Abo
  • Services:
Anzeige
Firefox meldet eine gehackte Webseite mit Malware.
Firefox meldet eine gehackte Webseite mit Malware. (Bild: Mozilla)

Veraltete Schlüssel und ungültige Zertifikate

Anzeige

Der dritte von uns getestete, kostenlose Anbieter Bplaced bietet einen FTPES-Zugang. Aber auch hier ist die Verwaltung des Accounts über HTTPS nicht möglich, das Interface ist nur unverschlüsselt über HTTP erreichbar. Bplaced teilte uns auf Anfrage mit, dass der Grund dafür externe Skripte seien, die die Seite in der Vergangenheit genutzt habe und die nicht per HTTPS verfügbar gewesen seien. "Im Zuge einer Runderneuerung, die für Mitte des Jahres angesetzt ist, wird das Frontend ausschließlich via 256-Bit-Zertifikat und damit auch HTTPS erreichbar sein, womit die Übertragung aller Daten ausnahmslos verschlüsselt ablaufen wird", heißt es weiter. Dass Bplaced wirklich vorhat, ein 256-Bit-Zertifikat einzuführen, bezweifeln wir jedoch: Bei HTTPS-Zertifikaten handelt es sich üblicherweise um RSA-Schlüssel, die heutzutage mindestens eine Länge von 2.048 Bit haben.

Alle drei getesteten kostenlosen Angebote waren somit zunächst mangelhaft. Die Antworten auf unsere Anfragen lassen teilweise darauf schließen, dass den Verantwortlichen Basiskenntnisse über TLS fehlen - kein gutes Zeichen. Die Ausrede, dass man bei einem kostenlosen Webspace nicht mehr erwarten kann, zieht hier nicht. Denn die Anbieter gefährden nicht nur ihre eigenen Kunden: Gehackte Webseiten sind eine Bedrohung für alle.

TLS- und SSH-Einstellungen

Bei der Überprüfung der jeweiligen TLS- und SSH-Verbindungen sind uns einige aus kryptographischer Sicht nicht optimale oder ungewöhnliche Einstellungen aufgefallen. Bei Bplaced, Funpic, Cwcity, Domainfactory und All-Inkl etwa wurde die FTPES-Verbindung mit ungültigen oder selbst signierten Zertifikaten hergestellt. Interessant war hier auch, dass bis auf Funpic alle Anbieter, die kein korrektes Zertifikat einsetzten, nur kurze 1.024-Bit-RSA-Schlüssel verwendeten. Von den großen Zertifizierungsstellen werden solche Schlüssel üblicherweise überhaupt nicht mehr signiert. Die SFTP-Verbindungen von Strato und 1&1 waren ebenfalls nur mit einem 1.024-Bit-Schlüssel geschützt. 1&1 setzt dabei ausschließlich auf das bei SSH eher ungewöhnliche und nicht unproblematische DSA-Verfahren.

Forward Secrecy und TLS 1.2 mit GCM - die eigentlich optimale Konfiguration für TLS - fanden wir nur bei All-Inkl und Hetzner. Auch bei den Konfigurationswebseiten waren die TLS-Einstellungen eher durchwachsen. Kein einziger Anbieter schützt sein Webinterface mit der HSTS-Erweiterung, die HTTP-Zugriffe nach dem ersten Verbindungsaufbau komplett unterbindet.

Doch diese Probleme sind eher zweitrangig. Da bei allen getesteten Anbietern unverschlüsselte Verbindungen möglich sind und Nutzer nicht genügend auf die Möglichkeit der Verschlüsselung hingewiesen werden, ist davon auszugehen, dass die meisten Verbindungen komplett ungesichert ablaufen. Und das ist ein deutlich schwerwiegenderes Problem als zu kurze Schlüssel oder fehlende Forward Secrecy.

Software: meist kein Problem

Gängige FTP-Programme haben in der Regel mit verschlüsselten Verbindungen kein Problem. Beim freien Programm Filezilla, das für alle gängigen Betriebssysteme verfügbar ist, kann im Servermanager unter "Protokoll" SFTP ausgewählt werden, für FTPES wählt man als Protokoll "FTP" und unter dem Punkt "Verschlüsselung" "Explizites FTP über TLS". Auch andere verbreitete FTP-Programme wie SmartFTP, WS_FTP oder WinSCP unterstützen beide verschlüsselten Datenübertragungsverfahren.

