einprogrammiert, einzelne module werden verwendet und systematische fehler werden gemacht - und somit hat der anwender überhaupt keine möglichkeit mehr zu sehen ob etwas sicher ist oder nicht.

    wenn die verschlüsselung rein zwischen webbrowser und webserver läuft, dann können zumindest unbedarfte anwender an dem schloss in der adressleiste einigermaßen sicher gehen dass die kommunikation verschlüsselt abläuft.

    wer in offenen WLANs in russland surft, der wird merken dass das das eingeben eines passwortes in eine unverschlüsselte webseite schon mal zu nem anderen sicherheitsgefühl führt ...

  2. Re: find ich ziemlich blöde ....

    Autor: tingelchen 14.09.12 - 17:06

    Ich finde es gar nicht blöde ;)

    Anwendungsbeispiele wurden ja bereits genannt. Diese API soll SSL Verbindungen nicht ersetzen, sondern ergänzen. Was bringt es einem, wenn die Kommunikation zwischen 2 Punkten zwar Verschlüsselt ist, die Daten selber aber unverschlüsselt auf dem Server landen? Genau... rein gar nichts.
    Um dieses Problem zu umgehen gibt es derzeit nicht viele Möglichkeiten. Eine besteht darin die Anwendung als Native Anwendung zu entwickeln. Aber das ist nicht immer wünschenswert.

    Darüber hinaus gibt es schon jetzt JavaScript API's mit denen man derartige Aufgaben abwickeln kann. Da wäre eine Standardisierte API schon wünschenswert. Für ein eigenes Projekt würde ich es schon nutzen. Vor allem, damit man die Daten z.B. per Private Public Key verfahren auf dem Server verschlüsselt ablegt (z.B. Zugangsdaten für eMail Account) und diese erst beim Browser entschlüsselt werden.

    Und was die Modularisierung angeht. Das wird eh schon gemacht. Die meisten nutzen für Kryptografie fertige Bibliotheken. Zum Glück. Denn die meisten Entwickler würden eine eigene Implementierung zu 100% versauen. Viele scheitern ja schon bei der Anwendung. Und da spreche ich nicht nur von Hobby Entwicklern ;)

  3. Re: find ich ziemlich blöde ....

    Autor: qwertü 14.09.12 - 20:34

    jo, mir erschließt sich der sinn auch nicht ganz. wenn man https mit Zertifikat nutzt, hat man ja alles sicher und authentifiziert. wenn man hingegen eine http-seite aufruft, bei der die crypto im JS steckt muss man erst den source komplett lesen, um sicherzugehen, dass die Anwendung überhaut Crypto hat und dann auch noch die richtige, und kein plagiat des russischen WLAN-Betreibers ist.

  4. Re: find ich ziemlich blöde ....

    Autor: __destruct() 14.09.12 - 23:06

    Du wirfst gerade alles durcheinander.

  5. Eine kleine Bitte.

    Autor: 1e3ste4 16.09.12 - 00:53

    Lest euch doch mal den Text bis zu Ende durch anstatt drauf los zu kommentieren.

    Es geht hier nicht als Alternative zu HTTPS. Es geht hier um direkte Verschlüsselung und Signierung von Daten über JavaScript. Schlampige Implementationen können sich die Browserentwickler viel weniger leisten als irgendwelche proprietären Lösungen, deren Fehler aufgrund weniger Nutzer nicht so sehr auffallen.

    Mit der API könnte ich z.B. diesen Text mit meinem privaten Schlüssel direkt am PC signieren, so wie es zur Zeit nur in Mailclients geht, wobei der Schlüssel eine Datei oder eine Smartcard sein kann.

    Ich kann auch Daten direkt vom Browser verschlüsseln lassen und sie so in einen Datenspeicher hochladen, ohne das der Anbieter sie lesen könnte.

    HTTPS hilft nicht gegen das Lesen von Daten seitens des Serverbetreibers.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. TOPdesk Deutschland GmbH, Kaiserslautern
  2. Kassenzahnärztliche Vereinigung Bayerns, München
  3. ARTHEN Kommunikation GmbH, Karlsruhe
  4. OCULUS Optikgeräte GmbH, Wetzlar

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. (u. a. Ryzen 7 5800X 469€)
  2. (u. a. Gigabyte Radeon RX 6800 Gaming OC 16G für 878,87€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Hitman 3 im Test: Agent 47 verabschiedet sich mörderisch
Hitman 3 im Test
Agent 47 verabschiedet sich mörderisch

Das (vorerst) letzte Hitman bietet einige der besten Einsätze der Serie - daran dürften aber vor allem langjährige Fans Spaß haben.
Von Peter Steinlechner

  1. Hitman 3 angespielt Agent 47 in ungewohnter Mission

Antivirus: Das Jahr der unsicheren Sicherheitssoftware
Antivirus
Das Jahr der unsicheren Sicherheitssoftware

Antivirus-Software soll uns eigentlich schützen, doch das vergangene Jahr hat erneut gezeigt: Statt Schutz gibt es Sicherheitsprobleme frei Haus.
Von Moritz Tremmel

  1. NortonLifeLock Norton kauft deutschen Antivirenhersteller Avira
  2. Sicherheitslücke 28 Antivirenprogramme konnten sich selbst zerstören

Azure Active Directory: Weniger Verzeichnisdienst, mehr Tresor
Azure Active Directory
Weniger Verzeichnisdienst, mehr Tresor

Microsofts bekannten Verzeichnisdienst Active Directory gibt es inzwischen auch in der Cloud des Herstellers. Golem.de zeigt, wie er dort funktioniert.
Von Martin Loschwitz

  1. Microsoft Neue Datenschutzregeln für Sprachsteuerung
  2. Microsoft Betrüger erbeuten 20.000 Euro von Rentnerin
  3. Windows 10 20H2 Microsoft hebt Update-Sperre für einige Windows-PCs auf