Abo
  • Services:
Anzeige
Firefox meldet eine gehackte Webseite mit Malware.
Firefox meldet eine gehackte Webseite mit Malware. (Bild: Mozilla)

Veraltete Schlüssel und ungültige Zertifikate

Anzeige

Der dritte von uns getestete, kostenlose Anbieter Bplaced bietet einen FTPES-Zugang. Aber auch hier ist die Verwaltung des Accounts über HTTPS nicht möglich, das Interface ist nur unverschlüsselt über HTTP erreichbar. Bplaced teilte uns auf Anfrage mit, dass der Grund dafür externe Skripte seien, die die Seite in der Vergangenheit genutzt habe und die nicht per HTTPS verfügbar gewesen seien. "Im Zuge einer Runderneuerung, die für Mitte des Jahres angesetzt ist, wird das Frontend ausschließlich via 256-Bit-Zertifikat und damit auch HTTPS erreichbar sein, womit die Übertragung aller Daten ausnahmslos verschlüsselt ablaufen wird", heißt es weiter. Dass Bplaced wirklich vorhat, ein 256-Bit-Zertifikat einzuführen, bezweifeln wir jedoch: Bei HTTPS-Zertifikaten handelt es sich üblicherweise um RSA-Schlüssel, die heutzutage mindestens eine Länge von 2.048 Bit haben.

Alle drei getesteten kostenlosen Angebote waren somit zunächst mangelhaft. Die Antworten auf unsere Anfragen lassen teilweise darauf schließen, dass den Verantwortlichen Basiskenntnisse über TLS fehlen - kein gutes Zeichen. Die Ausrede, dass man bei einem kostenlosen Webspace nicht mehr erwarten kann, zieht hier nicht. Denn die Anbieter gefährden nicht nur ihre eigenen Kunden: Gehackte Webseiten sind eine Bedrohung für alle.

TLS- und SSH-Einstellungen

Bei der Überprüfung der jeweiligen TLS- und SSH-Verbindungen sind uns einige aus kryptographischer Sicht nicht optimale oder ungewöhnliche Einstellungen aufgefallen. Bei Bplaced, Funpic, Cwcity, Domainfactory und All-Inkl etwa wurde die FTPES-Verbindung mit ungültigen oder selbst signierten Zertifikaten hergestellt. Interessant war hier auch, dass bis auf Funpic alle Anbieter, die kein korrektes Zertifikat einsetzten, nur kurze 1.024-Bit-RSA-Schlüssel verwendeten. Von den großen Zertifizierungsstellen werden solche Schlüssel üblicherweise überhaupt nicht mehr signiert. Die SFTP-Verbindungen von Strato und 1&1 waren ebenfalls nur mit einem 1.024-Bit-Schlüssel geschützt. 1&1 setzt dabei ausschließlich auf das bei SSH eher ungewöhnliche und nicht unproblematische DSA-Verfahren.

Forward Secrecy und TLS 1.2 mit GCM - die eigentlich optimale Konfiguration für TLS - fanden wir nur bei All-Inkl und Hetzner. Auch bei den Konfigurationswebseiten waren die TLS-Einstellungen eher durchwachsen. Kein einziger Anbieter schützt sein Webinterface mit der HSTS-Erweiterung, die HTTP-Zugriffe nach dem ersten Verbindungsaufbau komplett unterbindet.

Doch diese Probleme sind eher zweitrangig. Da bei allen getesteten Anbietern unverschlüsselte Verbindungen möglich sind und Nutzer nicht genügend auf die Möglichkeit der Verschlüsselung hingewiesen werden, ist davon auszugehen, dass die meisten Verbindungen komplett ungesichert ablaufen. Und das ist ein deutlich schwerwiegenderes Problem als zu kurze Schlüssel oder fehlende Forward Secrecy.

Software: meist kein Problem

Gängige FTP-Programme haben in der Regel mit verschlüsselten Verbindungen kein Problem. Beim freien Programm Filezilla, das für alle gängigen Betriebssysteme verfügbar ist, kann im Servermanager unter "Protokoll" SFTP ausgewählt werden, für FTPES wählt man als Protokoll "FTP" und unter dem Punkt "Verschlüsselung" "Explizites FTP über TLS". Auch andere verbreitete FTP-Programme wie SmartFTP, WS_FTP oder WinSCP unterstützen beide verschlüsselten Datenübertragungsverfahren.