 Verschlüsselung bei den fünf größten AnbieternBrowserunterstützung und Fazit 

eye home zur Startseite
hjp 07. Mär 2014

Wenn der Block-Cipher gemeint ist (was ich natürlich nicht ausschließen kann), zeugt das...

Horsty 06. Mär 2014

Die Sicherheitsfrage beim FTP Protokoll ist absolut berechtigt und es ist gut hierüber...

redmord 05. Mär 2014

Pageant ist für mich wirklich keine Lösung. Außerdem nutze ich auch mehrere Verbindungen...

das_ist_unglaub... 05. Mär 2014

sftp weil es über SSH läuft und nicht wie bei diversen verschlüsselten FTP Variationen...

das_ist_unglaub... 05. Mär 2014

So ein Unsinn - Du glaubst doch nicht wirklich dass die Verschlüsselung im Kontext einer...



Anzeige

Stellenmarkt
  1. Sparda-Datenverarbeitung eG, Nürnberg
  2. MBtech Group GmbH & Co. KGaA, Sindelfingen
  3. noris network AG, Nürnberg
  4. Hubert Burda Media, Offenburg


Anzeige
Top-Angebote
  1. (heute u. a. LG 4K-Fernseher u. Serien-Box-Sets reduziert u. Nintendo 2DS inkl. YO-KAI WATCH für...
  2. (heute: Bang & Olufsen BeoPlay A1 für 179,00€)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Mit digitalen Workflows Geschäftsprozesse agiler machen
  2. Wichtige Anwendungen von automatisierter Inventarisierung
  3. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation


  1. Autonomes Fahren

    Apple zeigt Interesse an selbstfahrenden Autos

  2. Sicherheit

    Geheimdienst warnt vor Cyberattacke auf russische Banken

  3. Super Mario Bros. (1985)

    Fahrt ab auf den Bruder!

  4. Canon EOS 5D Mark IV im Test

    Grundsolides Arbeitstier mit einer Portion Extravaganz

  5. PSX 2016

    Sony hat The Last of Us 2 angekündigt

  6. Raspberry Pi

    Schutz gegen Übernahme durch Hacker und Botnetze verbessert

  7. UHD-Blu-ray

    PowerDVD spielt 4K-Discs

  8. Raumfahrt

    Europa bleibt im All

  9. Nationale Sicherheit

    Obama verhindert Aixtron-Verkauf nach China

  10. Die Woche im Video

    Telekom fällt aus und HPE erfindet den Computer neu - fast



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Nach Angriff auf Telekom: Mit dem Strafrecht Router ins Terrorcamp schicken oder so
Nach Angriff auf Telekom
Mit dem Strafrecht Router ins Terrorcamp schicken oder so
  1. 0-Day Tor und Firefox patchen ausgenutzten Javascript-Exploit
  2. Pornoseite Xhamster spricht von Fake-Leak
  3. Mitfahrgelegenheit.de 640.000 Ibans von Mitfahrzentrale-Nutzern kopiert

Digitalcharta: Operation am offenen Herzen der europäischen Demokratie
Digitalcharta
Operation am offenen Herzen der europäischen Demokratie
  1. EU-Kommission Mehrwertsteuer für digitale Medien soll sinken
  2. Vernetzte Geräte Verbraucherminister fordern Datenschutz im Haushalt
  3. Neue Richtlinie EU plant Netzsperren und Staatstrojaner

Garamantis: Vorsicht Vitrine, anfassen erwünscht!
Garamantis
Vorsicht Vitrine, anfassen erwünscht!
  1. Gentechnik Mediziner setzen einem Menschen Crispr-veränderte Zellen ein
  2. Zarm Zehn Sekunden schwerelos
  3. Mikroelektronik Wie eine Vakuumröhre - nur klein, stromsparend und schnell

  1. Offtopic: Wo ist das ?

    letz | 11:03

  2. Re: 4000¤ - WTF?

    unbuntu | 10:56

  3. Re: tatsächlich eigentlich eine gute Entwicklung.

    throgh | 10:51

  4. Re: Einmal PowerDVD, nie wieder

    unbuntu | 10:48

  5. Re: Port umlenken

    EWCH | 10:38


  1. 10:54

  2. 10:07

  3. 08:59

  4. 08:00

  5. 00:03

  6. 15:33

  7. 14:43

  8. 13:37


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel