1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › SSL/TLS: Problematisches Nachladen…

Regen wir uns jetzt wieder alle auf?!

  1. Thema

Neues Thema Ansicht wechseln


  1. Regen wir uns jetzt wieder alle auf?!

    Autor: Feron 29.07.13 - 17:55

    Ich jedenfalls nicht. Reicht ja, wenn das andere machen. Da hat heise nämlich mal wieder eine ganz tolle Story ausgegraben. Die Betonung liegt klar auf Story, denn alle klicken es an und Dutzende schreiben es ab. Was ist diese Story reduziert auf den tatsächlichen Informationsgehalt? Einfach nichts. Das ist lange bekannt und grundlegende Voraussetzung für die Funktionsweise von TLS. Im Endeffekt haben wir im Kielwasser von Prism jetzt die nächste Sau, die durchs Dorf getrieben wird.

    Nutzt man ein Betriebssystem von Microsoft vertraut man diesem Hersteller ja wohl soweit. Insofern ist es auch logisch, dass man den Zertifikaten vertraut. Zumal die ja irgendwo herkommen müssen. Und das ist das OS die eheste Lösung. Was ist die Alternative? Den User immer wenn eine Änderung stattfinden, entscheiden lassen? Zertifizierungsstelle x vertrauen? Das geht nun mal überhaupt nicht. Auch als "Profi" kann man da nicht viel sagen und muss sich ggf. alles raussuchen. Irgendeiner Entität muss man vertrauen. Ansonsten macht die ganze Kette keinen Sinn.

    Das einzige, was man Microsoft vorwerfen kann, ist, dass der Prozess nicht besonders transparent ist. Wenn über die Updatefunktion neue reinkommen oder alte entfernt oder aktualisiert werden, könnte man den Nutzer informieren.

    Es braucht weniger Zertifikate und Zertifizierungsstellen, mehr Transparenz und Einfachheit für den User.

  2. Re: Regen wir uns jetzt wieder alle auf?!

    Autor: kmork 29.07.13 - 23:21

    Feron schrieb:
    --------------------------------------------------------------------------------
    > Da hat heise
    > nämlich mal wieder eine ganz tolle Story ausgegraben. Die Betonung liegt
    > klar auf Story, denn alle klicken es an und Dutzende schreiben es ab. Was
    > ist diese Story reduziert auf den tatsächlichen Informationsgehalt? Einfach
    > nichts. Das ist lange bekannt und grundlegende Voraussetzung für die
    > Funktionsweise von TLS. Im Endeffekt haben wir im Kielwasser von Prism
    > jetzt die nächste Sau, die durchs Dorf getrieben wird.

    Hier hat Heise einen ähnlichen Vorfall in Linux als "Debakel" dargestellt: http://www.heise.de/security/meldung/Konsequenzen-des-OpenSSL-Debakels-207829.html

    Nur wurde der Bug in diesem Fall nach wenigen Stunden gefixt und Updates landeten zeitnah in den Repositories. Zu dem im Artikel genannten Fall ist weit und breit kein Fix in Sicht, nichteinmal eine Absicht diesen Missstand abzustellen ist seitens MS zu erkennen. Und auch eine "Medienhetze" gegen MS ist nicht zu erkennen - drastische Wörter wie "Debakel" in den Artikeln von Heise und Golem - Fehlanzeige.

    > Ich jedenfalls nicht. Reicht ja, wenn das andere machen. [...]
    > Das einzige, was man Microsoft vorwerfen kann, ist, dass der Prozess nicht
    > besonders transparent ist.

    Wer regt sich denn auf? Ich seh nur einen einzigen Post, nämlich deinen, der jegliche Kritik (noch bevor man welche zu lesen bekommt!) als voreingenommen darstellt und alles relativiert um Microsoft als Opfer einer bösen Medienkampagne darzustellen. Wenn hier irgendwas vorhersehbar ist, dann solche Astroturfing-Scheiße.

  3. Re: Regen wir uns jetzt wieder alle auf?!

    Autor: Jakelandiar 30.07.13 - 00:36

    kmork schrieb:
    --------------------------------------------------------------------------------
    > Feron schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Da hat heise
    > > nämlich mal wieder eine ganz tolle Story ausgegraben. Die Betonung liegt
    > > klar auf Story, denn alle klicken es an und Dutzende schreiben es ab.
    > Was
    > > ist diese Story reduziert auf den tatsächlichen Informationsgehalt?
    > Einfach
    > > nichts. Das ist lange bekannt und grundlegende Voraussetzung für die
    > > Funktionsweise von TLS. Im Endeffekt haben wir im Kielwasser von Prism
    > > jetzt die nächste Sau, die durchs Dorf getrieben wird.
    >
    > Hier hat Heise einen ähnlichen Vorfall in Linux als "Debakel" dargestellt:
    > www.heise.de
    >
    > Nur wurde der Bug in diesem Fall nach wenigen Stunden gefixt und Updates
    > landeten zeitnah in den Repositories. Zu dem im Artikel genannten Fall ist
    > weit und breit kein Fix in Sicht, nichteinmal eine Absicht diesen Missstand
    > abzustellen ist seitens MS zu erkennen. Und auch eine "Medienhetze" gegen
    > MS ist nicht zu erkennen - drastische Wörter wie "Debakel" in den Artikeln
    > von Heise und Golem - Fehlanzeige.

    Hast du irgendwas geraucht? Dein verlinkter Artikel hat ein vollkommen anderes Thema als Grundlage und absolut nichts mit dem Aktuellen zu tun. Nichtmal im Ansatz auch wenn da dir Worte SSL und TLS drinne vorkommen.

    Vielleicht solltest du das vorher mal lesen bevor du hier mit sowas kommst.

    > > Ich jedenfalls nicht. Reicht ja, wenn das andere machen. [...]
    > > Das einzige, was man Microsoft vorwerfen kann, ist, dass der Prozess
    > nicht
    > > besonders transparent ist.
    >
    > Wer regt sich denn auf? Ich seh nur einen einzigen Post, nämlich deinen,
    > der jegliche Kritik (noch bevor man welche zu lesen bekommt!) als
    > voreingenommen darstellt und alles relativiert um Microsoft als Opfer einer
    > bösen Medienkampagne darzustellen. Wenn hier irgendwas vorhersehbar ist,
    > dann solche Astroturfing-Scheiße.

    Eigentlich regst du dich hier auf und das extrem obwohl man durch deinen vorherigen Absatz eigentlich davon ausgehen muss das doch noch nichtmal im Ansatz weist wovon du überhaupt redest.

  4. Re: Regen wir uns jetzt wieder alle auf?!

    Autor: JensM 30.07.13 - 09:15

    Der verlinkte Artikel beschreibt ein Speicherleck.

    Dieser Artikel hier dagegen beschreibt einen Vorgang, der überall so ist und als "Feature" normalerweise gesehen wird.

    Firefox hat eine eigene Zertifikatsliste. Auch hier musst du "hoffen", dass keine der von Mozilla vertrauten Zertifizierungsstellen etwas böses tut. Diese wird auch aktualisiert, ohne, dass es der User mitbekommt.
    Ist auch bei iOS so. Ist auch bei Mac OS X so. Ist wohlauch bei den meisten Linuxdistris so.

    Ich gebe dem TE recht, dass das ganze hier keine "News" ist.

    > Surft ein Nutzer mit dem Internet Explorer auf eine HTTPS-Seite, überprüft der Browser anhand einer vorhandenen Liste von Root-Zertifikaten, ob das Zertifikat der Webseite von einer bekannten Zeritifizierungsinstanz unterschrieben wurde. Dieses Konzept ist nicht ohne Risiken, da der Nutzer damit automatisch allen vorhandenen Zertifizierungsstellen vertraut.

    Inwieweit ist das bei openssl, bei dem das angeblich "behoben" wurde, anders? Wenn ich ne prallgefüllte CA-Liste habe, werden die allte beim prüfen als valide interpretiert.

