Webseite signieren

Gelegentlich möchte man auf einer Webseite kritische Daten veröffentlichen, zum Beispiel Checksummen von Dateien/Programmen oder den Fingerprint eines Schlüssels.

Frage: Wie kann man diese Information absichern? Ich stelle mir eine Signatur für diese Daten vor und eine bequeme Möglichkeit, diese Signatur zu überprüfen. Gibt es so etwas? Wie machen das andere? (Man könnte zusätzlich ein signiertes PDF anbieten, das dieselbe Information enthält. Eine Lösung, die ohne einen solchen Medienbruch auskommt, fände ich eleganter.)

Content-Key: 1288314484

Url: https://administrator.de/contentid/1288314484

Ausgedruckt am: 19.10.2021 um 23:10 Uhr

Mitglied: wiesi200
wiesi200 21.09.2021 aktualisiert um 15:08:07 Uhr
Goto Top
Hallo,

die Webseite per https ausliefern was eh "State of the Art" für alle Webseiten ist?
Mitglied: Tezzla
Tezzla 21.09.2021 um 15:13:38 Uhr
Goto Top
Zitat von @wiesi200:

Hallo,

die Webseite per https ausliefern was eh "State of the Art" für alle Webseiten ist?

Und den Download nicht mit der Website auf einem Space liegen lassen.
Mitglied: UserUW
UserUW 21.09.2021 um 16:49:19 Uhr
Goto Top
Danke - aber:

1. HTTPS: Schützt doch die Seite nicht vor Angriffen (und Manipulation der Checksummen)!? Nur die Kommunikation zwischen Seite und Besucher.

2. Download: Du meinst den Softwaredownload: Klar liegt der woanders. Aber auch das allein entfaltet keine Schutzwirkung, erschwert allenfalls.
Mitglied: maretz
maretz 21.09.2021 um 16:53:24 Uhr
Goto Top
Zitat von @UserUW:

Danke - aber:

1. HTTPS: Schützt doch die Seite nicht vor Angriffen (und Manipulation der Checksummen)!? Nur die Kommunikation zwischen Seite und Besucher.

Dann hast du ein Problem damit das jemand anders Zugriff auf deinen Server hat und somit ganz andere Probleme. Denn wie soll ich sonst die Checksumme manipulieren wenn ich nich irgendwie auf deinen Server komme....


2. Download: Du meinst den Softwaredownload: Klar liegt der woanders. Aber auch das allein entfaltet keine Schutzwirkung, erschwert allenfalls.

Ist auch Sinnlos das zu erschweren. Die Checksumme allein hilft mir ja normal nicht als Angreifer. Und hier solltest du die sogar so einfach wie möglich zugänglich machen (-> was wieder https mit nem gültigen Zertifikat ist) da man dann ggf. eben die Schlüssel auch automatisch vergleichen kann...

Generell gehören auf öffentliche Seiten natürlich NUR die öffentlichen Schlüssel... Und da is es ganz einfach: Ich kann hier auch meinen public-ssh-key posten, der is ja genau dafür da... Wenn den jemand auf deinen Server legt ok - ich kann mich anmelden. Mein privater SSH-Teil bleibt ja trotzdem bei mir...

Von daher würde ich halt überlegen was du wirklich willst. Wenn es nur Checksummen sind für irgendwelche Dateien -> dann reicht https völlig aus...
Mitglied: Tezzla
Tezzla 21.09.2021 um 16:54:55 Uhr
Goto Top
Du müsstest ja dann die Page, die die Checksum des Downloads enthält, auch nochmal signieren / per Checksum sichern. Und das wiederum irgendwo darstellen.

Die einzige Möglichkeit ist diese Infos in ein signiertes PDF zu speichern und das zur Kontrolle einzubetten oder zum Download anzubieten.
Mitglied: wiesi200
wiesi200 21.09.2021 um 17:00:53 Uhr
Goto Top
Https schütz auch vor Manipulation auf dem Transporte und DNS Manipulation.

Wenn ein Fremder allerdings auf deinem Webspace hockt kannst du machen was du lustig bist und wird nicht helfen.
Mitglied: StefanKittel
StefanKittel 21.09.2021 aktualisiert um 18:25:51 Uhr
Goto Top
Zitat von @UserUW:
1. HTTPS: Schützt doch die Seite nicht vor Angriffen (und Manipulation der Checksummen)!? Nur die Kommunikation zwischen Seite und Besucher.
Wenn Jemand die Möglichkeit hat die Seite zu ändern bist Du am Ende.
Derjenige kann den Inhalt einfach vollständig ändern.
z.B. den Text in "Mit dem PDF machen wir das nicht mehr und hier die Prüfsummen in Klartext" mit den "neuen" Prüfsummen und Downloadlinks zu den "neuen" Dateien.

Mal ein paar Idee ohne lange Planung

-Grünes EV-Zertifikat
-Inhalt der Webseite nur statisches HTML, kein CMS-
-Zugriff nut per SFTP (SSH) und kein FTP
-Dein PC lädt stündlich die Webseite als HTML-Datei runter und vergleich die Prüfumme mit einer Datei auf Deinem PC.Dann fällt eine Manipulation sofort auf.
Mitglied: Dani
Dani 21.09.2021 um 19:31:58 Uhr
Goto Top
Moin,
aus meiner Sicht bleibt nur der Weg die Dateien in Form von Word, Excel, Powerpoint entsprechend zu signieren. Sobald jemand die Datei verändert, ist die Signatur ungültig. Das Gleiche ist für Anwendungen möglich. Beides setzt entsprechende Zertifikate und ggf. Anwendungen für die Signierung voraus.

