1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › TLS: Cookie Clutter und Virtual Host…

Durchgehendes Problem…

  1. Thema

Neues Thema Ansicht wechseln


  1. Durchgehendes Problem…

    Autor: MarioWario 07.08.14 - 01:29

    a) das Web ist zu sehr Marketingorientiert (zerstört damit jeden Hauch von Sicherheit - insbesondere im Geschäftsleben)
    b) Ada wird nicht genutzt (statt Javascript und C)
    c) alle Zertifikats-Systeme sind Bullshit (Firefox ist offenbar die einzige Organisation die mal was prüft - zuwenig)
    Zu guter letzt: Ohne Integration der Geheimdienste in die rechtsstaatliche Systematik (sollte eher eine von Richtern überwachte Polizei-Organisation sein) kann man von einer weiteren (gesellschaftlichen) Entwicklung/Integration im Bereich IT nur abraten.
    B) Ein Schutz der Infrastruktur beginnt natürlich immer mit der Wahl der Partner (also kein Intel, MS & Co. - da kann man von Russland und China lernen) und die Abschirmung der nationalen Netzstruktur (wieso dürfen ausländische Firmen in Deutschland Netzwerke betreiben; O2, Verizon & Co.).

  2. Konfus :S

    Autor: hellmaster159 07.08.14 - 08:50

    MarioWario schrieb:
    --------------------------------------------------------------------------------
    > a) das Web ist zu sehr Marketingorientiert (zerstört damit jeden Hauch von
    > Sicherheit - insbesondere im Geschäftsleben)
    > b) Ada wird nicht genutzt (statt Javascript und C)
    Was hat bitte die Programmiersprache Ada mit dem Sicherheitsproblemen in TLS zu tun? Was macht Ada Sicherheitstechnisch besser?
    Ein Protokoll kann man in allen Sprachen programmieren solange man die gültigen Vorgaben, welche meistens in einem RFC-Dokument festgehalten sind, einhält.
    > c) alle Zertifikats-Systeme sind Bullshit (Firefox ist offenbar die einzige
    > Organisation die mal was prüft - zuwenig)
    Firefox ist keine Organisation, sondern ein Webbrowser, was du meinst ist wahrscheinlich Mozilla. Und wieder mal eine Frage: Was genau ist den bitte an einem Zertifikats System schlecht?
    > Zu guter letzt: Ohne Integration der Geheimdienste in die rechtsstaatliche
    > Systematik (sollte eher eine von Richtern überwachte Polizei-Organisation
    > sein) kann man von einer weiteren (gesellschaftlichen)
    > Entwicklung/Integration im Bereich IT nur abraten.
    Was meinst du damit und was für eine gesellschaftliche Entwicklung erwähnst du?
    > B) Ein Schutz der Infrastruktur beginnt natürlich immer mit der Wahl der
    > Partner (also kein Intel, MS & Co. - da kann man von Russland und China
    > lernen) und die Abschirmung der nationalen Netzstruktur (wieso dürfen
    > ausländische Firmen in Deutschland Netzwerke betreiben; O2, Verizon & Co.).
    Warum sollten sie das nicht dürfen, weil sie nicht Deutsche Firmen sind?

    Entschuldigung für die vielen Fragen, aber ich blicke bei deinen Argumenten nicht zu 100% durch was genau du meinst ;)

  3. Re: Konfus :S

    Autor: Moe479 07.08.14 - 09:38

    danke ich hatte heute in der früh ähnlich nachfragen wollen, vorallem danach, ob eine bestimmte sprache/syntax und semantik überhaupt designfehler verhindern kann ... kann sie imho nicht! ;)

    mit den geheimdiensten möchte er wohl dass deren tätigkeiten von anderen neutralen stellen besser überwacht werden können, keine rechtsbrüche ohne personelle und institutionelle folgen mehr begehen können sollen ... also, dass sie keine geheimdiense mehr sind, sondern letztendlich zu ordnungskräften zuordbar werden.

    das problem mit den zertifikaten ist, dass sie in ihrer funktion maßlos überbewertet wurden, sie sichern lediglich ab, d.h. es wird von einer übergeordneten stelle bestätigt, dass der host authentisch ist, nicht mehr oder weniger, ob man der zertifizierungstelle vertraut kann man auch entscheiden, jedes zertifikat könnte man mannuell ablehnen oder anehmen ... in der praxis kann das nervig werden.

    zertifikate für einwandfreien/geprüften code einer website/applikation habe ich noch nicht gesehen, maximal siegel für das einhalten von standards, code audits in der richtung sind eine echte herrausforderung, zeitlich aber auch an die finanzierbarkeit.



    3 mal bearbeitet, zuletzt am 07.08.14 09:47 durch Moe479.

  4. Re: Konfus :S

    Autor: golom 07.08.14 - 12:58

    > danke ich hatte heute in der früh ähnlich nachfragen wollen, vorallem danach, ob eine bestimmte sprache/syntax und semantik überhaupt designfehler verhindern kann ... kann sie imho nicht! ;)

    Naja, teilweise können manche Sprachen bestimmte Schwachstellen verhindern. Zum Beispiel ist es in Java viel schwieriger (unmöglich?) eine Buffer overrun/overflow Schwachstelle einzubauen. Im schlimmsten Fall crasht das, aber es wird sicher kein Fremd-Code ausgeführt. --> Natürlich unter der Annahme, dass die JVM selbst correct implementiert ist.

  5. Re: Konfus :S

    Autor: MarioWario 07.08.14 - 14:14

    Natürlich war das ein Rundumschlag ;-)
    TLS & Ada: nix
    Ada is Type Safe… http://en.wikipedia.org/wiki/Type_safety
    Ja, Mozilla ist gemeint.
    Zertifikate sind gut gemeint, werden in der Regel aber mangels Prüfung (wenn's z. B. dem Server zu lange dauert) und Audits ad absurdum geführt (schlimmer als eine Unsicherheit ist eine trügerische Sicherheit).
    Das meint: Weg von Online-Banking und Smartphones bei einer so geringen Qualität von Hardware und Dienstleistungen (Sicherung und Einbruchsmöglichkeiten), zudem ist es für mich schwierig Netzen zu vertrauen die im Kanzleramt von Typen wie Pofalla 'betreut werden' (Geheimdienste) statt von unserem Justizsystem.
    Genau, Microsoft hat gerade ein Urteil in den USA 'abbekommen' wo sie ihr europäisches Rechenzentrum (von US Diensten) durchsuchen lassen müssen.
    Ja, ich war auch etwas in Eile :D

  6. Re: Konfus :S

    Autor: hellmaster159 04.09.14 - 08:17

    MarioWario schrieb:
    --------------------------------------------------------------------------------
    > Natürlich war das ein Rundumschlag ;-)
    > TLS & Ada: nix
    > Ada is Type Safe… en.wikipedia.org
    C auch ;), Ok Javascript nicht da es eine dynamische Sprache ist.
    > Ja, Mozilla ist gemeint.
    > Zertifikate sind gut gemeint, werden in der Regel aber mangels Prüfung
    > (wenn's z. B. dem Server zu lange dauert) und Audits ad absurdum geführt
    > (schlimmer als eine Unsicherheit ist eine trügerische Sicherheit).
    > Das meint: Weg von Online-Banking und Smartphones bei einer so geringen
    > Qualität von Hardware und Dienstleistungen (Sicherung und
    > Einbruchsmöglichkeiten), zudem ist es für mich schwierig Netzen zu
    > vertrauen die im Kanzleramt von Typen wie Pofalla 'betreut werden'
    > (Geheimdienste) statt von unserem Justizsystem.
    Hmm, Was ist Sicher? Heutzutage ist alles knackbar, erst letztens war wieder in der Meldung das ein paar Banken gecrackt wurden. Aber mit der falschen Sicherheit hast du in gewisser weise Recht, wenn sie aber absolut keinen Sinn machen würden, hätten wir sie nicht und m.u. kann so ein Zertifikat vor MITM-Attacken absichern.
    > Genau, Microsoft hat gerade ein Urteil in den USA 'abbekommen' wo sie ihr
    > europäisches Rechenzentrum (von US Diensten) durchsuchen lassen müssen.
    > Ja, ich war auch etwas in Eile :D
    Jup, sowas ist natürlich super :) Erstmal alle Daten, die sie nichts angehen durchsuchen. Aber die US-Dienste würde ja niemals die Daten für andere Zwecke verwenden^^

