Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Client-SSL auf unsicherem Webserver - sicher?

Mitglied: Dirmhirn

Dirmhirn (Level 2) - Jetzt verbinden

16.09.2013 um 09:31 Uhr, 1561 Aufrufe, 2 Kommentare

Hi!

es soll ein kleiner Webserver werden der offline User authentifizieren kann. (d.h. keine Internetverbindung oder sonst ein zentraler Server)
hier besteht auch die Gefahr, dass der gesamte Server ausgebaut und ausgelesen wird (zb ein BeagleBone oder RPi).

daher die Idee: Client SSL-Zertifikate
http://it.toolbox.com/blogs/securitymonkey/howto-securing-a-website-wit ...

wenn ich das richtig verstanden habe, solange der CA-Root key nicht auf dem Server liegt, kann man mit den Daten keine weiteren Zertifikate erstellen oder weitere gleich aufgebaute Systeme angreifen.

die andere Idee wäre:
nur die Public Keys auf dem Server zu speichern, dann könnte ich auch beliebige Zertifikate nutzen - der User muss nur einmal den Public-Key angeben.
Bin mir aber nicht ganz sicher ob das so klappt.
ein paar Beiträge findet man dazu im Internet
http://serverfault.com/questions/381880/how-can-i-make-apache-request-a ...
http://serverfault.com/questions/497297/is-it-possible-to-allow-only-so ...

wozu das ganze:
zb bei einer Kaffeemaschine die einmal pro Tag mit Kaffee und ggf. den neuen Usern "befüllt" wird. Der User kann sein Zertifikat per Smartphone oder SmartCard mitbringen.
daher wäre es egal wenn ein Angreifer auf eine der Maschinen zugreifen könnte - er könnte diese zwar manipulieren, aber nicht großflächig auf alle anderen Zugreifen, indem er sich neue Client-Zertifikate erstellt.... o.ä.

hat hier jemand Erfahrung?
(ja, die Kaffeemaschine ist den Aufwand wert

sg Dirm

Mitglied: Lochkartenstanzer
16.09.2013, aktualisiert um 10:47 Uhr
Zitat von Dirmhirn:
wozu das ganze:
zb bei einer Kaffeemaschine die einmal pro Tag mit Kaffee und ggf. den neuen Usern "befüllt" wird. Der User kann
sein Zertifikat per Smartphone oder SmartCard mitbringen.
daher wäre es egal wenn ein Angreifer auf eine der Maschinen zugreifen könnte - er könnte diese zwar manipulieren,
aber nicht großflächig auf alle anderen Zugreifen, indem er sich neue Client-Zertifikate erstellt.... o.ä.

Solange auf dem Serevr nur die Public keys liegen, sollte man mit den client-zertifikaten keine Blödsinn anstellen können. Denn um sich zu authentifizieren, benötigt man den private-key.

Sinnvollerweise soltle sich aber die kaffemaschine sich ausweisen, d.h. einen eigenen private-key haben, mit dem sie sich gegenüebr den usern ausweist. Dieser kann dann natürlich mißbraufht werden, um die kaffemaschine zu faken, wenn man die daten klaut.


hat hier jemand Erfahrung?
(ja, die Kaffeemaschine ist den Aufwand wert

Wo bekomme ich die , was kostet die udn vor allem, was macht die so besonders, daß ich sie auch haben wollen sollte?

lks,

der ein koffeinjunkie ist (2l kaffee/d).

nachtrag: Macht die dann auch Quotas für kaffee? Dann wil ich sie doch lieber nicht.
Bitte warten ..
Mitglied: Dirmhirn
16.09.2013, aktualisiert um 11:48 Uhr
Hi!

ok, danke dann hab ich das eh mal so richtig verstanden.

d.h. einen eigenen private-key haben, mit dem sie sich gegenüebr den usern ausweist. Dieser kann dann natürlich mißbraufht werden, um die kaffemaschine zu faken, wenn man die daten klaut.
ja das habe ich mir auch schon gedacht, finde ich aber nicht so kritisch, da der User keine Daten o.ä. bereitstellen soll. d.h. wenn er sich bei einer fake-Maschine anmeldet sollte das niemanden Schaden. Außer, dass er keinen Kaffee bekommt. Aber das wirst du ja wohl verstehen, dass sich dieses lokale Problem, dann "rasend" schnell löst ^^.

Wo bekomme ich die , was kostet die udn vor allem, was macht die so besonders, daß ich sie auch haben wollen sollte?
mal schaun ob es die mal gibt
Die Hauptidee ist eigentlich in Zeiten von Share-Your-Life, wie man etwas Sharen kann ohne gleich eine Internetleitung anzuhängen. Aber sie müssen halt regelmäßig "gewartet" werden oder fix installiert werden. Nicht dass jemand den Webserver/Controller ausbaut und das ganze Teil fladdert.
Fand die Kaffeemaschine als anschauliches Beispiel gut
Aber vll für den Rasenmäher, Haustor, Fahrrad (oder sogar Autos), Wäscheausgabe im Spital, ... alles wo keine Echtzeitüberwachung stattfinden muss oder kann.

Steht keine konkrete Geschäftsidee dahinter. Aber ich denk mir einfach es ist alles immer mehr online - aber in Wirklichkeit ist man gar nicht so überall online. In Österreich haben wir zwar eine relativ gute Abdeckung, was Handy Empfang betrifft, aber in Gebäuden ist's oft recht schlecht.
Ganz anders sieht es da zb in Afrika aus.

nachtrag: Macht die dann auch Quotas für kaffee? Dann wil ich sie doch lieber nicht.
naja zumindest nicht in Echtzeit, d.h. du musst bei der erst Programmierung als koffeinjunkie bekannt sein Aber sie kann dann natürlich deine persönlichen Einstellungen speichern, da sie weiß, dass du es bist.

sg Dirm
Bitte warten ..
Ähnliche Inhalte
Windows Update

WSUS Client verbindet sich nicht mit externen WSUS über SSL

Frage von DosenBierWindows Update18 Kommentare

Hallo, habe ein Problem mit meinem externen WSUS (gehostet bei Strato), der Updates an Kunden WSUS verteilen soll. Zum ...

Windows Netzwerk

Client Versucht SSL Verbindung (ausschalten)

Frage von BananenmeisterWindows Netzwerk5 Kommentare

Hallo Zusammen, Ich habe einen Computer mit SQL Server 2014 Express und einem Programm (Drittanbieter) welches eine Verbindung zu ...

Windows Tools

Suche Sophos Open VPN SSL Client

Frage von 131455Windows Tools7 Kommentare

Hallo , suche wie verrückt den Sophos VPN SSL Client. Ueberall ur Anleitung , In die Sophos Firewall anmelden ...

Windows Server

SSL Zertifikate ändern sich von allein (WS2k16)

Frage von federicososaWindows Server1 Kommentar

Moin Moin alle zusammen, kurz und bündig. ich habe Windows Server essential als Server für meine Dokumente und eigene ...

Neue Wissensbeiträge
iOS

iOS-Bug unterbindet vollständiges VPN-Tunneling

Information von transocean vor 8 StundeniOS

Moin, seit dem letzten Update hat iOS für iPhone und iPad ein Problem mit der Verschlüsselung. Lest selbst. Grüße ...

Sicherheit
Corona Malware über manipulierte Router
Information von sabines vor 11 StundenSicherheit

Heise berichtet über Malware, die in Zusammenhang zum Suchethema Corona steht und über DNS Einstellungen bei D-Link und Linksys ...

Windows 10
Windows 10 Update KB4535996 fehlerhaft
Information von Frank vor 18 StundenWindows 101 Kommentar

Laut Microsoft ist das Update KB4535996 die Ursache für aktuelle Verbindungsprobleme bei Virtual Private Networks (VPNs). Microsoft arbeitet bereits ...

Administrator.de Feedback
Entwicklertagebuch: Der neue Ticker ist da
Information von admtech vor 18 StundenAdministrator.de Feedback3 Kommentare

Hallo User, mit dem aktuellen Release haben wir den neuen "Ticker" zur Seite hinzugefügt. Oben im Hauptmenü findet ihr ...

Heiß diskutierte Inhalte
SAN, NAS, DAS
Hilfe bei der Einrichtung vom QNAP Nas Server
gelöst Frage von Chris.21SAN, NAS, DAS15 Kommentare

Hallo, ich benötige Hilfe bei der Einrichtung meines neuen NAS Servers von QNAP. ich möchte eine Verbindung vom Internet ...

Batch & Shell
Batch - Port eines Programmes finden und in Variable übergeben
Frage von IceAgeBatch & Shell14 Kommentare

Hallo und einen wunderschönen guten Abend, gibt es eine Möglichkeit mit Hilfe einer Batch-Datei (Win10) den Port eines Programmes ...

Drucker und Scanner
OCR Erkennung auf Server
Frage von KodaCHDrucker und Scanner14 Kommentare

Guten Morgen Bisher habe ich einen HP LaserJet Pro MFP M426fdw. Da es nicht viele Dokumente zum Scannen gibt ...

Windows Server
Erreichbarkeit von Freigaben auf Server 2019 durch ältere Linux-basierte Geräte
gelöst Frage von SarekHLWindows Server13 Kommentare

Hallo zusammen, ich habe hier zwei Geräte, einen Kopierer (Ricoh MP2554) und eine WebCam (Trendnet TV-IP311IP), die trotz korrekter ...