Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Gefährliches Root-Zertifikat: HTTPS…

Wieso nicht früher entdeckt

  1. Thema

Neues Thema Ansicht wechseln


  1. Wieso nicht früher entdeckt

    Autor: peter.kleibert 23.11.15 - 19:08

    Hallo zusammen.

    Mal ne Frage für Dummies:
    Wieso werden diese Hersteller-Erzwungenen Sicherheitslücken nicht früher entdeckt?

    Die Zertifikate kann doch jeder User mit einfachen Mitteln einsehen? Oder greift hier das Argument "Jeder glaubt, dass irgendjemand anderes schon geprüft hat"?

  2. Re: Wieso nicht früher entdeckt

    Autor: Cok3.Zer0 23.11.15 - 19:32

    Ja, ich kann die einsehen; aber ich habe keine Ahnung, welche ich deaktivieren sollte.
    Vielleicht alle spanischen und türkischen?

  3. Re: Wieso nicht früher entdeckt

    Autor: gaym0r 23.11.15 - 19:44

    Genau wie bei opensource projekten. Jeder könnte eine Sicherheitslücke finden, keiner macht es :-)

  4. Re: Wieso nicht früher entdeckt

    Autor: Rulf 23.11.15 - 20:33

    in diesem falle wäre der browser und/oder bs-hersteller zuständig...dieses problem ist ja schon von anfang an bekannt...

  5. Re: Wieso nicht früher entdeckt

    Autor: hannob (golem.de) 23.11.15 - 20:35

    peter.kleibert schrieb:
    --------------------------------------------------------------------------------
    > Die Zertifikate kann doch jeder User mit einfachen Mitteln einsehen? Oder
    > greift hier das Argument "Jeder glaubt, dass irgendjemand anderes schon
    > geprüft hat"?

    Das Problem ist halt, im Windows-Zertifikatsstore sind unzählige Zertifikate. Selbst wenn ein Nutzer da reinschaut: Woher soll er denn wissen ob Dell jetzt legitimerweise noch eine CA betreibt oder nicht? Oder ob es eine CA namens eDell gibt von der er noch nie gehört hat?
    Ich hatte schon die Idee dass es nett wäre ein Tool zu haben welches den Zertifikatsstore checkt und abgleicht ob da irgendwelche Certs drin sind, die Microsoft nicht kennt. Wenn ja wird eine Warnung rausgegeben und dann kann der Nutzer das manuell prüfen. (Leider hab ich keine Ahnung von Programmierung unter Windows...)

  6. Re: Wieso nicht früher entdeckt

    Autor: CiC 23.11.15 - 21:48

    Nach installierte Zertifikate muessen ja irgendwie gekennzeichnet sein, sonst koennte ja nicht gezielt Pinning deaktiviert werden.

  7. Re: Wieso nicht früher entdeckt

    Autor: Schattenwerk 23.11.15 - 22:03

    In der Regel wird ein Gerät vom Hersteller gar nicht erst im installierten OS gebootet sondern sofort neu aufgesetzt - dank bloatware & co.

    Daher sieht ein fähiger und mitdenkender Nutzer dieses Zertifikat vermutlich erst gar nicht.

  8. Re: Wieso nicht früher entdeckt

    Autor: gaym0r 23.11.15 - 23:07

    Schattenwerk schrieb:
    --------------------------------------------------------------------------------
    > Daher sieht ein fähiger und mitdenkender Nutzer dieses Zertifikat
    > vermutlich erst gar nicht.

    Also so 0,5% der Anwender?

  9. Re: Wieso nicht früher entdeckt

    Autor: bentol 24.11.15 - 04:27

    Ich dachte immer, die Konkurrenz würde sowas überprüfen und dann aufdecken. MS und google haben das ja ganz offen so betrieben.

    Aber vielleicht hat ja Lenovo da seine Finger im Spiel. Immerhin ist Dell eine klassische US-Marke, so wie Lenovo eine klassische China-Marke ist. So eine indirekte Reaktion würde jedenfalls gut zur chinesischen Art passen, solchen "Provokationen" wie der Veröffentlichung über Superfish zu begegnen...aber es mag auch Zufall gewesen sein. Passen würde es aber echt gut!

  10. Re: Wieso nicht früher entdeckt

    Autor: Th3Br1x 24.11.15 - 08:01

    Schattenwerk schrieb:
    --------------------------------------------------------------------------------
    > In der Regel wird ein Gerät vom Hersteller gar nicht erst im installierten
    > OS gebootet sondern sofort neu aufgesetzt - dank bloatware & co.
    >
    > Daher sieht ein fähiger und mitdenkender Nutzer dieses Zertifikat
    > vermutlich erst gar nicht.

    Naja, ansichtssache. Bei Firmengeräten mag das durchaus richtig sein, auf meinem Privatnotebook liegt die ganze Asus Bloatware auch noch mitdrauf. Warum? Weil z.B. die Medien-Tasten (Play/Pause, etc.) neben der Tastatur durch eben eines dieser vorinstallierten Programme gesteuert bzw. ausgewertet werden. Und ich habe keine Lust, da irgendwas aus dem Internet zu fischen. ;)

  11. Re: Wieso nicht früher entdeckt

    Autor: pythoneer 24.11.15 - 16:10

    gaym0r schrieb:
    --------------------------------------------------------------------------------
    > Genau wie bei opensource projekten. Jeder könnte eine Sicherheitslücke
    > finden, keiner macht es :-)

    Dem widerspricht die empirische Tatsache, dass Sicherheitslücken gefunden werden, demnach machen es doch welche.

  12. Re: Wieso nicht früher entdeckt

    Autor: pythoneer 24.11.15 - 16:13

    Th3Br1x schrieb:
    --------------------------------------------------------------------------------
    > Naja, ansichtssache. Bei Firmengeräten mag das durchaus richtig sein, auf
    > meinem Privatnotebook liegt die ganze Asus Bloatware auch noch mitdrauf.
    > Warum? Weil z.B. die Medien-Tasten (Play/Pause, etc.) neben der Tastatur
    > durch eben eines dieser vorinstallierten Programme gesteuert bzw.
    > ausgewertet werden. Und ich habe keine Lust, da irgendwas aus dem Internet
    > zu fischen. ;)

    Hört sich so an, als sei den Notebook im Auslieferungszustand kaputt.

  13. Re: Wieso nicht früher entdeckt

    Autor: Thiesi 24.11.15 - 16:28

    Du nutzt aber sicher auch keinen Edge, IE, Chrome oder andere Exoten-Browser, so dass in der Praxis das Risiko selbst bei Nutzern betroffener DELL-Geräte wohl überschaubar sein dürfte.

    Dass es sich dennoch nicht gehört, da irgendwelche Root-Zertifikate zu installieren, steht natürlich außer Frage.



    1 mal bearbeitet, zuletzt am 24.11.15 16:29 durch Thiesi.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. VBL. Versorgungsanstalt des Bundes und der Länder, Karlsruhe
  2. Lidl Dienstleistung GmbH & Co. KG, Neckarsulm
  3. BASF SE, Ludwigshafen
  4. IN-Software GmbH, Nordbayern

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 107,90€
  2. (u. a. Bohrhammer für 114,99€, Schraubendreher-Set für 27,99€, Ortungsgerät für 193,99€)
  3. (u. a. Multi Schleifmaschine für 62,99€, Schlagbohrmaschine für 59,99€, Akku Staubsauger für...
  4. (aktuell u. a. SilentiumPC Stella HP Gehäuselüfter für 10,99€, SilentiumPC Regnum RG4 Frosty...


Haben wir etwas übersehen?

E-Mail an news@golem.de


Acer Predator Thronos im Sit on: Der Nerd-Olymp
Acer Predator Thronos im Sit on
Der Nerd-Olymp

Ifa 2019 Ob wir es nun den eisernen Thron oder den Sitz der Götter nennen: Der Predator Thronos von Acer fällt auf dem Messestand des Herstellers schon auf. Golem.de konnte den skurrilen Stuhl ausprobieren. Er ist eines Gaming-Kellers würdig.
Ein Hands on von Oliver Nickel

  1. Nitro XV273X Acer baut ersten Monitor mit IPS-Panel und 240 Hz
  2. Acer Beim Predator-Notebook fährt die Tastatur wie eine Rampe aus
  3. Geräte für Mediengestalter Acer gibt Verfügbarkeit der Concept-D-Laptops bekannt

Galaxy Fold im Hands on: Samsung hat sein faltbares Smartphone gerettet
Galaxy Fold im Hands on
Samsung hat sein faltbares Smartphone gerettet

Ifa 2019 Samsungs Überarbeitungen beim Galaxy Fold haben sich gelohnt: Das Gelenk wirkt stabil und dicht, die Schutzfolie ist gut in den Rahmen eingearbeitet. Im ersten Test von Golem.de haben wir trotz aller guten Eindrücke Bedenken hinsichtlich der Kratzempfindlichkeit des Displays.
Ein Hands on von Tobias Költzsch

  1. Orbi AX6000 Netgears Wi-Fi-6-Mesh-System ist teuer
  2. Motorola Tech 3 Bluetooth-Hörstöpsel sind auch mit Kabel nutzbar
  3. Wegen US-Sanktionen Huawei bringt Mate 30 ohne Play Store und Google Maps

Apple TV+: Apples Videostreamingdienst ist nicht konkurrenzfähig
Apple TV+
Apples Videostreamingdienst ist nicht konkurrenzfähig

Bei so einem mickrigen Angebot hilft auch ein mickriger Preis nicht: Apples Streamingdienst hat der Konkurrenz von Netflix, Amazon und bald Disney nichts entgegenzusetzen - und das wird sich auf Jahre nicht ändern.
Eine Analyse von Ingo Pakalski

  1. Apple TV+ Disney-Chef tritt aus Apple-Verwaltungsrat zurück
  2. Apple TV+ Apples Streamingangebot kostet 4,99 Euro im Monat
  3. Videostreaming Apple TV+ startet mit fünf Serien für 10 US-Dollar monatlich

  1. Adyen: Ebay Deutschland kassiert nun selbst
    Adyen
    Ebay Deutschland kassiert nun selbst

    Ebay verspricht seinen Verkäufern, dass die Kosten für sie sinken würden. Der Austausch von Paypal als wichtigsten Zahlungsabwickler läuft an.

  2. Android: Vivo stellt Smartphone mit ultraschmalem Display-Rahmen vor
    Android
    Vivo stellt Smartphone mit ultraschmalem Display-Rahmen vor

    Das neue Nex 3 von Vivo kommt wahlweise nicht nur mit 5G-Unterstützung, sondern auch mit einem auffälligen Display: Der Hersteller gibt den Anteil des Bildschirms an der Frontfläche mit 99,6 Prozent an. Möglich machen das ein stark gekrümmter Display-Rand und der Verzicht auf Knöpfe.

  3. BSI: iOS-App der Telekom für vertrauliche Gespräche freigegeben
    BSI
    iOS-App der Telekom für vertrauliche Gespräche freigegeben

    Neben Kryptohandys dürfen Behördenmitarbeiter nun auch auf iPhones Vertrauliches miteinander besprechen - vorausgesetzt, sie verwenden eine App der Telekom.


  1. 19:09

  2. 17:40

  3. 16:08

  4. 15:27

  5. 13:40

  6. 13:24

  7. 13:17

  8. 12:34