1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › TLS: Cookie Clutter und Virtual Host…

Durchgehendes Problem…

  1. Thema

Neues Thema Ansicht wechseln


  1. Durchgehendes Problem…

    Autor: MarioWario 07.08.14 - 01:29

    a) das Web ist zu sehr Marketingorientiert (zerstört damit jeden Hauch von Sicherheit - insbesondere im Geschäftsleben)
    b) Ada wird nicht genutzt (statt Javascript und C)
    c) alle Zertifikats-Systeme sind Bullshit (Firefox ist offenbar die einzige Organisation die mal was prüft - zuwenig)
    Zu guter letzt: Ohne Integration der Geheimdienste in die rechtsstaatliche Systematik (sollte eher eine von Richtern überwachte Polizei-Organisation sein) kann man von einer weiteren (gesellschaftlichen) Entwicklung/Integration im Bereich IT nur abraten.
    B) Ein Schutz der Infrastruktur beginnt natürlich immer mit der Wahl der Partner (also kein Intel, MS & Co. - da kann man von Russland und China lernen) und die Abschirmung der nationalen Netzstruktur (wieso dürfen ausländische Firmen in Deutschland Netzwerke betreiben; O2, Verizon & Co.).

  2. Konfus :S

    Autor: hellmaster159 07.08.14 - 08:50

    MarioWario schrieb:
    --------------------------------------------------------------------------------
    > a) das Web ist zu sehr Marketingorientiert (zerstört damit jeden Hauch von
    > Sicherheit - insbesondere im Geschäftsleben)
    > b) Ada wird nicht genutzt (statt Javascript und C)
    Was hat bitte die Programmiersprache Ada mit dem Sicherheitsproblemen in TLS zu tun? Was macht Ada Sicherheitstechnisch besser?
    Ein Protokoll kann man in allen Sprachen programmieren solange man die gültigen Vorgaben, welche meistens in einem RFC-Dokument festgehalten sind, einhält.
    > c) alle Zertifikats-Systeme sind Bullshit (Firefox ist offenbar die einzige
    > Organisation die mal was prüft - zuwenig)
    Firefox ist keine Organisation, sondern ein Webbrowser, was du meinst ist wahrscheinlich Mozilla. Und wieder mal eine Frage: Was genau ist den bitte an einem Zertifikats System schlecht?
    > Zu guter letzt: Ohne Integration der Geheimdienste in die rechtsstaatliche
    > Systematik (sollte eher eine von Richtern überwachte Polizei-Organisation
    > sein) kann man von einer weiteren (gesellschaftlichen)
    > Entwicklung/Integration im Bereich IT nur abraten.
    Was meinst du damit und was für eine gesellschaftliche Entwicklung erwähnst du?
    > B) Ein Schutz der Infrastruktur beginnt natürlich immer mit der Wahl der
    > Partner (also kein Intel, MS & Co. - da kann man von Russland und China
    > lernen) und die Abschirmung der nationalen Netzstruktur (wieso dürfen
    > ausländische Firmen in Deutschland Netzwerke betreiben; O2, Verizon & Co.).
    Warum sollten sie das nicht dürfen, weil sie nicht Deutsche Firmen sind?

    Entschuldigung für die vielen Fragen, aber ich blicke bei deinen Argumenten nicht zu 100% durch was genau du meinst ;)

  3. Re: Konfus :S

    Autor: Moe479 07.08.14 - 09:38

    danke ich hatte heute in der früh ähnlich nachfragen wollen, vorallem danach, ob eine bestimmte sprache/syntax und semantik überhaupt designfehler verhindern kann ... kann sie imho nicht! ;)

    mit den geheimdiensten möchte er wohl dass deren tätigkeiten von anderen neutralen stellen besser überwacht werden können, keine rechtsbrüche ohne personelle und institutionelle folgen mehr begehen können sollen ... also, dass sie keine geheimdiense mehr sind, sondern letztendlich zu ordnungskräften zuordbar werden.

    das problem mit den zertifikaten ist, dass sie in ihrer funktion maßlos überbewertet wurden, sie sichern lediglich ab, d.h. es wird von einer übergeordneten stelle bestätigt, dass der host authentisch ist, nicht mehr oder weniger, ob man der zertifizierungstelle vertraut kann man auch entscheiden, jedes zertifikat könnte man mannuell ablehnen oder anehmen ... in der praxis kann das nervig werden.

    zertifikate für einwandfreien/geprüften code einer website/applikation habe ich noch nicht gesehen, maximal siegel für das einhalten von standards, code audits in der richtung sind eine echte herrausforderung, zeitlich aber auch an die finanzierbarkeit.



