1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Gefährliches Root-Zertifikat: HTTPS…

Wieso nicht früher entdeckt

Über PC-Games lässt sich am besten ohne nerviges Gedöns oder Flamewar labern! Dafür gibt's den Freiraum!
  1. Thema

Neues Thema Ansicht wechseln


  1. Wieso nicht früher entdeckt

    Autor: peter.kleibert 23.11.15 - 19:08

    Hallo zusammen.

    Mal ne Frage für Dummies:
    Wieso werden diese Hersteller-Erzwungenen Sicherheitslücken nicht früher entdeckt?

    Die Zertifikate kann doch jeder User mit einfachen Mitteln einsehen? Oder greift hier das Argument "Jeder glaubt, dass irgendjemand anderes schon geprüft hat"?

  2. Re: Wieso nicht früher entdeckt

    Autor: Cok3.Zer0 23.11.15 - 19:32

    Ja, ich kann die einsehen; aber ich habe keine Ahnung, welche ich deaktivieren sollte.
    Vielleicht alle spanischen und türkischen?

  3. Re: Wieso nicht früher entdeckt

    Autor: gaym0r 23.11.15 - 19:44

    Genau wie bei opensource projekten. Jeder könnte eine Sicherheitslücke finden, keiner macht es :-)

  4. Re: Wieso nicht früher entdeckt

    Autor: Rulf 23.11.15 - 20:33

    in diesem falle wäre der browser und/oder bs-hersteller zuständig...dieses problem ist ja schon von anfang an bekannt...

  5. Re: Wieso nicht früher entdeckt

    Autor: hab (Golem.de) 23.11.15 - 20:35

    peter.kleibert schrieb:
    --------------------------------------------------------------------------------
    > Die Zertifikate kann doch jeder User mit einfachen Mitteln einsehen? Oder
    > greift hier das Argument "Jeder glaubt, dass irgendjemand anderes schon
    > geprüft hat"?

    Das Problem ist halt, im Windows-Zertifikatsstore sind unzählige Zertifikate. Selbst wenn ein Nutzer da reinschaut: Woher soll er denn wissen ob Dell jetzt legitimerweise noch eine CA betreibt oder nicht? Oder ob es eine CA namens eDell gibt von der er noch nie gehört hat?
    Ich hatte schon die Idee dass es nett wäre ein Tool zu haben welches den Zertifikatsstore checkt und abgleicht ob da irgendwelche Certs drin sind, die Microsoft nicht kennt. Wenn ja wird eine Warnung rausgegeben und dann kann der Nutzer das manuell prüfen. (Leider hab ich keine Ahnung von Programmierung unter Windows...)

  6. Re: Wieso nicht früher entdeckt

    Autor: CiC 23.11.15 - 21:48

    Nach installierte Zertifikate muessen ja irgendwie gekennzeichnet sein, sonst koennte ja nicht gezielt Pinning deaktiviert werden.

  7. Re: Wieso nicht früher entdeckt

    Autor: Schattenwerk 23.11.15 - 22:03

    In der Regel wird ein Gerät vom Hersteller gar nicht erst im installierten OS gebootet sondern sofort neu aufgesetzt - dank bloatware & co.

    Daher sieht ein fähiger und mitdenkender Nutzer dieses Zertifikat vermutlich erst gar nicht.

  8. Re: Wieso nicht früher entdeckt

    Autor: gaym0r 23.11.15 - 23:07

    Schattenwerk schrieb:
    --------------------------------------------------------------------------------
    > Daher sieht ein fähiger und mitdenkender Nutzer dieses Zertifikat
    > vermutlich erst gar nicht.

    Also so 0,5% der Anwender?

  9. Re: Wieso nicht früher entdeckt

    Autor: bentol 24.11.15 - 04:27

    Ich dachte immer, die Konkurrenz würde sowas überprüfen und dann aufdecken. MS und google haben das ja ganz offen so betrieben.