Https schütz auch vor Manipulation auf dem Transporte und DNS Manipulation.
In diesem Fall sind Techniken wie HSTS, DNSSEC und TLSA unablässlich.


Gruß,
Dani
Mitglied: aqui
aqui 21.09.2021 aktualisiert um 20:33:45 Uhr
Goto Top
Üblich sind ja auch MD5 oder SHA1 File Hashes zu diesen Daten zu veröffentlichen. Die Hashes sind nicht manipulierbar bzw. zeigen sofort auch die kleinste Manipulation der Ursprungsdaten.
Windows macht das mit Bordmitteln:
https://support.microsoft.com/en-us/topic/d92a713f-d793-7bd8-b0a4-4db811 ...
oder einem der unzähligen freien Tools:
https://www.nirsoft.net/utils/hash_my_files.html
Apple Mac und Linux ebenso:
https://www.bastianoso.de/tipps-tricks/macos/md5-sha1-sha256-checksum-ue ...
Mitglied: UserUW
UserUW 23.09.2021 aktualisiert um 16:40:44 Uhr
Goto Top

Ja, daran hatte ich auch gedacht, die Datei kann bei einer Manipulation der Seite aber natürlich auch entfernt werden! Ich hoffte noch auf smoothere Anregungen! Es bleibt also nur, die zu schützende Datei selbst zu signieren. Bei Programmen (und DLLs...) dürfte es inzwischen klar sein, dass die signiert sein sollten und unsignierte Programme nicht installiert werden.

Ulrich
Mitglied: maretz
maretz 23.09.2021 um 17:34:52 Uhr
Goto Top
Die Frage ist doch - was willst du schützen? Wenn du davor angst hast das jemand der Zugriff auf dein Server hat da dummheiten macht -> das wirst du nicht verhindern können.... Lege die summen in ner signierten PDF ab - so what? Dann muss man halt ne self-signed PDF mit veränderten Schlüsseln erstellen und hochladen (wer liest denn nu wirklich woher der Schlüssel kommt). Nur: Je komplexer du den Vorgang gestaltest - umso weniger wird es jemand wirklich prüfen...

Von daher würde ich eben wenn das ganze als Text-Datei machen in der die Checksum's stehen. Diese kannst du z.B. in deinem Programm ja auch auswerten. Und in deinem Programm packst halt in den Sourcecode die Checksum der File rein, dann kannst du relativ sicher sein das es eben auch keine veränderte Datei ist... Jetzt musst du dann nur noch sicherstellen das eben nicht grad deine "Installer"/"Update"-Datei auf demselben Server liegt...
Heiß diskutierte Beiträge
question
Windows 11 Upgrade nicht möglichben1300Vor 1 TagFrageWindows 1114 Kommentare

Guten Morgen ! ich habe einen Gaming PC, mit folgende Spezifikationen: Leider kann ich diesen nicht auf Windows 11 upgraden: Welche Optionen bleiben mir, um ...

question
Was ich benötige ist ein guter Wechselrahmen 5,25"Lefty0815Vor 1 TagFrageFestplatten, SSD, Raid8 Kommentare

Hallo an alle, ich such mir noch einen Wolf :-) Was ich benötige ist ein Wechselrahmen 5,25" für eine zwei oder drei 3,5Zoll Festplatten (SATA ...

question
Exchange Server - Wege, anonymes Senden zu verbietenDerWoWussteVor 1 TagFrageExchange Server11 Kommentare

Ich grüße Euch! Ziel 1: Alle PCs sollen Warnmeldungen per E-Mail geskriptet und anonym versenden können. In diesen Skripten handelt das Computerkonto und im Skript ...

question
Neuinstallation NetzwerkBurQueVor 14 StundenFrageNetzwerkgrundlagen13 Kommentare

Hallo ich hab die Aufgabe bekommen ein Netzwerk in einem neuen Gebäude einzurichten bzw. mir dazu Gedanken zu machen. Raumsituation. Im Keller steht ein Serverschrank ...

question
WLAN Lösung für Gästehaus Vereinjohannes-meyerVor 23 StundenFrageLAN, WAN, Wireless8 Kommentare

Hallo, ich betreue die IT eines Vereins, der zwei Gebäude mit Gästebetrieb betreibt. Es sind regelmäßig an die 30 bis 50 Geräte verbunden. Ich hab ...

question
SMTP Relay Server gelöst MacLeodVor 1 TagFrageExchange Server10 Kommentare

Hallo zusammen. Vorwort: Habe das hier bei Exchange eingeteilt, betrifft aber Mailserver Versand allgemein. Bei einem Kunden mit einem Kerio Mailserver werden neben dem üblichen ...

question
Multi-WAN-Netzwerk fürs StudentenwohnheimHutzeljaegerVor 7 StundenFrageLAN, WAN, Wireless17 Kommentare

Hallo allerseits. Für die Internetversorgung unseres Studentenwohnheims muss ich nun sehen, dass ich eine kostengünstige Lösung eines Multi-WAN Netzwerks hinbekomme, wohl am besten per Multi-WAN-Bonding. ...

question
Drei Fragen zum Internet Explorer gelöst UserUWVor 23 StundenFrageWebbrowser4 Kommentare

1) Der IE lässt sich unter Windows 10 deaktivieren, aber nicht physisch deinstallieren. Heißt das, dass IE-Funktionalitäten "unter der Haube" auch von Windows 10 genutzt ...