Firefox-Erweiterung schützt vor Man-in-the-Middle-Angriffen

Open-Source-Software soll auch DNS-Exploits vorbeugen

Forscher der Carnegie Mellon Universität haben eine Erweiterung für den Firefox-Browser entwickelt, die den Anwender vor sogenannten Man-in-the-Middle-Attacken schützt. "Perspectives" überprüft dazu, ob der Schlüssel der Gegenseite korrekt ist. So wissen Nutzer auch, ob sie einer Verbindung vertrauen können, wenn der Server ein selbst signiertes Zertifikat verwendet.

Artikel veröffentlicht am , Julius Stiebert

Firefox-Erweiterung
Firefox-Erweiterung
Auch bei per SSL gesicherten Verbindungen zu Webseiten ist prinzipiell ein Angriff denkbar. Ist das Zertifikat nämlich nicht von einer Zertifizierungsstelle beglaubigt, kann nicht per Public-Key-Verfahren überprüft werden, ob die Gegenstelle auch wirklich der gewünschte Server ist. Browser wie der Firefox warnen den Anwender daher und überlassen ihm die Entscheidung, ob er die Verbindung aufbauen möchte.

Stellenmarkt
  1. Software Developer (m/w/d)
    Zedas GmbH`, Senftenberg
  2. Remote Product Quality Specialist (m/w/d)
    Scrum Masters GmbH, deutschlandweit (Home-Office)
Detailsuche

Denkbar in so einem Fall ist, dass sich ein Angreifer zwischen Client und Server geschaltet hat und sich als die Gegenstelle ausgibt - der sogenannte Man-in-the-Middle-Angriff. Das unbeglaubigte SSL-Zertifikat täuscht in so einem Fall Sicherheit vor.

Die wenigsten Nutzer werden sich die Mühe machen, den verwendeten Schlüssel manuell zu überprüfen. Hier greift die Firefox-Erweiterung Perspectives. Die Software fragt sogenannte "Network Notary Server" ab, um zu überprüfen, ob derselbe Schlüssel verwendet wird, der in der Vergangenheit auch schon von dem entsprechenden Server verwendet wurde. So kann Perspectives zumindest vor einem möglichen Angriff warnen.

So soll Perspectives auch vor Auswirkungen des kürzlich im DNS-Protokoll entdeckten Fehlers schützen. Durch Exploits für diese Sicherheitslücke kann der Anwender beim Aufruf einer Internetadresse auf einen anderen Server umgeleitet werden, ohne dass er dies merkt. Perspectives soll auch dies erkennen.

Golem Akademie
  1. Jira für Systemadministratoren: virtueller Zwei-Tage-Workshop
    24.–25. Januar 2022, virtuell
  2. C++ Programmierung Basics: virtueller Fünf-Tage-Workshop
    13.–17. Dezember 2021, virtuell
Weitere IT-Trainings

Die Entwickler bieten außerdem einen OpenSSH-Client an, der ebenfalls nach diesem Muster arbeitet.

Die Erweiterung ist in einer Version für Linux (32-Bit), Windows und MacOS X (x86) für Firefox 3 verfügbar. Auch der Quelltext steht zum Download bereit. Die Software wird unter den Bedingungen der GPLv3 als Open Source veröffentlicht.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
S-Klasse mit Level 3
Mercedes darf hochautomatisiert fahren

Autonom fahren ist es noch nicht, aber Level 3 darf Mercedes nun 2022 mit dem Drive Pilot in der S-Klasse und im EQS anbieten.

S-Klasse mit Level 3: Mercedes darf hochautomatisiert fahren
Artikel
  1. Verkehrssicherheit: Teslas werden zu rollender Spielkonsole und zur Gefahr
    Verkehrssicherheit
    Teslas werden zu rollender Spielkonsole und zur Gefahr

    Nach einem Software-Update können bei laufender Fahrt im Tesla drei Spiele gespielt werden. Die Verkehrssicherheitsbehörde ist entsetzt.

  2. Facebook: Neuer Sterne-Store umgeht App-Store-Provisionen
    Facebook
    Neuer Sterne-Store umgeht App-Store-Provisionen

    Meta hat eine Website zum Verkauf von Facebook-Sternen gestartet. Damit vermeidet das Unternehmen Provisionszahlungen an Apple und Google.

  3. Yamaha-Kopfhörer mit Cashback bei Media Markt sichern
     
    Yamaha-Kopfhörer mit Cashback bei Media Markt sichern

    Wer bei Media Markt aktuell ausgewählte Kopfhörer von Yamaha kauft, kann sparen und sich bis zu 50 Euro Cashback sichern.
    Ausgewählte Angebote des E-Commerce-Teams

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • RAM-Module und SSDs von Crucial im Angebot • Acer-Monitore zu Bestpreisen (u. a. 27" FHD 165Hz OC 199€) • Kingston PCIe-SSD 1TB 69,90€ & 2TB 174,90€ • Microsoft Flight Simulator Xbox 29,99€ • Alternate (u. a. Kingston A400 480 GB SSD 37,99€) • Release: Halo Infinite 68,99€ [Werbung]
    •  /