1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › Gefährliches Root-Zertifikat…

Wieso nicht früher entdeckt

  1. Thema

Neues Thema


  1. Wieso nicht früher entdeckt

    Autor: peter.kleibert 23.11.15 - 19:08

    Hallo zusammen.

    Mal ne Frage für Dummies:
    Wieso werden diese Hersteller-Erzwungenen Sicherheitslücken nicht früher entdeckt?

    Die Zertifikate kann doch jeder User mit einfachen Mitteln einsehen? Oder greift hier das Argument "Jeder glaubt, dass irgendjemand anderes schon geprüft hat"?

  2. Re: Wieso nicht früher entdeckt

    Autor: Cok3.Zer0 23.11.15 - 19:32

    Ja, ich kann die einsehen; aber ich habe keine Ahnung, welche ich deaktivieren sollte.
    Vielleicht alle spanischen und türkischen?

  3. Re: Wieso nicht früher entdeckt

    Autor: gaym0r 23.11.15 - 19:44

    Genau wie bei opensource projekten. Jeder könnte eine Sicherheitslücke finden, keiner macht es :-)

  4. Re: Wieso nicht früher entdeckt

    Autor: Rulf 23.11.15 - 20:33

    in diesem falle wäre der browser und/oder bs-hersteller zuständig...dieses problem ist ja schon von anfang an bekannt...

  5. Re: Wieso nicht früher entdeckt

    Autor: hab (Golem.de) 23.11.15 - 20:35

    peter.kleibert schrieb:
    --------------------------------------------------------------------------------
    > Die Zertifikate kann doch jeder User mit einfachen Mitteln einsehen? Oder
    > greift hier das Argument "Jeder glaubt, dass irgendjemand anderes schon
    > geprüft hat"?

    Das Problem ist halt, im Windows-Zertifikatsstore sind unzählige Zertifikate. Selbst wenn ein Nutzer da reinschaut: Woher soll er denn wissen ob Dell jetzt legitimerweise noch eine CA betreibt oder nicht? Oder ob es eine CA namens eDell gibt von der er noch nie gehört hat?
    Ich hatte schon die Idee dass es nett wäre ein Tool zu haben welches den Zertifikatsstore checkt und abgleicht ob da irgendwelche Certs drin sind, die Microsoft nicht kennt. Wenn ja wird eine Warnung rausgegeben und dann kann der Nutzer das manuell prüfen. (Leider hab ich keine Ahnung von Programmierung unter Windows...)

  6. Re: Wieso nicht früher entdeckt

    Autor: CiC 23.11.15 - 21:48

    Nach installierte Zertifikate muessen ja irgendwie gekennzeichnet sein, sonst koennte ja nicht gezielt Pinning deaktiviert werden.

  7. Re: Wieso nicht früher entdeckt

    Autor: Schattenwerk 23.11.15 - 22:03

    In der Regel wird ein Gerät vom Hersteller gar nicht erst im installierten OS gebootet sondern sofort neu aufgesetzt - dank bloatware & co.

    Daher sieht ein fähiger und mitdenkender Nutzer dieses Zertifikat vermutlich erst gar nicht.

  8. Re: Wieso nicht früher entdeckt

    Autor: gaym0r 23.11.15 - 23:07

    Schattenwerk schrieb:
    --------------------------------------------------------------------------------
    > Daher sieht ein fähiger und mitdenkender Nutzer dieses Zertifikat
    > vermutlich erst gar nicht.

    Also so 0,5% der Anwender?

  9. Re: Wieso nicht früher entdeckt

    Autor: bentol 24.11.15 - 04:27

    Ich dachte immer, die Konkurrenz würde sowas überprüfen und dann aufdecken. MS und google haben das ja ganz offen so betrieben.

    Aber vielleicht hat ja Lenovo da seine Finger im Spiel. Immerhin ist Dell eine klassische US-Marke, so wie Lenovo eine klassische China-Marke ist. So eine indirekte Reaktion würde jedenfalls gut zur chinesischen Art passen, solchen "Provokationen" wie der Veröffentlichung über Superfish zu begegnen...aber es mag auch Zufall gewesen sein. Passen würde es aber echt gut!

  10. Re: Wieso nicht früher entdeckt

    Autor: Th3Br1x 24.11.15 - 08:01

    Schattenwerk schrieb:
    --------------------------------------------------------------------------------
    > In der Regel wird ein Gerät vom Hersteller gar nicht erst im installierten
    > OS gebootet sondern sofort neu aufgesetzt - dank bloatware & co.
    >
    > Daher sieht ein fähiger und mitdenkender Nutzer dieses Zertifikat
    > vermutlich erst gar nicht.

