Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Superfish: Das Adware-Imperium von…

Zertifikate nachinstallieren - Broken by Design

  1. Thema

Neues Thema Ansicht wechseln


  1. Zertifikate nachinstallieren - Broken by Design

    Autor: Osterschlumpf 22.02.15 - 18:13

    So viel wie ich von Verschlüsselung halte, aber so lange wie man einfach Zertifikate nachinstallieren kann und damit jede SSL-Verschlüsselung brechen kann, ist SSL für mich Broken by Design.

    Wie man hier sieht, hindert niemand die bösen Leute, einfach ein Zertifikat nach zu installieren. Der User klickt schon auf "Ja, ich will installieren", will er ja auch, weil er denkt das neue Spiel gratis bekommen zu haben. Und hintenrum hat er die Tore weit geöffnet.

    Ich kann nur sagen: Schaut Euch Threema an. Die höchste Sicherheit wird erst dann gewährt, wenn man sich ein QR-Code gegenseitig abscannt. So muss verschlüsselung laufen. Einfach und funktionell. Und im Hintergrund läuft das System vernünftig, aber ohne daß sich der User um Schlüssel und co. kümmern muss. Natürlich ist das bei SSL schwerer, aber hier muss eine ähnliche Lösung her.

  2. Re: Zertifikate nachinstallieren - Broken by Design

    Autor: nicoledos 22.02.15 - 23:09

    Das ganze SSL ist kaputt und sollte gegen etwas neuen sicheres abgelöst werden.

    Das Nachinstallieren von Zertifikaten ist nicht das Problem. Es ist sogar besser Zertifikate vertrauenswürdiger Quellen selbst zu installieren, als wie bisher einen Strauss unbekannter Anbieter im System stecken zu haben. Dass aber derartige MiM-Attacken möglich sind schon.



    1 mal bearbeitet, zuletzt am 22.02.15 23:10 durch nicoledos.

  3. Re: Zertifikate nachinstallieren - Broken by Design

    Autor: HiddenX 22.02.15 - 23:58

    > Es ist sogar
    > besser Zertifikate vertrauenswürdiger Quellen selbst zu installieren
    Und das bring dem normalen User mal bei.

  4. Re: Zertifikate nachinstallieren - Broken by Design

    Autor: Moe479 23.02.15 - 07:45

    in einer umgebung die vertrauenswürdig sein soll, sollte schon einmal nicht jeder admin spielen dürfen.

  5. Re: Zertifikate nachinstallieren - ist schon richtig

    Autor: staeff 23.02.15 - 08:21

    Ich als nutzer möchte z.B. gern meinen eigenen System vertrauen. Insofern sind eigene Zertifikate sehr sinnvoll.

    Was aber gar nicht gehen darf ist, dass irgendjemand Zertifikate auf google.com oder andere Domains, die ihn nichts angehen, ausstellen darf. Das ist das problem bei der aktuellen Chain of Trust.

  6. Re: Zertifikate nachinstallieren - Broken by Design

    Autor: matok 23.02.15 - 10:51

    Osterschlumpf schrieb:
    --------------------------------------------------------------------------------
    > Ich kann nur sagen: Schaut Euch Threema an. Die höchste Sicherheit wird
    > erst dann gewährt, wenn man sich ein QR-Code gegenseitig abscannt. So muss
    > verschlüsselung laufen. Einfach und funktionell.

    Richtig, manueller Schlüsseltausch ist eine gute Sache. Nur ist das vielem Menschen zu unbequem, muss man sich dafür (wenn es so laufen soll, wie hier) treffen, ist das für P2P Verbindungen gut, aber nicht für den HTTP Traffic. Und, wo du extra Threema ansprichst, ist der Aufwand nicht viel wert, wenn man trotzdem nicht weiß, was der Quellcode sonst noch so macht.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Giesecke+Devrient Currency Technology GmbH, München
  2. Interhyp Gruppe, München
  3. Radeberger Gruppe KG, Frankfurt am Main, Dortmund
  4. BWI GmbH, München, Bonn, Berlin, Nürnberg

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 5,25€
  2. 3,99€
  3. 7,99€
  4. 1,24€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Physik: Den Quanten beim Sprung zusehen
Physik
Den Quanten beim Sprung zusehen

Quantensprünge sind niemals groß und nicht vorhersehbar. Forschern ist es dennoch gelungen, den Vorgang zuverlässig zu beobachten, wenn er einmal angefangen hatte - und sie konnten ihn sogar umkehren. Die Fehlerkorrektur in Quantencomputern soll in Zukunft genau so funktionieren.
Von Frank Wunderlich-Pfeiffer


    DIN 2137-T2-Layout ausprobiert: Die Tastatur mit dem großen ß
    DIN 2137-T2-Layout ausprobiert
    Die Tastatur mit dem großen ß

    Das ẞ ist schon lange erlaubt, aber nur schwer zu finden. Europatastaturen sollen das erleichtern, sind aber ebenfalls nur schwer zu finden. Wir haben ein Modell von Cherry ausprobiert - und noch viele weitere Sonderzeichen entdeckt.
    Von Andreas Sebayang und Tobias Költzsch

    1. Butterfly 3 Apple entschuldigt sich für Problem-Tastatur
    2. Sicherheitslücke Funktastatur nimmt Befehle von Angreifern entgegen
    3. Azio Retro Classic im Test Außergewöhnlicher Tastatur-Koloss aus Kupfer und Leder

    Elektromobilität: Wohin mit den vielen Akkus?
    Elektromobilität
    Wohin mit den vielen Akkus?

    Akkus sind die wichtigste Komponente von Elektroautos. Doch auch, wenn sie für die Autos nicht mehr geeignet sind, sind sie kein Fall für den Schredder. Hersteller wie Audi testen Möglichkeiten, sie weiterzuverwenden.
    Ein Bericht von Dirk Kunde

    1. Proterra Elektrobushersteller vermietet Akkus zur Absatzförderung
    2. Batterieherstellung Kampf um die Zelle
    3. US CPSC HP muss in den USA nochmals fast 80.000 Akkus zurückrufen

    1. Sindelfingen: Mercedes und Telefónica Deutschland errichten 5G-Netz
      Sindelfingen
      Mercedes und Telefónica Deutschland errichten 5G-Netz

      In Sindelfingen wird 5G in der laufenden Produktion eingesetzt. Es geht um die Ortung von Produkten und die Verarbeitung großer Datenmengen (Data Shower).

    2. Load Balancer: HAProxy 2.0 bringt Neuerungen für HTTP und die Cloud
      Load Balancer
      HAProxy 2.0 bringt Neuerungen für HTTP und die Cloud

      In der neuen LTS-Version 2.0 liefern die Entwickler des Open-Source-Load-Balancers HAProxy unter anderem mit einem Kubernetes Ingress Controller und einer Data-Plane-API aus. Auch den Linux-Support hat das Team vereinheitlicht.

    3. Huawei: USA können uns "nicht totprügeln"
      Huawei
      USA können uns "nicht totprügeln"

      Huawei ist viel stärker von dem US-Boykott betroffen als erwartet, räumt der Gründer ein. Doch trotz hoher Umsatzeinbußen werde der Konzern in ein paar Jahren gestärkt aus den Angriffen hervorgehen.


    1. 16:53

    2. 15:35

    3. 14:23

    4. 12:30

    5. 12:04

    6. 11:34

    7. 11:22

    8. 11:10