Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Governikus: Personalausweis…

Ausnutzbar?

  1. Thema

Neues Thema Ansicht wechseln


  1. Ausnutzbar?

    Autor: Allandor 22.11.18 - 08:09

    Ist das überhaupt ausnutzbar?
    Wenn ich das richtig verstehe wird ein verschlüsselter HTTPs Call an den Webserver gemacht. Das alle Infos dabei in der URL stehen kann ich mir zwar nicht vorstellen, denn solche Daten stehen normalerweise im Body damit sie auf jeden Fall mitverschlüsselt werden.
    D.h. wenn jemand das ganze abfangen würde, müsste er erst mal die eingesetzte HTTPS-Verschlüsselung knacken seine Anfrage anhängen und neu kodieren.
    Da ich mal nicht davon ausgehe würde das heißen, das der Angreifer müsste sich bereits in der Anwendung befinden, damit diese Lücke auch nur irgendwie ausgenutzt werden kann.
    Wenn ich mich eh schon dort befinde, ist eh alles zu spät. Da dürfte das meine geringste Sorge sein, denn der Angreifer dürfte dann auch bereits über die Möglichkeiten Verfügen von der Software entsprechende abfrage gültig verschlüsselt und signiert abzuschicken. Der "Huckepack"-Hack wäre da gar nicht nötig.

  2. Re: Ausnutzbar?

    Autor: Schnarchnase 22.11.18 - 09:26

    Allandor schrieb:
    --------------------------------------------------------------------------------
    > Das alle Infos dabei in der URL stehen kann ich mir zwar nicht vorstellen,
    > denn solche Daten stehen normalerweise im Body damit sie auf jeden
    > Fall mitverschlüsselt werden.

    Die URL selbst wird auch verschlüsselt.

  3. Re: Ausnutzbar?

    Autor: Mingfu 22.11.18 - 10:38

    Also erst einmal wie schon geschrieben: Bei HTTPS wird auch die Anfrage-URL verschlüsselt. Der Client baut eine TCP-Verbindung zum Webserver (üblicherweise an Port 443) auf, dann wird die Verschlüsselung ausgehandelt und schließlich wird über die verschlüsselte Verbindung das HTTP-Protokoll gefahren (insbesondere wird damit also auch die URL eines GET-Requests mitverschlüsselt). Ein Außenstehender sieht nur, an welche IP-Adresse und an welchen Port eine Verbindung aufgebaut wird, nicht aber, welche HTTP-Anfragen erfolgen.

    Und nun zum Inhaltlichen: Es handelt sich einfach um einen Validierungsfehler auf Serverseite. Wenn man den elektronischen Personalausweis verwendet, baut der Client eine Verbindung zu einer Beglaubigungsinstanz auf. Diese kommuniziert verschlüsselt mit dem Personalausweis, lässt sich von ihm die gespeicherten Daten zuschicken und beglaubigt sie anschließend mit ihrer eigenen Signatur. Diese signierten Daten werden an den Client zurückgeschickt, der sie nun gegenüber Dritten als Beweis seiner Identität einsetzen kann. Es handelt sich dabei einfach um signierte URL-Parameter mit den Ausweisdaten.

    Und hier entsteht nun beim eigentlichen Webserver, der die Daten haben will, ein Verifizierungsproblem: Er liest die URL-Paramter und prüft zunächst die Signatur. Wenn die stimmt, liest er nochmals die URL-Parameter ein und verarbeitet sie dann entsprechend. Allerdings wird beim Prüfen der Signatur bei doppelten URL-Parametern genau andersherum verfahren wie beim späteren Verarbeiten. Wenn der Client also die URL modifiziert, so dass Parameter mit dem gleichen Namen doppelt vorkommen, so wird beim Prüfen der Signatur das letzte Auftreten des Parameters mit dem dortigen Wert überprüft, beim späteren nochmaligen Einlesen aber das erste Auftreten des Parameters verarbeitet. Man kann also Wunschdaten vorn in die URL eintragen und weiter hinten hängt man dann die Daten einer beglaubigten Kopie an. Die wird akzeptiert, verarbeitet werden aber später die Daten vorn, die man sich einfach nur ausgedacht hat.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Zech Management GmbH, Bremen
  2. Techniker Krankenkasse, Hamburg
  3. Stadt Pforzheim, Pforzheim
  4. ITC ENGINEERING GMBH & CO. KG, Stuttgart

