Skip to content

DK47: TLS: Gefährdungen für Anwender, Betreiber und CAs

Der 47. Datenkanal ist eine Fortsetzung unserer Gespräche über TLS. Wir diskutieren, wo Probleme und Gefahren für Endanwender, Serverbetreiber und CAs liegen. Dabei geht es uns um Schwächen in der Benutzung und Umsetzung. Die Schwachstellen im Protokoll haben wir uns für eine spätere Sendung aufgehoben.

Neben dem TLS-Thema sprechen wir anfangs über die Suchmaschine DuckDuckGo und deren Features sowie über Speed Listening, also das Anhören von Audio mit mehrfacher Geschwindigkeit.

Download und Anhören

Musik

Wir spielten in der Sendung den Titel Penumbra von Taro.

Shownotes

Trackbacks

Jens Kubieziel on : Jens Kubieziel via Twitter

Show preview
Die Folge 47 des @datenkanal ist ein weiterer Baustein in der Serie zu #TLS. Gefahren für Anwender, Server und CA: https://t.co/DdGa7ywVKZ

Comments

Display comments as Linear | Threaded

Anonym on :

Der Hintergrund zu einigen in der Sendung erwähnten Angriffe auf SSL/TLS, wird hier in einem Vortrag auf der Defcon17 von Moxie Marlinspike sehr gut erklärt.

https://www.youtube.com/watch?v=ibF36Yyeehw

(Könnte man vielleicht noch den Shownotes hinzufügen, nicht jeder liest alle Kommentare.)

Und die Anmerkung von Jörg “ein gerade erst abgelaufenes Zertifikat ist ein eher kleineres Sicherheitsproblem” wird da auch (sorry Jörg) etwas relativiert, auch wenn der eigentliche Fehler wie so oft (und da hat Jörg wiederum vollkommen recht) auf Seiten der Clientsoftware.

Anon

Jens Kubieziel on :

Danke dir. Ich habe den Link oben mit eingefügt.

Anonym on :

P.S. Der Link zum CCC-Etherpad hat einen Fehler,

https://pads.cccc.de/

da ist wohl ein “c” zu viel reingerutscht.

Anon

Jens Kubieziel on :

Danke. Ist korrigiert

Trolli Schmittlauch on :

Noch ein paar Hinweise zur angesprochenen Themen:

1. HSTS ist über einen HTTP-Header realisiert, weshalb ich stark bezweifle, dass es auf OpenSSL Ebene implementiert ist. Somit benötigt es Support durch den jeweiligen Browser selbst.
2. DuckDuckGo ist ein kommerzielles Unternehmen, was sich unter anderem durch Einblenden gesponserter Suchergebnisse finanziert. Ihr könnt ja mal den Adblocker ausschalten, dann seht ihr das.
3. DuckDuckGo verwendet zu großen Teilen Suchergebnisse von Yahoo und Yandex https://duck.co/help/company/yahoo-partnership

Jens Kubieziel on :

Was haben wir denn zu HSTS und OpenSSL erzählt? Ich muss mir die Stelle nochmal anhören. Generell hast du Recht. OpenSSL hat mit HSTS nichts zu tun.

Bei DDG nutzte ich bisher immer den Onion Service. Der zeigte keine Werbung an und auch nicht die von Jörg angesprochenen Videos. Der Tor Browser in der aktuellen Hardened-Version ist wieder zu HTTPS-Seite gewechselt und jetzt sehe ich wieder Werbung und auch die Videovorschau. ;-)

Das mit Yahoo erklärt, warum die Suchergebnisse gefühlt so schlecht sind.

Vielen Dank für deine Kommentare

Add Comment

Enclosing asterisks marks text as bold (*word*), underscore are made via _word_.
Standard emoticons like :-) and ;-) are converted to images.
E-Mail addresses will not be displayed and will only be used for E-Mail notifications.
BBCode format allowed
Form options
tweetbackcheck