Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Governikus: Personalausweis…

Ausnutzbar?

  1. Thema

Neues Thema Ansicht wechseln


  1. Ausnutzbar?

    Autor: Allandor 22.11.18 - 08:09

    Ist das überhaupt ausnutzbar?
    Wenn ich das richtig verstehe wird ein verschlüsselter HTTPs Call an den Webserver gemacht. Das alle Infos dabei in der URL stehen kann ich mir zwar nicht vorstellen, denn solche Daten stehen normalerweise im Body damit sie auf jeden Fall mitverschlüsselt werden.
    D.h. wenn jemand das ganze abfangen würde, müsste er erst mal die eingesetzte HTTPS-Verschlüsselung knacken seine Anfrage anhängen und neu kodieren.
    Da ich mal nicht davon ausgehe würde das heißen, das der Angreifer müsste sich bereits in der Anwendung befinden, damit diese Lücke auch nur irgendwie ausgenutzt werden kann.
    Wenn ich mich eh schon dort befinde, ist eh alles zu spät. Da dürfte das meine geringste Sorge sein, denn der Angreifer dürfte dann auch bereits über die Möglichkeiten Verfügen von der Software entsprechende abfrage gültig verschlüsselt und signiert abzuschicken. Der "Huckepack"-Hack wäre da gar nicht nötig.

  2. Re: Ausnutzbar?

    Autor: Schnarchnase 22.11.18 - 09:26

    Allandor schrieb:
    --------------------------------------------------------------------------------
    > Das alle Infos dabei in der URL stehen kann ich mir zwar nicht vorstellen,
    > denn solche Daten stehen normalerweise im Body damit sie auf jeden
    > Fall mitverschlüsselt werden.

    Die URL selbst wird auch verschlüsselt.

  3. Re: Ausnutzbar?

    Autor: Mingfu 22.11.18 - 10:38

    Also erst einmal wie schon geschrieben: Bei HTTPS wird auch die Anfrage-URL verschlüsselt. Der Client baut eine TCP-Verbindung zum Webserver (üblicherweise an Port 443) auf, dann wird die Verschlüsselung ausgehandelt und schließlich wird über die verschlüsselte Verbindung das HTTP-Protokoll gefahren (insbesondere wird damit also auch die URL eines GET-Requests mitverschlüsselt). Ein Außenstehender sieht nur, an welche IP-Adresse und an welchen Port eine Verbindung aufgebaut wird, nicht aber, welche HTTP-Anfragen erfolgen.

    Und nun zum Inhaltlichen: Es handelt sich einfach um einen Validierungsfehler auf Serverseite. Wenn man den elektronischen Personalausweis verwendet, baut der Client eine Verbindung zu einer Beglaubigungsinstanz auf. Diese kommuniziert verschlüsselt mit dem Personalausweis, lässt sich von ihm die gespeicherten Daten zuschicken und beglaubigt sie anschließend mit ihrer eigenen Signatur. Diese signierten Daten werden an den Client zurückgeschickt, der sie nun gegenüber Dritten als Beweis seiner Identität einsetzen kann. Es handelt sich dabei einfach um signierte URL-Parameter mit den Ausweisdaten.

    Und hier entsteht nun beim eigentlichen Webserver, der die Daten haben will, ein Verifizierungsproblem: Er liest die URL-Paramter und prüft zunächst die Signatur. Wenn die stimmt, liest er nochmals die URL-Parameter ein und verarbeitet sie dann entsprechend. Allerdings wird beim Prüfen der Signatur bei doppelten URL-Parametern genau andersherum verfahren wie beim späteren Verarbeiten. Wenn der Client also die URL modifiziert, so dass Parameter mit dem gleichen Namen doppelt vorkommen, so wird beim Prüfen der Signatur das letzte Auftreten des Parameters mit dem dortigen Wert überprüft, beim späteren nochmaligen Einlesen aber das erste Auftreten des Parameters verarbeitet. Man kann also Wunschdaten vorn in die URL eintragen und weiter hinten hängt man dann die Daten einer beglaubigten Kopie an. Die wird akzeptiert, verarbeitet werden aber später die Daten vorn, die man sich einfach nur ausgedacht hat.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. enercity AG, Hannover
  2. DIBT Deutsches Institut für Bautechnik, Berlin
  3. operational services GmbH & Co. KG, Braunschweig
  4. BG BAU - Berufsgenossenschaft der Bauwirtschaft, Berlin

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. 64,90€ (Bestpreis!)
  3. täglich neue Deals bei Alternate.de


Haben wir etwas übersehen?

E-Mail an news@golem.de


Mädchen und IT: Fehler im System
Mädchen und IT
Fehler im System

Bis zu einem gewissen Alter sind Jungen und Mädchen gleichermaßen an Technik interessiert. Wenn es dann aber um die Berufswahl geht, entscheiden sich immer noch viel mehr junge Männer als Frauen für die IT. Ein wichtiger Grund dafür ist in der Schule zu suchen.
Von Valerie Lux

  1. IT an Schulen Intelligenter Stift zeichnet Handschrift von Schülern auf
  2. 5G Milliardenlücke beim Digitalpakt Schule droht
  3. Medienkompetenz Was, Ihr Kind kann nicht programmieren?

Gemini Man: Überflüssiges Klonexperiment
Gemini Man
Überflüssiges Klonexperiment

Am 3. Oktober kommt mit Gemini Man ein ambitioniertes Projekt in die deutschen Kinos: Mit HFR-Projektion in 60 Bildern pro Sekunde und Will Smith, der gegen sein digital verjüngtes Ebenbild kämpft, betreibt der Actionfilm technisch viel Aufwand. Das Seherlebnis ist jedoch bestenfalls komisch.
Von Daniel Pook

  1. Filmkritik Apollo 11 Echte Mondlandung als packende Kinozeitreise

Cyberangriffe: Attribution ist wie ein Indizienprozess
Cyberangriffe
Attribution ist wie ein Indizienprozess

Russland hat den Bundestag gehackt! China wollte die Bayer AG ausspionieren! Bei großen Hackerangriffen ist oft der Fingerzeig auf den mutmaßlichen Täter nicht weit. Knallharte Beweise dafür gibt es selten, Hinweise sind aber kaum zu vermeiden.
Von Anna Biselli

  1. Double Dragon APT41 soll für Staat und eigenen Geldbeutel hacken
  2. Internet of Things Neue Angriffe der Hackergruppe Fancy Bear
  3. IT-Security Hoodie-Klischeebilder sollen durch Wettbewerb verschwinden

  1. Streaming: Apple und Netflix aus Auktion um South Park ausgestiegen
    Streaming
    Apple und Netflix aus Auktion um South Park ausgestiegen

    Insidern zufolge könnte der Bieterwettstreit um die Streaming-Rechte der Zeichentrickserie South Park bis zu 500 Millionen US-Dollar erreichen. Netflix soll sein Angebot bereits zurückgezogen haben. Auch Apple will wohl nicht mitbieten - was am jüngsten Verbot der Sendung in China liegen soll.

  2. Google: Vorabwiderspruch bei Street View wird überprüft
    Google
    Vorabwiderspruch bei Street View wird überprüft

    Googles Street View ist in Deutschland bisher kaum verfügbar, das Bildmaterial ist veraltet und Häuser sind oft verpixelt. Grund ist der Vorabwiderspruch gegen die Anzeige von Häusern, den viele Besitzer in Anspruch nahmen. Google lässt nun prüfen, ob neue Aufnahmen ohne Vorabwiderspruch möglich sind.

  3. Datenschutz: Zahl der Behördenzugriffe auf Konten steigt
    Datenschutz
    Zahl der Behördenzugriffe auf Konten steigt

    Behörden in Deutschland haben im bisherigen Jahresverlauf häufiger auf Konten von Bürgern zugegriffen als im Vorjahreszeitraum. Dem Bundesdatenschutzbeauftragten gefällt das nicht - er fordert eine Überprüfung der rechtlichen Grundlage.


  1. 15:12

  2. 14:18

  3. 13:21

  4. 12:56

  5. 11:20

  6. 14:43

  7. 13:45

  8. 12:49