    3 mal bearbeitet, zuletzt am 07.08.14 09:47 durch Moe479.

  4. Re: Konfus :S

    Autor: golom 07.08.14 - 12:58

    > danke ich hatte heute in der früh ähnlich nachfragen wollen, vorallem danach, ob eine bestimmte sprache/syntax und semantik überhaupt designfehler verhindern kann ... kann sie imho nicht! ;)

    Naja, teilweise können manche Sprachen bestimmte Schwachstellen verhindern. Zum Beispiel ist es in Java viel schwieriger (unmöglich?) eine Buffer overrun/overflow Schwachstelle einzubauen. Im schlimmsten Fall crasht das, aber es wird sicher kein Fremd-Code ausgeführt. --> Natürlich unter der Annahme, dass die JVM selbst correct implementiert ist.

  5. Re: Konfus :S

    Autor: MarioWario 07.08.14 - 14:14

    Natürlich war das ein Rundumschlag ;-)
    TLS & Ada: nix
    Ada is Type Safe… http://en.wikipedia.org/wiki/Type_safety
    Ja, Mozilla ist gemeint.
    Zertifikate sind gut gemeint, werden in der Regel aber mangels Prüfung (wenn's z. B. dem Server zu lange dauert) und Audits ad absurdum geführt (schlimmer als eine Unsicherheit ist eine trügerische Sicherheit).
    Das meint: Weg von Online-Banking und Smartphones bei einer so geringen Qualität von Hardware und Dienstleistungen (Sicherung und Einbruchsmöglichkeiten), zudem ist es für mich schwierig Netzen zu vertrauen die im Kanzleramt von Typen wie Pofalla 'betreut werden' (Geheimdienste) statt von unserem Justizsystem.
    Genau, Microsoft hat gerade ein Urteil in den USA 'abbekommen' wo sie ihr europäisches Rechenzentrum (von US Diensten) durchsuchen lassen müssen.
    Ja, ich war auch etwas in Eile :D

  6. Re: Konfus :S

    Autor: hellmaster159 04.09.14 - 08:17

    MarioWario schrieb:
    --------------------------------------------------------------------------------
    > Natürlich war das ein Rundumschlag ;-)
    > TLS & Ada: nix
    > Ada is Type Safe… en.wikipedia.org
    C auch ;), Ok Javascript nicht da es eine dynamische Sprache ist.
    > Ja, Mozilla ist gemeint.
    > Zertifikate sind gut gemeint, werden in der Regel aber mangels Prüfung
    > (wenn's z. B. dem Server zu lange dauert) und Audits ad absurdum geführt
    > (schlimmer als eine Unsicherheit ist eine trügerische Sicherheit).
    > Das meint: Weg von Online-Banking und Smartphones bei einer so geringen
    > Qualität von Hardware und Dienstleistungen (Sicherung und
    > Einbruchsmöglichkeiten), zudem ist es für mich schwierig Netzen zu
    > vertrauen die im Kanzleramt von Typen wie Pofalla 'betreut werden'
    > (Geheimdienste) statt von unserem Justizsystem.
    Hmm, Was ist Sicher? Heutzutage ist alles knackbar, erst letztens war wieder in der Meldung das ein paar Banken gecrackt wurden. Aber mit der falschen Sicherheit hast du in gewisser weise Recht, wenn sie aber absolut keinen Sinn machen würden, hätten wir sie nicht und m.u. kann so ein Zertifikat vor MITM-Attacken absichern.
    > Genau, Microsoft hat gerade ein Urteil in den USA 'abbekommen' wo sie ihr
    > europäisches Rechenzentrum (von US Diensten) durchsuchen lassen müssen.
    > Ja, ich war auch etwas in Eile :D
    Jup, sowas ist natürlich super :) Erstmal alle Daten, die sie nichts angehen durchsuchen. Aber die US-Dienste würde ja niemals die Daten für andere Zwecke verwenden^^

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Schwarz Dienstleistung KG, Neckarsulm
  2. ADM WILD Europe GmbH & Co. KG, Heidelberg
  3. Stadtwerke München GmbH, München
  4. enowa AG, verschiedene Standorte

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (-14%) 42,99€
  2. 65,99€
  3. 3,61€


Haben wir etwas übersehen?

E-Mail an news@golem.de


DSGVO: Kommunen verschlüsseln fast nur mit De-Mail
DSGVO
Kommunen verschlüsseln fast nur mit De-Mail

Die Kommunen tun sich weiter schwer mit der Umsetzung der Datenschutz-Grundverordnung. Manche verstehen unter Daten-Verschlüsselung einen abschließbaren Raum für Datenträger.
Ein Bericht von Christiane Schulzki-Haddouti

  1. Digitale Versorgung Viel Kritik an zentraler Sammlung von Patientendaten
  2. Datenschutz Zahl der Behördenzugriffe auf Konten steigt
  3. Verschlüsselung Regierungen wollen Backdoors in Facebook für Untersuchungen

ZFS erklärt: Ein Dateisystem, alle Funktionen
ZFS erklärt
Ein Dateisystem, alle Funktionen

Um für möglichst redundante und sichere Daten zu sorgen, ist längst keine teure Hardware mehr nötig. Ein Grund dafür ist das Dateisystem ZFS. Es bietet Snapshots, sichere Checksummen, eigene Raid-Level und andere sinnvolle Funktionen - kann aber zu Anfang überfordern.
Von Oliver Nickel

  1. Dateisystem OpenZFS soll einheitliches Repository bekommen
  2. Dateisystem ZFS on Linux unterstützt native Verschlüsselung

Gardena: Open Source, wie es sein soll
Gardena
Open Source, wie es sein soll

Wenn Entwickler mit Zeitdruck nach Lösungen suchen und sich dann für Open Source entscheiden, sollte das anderen als Vorbild dienen, sagen zwei Gardena-Entwickler in einem Vortrag. Der sei auch eine Anleitung dafür, das Management von der Open-Source-Idee zu überzeugen - was auch den Nutzern hilft.
Ein Bericht von Sebastian Grüner

  1. Linux-Kernel Machine-Learning allein findet keine Bugs
  2. KernelCI Der Linux-Kernel bekommt einheitliche Test-Umgebung
  3. Linux-Kernel Selbst Google ist unfähig, Android zu pflegen

  1. Tele Columbus: Rocket Internet kauft größeren Anteil an United Internet
    Tele Columbus
    Rocket Internet kauft größeren Anteil an United Internet

    Rocket Internet hat sich für 320 Millionen Euro bei United Internet eingekauft. Beide Firmen haben Anteile an dem Kabelnetzbetreiber Tele Columbus.

  2. 5G: Ausschluss von Huawei führt "zur schlimmsten Gefahr"
    5G
    Ausschluss von Huawei führt "zur schlimmsten Gefahr"

    Im Bundestag wurde trotz einer Entscheidung der Kanzlerin noch einmal die Huawei-Frage bei 5G diskutiert. Kein einzelner Staat und auch keine einzelne Firma könne allein solche Systeme beherrschen, betonte ein Experte.

  3. Malware-Schutz: Microsofts Defender ATP soll 2020 für Linux kommen
    Malware-Schutz
    Microsofts Defender ATP soll 2020 für Linux kommen

    Die Sicherheitssoftware und Malware-Schutz Defender ATP von Microsoft soll im kommenden Jahr auch auf Linux laufen. Eine Mac-Version gibt es bereits seit einem halben Jahr.


  1. 20:03

  2. 18:05

  3. 17:22

  4. 15:58

  5. 15:26

  6. 14:55

  7. 13:17

  8. 12:59