Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Client-SSL auf unsicherem Webserver - sicher?

Mitglied: Dirmhirn

Dirmhirn (Level 2) - Jetzt verbinden

16.09.2013 um 09:31 Uhr, 1557 Aufrufe, 2 Kommentare

Hi!

es soll ein kleiner Webserver werden der offline User authentifizieren kann. (d.h. keine Internetverbindung oder sonst ein zentraler Server)
hier besteht auch die Gefahr, dass der gesamte Server ausgebaut und ausgelesen wird (zb ein BeagleBone oder RPi).

daher die Idee: Client SSL-Zertifikate
http://it.toolbox.com/blogs/securitymonkey/howto-securing-a-website-wit ...

wenn ich das richtig verstanden habe, solange der CA-Root key nicht auf dem Server liegt, kann man mit den Daten keine weiteren Zertifikate erstellen oder weitere gleich aufgebaute Systeme angreifen.

die andere Idee wäre:
nur die Public Keys auf dem Server zu speichern, dann könnte ich auch beliebige Zertifikate nutzen - der User muss nur einmal den Public-Key angeben.
Bin mir aber nicht ganz sicher ob das so klappt.
ein paar Beiträge findet man dazu im Internet
http://serverfault.com/questions/381880/how-can-i-make-apache-request-a ...
http://serverfault.com/questions/497297/is-it-possible-to-allow-only-so ...

wozu das ganze:
zb bei einer Kaffeemaschine die einmal pro Tag mit Kaffee und ggf. den neuen Usern "befüllt" wird. Der User kann sein Zertifikat per Smartphone oder SmartCard mitbringen.
daher wäre es egal wenn ein Angreifer auf eine der Maschinen zugreifen könnte - er könnte diese zwar manipulieren, aber nicht großflächig auf alle anderen Zugreifen, indem er sich neue Client-Zertifikate erstellt.... o.ä.

hat hier jemand Erfahrung?
(ja, die Kaffeemaschine ist den Aufwand wert

sg Dirm

Mitglied: Lochkartenstanzer
16.09.2013, aktualisiert um 10:47 Uhr
Zitat von Dirmhirn:
wozu das ganze:
zb bei einer Kaffeemaschine die einmal pro Tag mit Kaffee und ggf. den neuen Usern "befüllt" wird. Der User kann
sein Zertifikat per Smartphone oder SmartCard mitbringen.
daher wäre es egal wenn ein Angreifer auf eine der Maschinen zugreifen könnte - er könnte diese zwar manipulieren,
aber nicht großflächig auf alle anderen Zugreifen, indem er sich neue Client-Zertifikate erstellt.... o.ä.

Solange auf dem Serevr nur die Public keys liegen, sollte man mit den client-zertifikaten keine Blödsinn anstellen können. Denn um sich zu authentifizieren, benötigt man den private-key.

Sinnvollerweise soltle sich aber die kaffemaschine sich ausweisen, d.h. einen eigenen private-key haben, mit dem sie sich gegenüebr den usern ausweist. Dieser kann dann natürlich mißbraufht werden, um die kaffemaschine zu faken, wenn man die daten klaut.


hat hier jemand Erfahrung?
(ja, die Kaffeemaschine ist den Aufwand wert

Wo bekomme ich die , was kostet die udn vor allem, was macht die so besonders, daß ich sie auch haben wollen sollte?

lks,

der ein koffeinjunkie ist (2l kaffee/d).

nachtrag: Macht die dann auch Quotas für kaffee? Dann wil ich sie doch lieber nicht.
Bitte warten ..
Mitglied: Dirmhirn
16.09.2013, aktualisiert um 11:48 Uhr
Hi!

ok, danke dann hab ich das eh mal so richtig verstanden.

d.h. einen eigenen private-key haben, mit dem sie sich gegenüebr den usern ausweist. Dieser kann dann natürlich mißbraufht werden, um die kaffemaschine zu faken, wenn man die daten klaut.
ja das habe ich mir auch schon gedacht, finde ich aber nicht so kritisch, da der User keine Daten o.ä. bereitstellen soll. d.h. wenn er sich bei einer fake-Maschine anmeldet sollte das niemanden Schaden. Außer, dass er keinen Kaffee bekommt. Aber das wirst du ja wohl verstehen, dass sich dieses lokale Problem, dann "rasend" schnell löst ^^.

Wo bekomme ich die , was kostet die udn vor allem, was macht die so besonders, daß ich sie auch haben wollen sollte?
mal schaun ob es die mal gibt
Die Hauptidee ist eigentlich in Zeiten von Share-Your-Life, wie man etwas Sharen kann ohne gleich eine Internetleitung anzuhängen. Aber sie müssen halt regelmäßig "gewartet" werden oder fix installiert werden. Nicht dass jemand den Webserver/Controller ausbaut und das ganze Teil fladdert.
Fand die Kaffeemaschine als anschauliches Beispiel gut
Aber vll für den Rasenmäher, Haustor, Fahrrad (oder sogar Autos), Wäscheausgabe im Spital, ... alles wo keine Echtzeitüberwachung stattfinden muss oder kann.

Steht keine konkrete Geschäftsidee dahinter. Aber ich denk mir einfach es ist alles immer mehr online - aber in Wirklichkeit ist man gar nicht so überall online. In Österreich haben wir zwar eine relativ gute Abdeckung, was Handy Empfang betrifft, aber in Gebäuden ist's oft recht schlecht.
Ganz anders sieht es da zb in Afrika aus.

nachtrag: Macht die dann auch Quotas für kaffee? Dann wil ich sie doch lieber nicht.
naja zumindest nicht in Echtzeit, d.h. du musst bei der erst Programmierung als koffeinjunkie bekannt sein Aber sie kann dann natürlich deine persönlichen Einstellungen speichern, da sie weiß, dass du es bist.

sg Dirm
Bitte warten ..
Ähnliche Inhalte
Windows Update

WSUS Client verbindet sich nicht mit externen WSUS über SSL

Frage von DosenBierWindows Update18 Kommentare

Hallo, habe ein Problem mit meinem externen WSUS (gehostet bei Strato), der Updates an Kunden WSUS verteilen soll. Zum ...

Windows Netzwerk

Client Versucht SSL Verbindung (ausschalten)

Frage von BananenmeisterWindows Netzwerk5 Kommentare

Hallo Zusammen, Ich habe einen Computer mit SQL Server 2014 Express und einem Programm (Drittanbieter) welches eine Verbindung zu ...

Windows Tools

Suche Sophos Open VPN SSL Client

Frage von 131455Windows Tools7 Kommentare

Hallo , suche wie verrückt den Sophos VPN SSL Client. Ueberall ur Anleitung , In die Sophos Firewall anmelden ...

Windows Server

SSL Zertifikate ändern sich von allein (WS2k16)

Frage von federicososaWindows Server1 Kommentar

Moin Moin alle zusammen, kurz und bündig. ich habe Windows Server essential als Server für meine Dokumente und eigene ...

Neue Wissensbeiträge
Administrator.de Feedback
Hinweise auf Dienstleister oder auf Suchmaschinen
Information von Frank vor 3 TagenAdministrator.de Feedback71 Kommentare

Lieber User, Admins und Moderatoren, aus gegebenen Anlass möchte ich zwei Dinge endgültig klarstellen und für die Nachwelt festhalten: ...

Router & Routing

PfSense 2.4 IPSec VPN mobile Clients Phase 2 wird plötzlich nicht mehr aufgebaut - So einfach war die Lösung

Tipp von the-buccaneer vor 4 TagenRouter & Routing9 Kommentare

Moinsen! Nachdem ich mir hierbei nen Wolf gesucht habe, möchte ich doch die Welt an dieser simplen Lösung teilhaben ...

Humor (lol)
Wählscheiben Telefon
Information von brammer vor 4 TagenHumor (lol)4 Kommentare

Hallo, Mal wirkliche eine nette Spielerei brammer

Sicherheit

Zeitenwende: Mehr pot. Mac- (Heise Wortlaut) als Windowsbedrohungen

Information von certifiedit.net vor 5 TagenSicherheit4 Kommentare

Wir hatten es ja hier erst letztens, dass OS bzw Mac auch nicht der Weisheit letzter Schluss ist, nun ...

Heiß diskutierte Inhalte
Backup
VMware ESXi Cluster Backup
Frage von ADRNEXBackup22 Kommentare

Hallo zusammen, Ich habe eine vmware esxi cluster Umgebung mit ca. 20TB Daten, die auf einem SAN liegen. Es ...

Netzwerkmanagement
Softwareverteilung für kleines Unternehmen mit sehr gemixter Hardware
gelöst Frage von BavarianSysadNetzwerkmanagement20 Kommentare

Hallo zusammen^^, ich stehe vor dem Problem das wir im Unternehmen eine Softwareverteilung einführen soll, leider ist dies wie ...

Netzwerke
Frage zu Spanning-Tree-Layout
Frage von LordGurkeNetzwerke11 Kommentare

Hallo zusammen, ich habe aktuell das Problem, dass in einem relativ frisch aufgebauten Netzwerk mit redundanten Pfaden und MSTP ...

Router & Routing
OpenWrt Router und IPsec iptables
Frage von Achim462Router & Routing10 Kommentare

Hallo. Ich weiß nicht ob das der richtige Ort für dieses Thema ist. Falls nicht, kann ein Administrator dieses ...