Der unabhängige IT- und Tech-Kanal!
internet.board.entertainment.games.hardware
Ist SSL sicher?
Die Studie kommt zu dem überraschenden Ergebnis, dass bei 99% der untersuchten Seiten vertrauliche Informationen in Webanwendungen wie etwa Online-Banking, Webmailkonten oder Business-Portalen trotz der Verschlüsselung nicht sicher sind. Das Unternehmen hatte mittels einer seit 2009 bekannten Angriffstechnik, mit der es möglich ist, die SSL-Verschlüsselung im Browser auszuschalten, die Seiten geprüft. Der Prüfung standhalten konnten nur die wenigsten.
Diese Angriffstechnik funktioniert einerseits, weil die ursprüngliche Verbindung unverschlüsselt abläuft. Ein "Man in the Middle" (MiM) schaltet sich an geeigneter Stelle dazwischen und kann damit jeden https-Link, der vom Server zurück kommt, wieder in einen http-Link umwandeln und damit die Verbindung zwischen ihm und dem Nutzer unverschlüsselt halten. Andererseits funktioniert die Technik, da der "MiM" den zweiten Teil der Verbindung, also die Verbindung zwischen ihm selbst und dem Server per https durchführt, sodass der Server den Angriff nicht erkennen und abwehren kann.
Den für dieses Problem bestehenden Schutzmechanismus gibt es ebenfalls seit 2009, allerdings nutzen ihn die wenigsten. Die Technik mit dem Namen HTTP Strict Transport Security (HSTS) ermöglicht es dem Server den Browser zu "zwingen" ausschließlich https-Links zu schicken. Die Analyse der Münchner Firma hat aber offenbart, dass diese Form des Schutzes vor Angriffen kaum jemand nutzt und stellt fest, dass "international weniger als 0,5% und in Deutschland weniger als 0,1% ihre Websites mit dieser Technik schützen." Bei den deutschen Banken, so die Studie, seien es von 423 geprüften Online-Präsenzen gerade einmal sechs. Unter den geprüften Seiten sind zum Beispiel 40.000 der meistbesuchten deutschen Seiten und vor allem das Online-Banking-Modul von ausgewählten deutschen Bankinstituten.
Thomas Schreiber, Geschäftsführer der SecureNet GmbH, empfiehlt: "Solange HSTS nicht standardmäßig zum Einsatz kommt, sollten Unternehmen, die verhindern wollen, dass ihre Mitarbeiter zum Sicherheitsrisiko werden, deren Laptops und Homeoffice-PCs per VPN ins Unternehmens-LAN zwingen." Nutzung der Browser Internet Explorer 9 und 10 von Microsoft sei ebenfalls nicht ratsam, so Schreiber weiter, da diese Versionen HSTS nicht unterstützen.
Bild-Quellen: niederrohrdorf.ch
Text-Quellen: SecureNet GmbH youtube owasp.org SecureNet GmbH
Tobias Raff (g+) am Montag, 05.11.2012 18:48 Uhr
Das kommt darauf an, wie man die Erweiterung nutzt. Wenn man selbst keine Regeln hinzufügt, wäre es denkbar, dass sie durch die Firefox-interne Liste ersetzbar wäre. Das Problem an diesen Listen ist allerdings, dass sie nicht sinnvoll skalieren. Es wird daher lediglich ein kleiner Bruchteil aller üb ...
Mozilla hat bereits reagiert und in die neuste Beta eine Liste von Seiten integriert, die nur per HTTPS aufzurufen sind: https://blog.mozilla.org/security/2012/11/01/preloading-hsts http://www.heise.de/security/meldung/Firefox-macht-es-HTTPS-Lauschern-kuenftig-schwerer-1745237.html ...
Dieses Missverständnis wird leider durch die reißerische Vermarktung der Studie begünstigt. Damit es nicht zu banal klingt, wird dieses Detail ofenbar absichtlich nicht so deutlich dargestellt. Tatsächlich geht es nämlich lediglich darum, dass es möglich ist, Umleitungen/Links von HTTP-Seiten auf H ...
Ok dann hab ich mich getäuscht. Dachte wenn kein HTTPS bereitgestellt wird oder wenn es für den Browser so aussieht könnte der Angreifer den unverschlüsselten Verkehr in gang setzen. ...
Durchaus korrekt, denn HTTP nutzt Port 80, HTTPS hingegen Port 443. Aber worauf beziehst du dich mit deiner Aussage? Wenn eine HTTPS-Verbindung zu dem Port 443 nicht möglich ist (oder dabei ein falsches Zertifikat vorgelegt wird), erfolgt doch eben anders als von dir dargestellt kein Zurückfallen au ...
Heutzutage ist die Internettelefonie neben Fest- und Mobilnetztelefonie immer gefragter. Per Internet zu kommunizieren ist nicht nur komfortabler und billiger, man ist zudem unabhängig von Tarifen, welche nur eine bestimmte Gesprächszeit günstig ermöglichen. Also wieso nicht auch Internet-Telefonie nutzen?
Lars Sobiraj am 14.05.2013, 13:52 Uhr
Der Petitionsausschuss des Deutschen Bundestags steht seit vielen Jahren den Bürgern und Gruppen für ihre Anliegen offen. Wir haben uns kürzlich mit einem der 80 Mitarbeiter des Hauses unterhalten. Da seit der Gründung nur sehr wenige Gesetzesänderungen durch Petitionen entstanden sind, wollen wir den Sinn dieser Institution hinterfragen. Dies ist vorerst der letzte Teil unserer Interview-Serie.
Lars Sobiraj am 12.05.2013, 12:51 Uhr
Wie ein 73-jährige Japaner beweist, kann man das am häufigsten benutzte Tabellenkalkulationsprogramm Microsoft Excel nicht nur für reguläre Berechnungen einsetzen. Tatsuo Horiuchi erstellt ausnahmslos seine traditionellen Gemälde mit Hilfe dieses Programms. Er arbeitet bereits seit 10 Jahren mit der Software und stellt seine Bilder in diversen Ausstellungen vor.
mehr lesen...
