1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › TLS-Check: Qualys bestraft fehlendes…

Das geile an diesen Bewertungsportalen ist

Für Konsolen-Talk gibt es natürlich auch einen Raum ohne nerviges Gedöns oder Flamewar im Freiraum!
  1. Thema

Neues Thema Ansicht wechseln


  1. Das geile an diesen Bewertungsportalen ist

    Autor: mhstar 08.02.18 - 22:19

    dass man die Meinung der "Webmaster" so richtig schön beeinflussen kann, indem man für bestimmte Sachen "maximal ein B/C" bekommt.

    Kann mich nur erinnern wo man eine miese "Note" bekam wenn man HSTS und HPKP verwendete. Dass man sich da ganz schön ins Knie schießen kann, dass denkt sich der Webmaster-Maxi aber nicht. Mit HSTS und HPKP und einem Fehler ist die Seite praktisch tot. Denn die Bestnote bekommt man nur mit 3+ Monate lang gepinnten Zertifikaten, und bis dahin ist man alle seine noch-so-treuen Besucher los.

    Auch Erpressen geht mit HPKP erst so richtig gut, falls man doch mal jemanden am Server hat.

    Mittlerweise ist HPKP tot - und plötzlich ist es nicht mehr "geil". Vorher hat man dem Webmaster feste was auf "den Deckel" gegeben, heute sagt sogar Qualys " Whereas HPKP can kill your business if you mess up, [...]"

    https://forum.golem.de/kommentare/security/https-chrome-will-http-public-key-pinning-wieder-aufgeben/zwei-jahre-war-hpkp-krank-nun-ist-es-gestorben-gott-sei-dank./113285,4937496,4937496,read.html

    Schade ist auch nicht drum.

    Jeder muss sich für seine Seite und Zielgruppe ausdenken, wieviel Sicherheit er braucht - auch wenn's dann "nur ein B" ist. Die Otto-normal-Seite braucht kein HPKP und auch kein HSTS, und wenn man keine Elliptischen Kurven hat geht die Welt auch nicht unter.

    Snowden braucht natürlich ein A+. Die NSA auch.
    Die meisten Seiten nicht.

  2. Re: Das geile an diesen Bewertungsportalen ist

    Autor: Gonzales 09.02.18 - 08:20

    Es ist wie mit vielen Dingen im Leben: Nur weil einige zu dämlich sind, es zu nutzen, ist es nicht per se schlecht.

  3. Re: Das geile an diesen Bewertungsportalen ist

    Autor: Nocta 09.02.18 - 09:13

    > Snowden braucht natürlich ein A+. Die NSA auch.
    > Die meisten Seiten nicht.

    Trotzdem sollten alle Seiten das Maximum anstreben. Im wesentlichen ist es ja kein allzu großer Aufwand. Man braucht die richtige Konfiguration und diese muss man nicht erst selbst herausfinden, da gibt es Empfehlungen. Und man braucht aktuelle Updates. Das sollte auch jeder hinbekommen, denn entweder lässt man seine Seite irgendwo hosten und die haben zu updaten, oder man kümmert sich selbst und dann muss man sich auch selbst um sowas kümmern. Und bei Zertifikaten ist es nun wirklich nicht so problematisch, einen Anbieter zu wählen, der NICHT jede paar Monate mit einem Skandal in die Schlagzeilen geht. Zumal es ja jetzt auch kostenlose Zertifikate gibt.

    Also insgesamt ist da nicht viel Hexenwerk dabei, von daher finde ich, dass jede Seite da ein A+ anstreben sollte und nicht nur die NSA und Snowden. Man will ja nicht "vielleicht sicher, vielleicht auch nicht", sondern "sicher". Und da gibt es eigentlich keine Abstufungen. Bei einem A- hat man "schon verloren". Na ja zumindest wenn es ein substantieller Grund ist, wie es zur Abwertung kam. Wenn es nur ist "du benutzt SHA-256 statt SHA-512", dann ist es lächerlich.

    Natürlich heißt ein A+ nicht, dass die PKI, die broken-by-design ist, plötzlich sicherer wird. Aber zumindest sind triviale Angriffe für den 08-15 Angreifer unmöglich, wenn man sich an die gängigen Sicherheitsstandards hält.

    Man kann natürlich behaupten, dass eine Seite wie Golem nicht unbedingt ein A+ bräuchte. Oder um es noch mehr zu überspitzen: Ein Blog, der nur statisches HTML ausliefert. Aber der Punkt ist halt, dass man einfach alles verschlüsseln und authentifizieren sollte, um gar nicht erst in die Situation zu kommen, dass es problematisch werden könnte. Es fängt ja schon damit an, dass man selbst bei diesem Blog mit statischem HTML Schindluder treiben könnte. Sicher, man greift keine geheimen Daten ab, weil über jede Verbindung exakt dieselben Daten gehen. Aber der Angreifer kann a) Daten einschleusen, z.B. Werbung/Skripte/Malware, b) die Daten im Blog verändern. Vielleicht so subtil, dass es nicht auffällt, aber die Aussagen im Blog verändert. Sagen wir es geht um einen politischen Blog. Jetzt werden gezielt Aussagen manipuliert, um die Meinung des Lesers zu manipulieren.

    Und c) Man verbirgt mit HTTPS die genauen Webseiten-Aufrufe. Klar man wird nicht verstecken können, dass ich Golem ansurfe (DNS, TLS Handshake [Server Name Indication, DNS Name im Zertikat], TCP Handshake, ...) aber es ist nicht direkt ersichtlich, welche Artikel ich anklicke. Wobei sich das vermutlich über die Länge der Requests rausfinden lässt, weil das ja nicht von Verschlüsselung versteckt wird. Das wäre mal eine Idee ... Eine Extension für TLS (oder HTTP) welche die Requests in der Länge randomisiert, damit die Daten nicht mehr leaken. Aber gut, dann werden trotzdem noch andere Ressourcen nachgeladen, das ist vermutlich auch eindeutig genug, also zumindest wenn externe Ressourcen geladen werden. Nun ja, genug dazu, das sind nur meine Gedanken zu dem Ganzen ... Just do it. Es ist nicht so schwer (für den Endanwender, der sich meistens nicht um die Technik kümmern muss)

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. JDM Innovation GmbH, Murr bei Ludwigsburg
  2. Hays AG, Bad Kissingen
  3. EnBW Energie Baden-Württemberg AG, Hamburg
  4. Hays AG, Berlin

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 17,99
  2. 8,49€
  3. 2,99€
  4. (aktuell u. a. Brothers - A Tale of Two Sons für 2,75€, Imperator: Rome für 9,50€, Little...


Haben wir etwas übersehen?

E-Mail an news@golem.de


Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme