1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Sicherheitsloch im SSL-Protokoll

mitm as usual

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema Ansicht wechseln


  1. mitm as usual

    Autor: _UPPERcase 05.11.09 - 16:38

    mitm bei ssl geht doch schon immer.
    das ist doch genau das problem bei ssl das die verschlüsselung keinen mitm angriffen standhält und das ist schon lange bekannt.
    das geht doch auch schon mit den bekannten kleine kinder tools.

    wer sich auf ssl verlässt ist verlassen.

  2. Re: mitm as usual

    Autor: Paeniteo 05.11.09 - 18:04

    > das ist doch genau das problem bei ssl das die verschlüsselung keinen mitm
    > angriffen standhält und das ist schon lange bekannt.

    Huh? Natürlich hält sie stand.
    Die User klicken halt bloß die Zertifikatswarnungen weg. Das ist zwar durchaus ein Problem, aber schwerlich durch das SSL-Protokoll zu lösen.

    cu, Paeniteo

  3. Re: mitm as usual

    Autor: _UPPERcase 05.11.09 - 21:54

    die ssl certifikate (wenn überhaupt mal eines registriert ist) werden ja einfach durchgeroutet und ist meines wissens dasselbe. das opfer hat ja im prinzip nur 1 Hop mehr zum server.
    die daten im sslpacket werden einfach decrypted weil ja die schlüsselaushandlung bei ssl mitgesnifft und somit bekannt ist.

    zumindest ist das mein wissenstand.

  4. Re: mitm as usual

    Autor: fast richtig 06.11.09 - 09:15

    Dann ist dein Wissenstand daneben. Der Witz an der Schlüsselaushandlung (bspw. nach Diffie-Hellman) ist gerade, dass man über einen öffentlichen unsicheren Kanal einen Schlüssel aushandeln kann _ohne_ dass ein Lauscher mithören kann. Um den gern genommenen Herrn Schneier mal (sinngemäß) zu zitieren: "Stell dir vor du sitzt in einem Café voller Leute und zwei davon rufen sich quer über den Raum Zahlen zu. Wenn sie damit fertig sind kennen sie ein gemeinsames Geheimnis ohne dass jemand im Raum eine Ahnung hat, welches".

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Technischer Direktor (m/w/d)
    Friedrich-Alexander-Universität Erlangen-Nürnberg (FAU), Erlangen
  2. Data Analyst (m/w/d) Schwerpunkt Marketing und Sales
    Verlag Heinz Heise GmbH & Co. KG, Hannover
  3. DevOps Engineer / Systems Engineer (m/w/d)
    Nürnberger Baugruppe GmbH + Co KG, Nürnberg (Home-Office)
  4. Technische Referenten (m/w/d) - Abteilung Informationsfreiheitsgesetz, Technologischer Datenschutz, ... (m/w/d)
    Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Bonn

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 6,99€
  2. (u. a. SteamWorld Dig für 2,50€, Hellfront Honeymoon für 1,99€, Dawn of Fear für 8,99€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Bundestagswahl 2021: Die Parteien im Datenschutz-Check
Bundestagswahl 2021
Die Parteien im Datenschutz-Check

Gesagt, getan? Wir haben geprüft, was CDU, SPD, Grüne, FDP, Linke und AfD zum Datenschutz fordern - und was sie selbst auf ihren Webseiten umsetzen.
Eine Analyse von Christiane Schulzki-Haddouti

  1. Bundestagswahl Wahl-O-Mat 2021 ist online
  2. Bundestagswahl 2021 Einige Wahlbehörden nur über unsichere Mailserver erreichbar
  3. Kandidaten-Triell Sogar Gendern ist wichtiger als Digitalisierung

Vernetzung im Smart Home: Alles eins mit Thread und Matter
Vernetzung im Smart Home
Alles eins mit Thread und Matter

Mit Thread und Matter soll endlich etwas gelingen, woran bislang alle gescheitert sind: verschiedenste Smart-Home-Produkte zu einem Ökosystem zu verbinden.
Von Jan Rähm

  1. Wiz Signify bringt neue WLAN-Lampen
  2. Smarte Beleuchtung Wiz im Test Es muss nicht immer Philips Hue sein
  3. Smart Home Matter verzögert sich bis 2022

Allianz-CTO: Die Trennung von Arbeit und Freizeit ist antiquiert
Allianz-CTO
"Die Trennung von Arbeit und Freizeit ist antiquiert"

CTOs im Interview Profi-Trompeter war sein Traum - stattdessen wurde Markus Löffler Sysadmin, Physiker, Direktor von McKinsey und der erste CTO der Allianz Versicherung. Wie schafft man als Quereinsteiger so eine Karriere in der IT?
Ein Interview von Maja Hoock

  1. Jaroslaw Kroczek von Boldare "Gute Bezahlung reicht heute nicht mehr aus"