    Aber vielleicht hat ja Lenovo da seine Finger im Spiel. Immerhin ist Dell eine klassische US-Marke, so wie Lenovo eine klassische China-Marke ist. So eine indirekte Reaktion würde jedenfalls gut zur chinesischen Art passen, solchen "Provokationen" wie der Veröffentlichung über Superfish zu begegnen...aber es mag auch Zufall gewesen sein. Passen würde es aber echt gut!

  10. Re: Wieso nicht früher entdeckt

    Autor: Th3Br1x 24.11.15 - 08:01

    Schattenwerk schrieb:
    --------------------------------------------------------------------------------
    > In der Regel wird ein Gerät vom Hersteller gar nicht erst im installierten
    > OS gebootet sondern sofort neu aufgesetzt - dank bloatware & co.
    >
    > Daher sieht ein fähiger und mitdenkender Nutzer dieses Zertifikat
    > vermutlich erst gar nicht.

    Naja, ansichtssache. Bei Firmengeräten mag das durchaus richtig sein, auf meinem Privatnotebook liegt die ganze Asus Bloatware auch noch mitdrauf. Warum? Weil z.B. die Medien-Tasten (Play/Pause, etc.) neben der Tastatur durch eben eines dieser vorinstallierten Programme gesteuert bzw. ausgewertet werden. Und ich habe keine Lust, da irgendwas aus dem Internet zu fischen. ;)

  11. Re: Wieso nicht früher entdeckt

    Autor: pythoneer 24.11.15 - 16:10

    gaym0r schrieb:
    --------------------------------------------------------------------------------
    > Genau wie bei opensource projekten. Jeder könnte eine Sicherheitslücke
    > finden, keiner macht es :-)

    Dem widerspricht die empirische Tatsache, dass Sicherheitslücken gefunden werden, demnach machen es doch welche.

  12. Re: Wieso nicht früher entdeckt

    Autor: pythoneer 24.11.15 - 16:13

    Th3Br1x schrieb:
    --------------------------------------------------------------------------------
    > Naja, ansichtssache. Bei Firmengeräten mag das durchaus richtig sein, auf
    > meinem Privatnotebook liegt die ganze Asus Bloatware auch noch mitdrauf.
    > Warum? Weil z.B. die Medien-Tasten (Play/Pause, etc.) neben der Tastatur
    > durch eben eines dieser vorinstallierten Programme gesteuert bzw.
    > ausgewertet werden. Und ich habe keine Lust, da irgendwas aus dem Internet
    > zu fischen. ;)

    Hört sich so an, als sei den Notebook im Auslieferungszustand kaputt.

  13. Re: Wieso nicht früher entdeckt

    Autor: Thiesi 24.11.15 - 16:28

    Du nutzt aber sicher auch keinen Edge, IE, Chrome oder andere Exoten-Browser, so dass in der Praxis das Risiko selbst bei Nutzern betroffener DELL-Geräte wohl überschaubar sein dürfte.

    Dass es sich dennoch nicht gehört, da irgendwelche Root-Zertifikate zu installieren, steht natürlich außer Frage.



    1 mal bearbeitet, zuletzt am 24.11.15 16:29 durch Thiesi.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. KRAUSE-Werk GmbH & Co. KG, Alsfeld
  2. consistec Engineering & Consulting GmbH, Saarbrücken
  3. Dental Wings GmbH, Berlin
  4. Hays AG, Ulm

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. Surviving Mars - First Colony Edition für 5,29€, Monopoly - Nintendo Switch Download Code...
  2. (u. a. Patriot Viper 4 8-GB-Kit DDR4-3000 für 38,99€ + 6,99€ Versand statt 55,14€ inkl...
  3. 139,90€ (Bestpreis mit Cyberport. Vergleichspreis ca. 160€)
  4. 279,99€ (Vergleichspreis 332,19€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme