Sicherheit in GLF und Internet - Wichtig für neue User!
Benutzeravatar
Horizonzero
Beiträge: 13320
Registriert: 29.01.2009, 18:08
AoA: ab 8 aufwärts
Wohnort: [email protected]

Re: GLF nur unter http zu erreichen

Beitrag von Horizonzero »

Die https Zertifikate stammen aus eigener Regie und müßen im Browser als gültig eingestellt werden, dann gehts auch mit https. Zum Vergleich der Zertifikate können wir auch den elektr. Fingerprint bereitstellen (sollte sogar iwo noch im GLF gepostet sein).
679KCNGQQ (Teleguard)
Benutzeravatar
Ovid
Beiträge: 9521
Registriert: 09.10.2008, 20:26
Wohnort: ricochet:y3oy6i4ubgu4b2pd

Re: GLF mit https

Beitrag von Ovid »

Benutzeravatar
Horizonzero
Beiträge: 13320
Registriert: 29.01.2009, 18:08
AoA: ab 8 aufwärts
Wohnort: [email protected]

Re: GLF mit https

Beitrag von Horizonzero »

Danke Ovid
679KCNGQQ (Teleguard)
Benutzeravatar
Peter Pan
Beiträge: 212
Registriert: 04.03.2014, 20:13
AoA: 6-10
Wohnort: Deutschland

Re: GLF mit https

Beitrag von Peter Pan »

Horizonzero hat geschrieben:

Die https Zertifikate stammen aus eigener Regie und müßen im Browser als gültig eingestellt werden, dann gehts auch mit https.
Nach einigem Hin und Her konnte ich das Zertifikat in den Ordner der vertrauenswürdigen Zertifikate verschieben. Dort wurde es dann auch erkannt, aber der https-Aufruf schägt immer noch fehl:
'Das Serverzertifikat ist mit einem schwachen Signaturalgorhytmus signiert.'

Hmmm... Wenn ich mit Firefox auf die Seite gehe und ein paar Sicherheitsabfragen abnicke, bin ich über https im GLF.
"Und manchmal, während wir so schmerzhaft reifen, dass wir beinahe daran sterben, erhebt sich aus allem, was wir nicht begreifen, ein Gesicht und sieht uns strahlend an" Rainer Maria Rilke
Unvisible
Beiträge: 2642
Registriert: 28.04.2011, 23:17

Re: GLF mit https

Beitrag von Unvisible »

und ist dein System verschlüsselt?
Benutzeravatar
Ovid
Beiträge: 9521
Registriert: 09.10.2008, 20:26
Wohnort: ricochet:y3oy6i4ubgu4b2pd

Re: GLF mit https

Beitrag von Ovid »

Peter Pan hat geschrieben: 'Das Serverzertifikat ist mit einem schwachen Signaturalgorhytmus signiert.'
Das ist noch mit MD5. Das könnte man bei nächster Gelegenheit mal mit SHA-1 verbessern.
Benutzeravatar
Horizonzero
Beiträge: 13320
Registriert: 29.01.2009, 18:08
AoA: ab 8 aufwärts
Wohnort: [email protected]

Re: GLF mit https

Beitrag von Horizonzero »

Ich leite den Vorschlag weiter.
679KCNGQQ (Teleguard)
Benutzeravatar
Peter Pan
Beiträge: 212
Registriert: 04.03.2014, 20:13
AoA: 6-10
Wohnort: Deutschland

Re: GLF mit https

Beitrag von Peter Pan »

Unvisible hat geschrieben:und ist dein System verschlüsselt?
Ja, mit TrueCrypt. Aber Firefox scheint das ja nicht zu stören. Ich denke, Chrome wird damit auch keine Probleme haben.
"Und manchmal, während wir so schmerzhaft reifen, dass wir beinahe daran sterben, erhebt sich aus allem, was wir nicht begreifen, ein Gesicht und sieht uns strahlend an" Rainer Maria Rilke
Unvisible
Beiträge: 2642
Registriert: 28.04.2011, 23:17

Re: GLF mit https

Beitrag von Unvisible »

mir ging es darum das es blöd wäre die Seiten zu speichern, also spuren zu hinterlassen das du auf pervseiten bist, während dein Rechner nicht sicher ist. Aber das ist ja nicht der Fall.
Benutzeravatar
Lolimat
Beiträge: 1497
Registriert: 04.07.2010, 14:37
AoA: 7-12 ungefähr

