1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › Sicherheitsloch im SSL-Protokoll

Secure Design...

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Beitrag
  1. Thema

Secure Design...

Autor: Siga9876 05.11.09 - 16:13

Wenn man seine Handy-Nummern oder MP3s verwaltet, sind Beweise egal.

Wenn hingegen um Protokolle und Sicherheits-Krams geht, sollte die totale Sicherheit und möglichst bewiesene Sicherheit herrschen. Und keine Fake-Pseudo-Möchtegern-Klappt-Doch-PHP-PseudoHohlProgger-Pseudo-Sicherheit.

Soll heissen: Man tut genau das, was in solchen Lehrbüchern wie Applied Cryptography und sonstwo steht. Und dann geht man NICHT hin, und patcht und "optimiert" und macht was anders, weil man es besser findet usw. Wer vom schmalen Grat der als sicher eingestuften Protokollen abweicht, fällt ins Wasser bzw. dessen Daten fallen heraus, von wo sie überall hin schwimmen/diffundieren können. z.b. bis zur OstEuropaMafia.

Bei solchen Protokollen und Anwendungen (Gesundheitskarte, Online-banking) gibt es keine Ausreden und es gibt kein Vertun. Die müssen ultrasicher durch Beweis und garantiert sicher designed und programmiert werden. Vorher denken statt nacher patchen wie bei PatchyHtmlProgger-Sprache oder M$.
Das ist "heiliger" super-code. Bevor da was geändert wird (siehe Debian-Patch der schwache Passworte oder sowas erzeugte) muss doppelt und dreifach und zehnfach drübergeschaut werden ob das korrekt ist. Und nicht von einem PseudoHohlProgger sondern von mehreren Leuten, die Ahnung haben. Die Zahl der betroffenen Libs ist allerdings gering (SSL, SSH, crypt-Libs usw...). Das man woanders die Passworte unverschlüsselt ins Logfile schreibt usw. sind dann andere Fehler-Sorten. Aber der Kern muss erst mal bewiesen sauber und sicher sein.

Problem: Hacken ist ja viel kewler als sichere Systeme designen.
Ich habe meine Scripte gegen (SQL|Script|...)-Injection gesichert, da kannte ich den Begriff der "Injection" noch gar nicht. Aber ich wusste: Wenn ich nicht sauber die Argumente in die Abfrage reinmache und absichere, können Spacken was injecten. Und Taint-Perl hilft dabei auch nicht wirklich weil die Raushol-Regexprs ja von Spacken gemacht sein können. Es sichert bestenfalls gegen Schlampigkeit und zwingt, das man gezielte Übergabe macht. Aber es verhindert das Kernproblem der Injection nicht wirklich.

Noch was in der Richtung also nicht ganz-Off-Topic: HDMI wurde als insecure geoutet. Der Prof wurde eingeschüchtert und redet nicht (mehr) (darüber). Also könnte man mal die HDMI-Protokolle ansehen und genau schauen, was anders als in den Lehrbüchern gemacht wird.
Wieso wäre das relevant ? Weil einem dann AACS usw. egal sein können, wenn man ein FPGA mit HDMI-"Protokoll" designed, das alle Daten am Player-Ausgang abrippt. Allerdings entpackt abrippt, was nicht so ganz optimal ist. Weil verlustbehaftet gepackt und damit verlustmäßig entpackt nicht besser ist, als es (verlustig) gepackt zu lassen. Sieht man auch wenn man Elektronik auspackt und nur die Chinesen aus der Fabrik wieder alles in die eigentlich zu kleine Pappkiste reingefuddelt kriegen.
Bei png/gif/bmp usw. (verlustfrei) wäre es etwas anderes.
Ein HDMI-Ripper ist also nicht wirklich etwas brauchbares wenn man die Qualität nicht (durch verlustiges Re-Compressen) schlechter machen will.
Ausserdem ist sowas ja verboten durch DMCA. Beim Bund gibts Verleiten zum Diebstahl. Bei Digitalen Pseudo-Crypt-Systemen wie CSS gilt eigentlich dasselbe. Und mehr als 1 Jahr bräuchte der Schutz auch nicht zu sein. Dann kauft man für Linux die BluRays ein Jahr später und kriegt die Keys des Vorjahres alle 6 Monate. Bis dahin hat die Schulhof-Mafia und Press-Werk-Mafia usw. den Film nämlich ausgelutscht und ausgebeutet. Da ist ein Schutz zum Nachteil von Linux-BluRay-Besitzern nicht mehr nötig.


Neues Thema Ansicht wechseln


Thema
 

Secure Design...

Siga9876 | 05.11.09 - 16:13
 

Re: Secure Design...

Wer anders | 05.11.09 - 16:40
 

Re: Secure Design...

Siga9876 | 05.11.09 - 18:44
 

Re: Secure Design...

Bubu Joe | 05.11.09 - 16:41
 

Re: Secure Design...

Siga9876 | 05.11.09 - 18:51
 

Re: Secure Design...

Sinnfrei | 05.11.09 - 19:02
 

Re: Secure Design...

Lolmaster | 05.11.09 - 19:41
 

Re: Secure Design...

Siga9876 | 05.11.09 - 19:50
 

Re: Secure Design...

Lolmaster | 05.11.09 - 20:05
 

Re: Secure Design...

Unbekannt | 05.11.09 - 21:14
 

Re: Secure Design...

_UPPERcase | 05.11.09 - 22:04
 

Re: Secure Design...

IhrName9999 | 06.11.09 - 14:01
 

Re: Secure Design...

redwolf_ | 05.11.09 - 22:02
 

Re: Secure Design...

nf1n1ty | 06.11.09 - 00:51
 

Re: Secure Design...

IhrName9999 | 06.11.09 - 14:05

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Referent Rohdatenaufbereitung (w/m/d) Senior-Cyber-Security-Specia- list
    Gemeinsames Kompetenz- und Dienstleistungszentrum der Polizei, Leipzig
  2. System Engineer (m/w/d) Citrix ADC / NetScaler
    DATAGROUP Köln GmbH, Köln (Home-Office)
  3. Software Entwickler / Anwendungsentwickler JAVA JEE (m/w/d)
    Versicherungskammer Bayern Versicherungsanstalt des öffentlichen Rechts, München, Saarbrücken
  4. Mobile Developer Android (w/m/d)
    SMF GmbH, Dortmund

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. (u. a. Ryzen 5 5600X 358,03€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Minidisc gegen DCC: Der vergessene Formatkrieg der 90er-Jahre
Minidisc gegen DCC
Der vergessene Formatkrieg der 90er-Jahre

Vor 30 Jahren hat Sony die Minidisc als Nachfolger der Kompaktkassette angekündigt - und Philips die Digital Compact Cassette. Dass sich an diese nur noch Geeks erinnern, hat Gründe.
Von Tobias Költzsch


    Probefahrt mit BMW i4 M50: Für mehr Freude am Fahren
    Probefahrt mit BMW i4 M50
    Für mehr Freude am Fahren

    Der neue BMW i4 M50 bringt seine 400 kW Motorleistung sehr souverän auf die Straße. Und das auf einer Verbrennerplattform.
    Ein Bericht von Friedhelm Greis

    1. Daymak Spiritus Elektroauto macht Krypto-Mining auf drei Rädern
    2. Foxconn Eigene Elektroautos unter dem Namen Foxtron vorgestellt
    3. E-Kleinstwagen Microlino bekommt ein Exoskelett als Offroader

    Nach Datenleck: Hausdurchsuchung statt Dankeschön
    Nach Datenleck
    Hausdurchsuchung statt Dankeschön

    Rund 700.000 Personen sind von einem Datenleck betroffen. Ein Programmierer hatte die Lücke entdeckt und gemeldet - und erhielt eine Anzeige.
    Von Moritz Tremmel

    1. Großbritannien E-Mail-Adressen von 250 afghanischen Übersetzern öffentlich
    2. Datenleck Daten von 106 Millionen Thailand-Reisenden geleakt
    3. Datenleck Daten von Autovermietung in öffentlichem Forum geteilt