1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Verschlüsselung: TLS 1.0 und 1.1…

Richtig so

  1. Thema

Neues Thema Ansicht wechseln


  1. Richtig so

    Autor: andy01q 20.06.18 - 15:41

    Ich hab grad keine Quelle zur Hand, aber ich erinnere mich an mehrere Exploits bei denen es durch eine falsche Konfiguration möglich war den Clienten dazu zu zwingen eine veraltete Verschlüsselung zu verwenden über die dann ein Angriff gefahren wurde.

  2. Re: Richtig so

    Autor: RipClaw 20.06.18 - 15:47

    andy01q schrieb:
    --------------------------------------------------------------------------------
    > Ich hab grad keine Quelle zur Hand, aber ich erinnere mich an mehrere
    > Exploits bei denen es durch eine falsche Konfiguration möglich war den
    > Clienten dazu zu zwingen eine veraltete Verschlüsselung zu verwenden über
    > die dann ein Angriff gefahren wurde.

    Downgrade Attacken gab es öfters.

    Das Problem das man sich bei Versuch den alten Kram zu entfernen eintritt sind die Leute die alte Systeme am laufen haben die auf keinen Fall ersetzt werden können aber es sich auch keiner so wirklich damit auskennt.

    Ich erinnere mich z.B. an Fälle bei denen Shops mit den Zahlungsdienstleistern nicht kommunizieren konnten da der Server einen Diffie-Hellman Chiffre benutzt hat mit einer Schlüssellänge von mehr als 1024 Bit und die ganzen Zahlungsdienstleister hatten überall noch Java 6 am laufen das damit nicht zurecht gekommen ist. Also musste man den DH Key runterschrauben damit die Verbindung geklappt hat.

  3. Re: Richtig so

    Autor: andy01q 20.06.18 - 16:34

    Stimmt schon.
    Ich bin aber der Meinung, wenn der Shop ein System verwendet, das seit 10 Jahren obsolet ist (nicht 10 Jahre alt!) und nun z.B. Kreditkartendaten nach aktuellen Standards unsicher übers Netz bläst, dann gehört er halt nichtmehr unterstützt und im Zweifelsfall von Grund auf neu programmiert.
    Bei manchen Projekten kommt es wirklich nicht auf die Sicherheit drauf und und da ist es dann schade drum, ich seh trotzdem die Argumente für das Abschalten stärker.

  4. Re: Richtig so

    Autor: RipClaw 20.06.18 - 16:40

    andy01q schrieb:
    --------------------------------------------------------------------------------
    > Stimmt schon.
    > Ich bin aber der Meinung, wenn der Shop ein System verwendet, das seit 10
    > Jahren obsolet ist (nicht 10 Jahre alt!) und nun z.B. Kreditkartendaten
    > nach aktuellen Standards unsicher übers Netz bläst, dann gehört er halt
    > nichtmehr unterstützt und im Zweifelsfall von Grund auf neu programmiert.
    > Bei manchen Projekten kommt es wirklich nicht auf die Sicherheit drauf und
    > und da ist es dann schade drum, ich seh trotzdem die Argumente für das
    > Abschalten stärker.

    Das Problem war in dem Fall eben nicht der Shop selber. Der Server war Up to Date und mit moderner Crypto ausgestattet. Die Zahlungsdienstleister waren es die mit dem alten Kram Probleme hatten auf den Shop zuzugreifen.

    Inzwischen wurden zwar die Richtlinien der Zahlungsdienstleister entsprechend aufpoliert und dadurch ist dann Handlungsbedarf entstanden aber sie haben sich lange gewehrt da eben eine Umstellung von Java 6 auf neuere Versionen nicht so einfach ist.

    Apple hatte übrigens das gleiche Problem mit ihrem Podcastverzeichnisdienst. Ein Podcastproduzent hat das festgestellt als er seine ganzen Domains auf HTTPS mit brandaktueller Crypto umgestellt hat.