Re: GLF mit https

Beitrag von Lolimat »

Ovid hat geschrieben:
'Das Serverzertifikat ist mit einem schwachen Signaturalgorhytmus signiert.'
Das ist noch mit MD5.
Desweiteren werden die eigentlichen Daten mit RC-4 verschlüsselt übertragen. Es gibt Security-Experten, die der Meinung sind, dass RC-4 von der NSA entschlüsselt werden könne, sogar mit für die recht geringem Aufwand.
Hmmm. Ich sehe grade, dass die Verschlüsselungen von Wikipedia und Google ebenfalls mit RC-4 arbeiten (was kein Muss ist, die Seite strato.de z.B. benutzt AES) und da die Verschlüsselungen dieser Seiten bei Chrome bestimmt nicht bemängelt werden* könnte es auch an der recht kurzen Schlüssellänge des RSA-Schlüssels (nur 1024 Bit) liegen. Der ist bei allen anderen von mir auf die schnelle geprüften Seiten mind. 2048 Bit lang.
Annika (bereits länger her) hat geschrieben:Das einzige was ihr (Middle-Man Attacke ausgenommen) mit https verhindern könnt, ist das Mitlesen eures Passwortes. ... Alles andere wird eh eindeutig vom ISP geloggt: was ihr gelesen oder geschrieben habt kann anhand der Url erkannt werden.
Das stimmt zum Glück nicht. Sowohl die URL (also das, was im Browser oben in der Adresszeile steht) als auch Cookies werden bei https verschlüsselt übertragen. Ein Angreifer (Man-in-the-middle wieder ausgenommen) erfährt somit nur die IP-Adresse des Servers. Und wenn dort unter dieser IP mehrere Webseiten gehostet werden, kann der Angreifer noch nicht einmal mit Sicherheit sagen, auf welcher Webseite man gesurft hat.

Unvisible hat geschrieben:mir ging es darum das es blöd wäre die Seiten zu speichern, also spuren zu hinterlassen das du auf pervseiten bist, während dein Rechner nicht sicher ist.
Wie wahr. Man muss sich gegen vielseitige Probleme schützen. Für viele hier dürfte es auch sehr wichtig sein, seine PC-Aktivitäten vor den eigenen Mitbewohnern, der eigenen Famile und Besuchern zu verbergen. Dazu ist hier bislang auch viel zu wenig diskutiert/besprochen worden.



* Wäre lustig wenn Chrome die Verschlüsselung der Google-Seite ablehnen würde :)

... und sie sah die Welt nicht so wie sie war, sondern wie sie sein könnte. aus Cinderella

TorChat: klick auf Profil.
Benutzeravatar
Ovid
Beiträge: 9521
Registriert: 09.10.2008, 20:26
Wohnort: ricochet:y3oy6i4ubgu4b2pd

Re: GLF mit https

Beitrag von Ovid »

Hi Lolimat :)

Gute Überlegungen. Hier ein paar Korrekturen und dann noch ein paar Tipps für ein persönliches Hardening (für Firefox).
Lolimat hat geschrieben: Desweiteren werden die eigentlichen Daten mit RC-4 verschlüsselt übertragen. Es gibt Security-Experten, die der Meinung sind, dass RC-4 von der NSA entschlüsselt werden könne, sogar mit für die recht geringem Aufwand.
Das könnte stimmen! Diese Vermutung wurde schon häufig ausgesprochen.
Als Serveranbieter kann man sich aussuchen welche Algorithmen man erlaubt und welche man bevorzugt (also RC4, DES, 3DES, AES usw.).
Serveranbieter priorisieren oft RC4, weil es den Server schont, aber sie erlauben allermeistens auch andere Algorithmen. :wink:

Beispiel GLF: Wenn wir mal oben links auf das schöne Schloss neben der URL klicken (vorausgesetzt wir surfen mit https), dann sehen wir zunächst einmal:

Bild

Nicht so toll...

Aber vielleicht können wir als Client dem Server ein AES entlocken?
Ja, können wir. Wir verbieten einfach mal RC4 und gucken was dann passiert.
Also in der about:config bei Firefox.