    Naja, ansichtssache. Bei Firmengeräten mag das durchaus richtig sein, auf meinem Privatnotebook liegt die ganze Asus Bloatware auch noch mitdrauf. Warum? Weil z.B. die Medien-Tasten (Play/Pause, etc.) neben der Tastatur durch eben eines dieser vorinstallierten Programme gesteuert bzw. ausgewertet werden. Und ich habe keine Lust, da irgendwas aus dem Internet zu fischen. ;)

  11. Re: Wieso nicht früher entdeckt

    Autor: pythoneer 24.11.15 - 16:10

    gaym0r schrieb:
    --------------------------------------------------------------------------------
    > Genau wie bei opensource projekten. Jeder könnte eine Sicherheitslücke
    > finden, keiner macht es :-)

    Dem widerspricht die empirische Tatsache, dass Sicherheitslücken gefunden werden, demnach machen es doch welche.

  12. Re: Wieso nicht früher entdeckt

    Autor: pythoneer 24.11.15 - 16:13

    Th3Br1x schrieb:
    --------------------------------------------------------------------------------
    > Naja, ansichtssache. Bei Firmengeräten mag das durchaus richtig sein, auf
    > meinem Privatnotebook liegt die ganze Asus Bloatware auch noch mitdrauf.
    > Warum? Weil z.B. die Medien-Tasten (Play/Pause, etc.) neben der Tastatur
    > durch eben eines dieser vorinstallierten Programme gesteuert bzw.
    > ausgewertet werden. Und ich habe keine Lust, da irgendwas aus dem Internet
    > zu fischen. ;)

    Hört sich so an, als sei den Notebook im Auslieferungszustand kaputt.

  13. Re: Wieso nicht früher entdeckt

    Autor: Thiesi 24.11.15 - 16:28

    Du nutzt aber sicher auch keinen Edge, IE, Chrome oder andere Exoten-Browser, so dass in der Praxis das Risiko selbst bei Nutzern betroffener DELL-Geräte wohl überschaubar sein dürfte.

    Dass es sich dennoch nicht gehört, da irgendwelche Root-Zertifikate zu installieren, steht natürlich außer Frage.



    1 mal bearbeitet, zuletzt am 24.11.15 16:29 durch Thiesi.

  1. Thema

Neues Thema


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Prozessmanager (m/w/d) Unternehmensentwicklung
    VGH Versicherungen, Hannover
  2. Trainee Metallurgie im Transformationsprojekt SALCOS (w/m/d)
    Salzgitter Flachstahl GmbH, Salzgitter
  3. Embedded Systems Entwickler (m/w/d) Additive Manufacturing
    DMG MORI Additive GmbH, Bielefeld
  4. Software Engineer Quality Assurance (m/w/d)
    Trox GmbH, Neukirchen-Vluyn

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote


Haben wir etwas übersehen?

E-Mail an news@golem.de


Chocolatey, Scoop, Winget: Zentralisierte Paketverwaltungen unter Windows
Chocolatey, Scoop, Winget
Zentralisierte Paketverwaltungen unter Windows

Paketverwaltungen bilden unter Linux seit Jahrzehnten das Rückgrat bei der Installation neuer Software. Windows zieht nun nach und integriert ebenfalls zentralisierte Instanzen zur Verwaltung von Softwarepaketen.
Von Erik Bärwaldt

  1. Windows Protected Print Microsoft erklärt Details zu einheitlichem Drucksystem
  2. Microsoft Windows-Nutzer dürfen HP-Smart-Panne selbst ausbügeln
  3. Ungebetener Gast HP-App erscheint unerwartet auf Windows-Systemen

Teil 2 unseres Tutorials: Objekte und Variablen in Powershell
Teil 2 unseres Tutorials
Objekte und Variablen in Powershell

Powershell-Tutorial
In unserer Powershell-Einführung mit Übungsblöcken und Lösungsvideos beschäftigen wir uns dieses Mal mit Objekten und Variablen.
Eine Anleitung von Holger Voges

  1. Mit praktischen Übungen und Videos Powershell für Einsteiger - Teil 1

Sony: Playstation 5 Standard versus PS5 Slim
Sony
Playstation 5 Standard versus PS5 Slim

Ein bisschen kleiner und schlanker: Golem.de hat die Playstation 5 Slim ausprobiert - und vergleicht die Konsole mit der bisher verfügbaren PS5.
Von Peter Steinlechner

  1. Dualsense Edge Nutzer beklagen Qualitätsprobleme bei 240-Euro-Controller
  2. Handheld Sony-Manager deutet Spielestreaming auf PS Portal an
  3. Playstation Portal im Test Dualsense mit Display - und Lag