    2 mal bearbeitet, zuletzt am 20.06.18 16:44 durch RipClaw.

  5. Re: Richtig so

    Autor: Stefan1200 20.06.18 - 21:16

    RipClaw schrieb:
    --------------------------------------------------------------------------------
    > Inzwischen wurden zwar die Richtlinien der Zahlungsdienstleister
    > entsprechend aufpoliert und dadurch ist dann Handlungsbedarf entstanden
    > aber sie haben sich lange gewehrt da eben eine Umstellung von Java 6 auf
    > neuere Versionen nicht so einfach ist.

    Eigentlich müsste ein Update auf Java 7 schon reichen, da dort der TLS Stack aktualisiert wurde. Und ein Upgrade von Java 6 zu 7 ist eigentlich in 99,9% ohne Probleme möglich. Aber wer weiß das schon. ;)

  6. Re: Richtig so

    Autor: Nocta 21.06.18 - 07:59

    Finde ich auch sehr gut!

    und wenn man vernünftig programmiert, sollte es eh kein Problem sein die TLS Version upzugraden.

    Ich sehe ein, dass zB ein Java Upgrade nicht immer einfach ist, aber wenn man eine TLS library einbindet, dann muss man ja schon viel falsch machen um die entsprechenden calls nicht durch die der neuen library ersetzen zu können.

  7. Re: Richtig so

    Autor: Port80 21.06.18 - 11:58

    Nocta schrieb:
    --------------------------------------------------------------------------------
    > Ich sehe ein, dass zB ein Java Upgrade nicht immer einfach ist
    Java 7 kann schon die neuste TLS Version (die 2018-er nicht eingenommen). Java 7 kam 2011 erschienen und hat 2015 die öffentlichen Updates eingestellt. Java 6 wurde 2013 eingestellt.

    Unter Java zu 99,...% es nicht nötig, seinen Code für eine neue Version zu ändern. Wer also so einen kaputten Code hat, dass er 5 Jahre lang nicht upgraden kann oder so eine schlechte IT hat, dass man 5 Jahre alte EOL-Software nutzt, hat imho massive Probleme

  8. Re: Richtig so

    Autor: RipClaw 21.06.18 - 13:38

    Stefan1200 schrieb:
    --------------------------------------------------------------------------------
    > RipClaw schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Inzwischen wurden zwar die Richtlinien der Zahlungsdienstleister
    > > entsprechend aufpoliert und dadurch ist dann Handlungsbedarf entstanden
    > > aber sie haben sich lange gewehrt da eben eine Umstellung von Java 6 auf
    > > neuere Versionen nicht so einfach ist.
    >
    > Eigentlich müsste ein Update auf Java 7 schon reichen, da dort der TLS
    > Stack aktualisiert wurde. Und ein Upgrade von Java 6 zu 7 ist eigentlich in
    > 99,9% ohne Probleme möglich. Aber wer weiß das schon. ;)

    Es gibt soweit ich weiß sogar eine angepasste Version von Java 6 mit überarbeitetem TLS Stack aber nur für Lizenznehmer von Oracle. Damit kann man dann Java 6 weiter betreiben wenn man nur genug Geld auf Oracle wirft.

    Ich hab auch mal die Sendung rausgesucht bei dem das Problem mit dem Podcastverzeichnis von Apple zur Sprache kam:

    [freakshow.fm]



    1 mal bearbeitet, zuletzt am 21.06.18 13:39 durch RipClaw.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Allianz Lebensversicherungs - AG, Stuttgart
  2. Universitätsklinikum Frankfurt, Frankfurt am Main
  3. cbs Corporate Business Solutions Unternehmensberatung GmbH, verschiedene Standorte
  4. ElringKlinger AG, Dettingen an der Ems

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 24,99€
  2. 8,50€


Haben wir etwas übersehen?

E-Mail an news@golem.de