1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › TLS: Cookie Clutter und Virtual Host…

Durchgehendes Problem…

  1. Thema

Neues Thema Ansicht wechseln


  1. Durchgehendes Problem…

    Autor: MarioWario 07.08.14 - 01:29

    a) das Web ist zu sehr Marketingorientiert (zerstört damit jeden Hauch von Sicherheit - insbesondere im Geschäftsleben)
    b) Ada wird nicht genutzt (statt Javascript und C)
    c) alle Zertifikats-Systeme sind Bullshit (Firefox ist offenbar die einzige Organisation die mal was prüft - zuwenig)
    Zu guter letzt: Ohne Integration der Geheimdienste in die rechtsstaatliche Systematik (sollte eher eine von Richtern überwachte Polizei-Organisation sein) kann man von einer weiteren (gesellschaftlichen) Entwicklung/Integration im Bereich IT nur abraten.
    B) Ein Schutz der Infrastruktur beginnt natürlich immer mit der Wahl der Partner (also kein Intel, MS & Co. - da kann man von Russland und China lernen) und die Abschirmung der nationalen Netzstruktur (wieso dürfen ausländische Firmen in Deutschland Netzwerke betreiben; O2, Verizon & Co.).

  2. Konfus :S

    Autor: hellmaster159 07.08.14 - 08:50

    MarioWario schrieb:
    --------------------------------------------------------------------------------
    > a) das Web ist zu sehr Marketingorientiert (zerstört damit jeden Hauch von
    > Sicherheit - insbesondere im Geschäftsleben)
    > b) Ada wird nicht genutzt (statt Javascript und C)
    Was hat bitte die Programmiersprache Ada mit dem Sicherheitsproblemen in TLS zu tun? Was macht Ada Sicherheitstechnisch besser?
    Ein Protokoll kann man in allen Sprachen programmieren solange man die gültigen Vorgaben, welche meistens in einem RFC-Dokument festgehalten sind, einhält.
    > c) alle Zertifikats-Systeme sind Bullshit (Firefox ist offenbar die einzige
    > Organisation die mal was prüft - zuwenig)
    Firefox ist keine Organisation, sondern ein Webbrowser, was du meinst ist wahrscheinlich Mozilla. Und wieder mal eine Frage: Was genau ist den bitte an einem Zertifikats System schlecht?
    > Zu guter letzt: Ohne Integration der Geheimdienste in die rechtsstaatliche
    > Systematik (sollte eher eine von Richtern überwachte Polizei-Organisation
    > sein) kann man von einer weiteren (gesellschaftlichen)
    > Entwicklung/Integration im Bereich IT nur abraten.
    Was meinst du damit und was für eine gesellschaftliche Entwicklung erwähnst du?
    > B) Ein Schutz der Infrastruktur beginnt natürlich immer mit der Wahl der
    > Partner (also kein Intel, MS & Co. - da kann man von Russland und China
    > lernen) und die Abschirmung der nationalen Netzstruktur (wieso dürfen
    > ausländische Firmen in Deutschland Netzwerke betreiben; O2, Verizon & Co.).
    Warum sollten sie das nicht dürfen, weil sie nicht Deutsche Firmen sind?

    Entschuldigung für die vielen Fragen, aber ich blicke bei deinen Argumenten nicht zu 100% durch was genau du meinst ;)

  3. Re: Konfus :S

    Autor: Moe479 07.08.14 - 09:38

    danke ich hatte heute in der früh ähnlich nachfragen wollen, vorallem danach, ob eine bestimmte sprache/syntax und semantik überhaupt designfehler verhindern kann ... kann sie imho nicht! ;)

    mit den geheimdiensten möchte er wohl dass deren tätigkeiten von anderen neutralen stellen besser überwacht werden können, keine rechtsbrüche ohne personelle und institutionelle folgen mehr begehen können sollen ... also, dass sie keine geheimdiense mehr sind, sondern letztendlich zu ordnungskräften zuordbar werden.

    das problem mit den zertifikaten ist, dass sie in ihrer funktion maßlos überbewertet wurden, sie sichern lediglich ab, d.h. es wird von einer übergeordneten stelle bestätigt, dass der host authentisch ist, nicht mehr oder weniger, ob man der zertifizierungstelle vertraut kann man auch entscheiden, jedes zertifikat könnte man mannuell ablehnen oder anehmen ... in der praxis kann das nervig werden.

    zertifikate für einwandfreien/geprüften code einer website/applikation habe ich noch nicht gesehen, maximal siegel für das einhalten von standards, code audits in der richtung sind eine echte herrausforderung, zeitlich aber auch an die finanzierbarkeit.



    3 mal bearbeitet, zuletzt am 07.08.14 09:47 durch Moe479.

  4. Re: Konfus :S

    Autor: golom 07.08.14 - 12:58

    > danke ich hatte heute in der früh ähnlich nachfragen wollen, vorallem danach, ob eine bestimmte sprache/syntax und semantik überhaupt designfehler verhindern kann ... kann sie imho nicht! ;)

    Naja, teilweise können manche Sprachen bestimmte Schwachstellen verhindern. Zum Beispiel ist es in Java viel schwieriger (unmöglich?) eine Buffer overrun/overflow Schwachstelle einzubauen. Im schlimmsten Fall crasht das, aber es wird sicher kein Fremd-Code ausgeführt. --> Natürlich unter der Annahme, dass die JVM selbst correct implementiert ist.

  5. Re: Konfus :S

    Autor: MarioWario 07.08.14 - 14:14

    Natürlich war das ein Rundumschlag ;-)
    TLS & Ada: nix
    Ada is Type Safe… http://en.wikipedia.org/wiki/Type_safety
    Ja, Mozilla ist gemeint.
    Zertifikate sind gut gemeint, werden in der Regel aber mangels Prüfung (wenn's z. B. dem Server zu lange dauert) und Audits ad absurdum geführt (schlimmer als eine Unsicherheit ist eine trügerische Sicherheit).
    Das meint: Weg von Online-Banking und Smartphones bei einer so geringen Qualität von Hardware und Dienstleistungen (Sicherung und Einbruchsmöglichkeiten), zudem ist es für mich schwierig Netzen zu vertrauen die im Kanzleramt von Typen wie Pofalla 'betreut werden' (Geheimdienste) statt von unserem Justizsystem.
    Genau, Microsoft hat gerade ein Urteil in den USA 'abbekommen' wo sie ihr europäisches Rechenzentrum (von US Diensten) durchsuchen lassen müssen.
    Ja, ich war auch etwas in Eile :D

  6. Re: Konfus :S

    Autor: hellmaster159 04.09.14 - 08:17

    MarioWario schrieb:
    --------------------------------------------------------------------------------
    > Natürlich war das ein Rundumschlag ;-)
    > TLS & Ada: nix
    > Ada is Type Safe… en.wikipedia.org
    C auch ;), Ok Javascript nicht da es eine dynamische Sprache ist.
    > Ja, Mozilla ist gemeint.
    > Zertifikate sind gut gemeint, werden in der Regel aber mangels Prüfung
    > (wenn's z. B. dem Server zu lange dauert) und Audits ad absurdum geführt
    > (schlimmer als eine Unsicherheit ist eine trügerische Sicherheit).
    > Das meint: Weg von Online-Banking und Smartphones bei einer so geringen
    > Qualität von Hardware und Dienstleistungen (Sicherung und
    > Einbruchsmöglichkeiten), zudem ist es für mich schwierig Netzen zu
    > vertrauen die im Kanzleramt von Typen wie Pofalla 'betreut werden'
    > (Geheimdienste) statt von unserem Justizsystem.
    Hmm, Was ist Sicher? Heutzutage ist alles knackbar, erst letztens war wieder in der Meldung das ein paar Banken gecrackt wurden. Aber mit der falschen Sicherheit hast du in gewisser weise Recht, wenn sie aber absolut keinen Sinn machen würden, hätten wir sie nicht und m.u. kann so ein Zertifikat vor MITM-Attacken absichern.
    > Genau, Microsoft hat gerade ein Urteil in den USA 'abbekommen' wo sie ihr
    > europäisches Rechenzentrum (von US Diensten) durchsuchen lassen müssen.
    > Ja, ich war auch etwas in Eile :D
    Jup, sowas ist natürlich super :) Erstmal alle Daten, die sie nichts angehen durchsuchen. Aber die US-Dienste würde ja niemals die Daten für andere Zwecke verwenden^^

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. H-O-T Härte- und Oberflächentechnik GmbH & Co. KG, Nürnberg
  2. ITSCare ? IT-Services für den Gesundheitsmarkt GbR, Frankfurt am Main
  3. Dürr Systems AG, Bietigheim-Bissingen
  4. ISTEC Industrielle Software-Technik GmbH, Leinfelden-Echterdingen

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 22,99€
  2. (bis 21. Januar)
  3. 33,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de