Abo
  • Services:
Anzeige
Firefox meldet eine gehackte Webseite mit Malware.
Firefox meldet eine gehackte Webseite mit Malware. (Bild: Mozilla)

Veraltete Schlüssel und ungültige Zertifikate

Anzeige

Der dritte von uns getestete, kostenlose Anbieter Bplaced bietet einen FTPES-Zugang. Aber auch hier ist die Verwaltung des Accounts über HTTPS nicht möglich, das Interface ist nur unverschlüsselt über HTTP erreichbar. Bplaced teilte uns auf Anfrage mit, dass der Grund dafür externe Skripte seien, die die Seite in der Vergangenheit genutzt habe und die nicht per HTTPS verfügbar gewesen seien. "Im Zuge einer Runderneuerung, die für Mitte des Jahres angesetzt ist, wird das Frontend ausschließlich via 256-Bit-Zertifikat und damit auch HTTPS erreichbar sein, womit die Übertragung aller Daten ausnahmslos verschlüsselt ablaufen wird", heißt es weiter. Dass Bplaced wirklich vorhat, ein 256-Bit-Zertifikat einzuführen, bezweifeln wir jedoch: Bei HTTPS-Zertifikaten handelt es sich üblicherweise um RSA-Schlüssel, die heutzutage mindestens eine Länge von 2.048 Bit haben.

Alle drei getesteten kostenlosen Angebote waren somit zunächst mangelhaft. Die Antworten auf unsere Anfragen lassen teilweise darauf schließen, dass den Verantwortlichen Basiskenntnisse über TLS fehlen - kein gutes Zeichen. Die Ausrede, dass man bei einem kostenlosen Webspace nicht mehr erwarten kann, zieht hier nicht. Denn die Anbieter gefährden nicht nur ihre eigenen Kunden: Gehackte Webseiten sind eine Bedrohung für alle.

TLS- und SSH-Einstellungen

Bei der Überprüfung der jeweiligen TLS- und SSH-Verbindungen sind uns einige aus kryptographischer Sicht nicht optimale oder ungewöhnliche Einstellungen aufgefallen. Bei Bplaced, Funpic, Cwcity, Domainfactory und All-Inkl etwa wurde die FTPES-Verbindung mit ungültigen oder selbst signierten Zertifikaten hergestellt. Interessant war hier auch, dass bis auf Funpic alle Anbieter, die kein korrektes Zertifikat einsetzten, nur kurze 1.024-Bit-RSA-Schlüssel verwendeten. Von den großen Zertifizierungsstellen werden solche Schlüssel üblicherweise überhaupt nicht mehr signiert. Die SFTP-Verbindungen von Strato und 1&1 waren ebenfalls nur mit einem 1.024-Bit-Schlüssel geschützt. 1&1 setzt dabei ausschließlich auf das bei SSH eher ungewöhnliche und nicht unproblematische DSA-Verfahren.

Forward Secrecy und TLS 1.2 mit GCM - die eigentlich optimale Konfiguration für TLS - fanden wir nur bei All-Inkl und Hetzner. Auch bei den Konfigurationswebseiten waren die TLS-Einstellungen eher durchwachsen. Kein einziger Anbieter schützt sein Webinterface mit der HSTS-Erweiterung, die HTTP-Zugriffe nach dem ersten Verbindungsaufbau komplett unterbindet.

Doch diese Probleme sind eher zweitrangig. Da bei allen getesteten Anbietern unverschlüsselte Verbindungen möglich sind und Nutzer nicht genügend auf die Möglichkeit der Verschlüsselung hingewiesen werden, ist davon auszugehen, dass die meisten Verbindungen komplett ungesichert ablaufen. Und das ist ein deutlich schwerwiegenderes Problem als zu kurze Schlüssel oder fehlende Forward Secrecy.

Software: meist kein Problem

Gängige FTP-Programme haben in der Regel mit verschlüsselten Verbindungen kein Problem. Beim freien Programm Filezilla, das für alle gängigen Betriebssysteme verfügbar ist, kann im Servermanager unter "Protokoll" SFTP ausgewählt werden, für FTPES wählt man als Protokoll "FTP" und unter dem Punkt "Verschlüsselung" "Explizites FTP über TLS". Auch andere verbreitete FTP-Programme wie SmartFTP, WS_FTP oder WinSCP unterstützen beide verschlüsselten Datenübertragungsverfahren.

