1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › .onion-Domains: Falsches Zertifikat…

versteh das Problem nicht

  1. Thema

Neues Thema Ansicht wechseln


  1. versteh das Problem nicht

    Autor: Anonymer Nutzer 05.11.14 - 19:34

    Korrekte Adresse eingegeben -> Identität von Facebook gesichert
    interne (ohne Gateway nach außen) Tor-Verbindung -> Verbindung verschlüsselt
    https-Zertifikat ausgestellt -> SSL-Verbindung für zusätzliche Verschlüsselung ohne Meckern des Browsers
    Ergebnis von Facebooks momentanem Setup:
    korrekt authentifizierte Verbindung mit wirklicher (zweifacher) End-to-End-Verschlüsselung
    Wo ist sein Problem? Ja, es ginge noch mehr. Aber wenn ich intern die Endung .meineTLD benutze und du ebenso, wer soll dann das Zertifikat für den Host wichtigerRouter bekommen? Also ist die einzige Möglichkeit .onion als offizielle TLD anzuerkennen. Ich bin gespannt. Aber ansonsten ist das Problem des "Sicherheitsforschers" nicht nachzuvollziehen.

  2. Re: versteh das Problem nicht

    Autor: rofl022 05.11.14 - 20:22

    Ich denke, dass das Problem ist, dass wenn man es schafft, den Browser über den Namen der Seite zu täuschen (MitM), und ihm dann noch das falsche Zertifikat unterschiebt, dann ist das durchaus eine interessante Sicherheitslücke. Zwar nicht einzeln nutzbar, aber im Verbund mit anderen "interessanter".

  3. Re: versteh das Problem nicht

    Autor: Anonymer Nutzer 05.11.14 - 20:28

    He, wie "über den Namen täuschen"? Ja, wenn ich die Leute auf jodkasfacebook.onion leite und mir dafür vorher ein Zertifikat ausgestellt habe geht alles. Aber das ist immer so. Interessanter ist vielleicht, dass Facebook im onion-Namensraum keine Schreibfehler-Domains erklagen kann. Aber dieses Problem hat nichts mit den hier diskutierten zu tun und wird auch niemals gelöst werden können.

  4. Re: versteh das Problem nicht

    Autor: elf 05.11.14 - 21:07

    Wer legt eigentlich fest, welche TLD nicht intern ist?
    Was ist mit den ganzen nTLDs, die noch nicht registriert sind, z.B. .docs oder .cars. Gelten diese auch als interne TLD? Wenn ja, kann man dann auch Zwischenzertifikate/InterCAs für diese TLDs ungeprüft ausstellen lassen? Wenn ja, dann haben wir mit den nTLDs in Zukunft ein riesen Problem: Keine Root-CA wird mehr vertrauenswürdig sein.

  5. Re: versteh das Problem nicht

    Autor: Schläfer 05.11.14 - 21:21

    Wenn der Exit-Node dir das falsche Zertifikat unterschiebt (was aber zu der richtigen URL passt), kann er alle deine Daten abfischen. Du hast dann in Wirklichkeit eine Verbindung die über einen Proxy läuft, der zwar die Daten korrekt weiterleiteten kann, aber eben auch alles analysiert. Soetwas gab es schon und habe ich auch selbst schon erlebt. Allerdings mit selbstsignierten Zertifikaten bei denen der Browser meckert. Mit einem gültigen Zertifkat kommt diese Meldung aber nicht.

  6. Re: versteh das Problem nicht

    Autor: Anonymer Nutzer 05.11.14 - 21:35

    Weder geht es um selbstsignierte Zertifikate noch um Exit-Nodes noch um meckernde Browser. Du bist in jeder Hinsicht am Thema vorbei.

  7. Re: versteh das Problem nicht

    Autor: Anonymer Nutzer 06.11.14 - 02:32

    blahblah...
    http://de.wikipedia.org/wiki/Top-Level-Domain

  8. Re: versteh das Problem nicht

    Autor: elf 06.11.14 - 08:17

    jodka schrieb:
    --------------------------------------------------------------------------------
    > blahblah...
    > http://de.wikipedia.org/wiki/Top-Level-Domain

    http://de.wikipedia.org/wiki/.onion

    .onion ist auch eine TLD, wenn auch keine offiziell registrierte. Das gilt für die von mir angesprochenen nTLDs aber derzeit genauso. Und du kannst dir auch nicht sicher sein, dass eine pseudo-TLD in Zukunft nicht doch mal zu einer echten TLD wird. Wer sich vorher also passende ZwischenCA-Zertifikate für genau eine solche (pseudo-)TLD hat ungeprüft ausstellen lassen, kann also auch in Zukunft unter diesen Domains gefälschte Zertifikate für Unterdomains erstellen.
    Aber ich sehe schon, wenn man eine ernst gemeinte Frage stellt, kann man froh sein, wenn du überhaupt antwortest. So kann man natürlich auch eine Diskussion im Keim ersticken. Wie du willst.

  9. Re: versteh das Problem nicht

    Autor: elf 06.11.14 - 08:19

    jodka schrieb:
    --------------------------------------------------------------------------------
    > Weder geht es um selbstsignierte Zertifikate noch um Exit-Nodes noch um
    > meckernde Browser. Du bist in jeder Hinsicht am Thema vorbei.

    Nein, ist er nicht. Du bist schlicht unfähig dessen Analogie zu folgen.

  10. Re: versteh das Problem nicht

    Autor: Niantic 06.11.14 - 09:16

    rofl022 schrieb:
    --------------------------------------------------------------------------------
    > Ich denke, dass das Problem ist, dass wenn man es schafft, den Browser über
    > den Namen der Seite zu täuschen (MitM), und ihm dann noch das falsche
    > Zertifikat unterschiebt, dann ist das durchaus eine interessante
    > Sicherheitslücke. Zwar nicht einzeln nutzbar, aber im Verbund mit anderen
    > "interessanter".


    Relevant wäre das eher in folgender Situation: der Nutzer hat einen dieser unsäglichen " tor super verschluesselt" Router die derzeit auf verschiedenen eintreiberseiten fuer hansis garagenprojekte als heiliger gral angeboten werden. Das Problem: die Verbindung von Browser zum Router ist nicht weiter verschlüsselt (wlan verscgluesselung mal abgesehen). Ein Angreifer im gleichen WLAN kann nun mittels mitm die Verbindung abfangen und mit dem falschen Zertifikat eine "echte" fb Seite ausliefern. Daher ist es schon ein Problem das man einfach so ein . onion Zertifikat bekommt. Problematisch wird das wohl vorübergehend aber nur in Ländern wie China sein oder aber wenn man Opfer des bka wird.

  11. Re: versteh das Problem nicht

    Autor: spag@tti_code 06.11.14 - 11:10

    Die Lücke ist viel einfacher auszunutzen:
    Ich trage die meinen DNS-Server in deine IP-Config (oder in deinen Router) ein.
    Dann leite ich den Eintrag facebook*.onion auf meinen Server weiter.

    Du brauchst dann nichtmal TOR installiert zu haben und kommst auf einmal trotzdem auf die Seite. Nur das ich der MitM bin.

  12. Re: versteh das Problem nicht

    Autor: FedoraUser 06.11.14 - 15:27

    spag@tti_code schrieb:
    --------------------------------------------------------------------------------
    > Die Lücke ist viel einfacher auszunutzen:
    > Ich trage die meinen DNS-Server in deine IP-Config (oder in deinen Router)
    > ein.
    > Dann leite ich den Eintrag facebook*.onion auf meinen Server weiter.
    >
    > Du brauchst dann nichtmal TOR installiert zu haben und kommst auf einmal
    > trotzdem auf die Seite. Nur das ich der MitM bin.

    Wenn du lokal auf meiner Festplatte rumwerken kannst, dann is sowieso schon alles egal. Von dem her ist das Beispiel wohl nicht sehr praktikabel.

  13. Re: versteh das Problem nicht

    Autor: spag@tti_code 07.11.14 - 08:14

    FedoraUser schrieb:
    > Wenn du lokal auf meiner Festplatte rumwerken kannst, dann is sowieso schon
    > alles egal. Von dem her ist das Beispiel wohl nicht sehr praktikabel.

    Es reicht
    - Zugriff auf deinen Router
    - Dein Provider zu sein
    - Dein HotSpot zu sein
    - ein DHCP-Server im selben Netzwerk
    - schreibrechte auf deine HOSTS-Datei
    - oder sogar nur im selben Netzwerk zu sein:
    http://de.wikipedia.org/wiki/Cache_Poisoning
    - ....

  14. Re: versteh das Problem nicht

    Autor: Anonymer Nutzer 07.11.14 - 08:39

    Du/Ihr habt recht. Der einzige Zugewinn an Sicherheit, den das Zertifikat liefert, ist dass die Benutzer daran gewöhnt werden, IMMER auf ne "grüne" SSL-Verbindung zu achten.

  15. Re: versteh das Problem nicht

    Autor: FedoraUser 07.11.14 - 10:07

    spag@tti_code schrieb:
    --------------------------------------------------------------------------------
    > FedoraUser schrieb:
    > > Wenn du lokal auf meiner Festplatte rumwerken kannst, dann is sowieso
    > schon
    > > alles egal. Von dem her ist das Beispiel wohl nicht sehr praktikabel.
    >
    > Es reicht
    > - Zugriff auf deinen Router
    > - Dein Provider zu sein
    > - Dein HotSpot zu sein
    > - ein DHCP-Server im selben Netzwerk
    > - schreibrechte auf deine HOSTS-Datei
    > - oder sogar nur im selben Netzwerk zu sein:
    > de.wikipedia.org
    > - ....

    - Wenn du Zugriff auf meinen Router hast ist auch schon alles was Netzwerk betrifft egal.
    - Wegen Hotspot, ja gut, da sollte man schon aufpassen wo man sich da reinhängt.
    - Ein DHCP Server im selben Netzwerk würde mir auffallen, weil sich der wohl mit meinem nicht sonderlich gut vertragen wird.
    - Schreibrechte auf die HOSTS Datei -> siehe (ganz) oben.
    - DNS Spoofing is natürlich fies. Das fällt einem wohl erst auf wenn es zu spät ist.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Kassenärztliche Bundesvereinigung, Berlin
  2. PSI Software AG Geschäftsbereich PSI Energie EE, Aschaffenburg, Berlin
  3. Stadt Neumünster, Neumünster
  4. Axians IKVS GmbH, Münster

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (-73%) 13,50€
  2. (-70%) 4,80€
  3. 4,99€
  4. (-28%) 17,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


In eigener Sache: Aktiv werden für Golem.de
In eigener Sache
Aktiv werden für Golem.de

Keine Werbung, kein unerwünschtes Tracking - kein Problem! Wer Golem.de-Inhalte pur nutzen möchte, hat neben dem Abo Golem pur jetzt eine weitere Möglichkeit, Golem.de zu unterstützen.

  1. Golem Akademie Von wegen rechtsfreier Raum!
  2. In eigener Sache Wie sich Unternehmen und Behörden für ITler attraktiv machen
  3. In eigener Sache Unser Kubernetes-Workshop kommt auf Touren

Neuer Streamingdienst von Disney: Disney+ ist stark bei Filmen und schwach bei Serien
Neuer Streamingdienst von Disney
Disney+ ist stark bei Filmen und schwach bei Serien

Das Hollywoodstudio Disney ist in den Markt für Videostreamingabos eingestiegen. In den USA hat es beim Start von Disney+ technische Probleme gegeben. Mit Blick auf inhaltliche Vielfalt kann der Dienst weder mit Netflix noch mit Amazon Prime Video mithalten.
Von Ingo Pakalski

  1. Videostreaming im Abo Disney+ hat 10 Millionen Abonnenten
  2. Disney+ Disney bringt seinen Streaming-Dienst auf Fire-TV-Geräte
  3. Streaming Disney+ startet am 31. März 2020 in Deutschland

Bosch-Parkplatzsensor im Test: Ein Knöllchen von LoRa
Bosch-Parkplatzsensor im Test
Ein Knöllchen von LoRa

Immer häufiger übernehmen Sensoren die Überwachung von Parkplätzen. Doch wie zuverlässig ist die Technik auf Basis von LoRa inzwischen? Golem.de hat einen Sensor von Bosch getestet und erläutert die Unterschiede zum Parking Pilot von Smart City System.
Ein Test von Friedhelm Greis

  1. Automated Valet Parking Daimler und Bosch dürfen autonom parken
  2. Enhanced Summon Teslas sollen künftig ausparken und vorfahren

  1. Abgeordnete: CDU-Parteitag soll Huawei Verbot beschließen
    Abgeordnete
    CDU-Parteitag soll Huawei Verbot beschließen

    Eine Reihe von weniger bekannten CDU-Mitgliedern will weiter eine Beteiligung von Huawei am 5G-Ausbau verhindern. Doch der Ausbau mit Huawei-Technik in Deutschland ist bereits in vollem Gang.

  2. Zu niedrig: HP lehnt Übernahmeangebot von Xerox ab
    Zu niedrig
    HP lehnt Übernahmeangebot von Xerox ab

    HP Inc sieht sich mit 33 Milliarden US-Dollar von Xerox stark unterbewertet. Der Verwaltungsrat ist aber offen, andere Optionen für ein Zusammengehen mit Xerox zu erörtern.

  3. 5G: Huawei will unterversorgte USA unterstützen
    5G
    Huawei will unterversorgte USA unterstützen

    Huawei bietet an, Arbeitsplätze in dem schlecht versorgten ländlichen Teilen der USA zu retten und neu zu schaffen. Die Entity-Liste von Trump gefährde Tausende amerikanische Arbeitsplätze.


  1. 23:59

  2. 20:53

  3. 20:22

  4. 19:36

  5. 18:34

  6. 16:45

  7. 16:26

  8. 16:28