ticuta1
Goto Top

HTTPS is not a magic bullet for Web security

Schon 2013 war die Chryptopocalypse beruhmt. Auf der IT-Sicherheitskonferenz Black Hat haben mehrere Forscher gezeigt, wie sich das TLS-Protokoll trotz aufwendiger Verschlüsselung unter Umständen angreifen lässt. Ist das mehr als eine Scheindebatte?
LG,
ticuta1

http://arstechnica.com/security/2016/07/https-is-not-a-magic-bullet-for ...

Content-ID: 309587

Url: https://administrator.de/forum/https-is-not-a-magic-bullet-for-web-security-309587.html

Ausgedruckt am: 22.12.2024 um 10:12 Uhr

DerWoWusste
DerWoWusste 12.07.2016 aktualisiert um 23:10:25 Uhr
Goto Top
Moin.

Mach Dir bei der Gelegenheit bitte auch eins klar: der Zertifikatsaussteller kann den Traffic entschlüsselt lesen. Und das ist in den seltensten Fällen allein der Websitebetreiber. Verisign und Co KG.
ticuta1
ticuta1 14.07.2016 um 10:25:39 Uhr
Goto Top
hallo DerWoWusste,
sind dann nur die selbstsignierten Zertifikaten als sicher anzusehen? und falls sich man für soetwas entscheidet, bekommt der Admin als Bonus das Meckern aller von den Browsernswahrnhinweisen genervten Kollegen?

face-sad
LG, ticuta1
DerWoWusste
DerWoWusste 14.07.2016 um 10:29:49 Uhr
Goto Top
Jein. Es sind eben die sicher, denen Du vertrauen möchtest. Wenn Du Verisign nicht vertraust (amerikanische Firmen unterliegen dem Patriot Act und müssen mit Amibehörden zusammenarbeiten), dann darfst Du die eben nicht benutzen. Die Aussteller haben einen Nachschlüssel - immer. Sie sind der Data recovery Agent (DRA) für die ausgestellten Zerts und können theoretisch jederzeit den Webtraffic mitlesen, der zu einer solchen Seite erfolgt, wenn Sie denn nur den Aufwand treiben, ihn mitzusniffen.