 Verschlüsselung bei den fünf größten AnbieternBrowserunterstützung und Fazit 

eye home zur Startseite
hjp 07. Mär 2014

Wenn der Block-Cipher gemeint ist (was ich natürlich nicht ausschließen kann), zeugt das...

Horsty 06. Mär 2014

Die Sicherheitsfrage beim FTP Protokoll ist absolut berechtigt und es ist gut hierüber...

redmord 05. Mär 2014

Pageant ist für mich wirklich keine Lösung. Außerdem nutze ich auch mehrere Verbindungen...

das_ist_unglaub... 05. Mär 2014

sftp weil es über SSH läuft und nicht wie bei diversen verschlüsselten FTP Variationen...

das_ist_unglaub... 05. Mär 2014

So ein Unsinn - Du glaubst doch nicht wirklich dass die Verschlüsselung im Kontext einer...



Anzeige

Stellenmarkt
  1. Bayerische Staatsbibliothek, München
  2. BSH Hausgeräte GmbH, Traunreut
  3. Robert Bosch GmbH, Abstatt
  4. socoto gmbh & co. kg, Köln, Trier


Anzeige
Top-Angebote
  1. 9,99€
  2. 139,90€
  3. 44,90€

Folgen Sie uns
       


  1. Essential Phone

    Android-Gründer zeigt eigenes Smartphone

  2. Kaby Lake Refresh

    Intels 8th Gen legt über 30 Prozent zu

  3. Colossal Cave

    Finalversion von erstem Textadventure ist Open Source

  4. TVS-882ST3

    QNAP stellt hochpreisiges NAS mit 2,5-Zoll Schächten vor

  5. Asus Zenbook Flip S im Hands On

    Schön leicht für ein Umklapp-Tablet

  6. Project Zero

    Windows-Virenschutz hat erneut kritische Schwachstellen

  7. GPS Share

    Gnome-Anwendung teilt GPS-Daten im LAN

  8. Net-Based LAN Services

    T-Systems bietet WLAN as a Service ab Juni

  9. Angacom

    Unitymedia verlangt nach einem deutschen Hulu

  10. XYZprinting Nobel 1.0a im Test

    Wie aus einem Guss



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Debatte nach Wanna Cry: Sicherheitslücken veröffentlichen oder zurückhacken?
Debatte nach Wanna Cry
Sicherheitslücken veröffentlichen oder zurückhacken?
  1. Android-Apps Rechtemissbrauch ermöglicht unsichtbare Tastaturmitschnitte
  2. Sicherheitslücke Fehlerhaft konfiguriertes Git-Verzeichnis bei Redcoon
  3. Hotelketten Buchungssystem Sabre kompromittiert Zahlungsdaten

Sphero Lightning McQueen: Erst macht es Brummbrumm, dann verdreht es die Augen
Sphero Lightning McQueen
Erst macht es Brummbrumm, dann verdreht es die Augen

Quantencomputer: Nano-Kühlung für Qubits
Quantencomputer
Nano-Kühlung für Qubits
  1. IBM Q Mehr Qubits von IBM
  2. Quantencomputer Was sind diese Qubits?
  3. Verschlüsselung Kryptographie im Quantenzeitalter

  1. Hat die Kartellbehörde sowas nicht bereits...

    Raisti1 | 15:14

  2. Re: Wenn die Plattformen gleichwertig sein sollen...

    Trollversteher | 15:13

  3. Re: Trotzdem wird wohl Intel gekauft

    Seroy | 15:12

  4. Re: Frage mich wer sich so binden will?

    plutoniumsulfat | 15:11

  5. Re: Ein Auto steht 22h am Tag irgendwo rum

    Stefan99 | 15:08


  1. 15:07

  2. 14:39

  3. 14:20

  4. 14:08

  5. 14:00

  6. 13:56

  7. 13:09

  8. 12:45


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel