DK47: TLS: Gefährdungen für Anwender, Betreiber und CAs
Der 47. Datenkanal ist eine Fortsetzung unserer Gespräche über TLS. Wir diskutieren, wo Probleme und Gefahren für Endanwender, Serverbetreiber und CAs liegen. Dabei geht es uns um Schwächen in der Benutzung und Umsetzung. Die Schwachstellen im Protokoll haben wir uns für eine spätere Sendung aufgehoben.
Neben dem TLS-Thema sprechen wir anfangs über die Suchmaschine DuckDuckGo und deren Features sowie über Speed Listening, also das Anhören von Audio mit mehrfacher Geschwindigkeit.
Download und Anhören
Musik
Wir spielten in der Sendung den Titel Penumbra von Taro.
Shownotes
- Dillo
- uzbl
- http://caniuse.com/
- CIA-Kriterien
- Authentizität
- Integrität
- Vertraulichkeit
- Amaya, Web editor
- Midori
- Conkeror
- DuckDuckGo mit Bangs
- DuckDuckGo Tor Onion Service
- Suche nach “youtube datenkanal video” bei DuckDuckGo, Videos lassen sich direkt anschauen
- Breitband: Akzeleration beim Hören (Sendung zum Thema Speed Listening)
- TED
- WP: Excite
- CCC-Etherpad (Link nach Hinweis korrigiert)
- New Site Security Indicators In Chrome
- Certificate Patrol
- Converence (Github)
- Convergence.io
- chrome://net-internals
- SSL im Browser sicher verwenden
- DSA-1571-1 openssl – predictable random number generator
- HSTS preload list
- sslstrip
- DEFCON 17: More Tricks For Defeating SSL von Moxie Marlinspike (nach Hinweis eingefügt)
- WaPo: Politicians, take note: Don’t post screenshots that show your porn tabs
- EFF Certbot
- BetterCrypto.org
- Protecting Your Cookies: HttpOnly
- OWASP: HttpOnly
- WP: Firesheep
- WP: Uniform Resource Name (URN), WP: Uniform Resource Identifier (URI), WP: Uniform Resource Locator (URL)
- DK33: DNSSEC
- Creating a rogue CA certificate
- MD5 considered harmful today
Trackbacks
Jens Kubieziel on : Jens Kubieziel via Twitter
Show preview
Die Folge 47 des @datenkanal ist ein weiterer Baustein in der Serie zu #TLS. Gefahren für Anwender, Server und CA:
https://t.co/DdGa7ywVKZ
Comments
Display comments as Linear | Threaded
Anonym on :
https://www.youtube.com/watch?v=ibF36Yyeehw
(Könnte man vielleicht noch den Shownotes hinzufügen, nicht jeder liest alle Kommentare.)
Und die Anmerkung von Jörg “ein gerade erst abgelaufenes Zertifikat ist ein eher kleineres Sicherheitsproblem” wird da auch (sorry Jörg) etwas relativiert, auch wenn der eigentliche Fehler wie so oft (und da hat Jörg wiederum vollkommen recht) auf Seiten der Clientsoftware.
Anon
Jens Kubieziel on :
Anonym on :
https://pads.cccc.de/
da ist wohl ein “c” zu viel reingerutscht.
Anon
Jens Kubieziel on :
Anonymous on :
Ist vielleicht auch ganz lustig mal zu probieren
Trolli Schmittlauch on :
1. HSTS ist über einen HTTP-Header realisiert, weshalb ich stark bezweifle, dass es auf OpenSSL Ebene implementiert ist. Somit benötigt es Support durch den jeweiligen Browser selbst.
2. DuckDuckGo ist ein kommerzielles Unternehmen, was sich unter anderem durch Einblenden gesponserter Suchergebnisse finanziert. Ihr könnt ja mal den Adblocker ausschalten, dann seht ihr das.
3. DuckDuckGo verwendet zu großen Teilen Suchergebnisse von Yahoo und Yandex https://duck.co/help/company/yahoo-partnership
Jens Kubieziel on :
Bei DDG nutzte ich bisher immer den Onion Service. Der zeigte keine Werbung an und auch nicht die von Jörg angesprochenen Videos. Der Tor Browser in der aktuellen Hardened-Version ist wieder zu HTTPS-Seite gewechselt und jetzt sehe ich wieder Werbung und auch die Videovorschau.
Das mit Yahoo erklärt, warum die Suchergebnisse gefühlt so schlecht sind.
Vielen Dank für deine Kommentare