11
Webseite signieren
Gelegentlich möchte man auf einer Webseite kritische Daten veröffentlichen, zum Beispiel Checksummen von Dateien/Programmen oder den Fingerprint eines Schlüssels.
Frage: Wie kann man diese Information absichern? Ich stelle mir eine Signatur für diese Daten vor und eine bequeme Möglichkeit, diese Signatur zu überprüfen. Gibt es so etwas? Wie machen das andere? (Man könnte zusätzlich ein signiertes PDF anbieten, das dieselbe Information enthält. Eine Lösung, die ohne einen solchen Medienbruch auskommt, fände ich eleganter.)
Frage: Wie kann man diese Information absichern? Ich stelle mir eine Signatur für diese Daten vor und eine bequeme Möglichkeit, diese Signatur zu überprüfen. Gibt es so etwas? Wie machen das andere? (Man könnte zusätzlich ein signiertes PDF anbieten, das dieselbe Information enthält. Eine Lösung, die ohne einen solchen Medienbruch auskommt, fände ich eleganter.)
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1288314484
Url: https://administrator.de/contentid/1288314484
Printed on: April 26, 2024 at 19:04 o'clock
11 Comments
Latest comment
Hallo,
die Webseite per https ausliefern was eh "State of the Art" für alle Webseiten ist?
die Webseite per https ausliefern was eh "State of the Art" für alle Webseiten ist?
Zitat von @wiesi200:
Hallo,
die Webseite per https ausliefern was eh "State of the Art" für alle Webseiten ist?
Hallo,
die Webseite per https ausliefern was eh "State of the Art" für alle Webseiten ist?
Und den Download nicht mit der Website auf einem Space liegen lassen.
Danke - aber:
1. HTTPS: Schützt doch die Seite nicht vor Angriffen (und Manipulation der Checksummen)!? Nur die Kommunikation zwischen Seite und Besucher.
2. Download: Du meinst den Softwaredownload: Klar liegt der woanders. Aber auch das allein entfaltet keine Schutzwirkung, erschwert allenfalls.
1. HTTPS: Schützt doch die Seite nicht vor Angriffen (und Manipulation der Checksummen)!? Nur die Kommunikation zwischen Seite und Besucher.
2. Download: Du meinst den Softwaredownload: Klar liegt der woanders. Aber auch das allein entfaltet keine Schutzwirkung, erschwert allenfalls.
Zitat von @UserUW:
Danke - aber:
1. HTTPS: Schützt doch die Seite nicht vor Angriffen (und Manipulation der Checksummen)!? Nur die Kommunikation zwischen Seite und Besucher.
Danke - aber:
1. HTTPS: Schützt doch die Seite nicht vor Angriffen (und Manipulation der Checksummen)!? Nur die Kommunikation zwischen Seite und Besucher.
Dann hast du ein Problem damit das jemand anders Zugriff auf deinen Server hat und somit ganz andere Probleme. Denn wie soll ich sonst die Checksumme manipulieren wenn ich nich irgendwie auf deinen Server komme....
2. Download: Du meinst den Softwaredownload: Klar liegt der woanders. Aber auch das allein entfaltet keine Schutzwirkung, erschwert allenfalls.
Ist auch Sinnlos das zu erschweren. Die Checksumme allein hilft mir ja normal nicht als Angreifer. Und hier solltest du die sogar so einfach wie möglich zugänglich machen (-> was wieder https mit nem gültigen Zertifikat ist) da man dann ggf. eben die Schlüssel auch automatisch vergleichen kann...
Generell gehören auf öffentliche Seiten natürlich NUR die öffentlichen Schlüssel... Und da is es ganz einfach: Ich kann hier auch meinen public-ssh-key posten, der is ja genau dafür da... Wenn den jemand auf deinen Server legt ok - ich kann mich anmelden. Mein privater SSH-Teil bleibt ja trotzdem bei mir...
Von daher würde ich halt überlegen was du wirklich willst. Wenn es nur Checksummen sind für irgendwelche Dateien -> dann reicht https völlig aus...
Du müsstest ja dann die Page, die die Checksum des Downloads enthält, auch nochmal signieren / per Checksum sichern. Und das wiederum irgendwo darstellen.
Die einzige Möglichkeit ist diese Infos in ein signiertes PDF zu speichern und das zur Kontrolle einzubetten oder zum Download anzubieten.
Die einzige Möglichkeit ist diese Infos in ein signiertes PDF zu speichern und das zur Kontrolle einzubetten oder zum Download anzubieten.
Https schütz auch vor Manipulation auf dem Transporte und DNS Manipulation.
Wenn ein Fremder allerdings auf deinem Webspace hockt kannst du machen was du lustig bist und wird nicht helfen.
Wenn ein Fremder allerdings auf deinem Webspace hockt kannst du machen was du lustig bist und wird nicht helfen.
Zitat von @UserUW:
1. HTTPS: Schützt doch die Seite nicht vor Angriffen (und Manipulation der Checksummen)!? Nur die Kommunikation zwischen Seite und Besucher.
Wenn Jemand die Möglichkeit hat die Seite zu ändern bist Du am Ende.1. HTTPS: Schützt doch die Seite nicht vor Angriffen (und Manipulation der Checksummen)!? Nur die Kommunikation zwischen Seite und Besucher.
Derjenige kann den Inhalt einfach vollständig ändern.
z.B. den Text in "Mit dem PDF machen wir das nicht mehr und hier die Prüfsummen in Klartext" mit den "neuen" Prüfsummen und Downloadlinks zu den "neuen" Dateien.
Mal ein paar Idee ohne lange Planung
-Grünes EV-Zertifikat
-Inhalt der Webseite nur statisches HTML, kein CMS-
-Zugriff nut per SFTP (SSH) und kein FTP
-Dein PC lädt stündlich die Webseite als HTML-Datei runter und vergleich die Prüfumme mit einer Datei auf Deinem PC.Dann fällt eine Manipulation sofort auf.
Moin,
aus meiner Sicht bleibt nur der Weg die Dateien in Form von Word, Excel, Powerpoint entsprechend zu signieren. Sobald jemand die Datei verändert, ist die Signatur ungültig. Das Gleiche ist für Anwendungen möglich. Beides setzt entsprechende Zertifikate und ggf. Anwendungen für die Signierung voraus.
Gruß,
Dani
aus meiner Sicht bleibt nur der Weg die Dateien in Form von Word, Excel, Powerpoint entsprechend zu signieren. Sobald jemand die Datei verändert, ist die Signatur ungültig. Das Gleiche ist für Anwendungen möglich. Beides setzt entsprechende Zertifikate und ggf. Anwendungen für die Signierung voraus.
Https schütz auch vor Manipulation auf dem Transporte und DNS Manipulation.
In diesem Fall sind Techniken wie HSTS, DNSSEC und TLSA unablässlich.Gruß,
Dani
Üblich sind ja auch MD5 oder SHA1 File Hashes zu diesen Daten zu veröffentlichen. Die Hashes sind nicht manipulierbar bzw. zeigen sofort auch die kleinste Manipulation der Ursprungsdaten.
Windows macht das mit Bordmitteln:
https://support.microsoft.com/en-us/topic/d92a713f-d793-7bd8-b0a4-4db811 ...
oder einem der unzähligen freien Tools:
https://www.nirsoft.net/utils/hash_my_files.html
Apple Mac und Linux ebenso:
https://www.bastianoso.de/tipps-tricks/macos/md5-sha1-sha256-checksum-ue ...
Windows macht das mit Bordmitteln:
https://support.microsoft.com/en-us/topic/d92a713f-d793-7bd8-b0a4-4db811 ...
oder einem der unzähligen freien Tools:
https://www.nirsoft.net/utils/hash_my_files.html
Apple Mac und Linux ebenso:
https://www.bastianoso.de/tipps-tricks/macos/md5-sha1-sha256-checksum-ue ...
Die einzige Möglichkeit ist diese Infos in ein signiertes PDF zu speichern und das zur Kontrolle einzubetten oder zum Download anzubieten.Ja, daran hatte ich auch gedacht, die Datei kann bei einer Manipulation der Seite aber natürlich auch entfernt werden! Ich hoffte noch auf smoothere Anregungen! Es bleibt also nur, die zu schützende Datei selbst zu signieren. Bei Programmen (und DLLs...) dürfte es inzwischen klar sein, dass die signiert sein sollten und unsignierte Programme nicht installiert werden.
Ulrich
Die Frage ist doch - was willst du schützen? Wenn du davor angst hast das jemand der Zugriff auf dein Server hat da dummheiten macht -> das wirst du nicht verhindern können.... Lege die summen in ner signierten PDF ab - so what? Dann muss man halt ne self-signed PDF mit veränderten Schlüsseln erstellen und hochladen (wer liest denn nu wirklich woher der Schlüssel kommt). Nur: Je komplexer du den Vorgang gestaltest - umso weniger wird es jemand wirklich prüfen...
Von daher würde ich eben wenn das ganze als Text-Datei machen in der die Checksum's stehen. Diese kannst du z.B. in deinem Programm ja auch auswerten. Und in deinem Programm packst halt in den Sourcecode die Checksum der File rein, dann kannst du relativ sicher sein das es eben auch keine veränderte Datei ist... Jetzt musst du dann nur noch sicherstellen das eben nicht grad deine "Installer"/"Update"-Datei auf demselben Server liegt...
Von daher würde ich eben wenn das ganze als Text-Datei machen in der die Checksum's stehen. Diese kannst du z.B. in deinem Programm ja auch auswerten. Und in deinem Programm packst halt in den Sourcecode die Checksum der File rein, dann kannst du relativ sicher sein das es eben auch keine veränderte Datei ist... Jetzt musst du dann nur noch sicherstellen das eben nicht grad deine "Installer"/"Update"-Datei auf demselben Server liegt...