 Verschlüsselung bei den fünf größten AnbieternBrowserunterstützung und Fazit 

eye home zur Startseite
hjp 07. Mär 2014

Wenn der Block-Cipher gemeint ist (was ich natürlich nicht ausschließen kann), zeugt das...

Horsty 06. Mär 2014

Die Sicherheitsfrage beim FTP Protokoll ist absolut berechtigt und es ist gut hierüber...

redmord 05. Mär 2014

Pageant ist für mich wirklich keine Lösung. Außerdem nutze ich auch mehrere Verbindungen...

das_ist_unglaub... 05. Mär 2014

sftp weil es über SSH läuft und nicht wie bei diversen verschlüsselten FTP Variationen...

das_ist_unglaub... 05. Mär 2014

So ein Unsinn - Du glaubst doch nicht wirklich dass die Verschlüsselung im Kontext einer...



Anzeige

Stellenmarkt
  1. Robert Bosch GmbH, Reutlingen, Dresden
  2. Landeshauptstadt München, München
  3. SYNCHRON GmbH, Stuttgart
  4. Ria Deutschland GmbH, Berlin


Anzeige
Top-Angebote
  1. (-58%) 24,99€
  2. (-66%) 6,80€
  3. (u. a. Hacksaw Ridge, Lion, Snowden, Lone Survivor, London Has Fallen, Homefront)

Folgen Sie uns
       


  1. Microsoft

    Xbox One emuliert 13 Xbox-Klassiker

  2. DMT Bonding

    Telekom probiert 1 GBit/s ohne Glasfaser aus

  3. Telekom-Software

    Cisco kauft Broadsoft für knapp 2 Milliarden US-Dollar

  4. Pubg

    Die blaue Zone verursacht künftig viel mehr Schaden

  5. FSFE

    "War das Scheitern von Limux unsere Schuld?"

  6. Code-Audit

    Kaspersky wirbt mit Transparenzinitiative um Vertrauen

  7. iOS 11+1+2=23

    Apple-Taschenrechner versagt bei Kopfrechenaufgaben

  8. Purism Librem 13 im Test

    Freiheit hat ihren Preis

  9. Andy Rubin

    Drastischer Preisnachlass beim Essential Phone

  10. Sexismus

    US-Spielforum Neogaf offenbar abgeschaltet



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Essential Phone im Test: Das essenzielle Android-Smartphone hat ein Problem
Essential Phone im Test
Das essenzielle Android-Smartphone hat ein Problem
  1. Teardown Das Essential Phone ist praktisch nicht zu reparieren
  2. Smartphone Essential Phone kommt mit zwei Monaten Verspätung
  3. Andy Rubin Essential gewinnt 300 Millionen US-Dollar Investorengelder

Pixel 2 und Pixel 2 XL im Test: Google fehlt der Mut
Pixel 2 und Pixel 2 XL im Test
Google fehlt der Mut
  1. Pixel Visual Core Googles eigener ISP macht HDR+ schneller
  2. Smartphones Googles Pixel 2 ist in Deutschland besonders teuer
  3. Pixel 2 und Pixel 2 XL im Hands on Googles neue Smartphone-Oberklasse überzeugt

Krack-Angriff: Kein Grund zur Panik
Krack-Angriff
Kein Grund zur Panik
  1. Neue WLAN-Treiber Intel muss WLAN und AMT-Management gegen Krack patchen
  2. Ubiquiti Amplifi und Unifi Erster Consumer-WLAN-Router wird gegen Krack gepatcht
  3. Krack WPA2 ist kaputt, aber nicht gebrochen

  1. Re: Wird auch Zeit

    LH | 17:49

  2. Latenz 2 bis 3 Sekunden?

    mics | 17:49

  3. Re: Was hat das mit Sexismus zu tun?

    23gremlins | 17:49

  4. Re: Zweites Universum, level 2

    grumbazor | 17:47

  5. Re: Er sollte sich mal Blender ansehen

    Cystasy | 17:46


  1. 17:54

  2. 17:38

  3. 16:38

  4. 16:28

  5. 15:53

  6. 15:38

  7. 15:23

  8. 12:02


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel