1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › Google Chrome: Ab heute heißt…
  6. Thema

Gut so

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. Re: Gut so

    Autor: freebyte 24.07.18 - 17:58

    RipClaw schrieb:
    --------------------------------------------------------------------------------
    > Ich kann sogar einen 5 Jahre alten Server mit einer halbwegs sicheren
    > Cipherauswahl ausstatten.

    Wenn Du den Server aber vor 5 Jahren oder älter mit einer damals gängigen Cipherauswahl ausgestattet hast ist die Chance sehr hoch, dass sie mit einem aktuellen Browser nicht mehr angezeigt werden können.

    Das ist das Problem womit immer mehr Seiten zu kämpfen haben.

    fb

  2. Re: Gut so

    Autor: Schnarchnase 24.07.18 - 18:05

    Ja richtig, aber den Geschwindigkeitsvorteil bringt das neue Protokoll und nicht die Verschlüsselung. Ich finde das auch nicht grundsätzlich falsch, eher das Gegenteil ist der Fall, aber HTTP gleich als unsicher zu markieren halte ich für überzogen.

  3. Re: Gut so

    Autor: RipClaw 24.07.18 - 18:12

    freebyte schrieb:
    --------------------------------------------------------------------------------
    > RipClaw schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Ich kann sogar einen 5 Jahre alten Server mit einer halbwegs sicheren
    > > Cipherauswahl ausstatten.
    >
    > Wenn Du den Server aber vor 5 Jahren oder älter mit einer damals gängigen
    > Cipherauswahl ausgestattet hast ist die Chance sehr hoch, dass sie mit
    > einem aktuellen Browser nicht mehr angezeigt werden können.
    >
    > Das ist das Problem womit immer mehr Seiten zu kämpfen haben.

    Ich habe öfters mal mit solchen Servern zu tun.

    So lange sie SSLv3 oder besser TLSv1 können sind die Seiten auch mit modernen Browsern aufzurufen. Die Standard Cipherauswahl z.B. im Apache umfasst fast alles was openssl anbietet und schließt nur die Export Ciphers aus. Wenn da auch nur ein Cipher mit dabei ist der vom Browser unterstützt wird funktioniert die Verbindung.

    Der einzige Grund warum eine Seite nicht funktionieren sollte ist wenn die Cipherauswahl auf einige bestimmte Ciphers eingedampft wurde die aktuell nicht mehr unterstützt werden. Das ist aber eher selten der Fall.

    Ich hatte noch keinen Server bei dem ich nicht wenigstens eine SSLv3 Verbindung hinbekommen habe.

    Allerdings hat ein so alter Server noch ganze andere Probleme und sollte eigentlich aus dem Verkehr gezogen werden. Die Wahrscheinlichkeit ist hoch das da ein Joomla 1.0 ein altes OS Commerce oder andere anfällige Software drauf läuft.

    Ist es eine statische Webseite kannst du die auch auf den neuesten Server ziehen. Das ist kein Problem. Und viele uralte Seiten sind statisches HTML. Da ist die Wahrscheinlichkeit höher das der Moderne HTML Parser nicht mehr mit dem alten HTML zurecht kommt und das Layout zerschießt als das die Seite auf einem Modernen Server nicht mehr läuft.

    Und wie gesagt, im Notfall schalte ich einen Reverse Proxy dazwischen. Der spricht dann auch aktuelles TLSv1.2 mit den neuesten Ciphers.

    Mittels Reverse Proxy kann ich sogar einem alten Gopher Server TLSv1.2 und HTTP/2 beibringen :)



    3 mal bearbeitet, zuletzt am 24.07.18 18:15 durch RipClaw.

  4. Re: Gut so

    Autor: freebyte 24.07.18 - 18:45

    RipClaw schrieb:
    --------------------------------------------------------------------------------
    > Der einzige Grund warum eine Seite nicht funktionieren sollte ist wenn die
    > Cipherauswahl auf einige bestimmte Ciphers eingedampft wurde die aktuell
    > nicht mehr unterstützt werden. Das ist aber eher selten der Fall.

    Sowas hatte ich der Tage mit einem Java-Mailproxy - nach Umstellung auf Java 1.8 lief einiges nicht mehr weil in der Security-Policy paar Sachen wegen "unsicher" abgeklemmt wurden.

    > Ich hatte noch keinen Server bei dem ich nicht wenigstens eine SSLv3
    > Verbindung hinbekommen habe.

    Sowas Modernes nutzt Du? :-)

    > Die Wahrscheinlichkeit ist hoch das da ein Joomla 1.0 ein altes OS Commerce
    > oder andere anfällige Software drauf läuft.

    Wir haben es immer noch mit den von @schnarchnase genannten reinen Infoseiten.

    Sowas zB.: http://klabs.org/history/ech/agc_schematics/index.htm (geht auch verschlüsselt, aber eher unfreiwillig und unwillig).

    > Ist es eine statische Webseite kannst du die auch auf den neuesten Server
    > ziehen. Das ist kein Problem. Und wie gesagt, im Notfall schalte ich einen
    > Reverse Proxy dazwischen. Der spricht dann auch aktuelles TLSv1.2 mit den
    > neuesten Ciphers.

    Was ich kann, was Du kannst interessiert bei aufgegebenen Infoseiten leider herzlich wenig - wir kommen an den Server nicht ran.

    Und darum muss ich @schnarchnase zustimmen dass TLS bei sowas eher kontraproduktiv ist, gerade im Hinblick darauf dass die Zwangsjacke (Prüfungen) in den Browsern immer fester gezurrt wird.

    fb

  5. Re: Gut so

    Autor: RipClaw 24.07.18 - 19:16

    freebyte schrieb:
    --------------------------------------------------------------------------------
    > RipClaw schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Der einzige Grund warum eine Seite nicht funktionieren sollte ist wenn
    > die
    > > Cipherauswahl auf einige bestimmte Ciphers eingedampft wurde die aktuell
    > > nicht mehr unterstützt werden. Das ist aber eher selten der Fall.
    >
    > Sowas hatte ich der Tage mit einem Java-Mailproxy - nach Umstellung auf
    > Java 1.8 lief einiges nicht mehr weil in der Security-Policy paar Sachen
    > wegen "unsicher" abgeklemmt wurden.

    Java blockiert den Aufruf auch schon wenn es ein selbstsigniertes Zertifikat ist. Habe ich öfters.

    Ständig auf einer Untersützung für den alten Kram zu beharren sorgt nur dafür das die Leute sich nicht darum kümmern.
    Ich kenne genug Fälle in denen Besitzer von Servern diese jahrelang ohne Updates laufen haben lassen und dann große Augen gemacht haben als ihnen der Server geknackt wurde und sämtliche Webseiten nur noch ein Hackerlogo gezeigt haben.

    > > Ich hatte noch keinen Server bei dem ich nicht wenigstens eine SSLv3
    > > Verbindung hinbekommen habe.
    >
    > Sowas Modernes nutzt Du? :-)

    SSLv3 ist von 1996. Eigentlich sollte man sogar das nicht mehr verwenden und in den aktuellsten Browsern wird es auch nicht mehr unterstützt.
    Allerdings unterstützen viele Server auch TLSv1. Das ist von 1999 und sollte damit auch in 10 Jahre alten Servern verfügbar sein.

    Und ich habe mir auch mal die Protokollunterstützung und Cipherliste von einem Debian 3.1 (Sarge) von 2005 angeguckt das noch mit OpenSSL 0.9.7e läuft.
    TLS v1.0 ist bereits vorhanden und es werden schon Ciphers unterstützt die heute noch als sicher gelten. Sogar einen Diffie Hellman Schlüsseltausch bekommt damit damit hin.

    > > Die Wahrscheinlichkeit ist hoch das da ein Joomla 1.0 ein altes OS
    > Commerce
    > > oder andere anfällige Software drauf läuft.
    >
    > Wir haben es immer noch mit den von @schnarchnase genannten reinen
    > Infoseiten.
    >
    > Sowas zB.: klabs.org (geht auch verschlüsselt, aber eher unfreiwillig und
    > unwillig).

    Das liegt daran das hier ein Zertifikat verwendet wurde das nicht klabs.org enthält.

    Aber wenn ich mal einen HTTPS Scan über die Domain laufen lasse dann unterstützt er TLSv1, TLSv1.1 und sogar TLS v1.2 und sehr aktuelle Ciphers. Die Seite auf HTTPS umzustellen wäre eine Kleinigkeit für den Administrator.

    Und die Seite ist übrigens vom Anschein her eine Statische Webseite die über einen Apache Traffic Server in Version 7.1.2 ausgeliefert wird. Das ist ein Reverse Caching Proxy und die Version 7.1.2 ist im Januar 2018 erschienen.

    > > Ist es eine statische Webseite kannst du die auch auf den neuesten
    > Server
    > > ziehen. Das ist kein Problem. Und wie gesagt, im Notfall schalte ich
    > einen
    > > Reverse Proxy dazwischen. Der spricht dann auch aktuelles TLSv1.2 mit
    > den
    > > neuesten Ciphers.
    >
    > Was ich kann, was Du kannst interessiert bei aufgegebenen Infoseiten leider
    > herzlich wenig - wir kommen an den Server nicht ran.

    Diejenigen die diese Server pflegen kommen aber dran. Und wenn die Server nicht mehr gepflegt werden dann sollten die Server abgeschaltet werden. So stellen sie nur eine potentielle Angriffsfläche dar.

    > Und darum muss ich @schnarchnase zustimmen dass TLS bei sowas eher
    > kontraproduktiv ist, gerade im Hinblick darauf dass die Zwangsjacke
    > (Prüfungen) in den Browsern immer fester gezurrt wird.

    Übertreib hier mal nicht. Chrome blockiert nichts und macht keine Riesen "Die Seite ist unsicher" Popups. Es wird nur ein kleiner Hinweis in der URL Zeile.



    2 mal bearbeitet, zuletzt am 24.07.18 19:26 durch RipClaw.

  6. Re: Gut so

    Autor: mifritscher 24.07.18 - 22:41

    Noch ist es ein kleiner Hinweis - das wird in einigen Versionen sicher anders aussehen.
    Richtig nervig wirds dann für lokale Server - also welche, die auf 127.0.0.1 hören. Habe ich häufiger im Einsatz - entweder "direkt" oder über ssh Port forwarding, wo sich ssh um die Verschlüsselung und Authentifizierung kümmert.

  7. Re: Gut so

    Autor: freebyte 24.07.18 - 23:39

    RipClaw schrieb:
    --------------------------------------------------------------------------------

    Sorry, war mal kurz unterwegs ...

    > Java blockiert den Aufruf auch schon wenn es ein selbstsigniertes
    > Zertifikat ist. Habe ich öfters.

    Die Java-Runtime prüft nur gegen die "java.security"-Datei; um selbstsignierte Certs abzulehnen muss im Programm explizit geprüft werden ob die ganze CA-Kette bis zum Herrgott stimmt (so hab ich das von dem Ärger vor 3 Wochen in Erinnerung....)

    > Ständig auf einer Untersützung für den alten Kram zu beharren sorgt nur
    > dafür das die Leute sich nicht darum kümmern.

    Auf den ersten Blick ist das eine verständliche, klar nachvollziehbare Anforderung an die sich jeder halten kann.

    In der Praxis... nuja, kennste selber.

    > Diejenigen die diese Server pflegen kommen aber dran. Und wenn die Server
    > nicht mehr gepflegt werden dann sollten die Server abgeschaltet werden. So
    > stellen sie nur eine potentielle Angriffsfläche dar.

    Mit der Pauschalvermutung "Altsysteme stellen eine potentielle Angriffsfläche dar" machen nicht nur die Verkäufer von IT-Dienstleistungen gigantische Umsätze bei Kunden, die das Geschwätz ungeprüft glauben.

    > > Und darum muss ich @schnarchnase zustimmen dass TLS bei sowas eher
    > > kontraproduktiv ist, gerade im Hinblick darauf dass die Zwangsjacke
    > > (Prüfungen) in den Browsern immer fester gezurrt wird.
    >
    > Übertreib hier mal nicht. Chrome blockiert nichts und macht keine Riesen
    > "Die Seite ist unsicher" Popups. Es wird nur ein kleiner Hinweis in der URL
    > Zeile.

    ... der nach einer Weile ignoriert wird, genauso wie die Cert-Fehler von den Usern mittlerweile genervt als "Make it so!" quittiert werden.

    Die flächendeckende Einführung von Verschlüsselung (incl. der Tatsache, dass Google https bevorzugt anzeigt) zum angeblichen Wohle der User beflügelt schon lange die Phantasie der Hacker :-)

    fb

  8. Re: Gut so

    Autor: LASERwalker 25.07.18 - 09:02

    Das ist falsch. Wenn das eigene Stammzertifikat installiert ist wird zu 100% keine Warnung ausgegeben.

    Wenn du dennoch eine Warnung bekommst hast du etwas falsch gemacht.

  9. Re: Gut so

    Autor: deutscher_michel 25.07.18 - 09:11

    Man kann das nicht nur so sehen, sondern das ist so - http2 hat schon von beginn an Verschlüsselung vorausgesetzt - das hat zwar indirekt was mit Chrome zu tun, da es auf deren Entwicklung basiert - aber ist nun halt so in den Standard gewandert.

    In den Tests dich ich, vor ca 4 Jahren gemacht habe, als http2 eingeführt wurde waren die Seiten teilweise um den Faktor 10 schneller geladen - je nachdem wieviele Assets nachgeladen werden mussten. Bei seiten die nur aus 2-3 großen files bestehen bringt es dagegen ungefähr gar nichts..aber das gibts ja auch kaum

  10. Re: Gut so

    Autor: LASERwalker 25.07.18 - 09:13

    Schnarchnase schrieb:
    --------------------------------------------------------------------------------
    > Für reine Informationsseiten gibt es auch keinen zwingenden Grund HTTPS zu
    > verwenden. Es bringt kaum mehrwert, außer dass MITM-Attacken erschwert
    > werden.

    * Passwörter und alle anderen Informationen können mitgelesen werden
    * DNS Cache Poisoning und Reflection Angriffe sind möglich
    * Es kann beliebiger Inhalt eingefügt werden (für Cryptomining, DDoS Attacken, Cookies der gleichen Domain auslesen, Tracking durch ISP, ...)
    * CSRF Angriffe auf anfällige Seiten und Hardware werden sehr leicht gemacht
    * Werbebetrug

    Troy Hunt hat ein gutes Argumentarium zusammengestellt:
    > https://www.troyhunt.com/heres-why-your-static-website-needs-https/

    > Für lokal gehostete Seiten bekommst du übrigens keine Zertifikate, es sei
    > denn du machst sie allein zu diesem Zweck auch aus dem Internet erreichbar.

    Das ist falsch. Man bekommt für jede per E-Mail, DNS oder HTTP überprüfbare Domain ein Zertifikat.

    > Ich sehe da genug Potential für Kritik und keinesfalls eine einfache,
    > eindeutig richtige Entscheidung.

    Lieber alls unsicher lassen?

  11. Re: Gut so

    Autor: RipClaw 25.07.18 - 10:22

    freebyte schrieb:
    --------------------------------------------------------------------------------
    > RipClaw schrieb:
    > ---------------------------------------------------------------------------
    > -----

    > > Ständig auf einer Untersützung für den alten Kram zu beharren sorgt nur
    > > dafür das die Leute sich nicht darum kümmern.
    >
    > Auf den ersten Blick ist das eine verständliche, klar nachvollziehbare
    > Anforderung an die sich jeder halten kann.
    >
    > In der Praxis... nuja, kennste selber.

    Das mag in der Praxis so sein aber deswegen muss es mir nicht gefallen.

    > > Diejenigen die diese Server pflegen kommen aber dran. Und wenn die
    > Server
    > > nicht mehr gepflegt werden dann sollten die Server abgeschaltet werden.
    > So
    > > stellen sie nur eine potentielle Angriffsfläche dar.
    >
    > Mit der Pauschalvermutung "Altsysteme stellen eine potentielle
    > Angriffsfläche dar" machen nicht nur die Verkäufer von IT-Dienstleistungen
    > gigantische Umsätze bei Kunden, die das Geschwätz ungeprüft glauben.

    Das ist kein leeres Geschwätz.

    Viele Sicherheitslücken der letzten Jahre schlummerten schon sehr lange im Code der entsprechenden Applikationen und Systeme. Und für die alten Versionen bekommst du eben keine Sicherheitsupdates mehr. Also müsstest du die aktuellen Patches zurück portieren, was aber keiner macht.

    Was in der Sicherheitsbranche schief läuft sind die schwarzen Schafe die selber keine Ahnung haben und eigentlich nur fertige Produkte verkaufen.
    Aber deswegen kann man nicht gleich die ganze Branche über einen Kamm scheren. Es gibt genug Leute die Ahnung haben und sinnvolle Maßnahmen zur Absicherung empfehlen statt einem 10 Virenscanner und 20 Firewalls zu verkaufen.

    > > > Und darum muss ich @schnarchnase zustimmen dass TLS bei sowas eher
    > > > kontraproduktiv ist, gerade im Hinblick darauf dass die Zwangsjacke
    > > > (Prüfungen) in den Browsern immer fester gezurrt wird.
    > >
    > > Übertreib hier mal nicht. Chrome blockiert nichts und macht keine Riesen
    > > "Die Seite ist unsicher" Popups. Es wird nur ein kleiner Hinweis in der
    > URL
    > > Zeile.
    >
    > ... der nach einer Weile ignoriert wird, genauso wie die Cert-Fehler von
    > den Usern mittlerweile genervt als "Make it so!" quittiert werden.

    Möglich. Aber dann kann keiner mehr behaupten ihm wäre es nicht mitgeteilt worden.

    > Die flächendeckende Einführung von Verschlüsselung (incl. der Tatsache,
    > dass Google https bevorzugt anzeigt) zum angeblichen Wohle der User
    > beflügelt schon lange die Phantasie der Hacker :-)

    Aus gutem Grund. Viele Hacker sind in der Sicherheitsbranche tätig und sehen entsprechend Probleme mit denen ein normaler Nutzer nie in Berührung kommt und daher nicht mal weiß das sie existieren.

  12. Re: Gut so

    Autor: Schnarchnase 25.07.18 - 10:23

    LASERwalker schrieb:
    --------------------------------------------------------------------------------
    > Das ist falsch.

    Ne, das ist richtig. Du hast das Wenn selbst genannt. Oder wie verteilst du dein Zertifikat nicht nur an deine Geräte, sondern auch an die deiner Besucher?

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. IT-Mitarbeiter (m/w/d) mit Schwerpunkt IT-Sicherheit
    NMI Reutlingen, Reutlingen
  2. DevOps Engineer / Cloud Operator (m/w/d)
    GK Software SE, Schöneck (Vogtland), St. Ingbert, Pilsen (Tschechische Republik)
  3. IT-Admin / Windows-Admin (w/m/d)
    profiforms gmbh, Leonberg
  4. Projektmanager (m/w/d) Digitale Studiotechnik International
    RSG Group GmbH, Berlin

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 68,99€ (versandkostenfrei)
  2. 349,99€ Neonrot/Neonblau (lieferbar ab 17.12.), 359,99€ Weiß (lieferbar ab 15.12.)
  3. 44,99€/Monat für 24 Monate + 45,98€ einmalige Kosten (Lieferzeit ca. 7 Wochen)
  4. 39,99€/Monat für 24 Monate + 45,98€ einmalige Kosten (Lieferzeit ca. 7 Wochen)


Haben wir etwas übersehen?

E-Mail an news@golem.de