Abo
  • IT-Karriere:

KDE

Benachrichtigung über veränderte SSL-Zertifikate

KDE-Entwickler Richard Moore stellt ein Konzept vor, bei dem die SSL-Zertifikate von Webseiten auf Veränderung seit dem letzten Besuch hin überprüft werden.

Artikel veröffentlicht am ,
Möglicher Warnhinweis auf ein verändertes SSL-Zertifikat
Möglicher Warnhinweis auf ein verändertes SSL-Zertifikat (Bild: Richard Moore / Kdedevelopers.org)

Der KDE-Entwickler Richard Moore stellt in einem Blogeintrag einen Machbarkeitsnachweis für sein Konzept vor, das den Umgang mit SSL-Zertifikaten sicherer machen soll. Dabei wird der Nutzer über ein Fenster darauf hingewiesen, dass sich das Zertifikat einer Webseite seit dem letzten Besuch verändert hat. Moore begründet die Idee damit, dass der Nutzer nicht mehr blind den Ausstellern der Zertifikate vertrauen muss.

Stellenmarkt
  1. Concardis GmbH, Eschborn
  2. SEG Automotive Germany GmbH, Stuttgart-Weilimdorf

In dem Eintrag kommentiert Moore seinen mit Qt erstellten Quellcode ausführlich und erläutert die einzelnen Funktionsweisen. Er schreibt, die von ihm erstellte Klasse lasse sich einfach in Code einfügen, der auf QSslSocket basiere.

Um das eventuell veränderte Zertifikat zu vergleichen, wird ein Cache erzeugt. In dem vorliegenden Code besteht der Speicher aus einer Datei, die nach dem Host benannt ist und einen Hash-Wert des Zertifikates beinhaltet. Ist der Host noch nicht bekannt, wird eine entsprechende Datei angelegt. Ist er bekannt, wird der Hash-Wert des Zertifikats mit dem abgespeicherten Wert verglichen.

Der Code wird unmittelbar nach dem SSL-Handshake ausgeführt, also noch bevor irgendwelche relevanten Daten ausgetauscht werden. Danach wird der Nutzer über das geänderte Zertifikat informiert. In einem einfachen Programm stellt Moore die Funktionsweise dar.

Noch lässt sich die Idee Moores jedoch nicht einfach umsetzen. So gibt es einige Einschränkungen der API. Zum Beispiel greift die von Moore geschriebene Klasse das verschlüsselte Signal der Funktion "encrypted()" ab. Aber es beeinträchtigt die Sicherheit der Anwendung, die auf diese Signal reagiert. Auch kleinere Dinge wie das Ausstellungsdatum des Zertifikats oder andere Informationen könnten noch integriert werden, um sie zu vergleichen.

Moore schreibt aber, dass es Pläne gebe, die QSslSocket-APIs für Qt5 zu überarbeiten. Er hofft, die durch sein Konzept aufgetretenen Probleme in der neuen Qt-Version zu überwinden.



Anzeige
Spiele-Angebote
  1. (-75%) 3,75€
  2. 1,19€
  3. 50,99€

Schnarchnase 23. Mai 2011

Danke für den Link, das werde ich mal testen. :)


Folgen Sie uns
       


Qualcomm Snapdragon 8cx ausprobiert

Der Snapdragon 8cx ist Qualcomms nächster Chip für Notebooks mit Windows 10 von ARM. Die ersten Performance-Messungen sehen das SoC auf dem Niveau eines aktuellen Quadcore-Ultrabook-Prozessors von Intel.

Qualcomm Snapdragon 8cx ausprobiert Video aufrufen
Endpoint Security: IT-Sicherheit ist ein Cocktail mit vielen Zutaten
Endpoint Security
IT-Sicherheit ist ein Cocktail mit vielen Zutaten

Tausende Geräte in hundert verschiedenen Modellen mit Dutzenden unterschiedlichen Betriebssystemen. Das ist in großen Unternehmen Alltag und stellt alle, die für die IT-Sicherheit zuständig sind, vor Herausforderungen.
Von Anna Biselli

  1. Datendiebstahl Kundendaten zahlreicher deutscher Firmen offen im Netz
  2. Metro & Dish Tisch-Reservierung auf Google übernehmen
  3. Identitätsdiebstahl SIM-Dieb kommt zehn Jahre in Haft

In eigener Sache: Golem.de bietet Seminar zu TLS an
In eigener Sache
Golem.de bietet Seminar zu TLS an

Der Verschlüsselungsexperte und Golem.de-Redakteur Hanno Böck gibt einen Workshop zum wichtigsten Verschlüsselungsprotokoll im Netz. Am 24. und 25. September klärt er Admins, Pentester und IT-Sicherheitsexperten in Berlin über Funktionsweisen und Gefahren von TLS auf.

  1. In eigener Sache Zweiter Termin für Kubernetes-Seminar
  2. Leserumfrage Wie können wir dich unterstützen?
  3. In eigener Sache Was du schon immer über Kubernetes wissen wolltest

FPM-Sicherheitslücke: Daten exfiltrieren mit Facebooks HHVM
FPM-Sicherheitslücke
Daten exfiltrieren mit Facebooks HHVM

Server für den sogenannten FastCGI Process Manager (FPM) können, wenn sie übers Internet erreichbar sind, unbefugten Zugriff auf Dateien eines Systems geben. Das betrifft vor allem HHVM von Facebook, bei PHP sind die Risiken geringer.
Eine Exklusivmeldung von Hanno Böck

  1. HHVM Facebooks PHP-Alternative erscheint ohne PHP

    •  /