Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Governikus: Personalausweis…

Ausnutzbar?

  1. Thema

Neues Thema Ansicht wechseln


  1. Ausnutzbar?

    Autor: Allandor 22.11.18 - 08:09

    Ist das überhaupt ausnutzbar?
    Wenn ich das richtig verstehe wird ein verschlüsselter HTTPs Call an den Webserver gemacht. Das alle Infos dabei in der URL stehen kann ich mir zwar nicht vorstellen, denn solche Daten stehen normalerweise im Body damit sie auf jeden Fall mitverschlüsselt werden.
    D.h. wenn jemand das ganze abfangen würde, müsste er erst mal die eingesetzte HTTPS-Verschlüsselung knacken seine Anfrage anhängen und neu kodieren.
    Da ich mal nicht davon ausgehe würde das heißen, das der Angreifer müsste sich bereits in der Anwendung befinden, damit diese Lücke auch nur irgendwie ausgenutzt werden kann.
    Wenn ich mich eh schon dort befinde, ist eh alles zu spät. Da dürfte das meine geringste Sorge sein, denn der Angreifer dürfte dann auch bereits über die Möglichkeiten Verfügen von der Software entsprechende abfrage gültig verschlüsselt und signiert abzuschicken. Der "Huckepack"-Hack wäre da gar nicht nötig.

  2. Re: Ausnutzbar?

    Autor: Schnarchnase 22.11.18 - 09:26

    Allandor schrieb:
    --------------------------------------------------------------------------------
    > Das alle Infos dabei in der URL stehen kann ich mir zwar nicht vorstellen,
    > denn solche Daten stehen normalerweise im Body damit sie auf jeden
    > Fall mitverschlüsselt werden.

    Die URL selbst wird auch verschlüsselt.

  3. Re: Ausnutzbar?

    Autor: Mingfu 22.11.18 - 10:38

    Also erst einmal wie schon geschrieben: Bei HTTPS wird auch die Anfrage-URL verschlüsselt. Der Client baut eine TCP-Verbindung zum Webserver (üblicherweise an Port 443) auf, dann wird die Verschlüsselung ausgehandelt und schließlich wird über die verschlüsselte Verbindung das HTTP-Protokoll gefahren (insbesondere wird damit also auch die URL eines GET-Requests mitverschlüsselt). Ein Außenstehender sieht nur, an welche IP-Adresse und an welchen Port eine Verbindung aufgebaut wird, nicht aber, welche HTTP-Anfragen erfolgen.

    Und nun zum Inhaltlichen: Es handelt sich einfach um einen Validierungsfehler auf Serverseite. Wenn man den elektronischen Personalausweis verwendet, baut der Client eine Verbindung zu einer Beglaubigungsinstanz auf. Diese kommuniziert verschlüsselt mit dem Personalausweis, lässt sich von ihm die gespeicherten Daten zuschicken und beglaubigt sie anschließend mit ihrer eigenen Signatur. Diese signierten Daten werden an den Client zurückgeschickt, der sie nun gegenüber Dritten als Beweis seiner Identität einsetzen kann. Es handelt sich dabei einfach um signierte URL-Parameter mit den Ausweisdaten.

    Und hier entsteht nun beim eigentlichen Webserver, der die Daten haben will, ein Verifizierungsproblem: Er liest die URL-Paramter und prüft zunächst die Signatur. Wenn die stimmt, liest er nochmals die URL-Parameter ein und verarbeitet sie dann entsprechend. Allerdings wird beim Prüfen der Signatur bei doppelten URL-Parametern genau andersherum verfahren wie beim späteren Verarbeiten. Wenn der Client also die URL modifiziert, so dass Parameter mit dem gleichen Namen doppelt vorkommen, so wird beim Prüfen der Signatur das letzte Auftreten des Parameters mit dem dortigen Wert überprüft, beim späteren nochmaligen Einlesen aber das erste Auftreten des Parameters verarbeitet. Man kann also Wunschdaten vorn in die URL eintragen und weiter hinten hängt man dann die Daten einer beglaubigten Kopie an. Die wird akzeptiert, verarbeitet werden aber später die Daten vorn, die man sich einfach nur ausgedacht hat.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. operational services GmbH & Co. KG, Dienstsitz Leinfelden-Echterdingen, Einsatzort Mettingen
  2. Bezirk Oberbayern, Bruckmühl bei München
  3. PTV Group, Karlsruhe
  4. itsc GmbH, Hannover

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Blu-ray-Angebote
  1. (u. a. Logan, John Wick, Alien Covenant, Planet der Affen Survival)
  2. (u. a. 3 Blu-rays für 15€, 2 Neuheiten für 15€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Apple Mac Mini (Late 2018) im Test: Tolles teures Teil - aber für wen?
Apple Mac Mini (Late 2018) im Test
Tolles teures Teil - aber für wen?

Der Mac Mini ist ein gutes Gerät, wenngleich der Preis für die Einstiegsvariante von Apple arg hoch angesetzt wurde und mehr Speicher(platz) viel Geld kostet. Für 4K-Videoschnitt eignet sich der Mac Mini nur selten und generell fragen wir uns, wer ihn kaufen soll.
Ein Test von Marc Sauter

  1. Apple Mac Mini wird grau und schnell
  2. Neue Produkte Apple will Mac Mini und Macbook Air neu auflegen

Sony-Kopfhörer WH-1000XM3 im Test: Eine Oase der Stille oder des puren Musikgenusses
Sony-Kopfhörer WH-1000XM3 im Test
Eine Oase der Stille oder des puren Musikgenusses

Wir haben die dritte Generation von Sonys Top-ANC-Kopfhörer getestet - vor allem bei der Geräuschreduktion hat sich einiges getan. Wer in lautem Getümmel seine Ruhe haben will, greift zum WH-1000XM3. Alle Nachteile der Vorgängermodelle hat Sony aber nicht behoben.
Ein Test von Ingo Pakalski


    IT: Frauen, die programmieren und Bier trinken
    IT
    Frauen, die programmieren und Bier trinken

    Fest angestellte Informatiker sind oft froh, nach Feierabend nicht schon wieder in ein Get-together zu müssen. Doch was ist, wenn man kein Team hat und sich selbst Programmieren beibringt? Women Who Code veranstaltet Programmierabende für Frauen, denen es so geht. Golem.de war dort.
    Von Maja Hoock

    1. Software-Entwickler CDU will Online-Weiterbildung à la Netflix
    2. Job-Porträt Cyber-Detektiv "Ich musste als Ermittler über 1.000 Onanie-Videos schauen"
    3. Bundesagentur für Arbeit Ausbildungsplätze in der Informatik sind knapp

    1. Prozessoren: Intels 3D-Chip Foveros stapelt Dies mit 10 und 22 Nanometern
      Prozessoren
      Intels 3D-Chip Foveros stapelt Dies mit 10 und 22 Nanometern

      Auch bei Intel setzen sich die Multichip-Module durch. Die Dies werden aber mit erweiterter EMIB-Technik gestapelt - vom Notebook bis zum Server und mit speziellen Chiplets für x86-Kerne, Grafik und I/O.

    2. CPU-Architektur: Ice Lake bekommt Sunny Cove, um AMD auf Abstand zu halten
      CPU-Architektur
      Ice Lake bekommt Sunny Cove, um AMD auf Abstand zu halten

      Die bisher als Ice Lake bekannten Prozessoren für Desktop, Notebook und Server bekommen eine neue Architektur. Die gibt es - wie bei AMD - auch als Chiplets, aber laut Intel mit deutlich höherer Leistung pro Takt.

    3. Vodafone: "Wir bauen mehr Gigabit als alle Glasfaserunternehmen"
      Vodafone
      "Wir bauen mehr Gigabit als alle Glasfaserunternehmen"

      Die Übernahme von Unitymedia durch Vodafone stößt auf Bedenken bei der EU-Kommission. Der Vodafone-Chef sieht sich jedoch als führenden Gigabit-Betreiber.


    1. 15:00

    2. 15:00

    3. 14:45

    4. 14:00

    5. 13:22

    6. 12:30

    7. 12:12

    8. 12:03