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. SATA GmbH & Co. KG, Kornwestheim
  2. Haufe Group, Freiburg
  3. ADMIRAL Sportwetten GmbH, Rellingen
  4. STAUFEN.AG, deutschlandweit

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 36,99€
  2. 33,99€
  3. 4,87€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Pixel 4a 5G im Test: Das alternative Pixel 5 XL
Pixel 4a 5G im Test
Das alternative Pixel 5 XL

2020 gibt es kein Pixel 5 XL - oder etwa doch? Das Pixel 4a 5G ist größer als das Pixel 5, die grundlegende Hardware ist ähnlich bis gleich. Das Smartphone bietet trotz Abstrichen eine Menge.
Ein Test von Tobias Költzsch

  1. Schnelle Webseiten Google will AMP-Seiten nicht mehr bevorzugen
  2. Digitale-Dienste-Gesetz Will die EU-Kommission doch keine Konzerne zerschlagen?
  3. Google Fotos Kein unbegrenzter Fotospeicher für neue Pixel

Elektrisches Carsharing: We Share bringt den ID.3 nach Berlin
Elektrisches Carsharing
We Share bringt den ID.3 nach Berlin

Während Share Now seine Elektroautos aus Berlin abgezogen hat, bringt We Share demnächst den ID.3 auf die Straße. Die Ladesituation bleibt angespannt.
Ein Bericht von Friedhelm Greis

  1. Elektroautos Förderprogramm für private Ladestellen gestartet
  2. Verbraucherschützer Einige Elektroautos sind nicht zuverlässig genug
  3. Innovationsprämie Staatliche Förderung drückt Preise gebrauchter E-Autos

Energy Robotics: Ein kopfloser Hund für 74.500 US-Dollar
Energy Robotics
Ein kopfloser Hund für 74.500 US-Dollar

Als eines der ersten deutschen Unternehmen setzt Energy Robotics den Roboterhund Spot ein. Sein Vorteil: Er ist vollautomatisch und langweilt sich nie.
Ein Bericht von Werner Pluta

  1. Kickstarter Nibble ist ein vierbeiniger Laufroboter im Mini-Format
  2. Boston Dynamics Roboterhunde scannen ein Werk von Ford
  3. Robotik Laborroboter forscht selbstständig

  1. EU warnt: Phishing mit Coronahilfen trifft vor allem T-Online-Nutzer
    EU warnt
    Phishing mit Coronahilfen trifft vor allem T-Online-Nutzer

    Die Betrüger fälschen die E-Mail-Absender und geben sich als EU-Mitarbeiter aus. Die EU-Kommission kritisiert mangelnden Schutz bei der Telekom.

  2. Konsole: Sony verbaut in PS5 mindestens drei Lüftermodelle
    Konsole
    Sony verbaut in PS5 mindestens drei Lüftermodelle

    Die eigene Playstation 5 ist flüsterleise - und trotzdem gibt's im Netz das Gejammer über den Geräuschpegel? Dafür könnte es Gründe geben.

  3. Großbritannien: Huawei-Bann kostet Steuerzahler 280 Millionen Euro
    Großbritannien
    Huawei-Bann kostet Steuerzahler 280 Millionen Euro

    Die britische Regierung will nach dem Ausschluss von Huawei ab 2027 den Wettbewerb wiederherstellen. Die Kosten der Netzbetreiber sind erheblich höher als 280 Millionen Euro.


  1. 18:50

  2. 18:38

  3. 17:55

  4. 17:00

  5. 16:38

  6. 16:12

  7. 15:53

  8. 15:31