Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › E-Mail-Provider: Lücken in der…

Weitere Lücke: Verifizierung der Zertifikate

  1. Thema

Neues Thema Ansicht wechseln


  1. Weitere Lücke: Verifizierung der Zertifikate

    Autor: sesom42 25.07.13 - 10:26

    Eine weitere Lücke wurde gar nicht im Artikel angesprochen: auch wenn die Server-to-Server-Kommunikation mit TLS gesichert ist, so werden die verwendeten Zertifikate nicht verifiziert. Gerade bei großen Providern mit mehrern MXen wird nur ein Zertifikat mit genau einem CN verwendet, was dann eigentlich nicht valide ist. Man-in-the-Middle-Attacken sind dadurch möglich.

    Das einzig Sichere ist und bleibt die Ende-zu-Ende-Verschlüsselung.

  2. Re: Weitere Lücke: Verifizierung der Zertifikate

    Autor: PHPGangsta 29.07.13 - 22:51

    sesom42:

    Sicherlich richtig, aber dazu muss man nicht nur die Verbindung passiv abhören sondern abfangen, Man-in-the-Middle, und dann dem sendenden Server das gefälschte Zertifikat unterjubeln, oder eventuell einfacher die Unterstützung des STARTTLS aus der Feature-Liste entfernen, sodass im Klartext kommuniziert wird. Aktuell ist nicht bekannt dass NSA oder die Briten aktiv eingreifen in die Kommunikation, beide hören "nur" passiv mit.

    Dein Punkt ist völlig richtig wenn der Angreifer nicht nur zuhört sondern aktiv die Kommunikation unterbricht und verändert, das wäre eine völlig neue Dimension. Aber problematisch ist das trotzdem, da gebe ich dir Recht.
    Browser warnen bei falschen Zertifikaten, einer falschen Domain, einem selbst signierten oder abgelaufenen Zertifikat, bei einer automatisierten Kommunikation Server-to-Server gibt es diese Verifikation im SMTP-Bereich nicht, denn die Folge wäre:
    - Selbst signierte Zertifikate könnten nicht mehr genutzt werden, man bräuchte immer eins von einer CA
    - Wenn ein Zertifikat ungültig oder abgelaufen wäre würden ziemlich viele E-Mails bouncen, sowohl automatisch versendete als auch von Personen geschriebene, ein ziemlicher Aufwand die erneut zu Versenden NACHDEM das Problem behoben wurde.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Witt-Gruppe, Weiden in der Oberpfalz
  2. Vodafone GmbH, München
  3. RATIONAL AG, Landsberg am Lech
  4. NETZSCH-Gerätebau GmbH, Selb

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. Lenovo Legion Y530-15ICH für 699€ + Versand - Bestpreis!)
  2. ab 99,00€
  3. (u. a. GTA 5 für 12,99€, Landwirtschafts-Simulator 19 für 27,99€, Battlefield V für 32,99€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Sicherheitslücken: Zombieload in Intel-Prozessoren
Sicherheitslücken
Zombieload in Intel-Prozessoren

Forscher haben weitere Seitenkanalangriffe auf Intel-Prozessoren entdeckt, die sie Microarchitectural Data Sampling alias Zombieload nennen. Der Hersteller wusste davon und reagiert mit CPU-Revisionen. Apple rät dazu, Hyperthreading abzuschalten - was 40 Prozent Performance kosten kann.
Ein Bericht von Marc Sauter und Sebastian Grüner

  1. Open-Source Technology Summit Intel will moderne Firmware und Rust-VMM für Server
  2. Ice Lake plus Xe-GPGPU Intel erläutert 10-nm- und 7-nm-Zukunft
  3. GPU-Architektur Intels Xe beschleunigt Raytracing in Hardware

Kontist, N26, Holvi: Neue Banking-Apps machen gute Angebote für Freelancer
Kontist, N26, Holvi
Neue Banking-Apps machen gute Angebote für Freelancer

Ein mobiles und dazu noch kostenloses Geschäftskonto für Freiberufler versprechen Startups wie Kontist, N26 oder Holvi. Doch sind die Newcomer eine Alternative zu den Freelancer-Konten der großen Filialbanken? Ja, sind sie - mit einer kleinen Einschränkung.
Von Björn König


    Strom-Boje Mittelrhein: Schwimmende Kraftwerke liefern Strom aus dem Rhein
    Strom-Boje Mittelrhein
    Schwimmende Kraftwerke liefern Strom aus dem Rhein

    Ein Unternehmen aus Bingen will die Strömung des Rheins nutzen, um elektrischen Strom zu gewinnen. Es installiert 16 schwimmende Kraftwerke in der Nähe des bekannten Loreley-Felsens.

    1. Speicherung von Überschussstrom Wasserstoff soll bei Engpässen helfen
    2. Energiewende DLR-Forscher bauen Kohlekraftwerke zu Stromspeichern um
    3. Erneuerbare Energien Wellenkraft als Konzentrat

    1. Europawahlen: Schwere Verluste für Union und SPD, hohe Gewinne für Grüne
      Europawahlen
      Schwere Verluste für Union und SPD, hohe Gewinne für Grüne

      Bei der Europawahl 2019 haben die Regierungsparteien Union und SPD historisch schlecht abgeschnitten. Besonders profitieren konnten die Grünen. Während die Piraten viele Stimmen verloren, legte eine andere Kleinstpartei besonders stark zu.

    2. Briefe und Pakete: Bundesregierung will Rechte von Postkunden stärken
      Briefe und Pakete
      Bundesregierung will Rechte von Postkunden stärken

      Aufgrund gestiegener Beschwerden über Mängel bei der Post- und Paketzustellung will das Bundeswirtschaftsministerium die Rechte von Postkunden stärken. Dabei geht es auch um die Frage von Sanktionsmöglichkeiten.

    3. Vodafone: Red-Tarife erhalten mehr Datenvolumen und werden teurer
      Vodafone
      Red-Tarife erhalten mehr Datenvolumen und werden teurer

      Vodafone bietet veränderte Red-Tarife. Bei vier der fünf verfügbaren Tarife erhöht sich das ungedrosselte Datenvolumen. Dafür steigen auch die Preise.


    1. 20:12

    2. 11:31

    3. 11:17

    4. 10:57

    5. 13:20

    6. 12:11

    7. 11:40

    8. 11:11