Abo
  • Services:
Anzeige
Certificate Transparency ist ohne Zweifel ein sinnvolles Sicherheitsfeature für TLS - aber es hat unerwartete Konsequenzen für andere Bereiche.
Certificate Transparency ist ohne Zweifel ein sinnvolles Sicherheitsfeature für TLS - aber es hat unerwartete Konsequenzen für andere Bereiche. (Bild: Certificate Transparency / Google)

Nur Joomla hat bisher reagiert

Der Autor hat dieses Problem schon vor Monaten an die Entwickler der wichtigsten Webanwendungen gemeldet. Die Reaktionen waren äußerst verhalten. Die Entwickler vonTypo3, Drupal und Owncloud antworteten nicht einmal. Von Wordpress und Nextcloud kam zunächst zumindest Interesse an einer Diskussion, aber das verebbte auch schnell wieder, verändert wurde dort bislang nichts.

Anzeige

Einzig Joomla hat seinen Installationsmechanismus geändert. Dort gibt es künftig einen zusätzlichen Authentifizierungsschritt, allerdings nur, wenn die MySQL-Datenbank auf einem externen Server liegt. In dem Fall muss der Nutzer ein Verzeichnis mit einem zufällig erzeugten Namen entfernen, um die Installation fortzusetzen.

Die Idee dabei: Ein Angreifer hat in aller Regel keine Zugangsdaten für den lokalen MySQL-Server. Absolut sicher ist das allerdings nicht. Ein Angreifer könnte etwa Zugangsdaten für die Server von beliebten Hosting-Providern sammeln und trifft mit Glück manchmal einen Server, für den er bereits Zugangsdaten besitzt.

Vorstellbar ist auch eine Kombination: Ein Angreifer führt den Angriff gegen verschiedene Webanwendungen durch. Wenn er eine Anwendung übernehmen kann, hat er anschließend auch die Möglichkeit, von der später von ihrem Besitzer installierten Anwendung die MySQL-Zugangsdaten zu klauen.

Sich als Nutzer zu schützen, ist kompliziert

Sich als Nutzer gegen ein solches Szenario zu schützen, ist schwierig. Bei einem Apache-Webserver ist es denkbar, eine htaccess-Datei hochzuladen, die den Installer mit einem Passwort schützt. Allerdings nutzen viele Webanwendungen selbst htaccess-Dateien, es kann also passieren, dass die sich in die Quere kommen. Umgehen kann man dieses Problem, indem man die htaccess-Datei im übergeordneten Verzeichnis ablegt. Das geht aber nur, wenn der Webhoster einem auch Schreibzugriff auf dieses Verzeichnis gibt.

Weiterhin möglich ist es, die Installation zunächst auf einem lokalen Testserver durchzuführen und anschließend hochzuladen. Das ist aber recht aufwendig.

Theoretisch kann man natürlich auch die Installation sehr schnell durchführen. Denn in aller Regel brauchen die Zertifikatslogs etwa eine halbe Stunde, bis die Zertifikate öffentlich sind. Allerdings kann man sich darauf nicht verlassen und es ist natürlich denkbar, dass zukünftige Zertifikatslogs schlicht schneller arbeiten.

Bislang keine Hinweise auf Angriffe

Bleibt zuletzt die Frage, ob Angreifer diese Möglichkeit schon kennen und von ihr Gebrauch machen. Der Autor hat dafür mehrere Subdomains mit Let's-Encrypt-Zertifikaten aufgesetzt, die niemandem sonst bekannt sind.

In den Logdateien der entsprechenden Hosts tauchte neben den Zugriffen des eigenen Testskripts bislang nur ein Zugriff von der Firma Netcraft auf. Netcraft erstellt Statistiken über das Web und nutzt dabei offenbar die Certificate-Transparency-Logs.

Zugriffe, die auf einen Angriff hindeuten, gab es bisher keine. Das kann sich aber bald ändern. Dass die überwiegende Mehrzahl der Webanwendungen ihre Nutzer bislang vor einem solchen Angriff nicht schützt, ist schwer zu verstehen.

Der Autor des Texts hat diesen Angriff auf der Def-Con-Konferenz in Las Vegas vorgestellt.

 Webanwendungen mit ungesicherten Installationsroutinen

eye home zur Startseite
RipClaw 31. Jul 2017

Das mit dem "erst im Heimnetz installieren" machen leider die wenigsten. Die meisten...

JustSnipy 30. Jul 2017

Ist das Unternehmen groß genug, dass sich ein CEO-Fraud lohnen würde, wird in der Regel...

Vogel22 30. Jul 2017

Man kann den Prozess ja recht einfach mit einem Zwischenschritt absichern. Man benötigt...

thomas.pi 30. Jul 2017

Ich möchte ja erreichen, dass nicht jeder einen Mangento Shop aufsetzten kann und damit...

User_x 29. Jul 2017

und solange nix passiert, kräht auch kein hahn danach. mein vermieter ist kein...



Anzeige

Stellenmarkt
  1. Landeshauptstadt München, München
  2. Net at Work GmbH, Paderborn
  3. über SCHLAGHECK RADTKE OLDIGES executive consultants, Großraum Düsseldorf
  4. D. Lechner GmbH, Rothenburg ob der Tauber


Anzeige
Top-Angebote
  1. (u. a. NBA 2K18 PS4/XBO 29€)
  2. 42€
  3. 599€ + 5,99€ Versand (Bestpreis!)

Folgen Sie uns
       


  1. Facebook

    Nutzer sollen Vertrauenswürdigkeit von Newsquellen bewerten

  2. Notebook-Grafik

    Nvidia hat eine Geforce GTX 1050 (Ti) mit Max-Q

  3. Gemini Lake

    Asrock und Gigabyte bringen Atom-Boards

  4. Eni HPC4

    Italienischer Supercomputer weltweit einer der schnellsten

  5. US-Wahl 2016

    Twitter findet weitere russische Manipulationskonten

  6. Die Woche im Video

    Das muss doch einfach schneller gehen!

  7. Breko

    Waipu TV gibt es jetzt für alle Netzbetreiber

  8. Magento

    Kreditkartendaten von bis zu 40.000 Oneplus-Käufern kopiert

  9. Games

    US-Spielemarkt wächst 2017 zweistellig

  10. Boeing und SpaceX

    ISS bald ohne US-Astronauten?



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Sgnl im Hands on: Sieht blöd aus, funktioniert aber
Sgnl im Hands on
Sieht blöd aus, funktioniert aber
  1. NGSFF alias M.3 Adata zeigt seine erste SSD mit breiterer Platine
  2. Displaytechnik Samsung soll faltbares Smartphone auf CES gezeigt haben
  3. Vuzix Blade im Hands on Neue Datenbrille mit einem scharfen und hellen Bild

EU-Urheberrechtsreform: Abmahnungen treffen "nur die Dummen"
EU-Urheberrechtsreform
Abmahnungen treffen "nur die Dummen"
  1. Leistungsschutzrecht EU-Kommission hält kritische Studie zurück
  2. Leistungsschutzrecht EU-Staaten uneins bei Urheberrechtsreform

Security: Das Jahr, in dem die Firmware brach
Security
Das Jahr, in dem die Firmware brach
  1. Wallet Programmierbare Kreditkarte mit ePaper, Akku und Mobilfunk
  2. Fehlalarm Falsche Raketenwarnung verunsichert Hawaii
  3. Asynchronous Ratcheting Tree Facebook demonstriert sicheren Gruppenchat für Apps

  1. Re: Anstatt Eisen zu Gold machen sie Pappe zu Gold.

    Local Horst | 07:13

  2. Re: ist ja ein Lacher gegen die illegalen IPTV...

    RicoBrassers | 06:51

  3. Re: Nicht so schwer:

    sofries | 04:54

  4. Re: Verstehe das Geschrei nicht

    Bachsau | 04:30

  5. Re: verständlicher move nach vega_mobile ...

    ms (Golem.de) | 04:24


  1. 14:35

  2. 14:00

  3. 13:30

  4. 12:57

  5. 12:26

  6. 09:02

  7. 18:53

  8. 17:28


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel