Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Kasachstan: Man-in-the-Middle-Angriff…

Wie lösen die Zertifikats-Pinning ...

  1. Thema

Neues Thema Ansicht wechseln


  1. Wie lösen die Zertifikats-Pinning ...

    Autor: Michinator 03.12.15 - 15:21

    Wie wird denn in Kasachstan dann mit Diensten umgegangen, die Zertifikats-Pinning machen?

    Das ist doch wie bei jedem Unternehmen, dass HTTPS Inspection macht - für diese Dienste gibts da Ausnahmen, Cisco Webex fällt mir da spontan ein.

    In den Fällen gibts dann einfach Zertifikats-Warnungen oder schlicht keine Funktion?

    Und wie geht man mit unbekannten Diensten um (alternative Ports etc.) - wird dann einfach alles gesperrt, dass nicht bekannt klartext oder knackbare Verschlüsselung ist? Dann wird VIELES nicht mehr gehen.

    Gruß,
    Michael

  2. Re: Wie lösen die Zertifikats-Pinning ...

    Autor: Rabbit 03.12.15 - 15:48

    Ich vermute einfach mal wild in die Gegend: wenn der Man-in-the-middle-Proxy die TLS Verbindung nicht entschlüsseln kann, dann verweigert er den Verbindungsaufbau.

    Die Antwort wäre dann: gar nicht, aber es kommt dann halt auch keine Verbindung zu stande.

  3. Re: Wie lösen die Zertifikats-Pinning ...

    Autor: derh0ns 03.12.15 - 17:56

    Irgentwann ist das Pinning ja abgelaufen und dann kann man es mit dem Hash der eigenen CA ersetzen.

  4. Re: Wie lösen die Zertifikats-Pinning ...

    Autor: hannob (golem.de) 03.12.15 - 19:29

    Zertifikats-Pinning hilft dagegen leider nicht.

    Der Hintergrund ist folgender: Die Webbrowser haben Pinning so implementiert, dass lokal installierte Zertifikate davon nicht betroffen sind. Der Grund dafür ist eben, dass es zahlreiche Produkte gibt, die auf derartige Man-in-the-Middle-proxies bauen - ob man dsa nun gut findet oder nicht.

    Wir hatten das hier schonmal erklärt:
    https://www.golem.de/news/https-kaspersky-ermoeglicht-freak-angriff-1504-113747.html

    Ein gutes Gefühl hab ich dabei auch nicht, aber ich kann die Browserhersteller in gewisser Weise verstehen. Deren Argument ist: Wenn etwas lokal installiert ist, hat das alle Rechte. Würde man versuchen, das zu verhindern, würde das dazu führen, dass die Hersteller von "TLS-Interception"-Appliances (oder halt - in diesem Fall - die kasachstanische Telco) versuchen würden, die Browserfunktionen zu hooken oder ähnliches - was potentiell zu noch schlimmeren Securitykatastrophen führen dürfte.

    (Und um keine Mißverständnisse aufkommen zu lassen: Ich halte derartige TLS-Interception-Geräte für hochgradigen Unfug und dass sogenannte IT-Sicherheitsfirmen das verkaufen ist im Grunde ein Skandal. Aber ich glaube Pinning ist nicht die Antwort darauf.)

  5. Re: Wie lösen die Zertifikats-Pinning ...

    Autor: Rabbit 03.12.15 - 20:02

    Ja und nein, Google Chrome z.B. hat fixes pinning für Google Zertifikate, der nimmt teilweise einfach keine anderen an. Hilft halt allen andere nicht.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. OEDIV KG, Oldenburg
  2. über experteer GmbH, Hannover
  3. Hessisches Ministerium der Finanzen, Frankfurt am Main
  4. mobilcom-debitel GmbH, Büdelsdorf

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. ab 1.244,99€ und damit günstiger als bei Apple (Release am 20.09.)
  2. 189,00€
  3. (Restposten und Einzelstücke reduziert)
  4. 64,90€ (zzgl. Versandkosten)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Umwelt: Grüne Energie aus der Toilette
Umwelt
Grüne Energie aus der Toilette

In Hamburg wird in bislang nicht gekanntem Maßstab getestet, wie gut sich aus Toilettenabwasser Strom und Wärme erzeugen lassen. Außerdem sollen aus dem Abwasser Pflanzennährstoffe für die Landwirtschaft gewonnen werden. Dafür müssen aber erst einmal die Schadstoffe aus den Gärresten gefiltert werden.
Von Monika Rößiger


    Dick Pics: Penis oder kein Penis?
    Dick Pics
    Penis oder kein Penis?

    Eine Studentin arbeitet an einer Software, die automatisch Bilder von Penissen aus Direktnachrichten filtert. Wer mithelfen will, kann ihr Testobjekte schicken.
    Ein Bericht von Fabian A. Scherschel

    1. Medienbericht US-Regierung will soziale Netzwerke stärker überwachen
    2. Soziales Netzwerk Openbook heißt jetzt Okuna
    3. EU-Wahl Spitzenkandidat Manfred Weber für Klarnamenpflicht im Netz

    Recruiting: Wenn das eigene Wachstum zur Herausforderung wird
    Recruiting
    Wenn das eigene Wachstum zur Herausforderung wird

    Gerade im IT-Bereich können Unternehmen sehr schnell wachsen. Dabei können der Fachkräftemangel und das schnelle Onboarding von neuen Mitarbeitern zum Problem werden. Wir haben uns bei kleinen Startups und Großkonzernen umgehört, wie sie in so einer Situation mit den Herausforderungen umgehen.
    Von Robert Meyer

    1. Recruiting Alle Einstellungsprozesse sind fehlerhaft
    2. LoL Was ein E-Sport-Trainer können muss
    3. IT-Arbeit Was fürs Auge

    1. Mobilfunkpakt: Vodafone schaltet 5G-Standorte früher frei
      Mobilfunkpakt
      Vodafone schaltet 5G-Standorte früher frei

      In Hessen geht es jetzt zügig weiter. Vodafone hat drei Standorte früher freigeschaltet. Auch die Telekom ist in dem Bundesland schon mit 5G aktiv.

    2. Creative Assembly: Das nächste Total War spielt im antiken Troja
      Creative Assembly
      Das nächste Total War spielt im antiken Troja

      Viele Gerüchte gab es bereits um das nächste Total-War-Spiel. Jetzt ist es offiziell: A Total War Story: Troy erzählt die Sage um Achilles, Hector, Odysseus und die antike Stadt Troja. Der Titel soll 2020 erscheinen.

    3. Facebook-Urteil: Künast muss übelste Beschimpfungen hinnehmen
      Facebook-Urteil
      Künast muss übelste Beschimpfungen hinnehmen

      Die Grünen-Politikerin Renate Künast will die Verfasser von Hasskommentaren auf Facebook gerichtlich belangen. Doch das soziale Netzwerk muss die Nutzerdaten nicht herausgeben.


    1. 17:55

    2. 17:42

    3. 17:29

    4. 16:59

    5. 16:09

    6. 15:59

    7. 15:43

    8. 14:45