1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Trend Micro: Sicherheitsfirma findet…

Hashwerte für Setups unnötig

  1. Thema

Neues Thema Ansicht wechseln


  1. Hashwerte für Setups unnötig

    Autor: Lala Satalin Deviluke 16.06.16 - 08:51

    > Eine Verifikation der herunterzuladenden Datei per Hashwert wird auf der Seite aber leider nicht angeboten.

    Das Setup ist mit einem Zertifikat geschützt...

    Grüße vom Planeten Deviluke!

  2. Re: Hashwerte für Setups unnötig

    Autor: h4z4rd 16.06.16 - 09:07

    Lala Satalin Deviluke schrieb:
    --------------------------------------------------------------------------------
    > Das Setup ist mit einem Zertifikat geschützt...

    Auch darüber hinaus ist ein Hashwert auf der Webseite auf welcher der Download angeboten wird sinnlos, wenn ich auf dem Server oder per MitM das Setup ersetzen kann, dann kann ich auch den Hashwert ersetzen.

    Edit: Typo



    1 mal bearbeitet, zuletzt am 16.06.16 09:07 durch h4z4rd.

  3. Re: Hashwerte für Setups unnötig

    Autor: Lala Satalin Deviluke 16.06.16 - 09:19

    Richtig. Ein Zertifikat am Ende der EXE ist die einzig richtige Lösung.

    Grüße vom Planeten Deviluke!

  4. Re: Hashwerte für Setups unnötig

    Autor: kayozz 16.06.16 - 09:21

    Wie man es nimmt.

    Unter Windows bekommt man eine Warnung, wenn man ein nicht signiertes Setup ausführt, ja.

    Aber das bedeutet nicht, dass Hacker ihre Software nicht auch digital signieren können. Und kein Mensch überprüft vor dem ausführen eines Setups, ob das Zertifikat zu dem Anbieter passt.

    Zumal viele Menschen die Warnung einfach ignorieren ("wird schon i.O. sein, ich habe ja direkt vom Anbieter heruntergeladen).

    Golem schreibt:

    > Die Seite von Teamviewer ist mit HTTPS geschützt, was Angriffe erschwert.

    Was der Author da behauptet, stimmt so nicht. Die Internetseite ja, der Download nicht. Das macht es einfach jemandem per transparenten Proxy (z.B. WLAN Hotspot) eine falsche Version unterzuschieben. Hier der aktuelle Link (kein https:)

    http://download.teamviewer.com/download/TeamViewer_Setup_de.exe

    Wenn nun die https-Seite einen Hash hat kann man den Download verifizieren. Aber auch hier: Unbedarfte Anwender machen das nicht.



    1 mal bearbeitet, zuletzt am 16.06.16 09:23 durch kayozz.

  5. Re: Hashwerte für Setups unnötig

    Autor: HiddenX 16.06.16 - 09:28

    kayozz schrieb:
    --------------------------------------------------------------------------------
    > Und kein Mensch überprüft vor dem ausführen eines Setups,
    > ob das Zertifikat zu dem Anbieter passt.
    Also ich schon, also mindestens ein Mensch :P

  6. Re: Hashwerte für Setups unnötig

    Autor: Iruwen 16.06.16 - 09:39

    kayozz schrieb:
    --------------------------------------------------------------------------------
    > Was der Author da behauptet, stimmt so nicht. Die Internetseite ja, der
    > Download nicht. Das macht es einfach jemandem per transparenten Proxy (z.B.
    > WLAN Hotspot) eine falsche Version unterzuschieben. Hier der aktuelle Link
    > (kein https:)
    >
    > download.teamviewer.com

    Tatsache. Schwach... aber seit TeamViewer von Permira übernommen wurde trau ich dem Laden eh nicht mehr.

  7. Re: Hashwerte für Setups unnötig

    Autor: hg (Golem.de) 16.06.16 - 10:25

    Moin, danke für den Hinweis. Habe den Artikel entsprechend angepasst.

    Viele Grüße,

    Hauke Gierow - Golem.de

  8. Re: Hashwerte für Setups unnötig

    Autor: Lala Satalin Deviluke 16.06.16 - 10:34

    Und was ist an Permira so schlimm? Kenn die nichtmal.

    Grüße vom Planeten Deviluke!

  9. Re: Hashwerte für Setups unnötig

    Autor: Wallbreaker 16.06.16 - 10:40

    kayozz schrieb:
    --------------------------------------------------------------------------------
    > Und kein Mensch überprüft vor dem ausführen eines Setups,
    > ob das Zertifikat zu dem Anbieter passt.

    Ich schon. Und damit bin ich wohl der Zweite hier. ;P
    Lade grundsätzlich nur von HTTPS Seiten herunter, und prüfe sowohl SHA256/512 Hashes, als auch die GPG-Signaturen. ;D

  10. Re: Hashwerte für Setups unnötig

    Autor: Wallbreaker 16.06.16 - 10:44

    Lala Satalin Deviluke schrieb:
    --------------------------------------------------------------------------------
    > Und was ist an Permira so schlimm? Kenn die nichtmal.

    Ist ein US Unternehmen mit sehr engen Beziehungen zur NSA. Die haben die Teamviewer GmbH 2014 gekauft und übernommen.

  11. Re: Hashwerte für Setups unnötig

    Autor: kayozz 16.06.16 - 11:28

    Ich gebe dir Recht, Hashes für Downloads sind umpraktikabel.

    Hashwerte machen immer dann Sinn, wenn es eine zentrale Datenbank mit Software und Hash sowie dezentrale Mirror (wie z.B. Appstores oder Paketverwaltungen unter Linux) gibt. Die manuelle Prüfung von Nutzern ist unpraktikabel.

    Dass noch gekoppelt mit der persönlichen Signierung durch den Entwickler (damit nicht jemand drittes oder gar der Verwalter des zentralen Repositories die Software ersetzt) bietet einen sehr guten Schutz.

  12. Re: Hashwerte für Setups unnötig

    Autor: Lala Satalin Deviluke 16.06.16 - 11:53

    Laut Wikipedia sind die aber aus England, London. Aber auch nicht unbedingt besser.

    Grüße vom Planeten Deviluke!

  13. Re: Hashwerte für Setups unnötig

    Autor: JouMxyzptlk 16.06.16 - 12:25

    Wieso machen die Browser von sich aus keine Hash-Anzeige vom download? In den Download-manager noch die häufigsten Hash-Algos zu integrieren dürfte nicht so viel Aufwand sein. Es braucht ja anfangs nur MD5/SHA1/SHA256, später dann ein paar mehr.
    Vielleicht noch CRC32 mitnehmen, das geht auch noch auf Rechnern mit weniger als 64KB ;).
    Sobald mal der Frickelfox so was integrieren würde würden die anderen schnell nachziehen.



    1 mal bearbeitet, zuletzt am 16.06.16 12:26 durch JouMxyzptlk.

  14. Re: Hashwerte für Setups unnötig

    Autor: widdermann 16.06.16 - 14:47

    JouMxyzptlk schrieb:
    --------------------------------------------------------------------------------
    > Wieso machen die Browser von sich aus keine Hash-Anzeige vom download? In
    > den Download-manager noch die häufigsten Hash-Algos zu integrieren dürfte
    > nicht so viel Aufwand sein. Es braucht ja anfangs nur MD5/SHA1/SHA256,
    > später dann ein paar mehr.
    > Vielleicht noch CRC32 mitnehmen, das geht auch noch auf Rechnern mit
    > weniger als 64KB ;).
    > Sobald mal der Frickelfox so was integrieren würde würden die anderen
    > schnell nachziehen.

    Weil es keinen zusätzlichen Nutzen bringt. Im Idealfall haben Download-Server TLS wodurch das Schutzziel der Integrität im Übertragungsweg verwirklicht wird, also auch die unabsichtliche Beschädigung der Datei.
    Chrome und Firefox erlauben HTTP/2.0 auch nur iVm TLS. Daher wird es in diese Richtung gehen. Das sieht auch besser aus als kryptische Hex-Codes auf dem Bildschirm meiner Großmutter, die das nicht versteht.



    1 mal bearbeitet, zuletzt am 16.06.16 14:48 durch widdermann.

  15. Re: Hashwerte für Setups unnötig

    Autor: hg (Golem.de) 16.06.16 - 15:19

    Ich habe gerade mit der Pressestelle von Teamviewer telefoniert. HTTPS für den Download soll demnächst aktiviert werden, wurde mir versichert.

    Viele Grüße

    Hauke Gierow - Golem.de

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. h.a.l.m. elektronik gmbh, Frankfurt am Main
  2. Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM), Bonn
  3. Campact über Talents4Good GmbH, Remote deutschlandweit
  4. Hays AG, Lohmar

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. (reduzierte Überstände, Restposten & Co.)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Ausprobiert: Meine erste Strafgebühr bei Free Now
Ausprobiert
Meine erste Strafgebühr bei Free Now

Storniert habe ich bei Free Now noch nie. Doch diesmal wurde meine Geduld hart auf die Probe gestellt.
Ein Praxistest von Achim Sawall

  1. Gesetzentwurf Weitergabepflicht für Mobilitätsdaten geplant
  2. Personenbeförderung Taxibranche und Uber kritisieren Reformpläne

The Secret of Monkey Island: Ich bin ein übelriechender, groggurgelnder Pirat!
The Secret of Monkey Island
"Ich bin ein übelriechender, groggurgelnder Pirat!"

Das wunderbare The Secret of Monkey Island feiert seinen 30. Geburtstag. Golem.de hat einen neuen Durchgang gewagt - und wüst geschimpft.
Von Benedikt Plass-Fleßenkämper


    SSD vs. HDD: Die Zeit der Festplatte im Netzwerkspeicher läuft ab
    SSD vs. HDD
    Die Zeit der Festplatte im Netzwerkspeicher läuft ab

    SSDs in NAS-Systemen sind lautlos, energieeffizient und schneller: Golem.de untersucht, ob es eine neue Referenz für Netzwerkspeicher gibt.
    Ein Praxistest von Oliver Nickel

    1. Firecuda 120 Seagate bringt 4-TByte-SSD für Spieler