Webseite signieren
Gelegentlich möchte man auf einer Webseite kritische Daten veröffentlichen, zum Beispiel Checksummen von Dateien/Programmen oder den Fingerprint eines Schlüssels.
Frage: Wie kann man diese Information absichern? Ich stelle mir eine Signatur für diese Daten vor und eine bequeme Möglichkeit, diese Signatur zu überprüfen. Gibt es so etwas? Wie machen das andere? (Man könnte zusätzlich ein signiertes PDF anbieten, das dieselbe Information enthält. Eine Lösung, die ohne einen solchen Medienbruch auskommt, fände ich eleganter.)
Frage: Wie kann man diese Information absichern? Ich stelle mir eine Signatur für diese Daten vor und eine bequeme Möglichkeit, diese Signatur zu überprüfen. Gibt es so etwas? Wie machen das andere? (Man könnte zusätzlich ein signiertes PDF anbieten, das dieselbe Information enthält. Eine Lösung, die ohne einen solchen Medienbruch auskommt, fände ich eleganter.)
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1288314484
Url: https://administrator.de/forum/webseite-signieren-1288314484.html
Ausgedruckt am: 22.12.2024 um 12:12 Uhr
11 Kommentare
Neuester Kommentar
Zitat von @wiesi200:
Hallo,
die Webseite per https ausliefern was eh "State of the Art" für alle Webseiten ist?
Hallo,
die Webseite per https ausliefern was eh "State of the Art" für alle Webseiten ist?
Und den Download nicht mit der Website auf einem Space liegen lassen.
Zitat von @UserUW:
Danke - aber:
1. HTTPS: Schützt doch die Seite nicht vor Angriffen (und Manipulation der Checksummen)!? Nur die Kommunikation zwischen Seite und Besucher.
Danke - aber:
1. HTTPS: Schützt doch die Seite nicht vor Angriffen (und Manipulation der Checksummen)!? Nur die Kommunikation zwischen Seite und Besucher.
Dann hast du ein Problem damit das jemand anders Zugriff auf deinen Server hat und somit ganz andere Probleme. Denn wie soll ich sonst die Checksumme manipulieren wenn ich nich irgendwie auf deinen Server komme....
2. Download: Du meinst den Softwaredownload: Klar liegt der woanders. Aber auch das allein entfaltet keine Schutzwirkung, erschwert allenfalls.
Ist auch Sinnlos das zu erschweren. Die Checksumme allein hilft mir ja normal nicht als Angreifer. Und hier solltest du die sogar so einfach wie möglich zugänglich machen (-> was wieder https mit nem gültigen Zertifikat ist) da man dann ggf. eben die Schlüssel auch automatisch vergleichen kann...
Generell gehören auf öffentliche Seiten natürlich NUR die öffentlichen Schlüssel... Und da is es ganz einfach: Ich kann hier auch meinen public-ssh-key posten, der is ja genau dafür da... Wenn den jemand auf deinen Server legt ok - ich kann mich anmelden. Mein privater SSH-Teil bleibt ja trotzdem bei mir...
Von daher würde ich halt überlegen was du wirklich willst. Wenn es nur Checksummen sind für irgendwelche Dateien -> dann reicht https völlig aus...
Zitat von @UserUW:
1. HTTPS: Schützt doch die Seite nicht vor Angriffen (und Manipulation der Checksummen)!? Nur die Kommunikation zwischen Seite und Besucher.
Wenn Jemand die Möglichkeit hat die Seite zu ändern bist Du am Ende.1. HTTPS: Schützt doch die Seite nicht vor Angriffen (und Manipulation der Checksummen)!? Nur die Kommunikation zwischen Seite und Besucher.
Derjenige kann den Inhalt einfach vollständig ändern.
z.B. den Text in "Mit dem PDF machen wir das nicht mehr und hier die Prüfsummen in Klartext" mit den "neuen" Prüfsummen und Downloadlinks zu den "neuen" Dateien.
Mal ein paar Idee ohne lange Planung
-Grünes EV-Zertifikat
-Inhalt der Webseite nur statisches HTML, kein CMS-
-Zugriff nut per SFTP (SSH) und kein FTP
-Dein PC lädt stündlich die Webseite als HTML-Datei runter und vergleich die Prüfumme mit einer Datei auf Deinem PC.Dann fällt eine Manipulation sofort auf.
Moin,
aus meiner Sicht bleibt nur der Weg die Dateien in Form von Word, Excel, Powerpoint entsprechend zu signieren. Sobald jemand die Datei verändert, ist die Signatur ungültig. Das Gleiche ist für Anwendungen möglich. Beides setzt entsprechende Zertifikate und ggf. Anwendungen für die Signierung voraus.
Gruß,
Dani
aus meiner Sicht bleibt nur der Weg die Dateien in Form von Word, Excel, Powerpoint entsprechend zu signieren. Sobald jemand die Datei verändert, ist die Signatur ungültig. Das Gleiche ist für Anwendungen möglich. Beides setzt entsprechende Zertifikate und ggf. Anwendungen für die Signierung voraus.
Https schütz auch vor Manipulation auf dem Transporte und DNS Manipulation.
In diesem Fall sind Techniken wie HSTS, DNSSEC und TLSA unablässlich.Gruß,
Dani
Üblich sind ja auch MD5 oder SHA1 File Hashes zu diesen Daten zu veröffentlichen. Die Hashes sind nicht manipulierbar bzw. zeigen sofort auch die kleinste Manipulation der Ursprungsdaten.
Windows macht das mit Bordmitteln:
https://support.microsoft.com/en-us/topic/d92a713f-d793-7bd8-b0a4-4db811 ...
oder einem der unzähligen freien Tools:
https://www.nirsoft.net/utils/hash_my_files.html
Apple Mac und Linux ebenso:
https://www.bastianoso.de/tipps-tricks/macos/md5-sha1-sha256-checksum-ue ...
Windows macht das mit Bordmitteln:
https://support.microsoft.com/en-us/topic/d92a713f-d793-7bd8-b0a4-4db811 ...
oder einem der unzähligen freien Tools:
https://www.nirsoft.net/utils/hash_my_files.html
Apple Mac und Linux ebenso:
https://www.bastianoso.de/tipps-tricks/macos/md5-sha1-sha256-checksum-ue ...
Die Frage ist doch - was willst du schützen? Wenn du davor angst hast das jemand der Zugriff auf dein Server hat da dummheiten macht -> das wirst du nicht verhindern können.... Lege die summen in ner signierten PDF ab - so what? Dann muss man halt ne self-signed PDF mit veränderten Schlüsseln erstellen und hochladen (wer liest denn nu wirklich woher der Schlüssel kommt). Nur: Je komplexer du den Vorgang gestaltest - umso weniger wird es jemand wirklich prüfen...
Von daher würde ich eben wenn das ganze als Text-Datei machen in der die Checksum's stehen. Diese kannst du z.B. in deinem Programm ja auch auswerten. Und in deinem Programm packst halt in den Sourcecode die Checksum der File rein, dann kannst du relativ sicher sein das es eben auch keine veränderte Datei ist... Jetzt musst du dann nur noch sicherstellen das eben nicht grad deine "Installer"/"Update"-Datei auf demselben Server liegt...
Von daher würde ich eben wenn das ganze als Text-Datei machen in der die Checksum's stehen. Diese kannst du z.B. in deinem Programm ja auch auswerten. Und in deinem Programm packst halt in den Sourcecode die Checksum der File rein, dann kannst du relativ sicher sein das es eben auch keine veränderte Datei ist... Jetzt musst du dann nur noch sicherstellen das eben nicht grad deine "Installer"/"Update"-Datei auf demselben Server liegt...