Also aus einem:

Bild

machen wir ein:

Bild

und wir laden die Seite noch einmal neu und klicken noch einmal auf das Schloss und sehen:

Bild


Nun sind wir happy. :lol:
Lolimat hat geschrieben: Das stimmt zum Glück nicht. Sowohl die URL (also das, was im Browser oben in der Adresszeile steht) als auch Cookies werden bei https verschlüsselt übertragen. Ein Angreifer (Man-in-the-middle wieder ausgenommen) erfährt somit nur die IP-Adresse des Servers.
Und wenn dort unter dieser IP mehrere Webseiten gehostet werden, kann der Angreifer noch nicht einmal mit Sicherheit sagen, auf welcher Webseite man gesurft hat.
Stimmt nicht ganz.
URL wird zwar verschlüsselt, richtig.
Aber die Domain wird preisgegeben. Warum? Naja, wir handeln ja ein Zertifikat für einen Domainnamen aus! Und den teilt uns der Server im Klartext mit.

Beweis:

Bild

Also den Domain-Namen kriegt man schon noch mit.
Was gilt noch?
Naja: Wir können als "Man in the Middle" noch den Zeitpunkt und die Größe des Pakets überwachen.
Damit lässt sich mit genügend Überwachungszyklen auch sehr zuverlässig auf Beitrag und User schließen. ;)
Benutzeravatar
YoungLover
Beiträge: 1295
Registriert: 01.04.2013, 02:09
AoA: 4 - 11

Re: GLF mit https

Beitrag von YoungLover »

Das mit der kritischen Lücke mitbekommen? ;) -







Danke, ja wurde registriert :D (Details editiert, Danke Ovid) :D Hori
Benutzeravatar
Ovid
Beiträge: 9521
Registriert: 09.10.2008, 20:26
Wohnort: ricochet:y3oy6i4ubgu4b2pd

Re: GLF mit https

Beitrag von Ovid »

Ich würde deinen Beitrag noch mal fix editieren (damit niemand auf dumme Ideen kommt) - entsprechendes wurde schon gemeldet und hoffentlich in die Wege geleitet.
Diskutieren kann man das ja hinterher.
Benutzeravatar
Lolimat
Beiträge: 1497
Registriert: 04.07.2010, 14:37
AoA: 7-12 ungefähr

Re: GLF mit https

Beitrag von Lolimat »

Vielen Dank Ovid für Deinen klasse Beitrag.
Er führt mir mal wieder vor Augen, dass über viel zu viel Halbwissen verfüge. Das ist zwar nicht so angenehm, aber ich habe dadurch auf jeden Fall etwas gelernt.
Dass mit dem Verbieten bestimmter Verschlüsselungsverfahren hatte ich irgendwo schon mal gelesen (heise vermutlich) aber nicht weiter nachverfolgt.

Gut, dass Du meinen Fehler mit der nicht bedachten Domain im Zertifikat korrigiert hast. Ich habe nochmal ein bißchen nachgelesen und dass die Domain da drinsteht, erscheint mir jetzt auch sehr wichtig. Sonst könnte ja jeder mit einem gültigen Zertifikat (ausgestellt von einer Zertifizierungsstelle) behaupten, meine Bank zu sein.
Ovid hat geschrieben:Wir können als "Man in the Middle" noch den Zeitpunkt und die Größe des Pakets überwachen.
Damit lässt sich mit genügend Überwachungszyklen auch sehr zuverlässig auf Beitrag und User schließen. ;)
Hast Du Lust dazu etwas mehr zu schreiben? Darüber weiss ich leider nichts, aber mal was darüber gehört zu haben, fände ich sehr gut.

... und sie sah die Welt nicht so wie sie war, sondern wie sie sein könnte. aus Cinderella

TorChat: klick auf Profil.
Benutzeravatar
Forum-Geist
Beiträge: 5065
Registriert: 09.07.2010, 14:47
AoA: 0-50
Kontaktdaten:

Re: GLF mit https

Beitrag von Forum-Geist »

Und wieder was gelernt :!:

Danke Ovid :)
Welcher Verstand oder Sinn ist ihnen denn zu eigen?
Sie verlassen sich auf die Volkssänger und nehmen die Masse zum Lehrer.
Denn sie wissen nicht, dass die meisten schlecht, wenige aber gut sind.

Heraklit
Antworten