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (-78%) 12,99€
  2. 4,99€
  3. 7,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Hyper Casual Games: 30 Sekunden spielen, 30 Sekunden Werbung
Hyper Casual Games
30 Sekunden spielen, 30 Sekunden Werbung

Ob im Bus oder im Wartezimmer: Mobile Games sind aus dem Alltag nicht mehr wegzudenken. Die Hyper Casual Games sind ihr neuestes Untergenre. Dahinter steckt eine effiziente Designphilosophie - und viel Werbung.
Von Daniel Ziegener

  1. Mobile-Games-Auslese Die Evolution als Smartphone-Strategiespiel
  2. Mobile-Games-Auslese Mit der Enterprise durch unendliche Onlineweiten
  3. Mobile-Games-Auslese Große Abenteuer im kleinen Feiertagsformat

2FA mit TOTP-Standard: GMX sichert Mail und Cloud mit zweitem Faktor
2FA mit TOTP-Standard
GMX sichert Mail und Cloud mit zweitem Faktor

Auch GMX-Kunden können nun ihre E-Mails und Daten in der Cloud mit einem zweiten Faktor schützen. Bei Web.de soll eine Zwei-Faktor-Authentifizierung bald folgen. Der eingesetzte TOTP-Standard hat aber auch Nachteile.
Von Moritz Tremmel


    Webbrowser: Das Tracking ist tot, es lebe das Tracking
    Webbrowser
    Das Tracking ist tot, es lebe das Tracking

    Die großen Browserhersteller Apple, Google und Mozilla versprechen ihren Nutzern Techniken, die das Tracking im Netz erschweren sollen. Doch das stärkt Werbemonopole im Netz und die Methoden verhindern das Tracking nicht.
    Eine Analyse von Sebastian Grüner

    1. Europawahlen Bundeszentrale will Wahl-O-Mat nachbessern
    2. Werbenetzwerke Weitere DSGVO-Untersuchung gegen Google gestartet
    3. WLAN-Tracking Ab Juli 2019 will Londons U-Bahn Smartphones verfolgen

    1. Mobilfunkinfrastrukturgesellschaft (MIG): Bundeseigene Mastengesellschaft aufgestellt
      Mobilfunkinfrastrukturgesellschaft (MIG)
      Bundeseigene Mastengesellschaft aufgestellt

      Eine Mobilfunkinfrastrukturgesellschaft soll schnell Masten errichten, um Funklöcher zu schließen. Das haben die Fraktionsvorstände von SPD und CDU/CSU beschlossen. Der marktwirtschaftlich getriebene Ausbau habe einen Mobilfunk-Flickenteppich geschaffen.

    2. AVG: Antivirus-Software beschädigt Passwortspeicher im Firefox
      AVG
      Antivirus-Software beschädigt Passwortspeicher im Firefox

      Ein spezieller Passwortschutz der Antiviren-Software AVG hat den Passwortspeicher des Firefox-Browser beschädigt. Nutzer hatten deshalb zwischenzeitlich ihre Zugangsdaten verloren. Diese können aber wiederhergestellt werden.

    3. Gamestop: Nerd-Versandhandel Thinkgeek hört auf
      Gamestop
      Nerd-Versandhandel Thinkgeek hört auf

      Der vor allem für seine teils obskuren Produkte bekannte Online-Versandhandel Thinkgeek stellt seinen Betrieb ein. Eine kleine Auswahl der Produkte soll weiter bei der Muttergesellschaft Gamestop erhältlich sein.


    1. 14:32

    2. 12:00

    3. 11:30

    4. 11:00

    5. 10:20

    6. 18:21

    7. 16:20

    8. 15:50