  5. Re: Regen wir uns jetzt wieder alle auf?!

    Autor: katzenpisse 30.07.13 - 09:20

    kmork schrieb:
    --------------------------------------------------------------------------------
    > Hier hat Heise einen ähnlichen Vorfall in Linux als "Debakel" dargestellt:
    > www.heise.de
    >
    > Nur wurde der Bug in diesem Fall nach wenigen Stunden gefixt und Updates
    > landeten zeitnah in den Repositories.

    Das hat nichts mit dem Thema hier zu tun.

  6. Re: Firmen

    Autor: Kasabian 30.07.13 - 09:27

    und es gibt nicht nur Dich auf dieser Welt....

    Etliche Unternehmen sind leider auf Windows oder Mac angewiesen und können nicht mal eben auf Linux migrieren.



    1 mal bearbeitet, zuletzt am 30.07.13 09:28 durch Kasabian.

  7. Re: Firmen

    Autor: JensM 30.07.13 - 09:37

    Kasabian schrieb:
    --------------------------------------------------------------------------------
    > und es gibt nicht nur Dich auf dieser Welt....
    >
    > Etliche Unternehmen sind leider auf Windows oder Mac angewiesen und können
    > nicht mal eben auf Linux migrieren.

    Welches wohl in den meisten Distris ebenso "silent" mit Zertifikaten versorgt wird. Und wenn sie erstmal da sind, wird ihnen einfach vertraut.

  8. Re: Firmen

    Autor: bassfader 30.07.13 - 09:37

    Er hat doch garnichts dergleichen geschrieben. Er sagte lediglich dass das schlichtweg Prinzip-Bedingt ist, und dass man - egal woher die Zertifkatsliste stammt - dem Urheber einfach vertrauen muss oder aber wirklich jedes Zertifikat selbst überprüfen muss.

    Wie sollte es denn sonst laufen? Und welchen vorteil sollte denn Linux bieten? Auch hier muss man demjenigen, der die Liste der vertrauenswürdigen Zertifikate / CAs erstellt (bzw. aktualisiert) vertrauen, oder aber man muss auch hier alles wieder selbst prüfen.

  9. Re: Regen wir uns jetzt wieder alle auf?!

    Autor: nicoledos 30.07.13 - 09:42

    grundsätzlich sollte der User selbst entscheiden, wie und in welchen Umfang er einer Zertifizierungsstelle traut. Das dient doch nur dazu, alles möglichst einfach zu machen und dabei werden gleichzeitig Lücken in das System geschossen.

    Aufregen? nein.
    Kritisieren? ja.

  10. Re: Regen wir uns jetzt wieder alle auf?!

    Autor: JensM 30.07.13 - 10:11

    nicoledos schrieb:
    --------------------------------------------------------------------------------
    > grundsätzlich sollte der User selbst entscheiden, wie und in welchen Umfang
    > er einer Zertifizierungsstelle traut.

    Kannst ja. Du kannst ja die Liste selbst bearbeiten. Lösch alles raus, füg nur hinzu wem Du traust.
    Ich sehe es aber nicht so, dass die Liste von Anfang an leer sein sollte, denn dann nutzt es keiner. Wer das selbst machen will, den hindert ein strg+a sowie entf nicht.

  11. Re: Regen wir uns jetzt wieder alle auf?!

    Autor: Feron 30.07.13 - 10:41

    kmork schrieb:
    --------------------------------------------------------------------------------
    > Feron schrieb:
    > > Ich jedenfalls nicht. Reicht ja, wenn das andere machen. [...]
    > > Das einzige, was man Microsoft vorwerfen kann, ist, dass der Prozess
    > nicht
    > > besonders transparent ist.
    >
    > Wer regt sich denn auf? Ich seh nur einen einzigen Post, nämlich deinen,
    > der jegliche Kritik (noch bevor man welche zu lesen bekommt!) als
    > voreingenommen darstellt und alles relativiert um Microsoft als Opfer einer
    > bösen Medienkampagne darzustellen.

    Gut, da habe ich mich in der Tat verschätzt. Erfahrungsgemäß schlagen solche "News" ja anders ein. Und ich wollte den Trollen ein wenig den Wind aus den Segeln nehmen (hätte aber eh nichts gebracht). Opfer, nein. Keineswegs möchte ich Microsoft als "Opfer" darstellen. Die sind alles andere als Opfer und können schon auf sich alleine aufpassen. Medienkampagne, aber ja. Besonders von heise kommt so etwas immer mal gerne zwischendurch. Die Berichterstattung ist (subjektiv natürlich) pro Apple und alle anderen Unternehmen bekommen wöchentlich einen Rundumschlag verpasst.

    Und noch schlimmer finde ich dann, dass verschiedene Seiten, wie auch Golem (allerdings hier besser dargestellt), das übernehmen. Und das, obwohl die News keine neuen Informationen beinhaltet. Und die Zertifikatssysteme anderer Organisationen funktionieren genau so. Das ist kein Problem von Microsoft, sondern ein allgemeines. Ein Problem der zertifikatsbasierten Verifizierung.

    Und wenn heise schreibt: "Windows: Dynamische Zertifikat-Updates gefährden SSL-Verschlüsselung", dann ist das schon irgendwie Kampagne, oder nicht? Im Lichte von Prism müssen diese Sachverhalte anders betrachtet werden. Aha. Deswegen macht nur Microsoft das falsch. Und Firefox macht das mit den Zertifikaten natürlich ganz anders und vor allem viel besser. Und den Zertifikaten von Microsoft vertrauen wir nicht, weil, achja, die sind böse. Aber Windows nutzen wir trotzdem. Irgendwie schizophren. Theoretisch könnten die einem mit jedem Update was Böses unterjubeln. Und dann empfiehlt heise Firefox zu nutzen oder gleich das OS zu wechseln. Ganz toll. Mir ist nicht bekannt, dass TLS unter Linux anders funktioniert. Es mag zwar eine andere Implementierung sein, aber das Prinzip ist dasselbe.

    Insofern, ja, ich habe mich ein bisschen aufgeregt. Über heise. Aber mir sei das vergönnt^^

    Und ich glaube nicht, dass das manuelle Verwalten sinnvoll wäre. Sicher nicht für den normalen User, der keine Ahnung hat, was Zertifikate sind. Der weiß gerade mal, dass alles ok ist, wenn die URL grün hinterlegt ist. Mit Verwalten wäre der maßlos überfordert. Außerdem gibt es dann morgen Dutzend neue dubiose Software, die mit einen Download daher kommt und dem User die neuen, sicheren Zertifikate installieren möchte. Wie schon gesagt ist das automatische Verwalten nicht das Schlechteste. Nur sollte Microsoft das bitte transparenter gestalten. Und irgendjemandem muss man ja schließlich vertrauen^^

  12. Re: Regen wir uns jetzt wieder alle auf?!

    Autor: Nephtys 30.07.13 - 11:00

    Ich hab bereits dutzende Leute gehabt die "Techsupport" wollten unter Linux, wo einfach das entsprechende Zertifikat fehlte.
    So gesehen ist die Windows Lösung zwar dreckig und bricht die Sicherheit, aber für die meisten Fälle ist diese Art der Zertifizierung immer noch besser als keine. Und für den Benutzer null extra Aufwand.

    It's not a bug, it's a feature.

  13. Re: Regen wir uns jetzt wieder alle auf?!

    Autor: Private Paula 30.07.13 - 12:40

    nicoledos schrieb:
    --------------------------------------------------------------------------------
    > grundsätzlich sollte der User selbst entscheiden, wie und in welchen Umfang
    > er einer Zertifizierungsstelle traut. Das dient doch nur dazu, alles
    > möglichst einfach zu machen und dabei werden gleichzeitig Lücken in das
    > System geschossen.
    >
    > Aufregen? nein.
    > Kritisieren? ja.

    Was macht Microsoft: Microsoft hat sich entschlossen, Zertifikate von CAs bei Bedarf (neue CA die gegruendet wird, CA die einen bestimmten Verbreitungsgrad erreicht hat) Windows Systemen hinzuzufuegen.

    Die Firefox Entwickler werden etwas aehnliches machen. Bei denen nennt man das Update von Version 30 auf Version 31. Dann werden neue Root CAs hinzugefuegt. Und auch hier kann die NSA Mozilla anweisen, spezielle Root CAs zu verteilen... Es dauert halt nur bis zum naechsten Update.

    Ich verstehe den Aufstand nicht, der jetzt wegen der Microsoft Methode gemacht wird. Das unsichere System wird nur ein wenig mehr unsicherer.

    Prinzipiell, wie Heise geschrieben hat, ist es fragwuerdig Herstellern von Betriebssystemen/Browsern zu vertrauen CAs als vertrauenswuerdig einzustufen. Wenn man innerhalb von 20 Minuten ein neues Zertifikat signiert bekommt, bezweifle ich als Anwender ernsthaft, dass die Pruefungen des Antrags durch die CA ordentlich durchgefuehrt wurde.

    Ich kenne nicht besonders viele Personen, die bei der eigenen Hausbank vorgesprochen haben, um das Zertifikat der Home Banking Seite zu pruefen.

    --
    Warum UNIX/Linux schaedlich ist:
    'kill' macht Menschen zu brutalen, blutruenstigen Bestien,
    'killall' zuechtet regelrecht Massenmoerder,
    'whoami' loest bei psychisch labilen Personen Existenzkrisen aus!

  14. Re: community Liste ?

    Autor: phade 30.07.13 - 12:57

    Es gaebe nur die Alternative einer durch eine Community geflegten CA-Liste, die im aehnlichen Sinne verwaltet wird, wie z.B. RFCs entwickelt werden.
    Sprich: offen, ueber Maillinglisten, Forum etc und jeder kann daran mitarbeiten und die Community entscheidet dann darueber, wem wirklich vertraut wird. Braucht man natuerlich ein entsprechendes Regelwerk.

    Dummerweise gehoeren die meisten bekannten CAs (Thawte, Verisign, GeoTrust und noch ein Haufen Ableger) wem denn nun ? Symantec ? Oder gehoert Symantec nun schon Verisign oder umgekehrt ?
    Also Amerika. Im Zeichen von Prism sag ich mal: Naja, wuerde mich nicht wundern, wenn die NSA hier schon laengst deren Root-CAs-certs hat ;o)

    Zumindest gibt es einige Behoerden, die Regeln festlegen, bevor jemand eine Root-CA werden darf.


    BTW: Vergleichbar ist das System bei SSL/TLS eher mit dem der Root-Server-Liste im DNS. Da legt die ICANN fest, welche Server-IPs Root-Server werden, die ICANN ist zwar auch eine amerikanische For-Profit-Organisation unter der Fuchtel der US-Regierung, aber ueber die Mitglieder dann doch schon fast wieder eine Community.
    Und demjenigen, der die jeweilige Linux-Distri zusammenbaut oder das bind-Paket muss man dann aber doch vertrauen, dass er die richtige Liste von der ICANN nimmt, wenigstens kann man die Distries oder Pakete hier quell-offen pruefen und sich ziemlich sicher sein, dass es einer merkt, wenn hiermal was nicht stimmen kann.

    Und das geht bei Windows eben nicht oder nur wirklich schwer, beim Mac kann man die Liste der CAs und DNS-Root-Server bestimmt einfacher im System finden, ist ja auch ein UNIX.
    Auf jeden Fall ein deutlicher Plusspunkt fuer alles was quell-offen ist, sei es Linux oder Seamonkey ...

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Jetter AG, Ludwigsburg
  2. B&O Service und Messtechnik AG, Bad Aibling, München
  3. Hays AG, Hünfelden
  4. Landeshauptstadt München, München

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 106,68€ (Bestpreis!)
  2. (u. a. Overwatch Legendary Edition für 18,99€, No Man's Sky für 20,99€, Star Wars Jedi...
  3. 0,99€ (danach 7,99€/Monat für Prime-Kunden bzw. 9,99€/Monat für Nicht-Prime-Kunden...
  4. (u. a. Stirb Langsam 1 - 5, Kingsman 2-Film-Collection, Fight Club, Terminator)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Definitive Editon angespielt: Das Age of Empires 2 für Könige
Definitive Editon angespielt
Das Age of Empires 2 für Könige

Die 27 Einzelspielerkampagnen sollen für rund 200 Stunden Beschäftigung sorgen, dazu kommen Verbesserungen bei der Grafik und Bedienung sowie eine von Grund auf neu programmierte Gegner- oder Begleit-KI: Die Definitive Edition von Age of Empires 2 ist erhältlich.


    Amazon Echo Studio im Test: Homepod-Bezwinger begeistert auch als Fire-TV-Lautsprecher
    Amazon Echo Studio im Test
    Homepod-Bezwinger begeistert auch als Fire-TV-Lautsprecher

    Mit dem Echo Studio bringt Amazon seinen teuersten Alexa-Lautsprecher auf den Markt. Dennoch ist er deutlich günstiger als Apples Homepod, liefert aber einen besseren Klang. Und das ist längst nicht alles.
    Ein Test von Ingo Pakalski

    1. Amazons Heimkino-Funktion Echo-Lautsprecher drahtlos mit Fire-TV-Geräten verbinden
    2. Echo Flex Amazons preiswertester Alexa-Lautsprecher
    3. Amazons Alexa-Lautsprecher Echo Dot hat ein LED-Display - Echo soll besser klingen

    Gardena: Open Source, wie es sein soll
    Gardena
    Open Source, wie es sein soll

    Wenn Entwickler mit Zeitdruck nach Lösungen suchen und sich dann für Open Source entscheiden, sollte das anderen als Vorbild dienen, sagen zwei Gardena-Entwickler in einem Vortrag. Der sei auch eine Anleitung dafür, das Management von der Open-Source-Idee zu überzeugen - was auch den Nutzern hilft.
    Ein Bericht von Sebastian Grüner

    1. Linux-Kernel Machine-Learning allein findet keine Bugs
    2. KernelCI Der Linux-Kernel bekommt einheitliche Test-Umgebung
    3. Linux-Kernel Selbst Google ist unfähig, Android zu pflegen

    1. Digitale Assistenten: Amazon verkauft drei Mal mehr smarte Lautsprecher als Google
      Digitale Assistenten
      Amazon verkauft drei Mal mehr smarte Lautsprecher als Google

      Amazon setzt Google im Markt smarter Lautsprecher gehörig unter Druck. Das Unternehmen konnte deutlich zulegen und ist weiterhin Marktführer, während Google erheblich abgerutscht ist. Amazon dürfte davon profitieren, dass Käufer bei Echo-Geräten viel mehr Auswahl haben als Google-Kunden.

    2. Elektromobilität: Erste Lithiumhydroxid-Raffinerie in Deutschland geplant
      Elektromobilität
      Erste Lithiumhydroxid-Raffinerie in Deutschland geplant

      Lithiumhydroxid ist ein wichtiger Bestandteil von Akkus für Elektroautos. Bisher kommt das Material fast ausschließlich aus China. Das will der niederländische Metallurgiekonzern AMG ändern; er plant eine Produktionsanlage für den Werkstoff in Sachsen-Anhalt.

    3. JUWELS: Jülich bekommt schnellsten Supercomputer Europas
      JUWELS
      Jülich bekommt schnellsten Supercomputer Europas

      Mit der Booster-Erweiterung auf 70 Petaflops wird der JUWELS-Supercomputer des Jülich Supercomputing Centre die höchste Rechenleistung in Europa erreichen. Das JSC kombiniert dazu AMDs Epyc 7002 alias Rome mit der nächsten Tesla-Grafikkarten-Generation von Nvidia.


    1. 12:00

    2. 11:32

    3. 11:11

    4. 10:45

    5. 10:28

    6. 10:13

    7. 10:00

    8. 09:45