Zum Hauptinhalt Zur Navigation Zur Suche

Man-in-the-Middle

Bei Microsofts Dynamics 365 for Operations teilten sich alle Kunden einen privaten Schlüssel. (Bild: Pixabay / Hans) (Pixabay / Hans)

Dynamics 365: Microsoft verteilt privaten Schlüssel an alle Kunden

Microsoft hat aus Versehen einen privaten Schlüssel für seinen Clouddienst Dynamics 365 veröffentlicht - und schaffte es über Monate nicht, auf Hinweise zu reagieren. Zwischenzeitlich empfahl der Support sogar, eine Krisenreaktionsfirma aus der Ölindustrie anzurufen, um das Problem zu beseitigen.
/ 25 Kommentare / Von Hanno Böck
Audio-Equipment braucht eigentlich kein Root-Zertifikat. (Bild: nate hill, flickr.com) (nate hill, flickr.com)

Savitech: USB-Audiotreiber installiert Root-Zertifikat

Ein Treiber von Savitech installiert Root-Zertifikate in Windows, mit denen theoretisch HTTPS-Verbindungen angegriffen werden können. Genutzt wird der USB-Audiotreiber in Geräten von Asus, Dell oder auch Audio-Technica. Die Zertifikate waren für Windows XP gedacht und wurden vergessen.
/ 13 Kommentare
Cisco reiht sich ein in die lange Liste derer, denen TLS 1.3 zu sicher ist. (Bild: Prayitno, flickr.com) (Prayitno, flickr.com)

IETF: TLS 1.3 ist zu sicher für Ciscos Sicherheitsboxen

Nach Versuchen der Bankenlobby und von ominösen Betreibern von Rechenzentren, das kommende TLS 1.3 zu schwächen, erklärt nun Cisco, dass TLS 1.3 die Sicherheitstechnik sogenannter Middleboxen verhindert. Dabei verhindern kaputte Middleboxen die Einführung von TLS 1.3.
/ 97 Kommentare
Die Golem Newsletter : Das Wichtigste für Techies und IT-Leader auf einen Blick. Jetzt abonnieren
Private Schlüssel auf dem Webserver liegen lassen - das ist keine gute Idee. (Bild: Hanno Böck) (Hanno Böck)

HTTPS: Private Schlüssel auf dem Webserver

Zu einem Zertifikat für verschlüsselte HTTPS-Verbindungen gehört ein privater Schlüssel. Doch was, wenn der Schlüssel auf dem Webserver landet - und dann nicht mehr privat ist? Wir fanden zahlreiche Webseiten, die ihren privaten Schlüssel zum Herunterladen anbieten.
/ 70 Kommentare / Von Hanno Böck
Full Visibility into SSL Traffic - mit solchen Features werben viele Produkte. Oft birgt das schwerwiegende Sicherheitsrisiken. (Bild: Black Hat 2015/Hanno Böck) (Black Hat 2015/Hanno Böck)

HTTPS-Interception: Sicherheitsprodukte gefährden HTTPS

Zahlreiche Sicherheitsprodukte erlauben es, mittels lokal installierter Root-Zertifikate HTTPS-Verbindungen aufzubrechen. In einer Untersuchung sorgten alle getesteten Produkte für weniger Sicherheit. In vielen Fällen gibt es katastrophale Sicherheitslücken.
/ 22 Kommentare / Von Hanno Böck
Protonmail kann auch auf einem Smartphone genutzt werden. (Bild: Protonmail) (Protonmail)

Protonmail: Die halbe Verschlüsselung

Protonmail bezeichnet sich als sicherster E-Mail-Dienst der Welt. In der Praxis zeigt sich, dass der Dienst zwar durchaus durchdacht ist, aber mangels vollständiger PGP-Kompatibilität eine Insellösung bleibt.
/ 27 Kommentare / Ein Praxistest von Hauke Gierow
Der Firefox-Browser warnt vor unsicheren Passworteingaben. (Bild: Firefox 51) (Firefox 51)

Mozilla: Firefox 51 warnt vor unsicheren Webinhalten

Die aktuelle Version 51 des Firefox-Browsers warnt vor unverschlüsselt übertragenen Logins und vor kaputten Zertifikaten mit SHA-1-Signatur sowie jenen von Wosign und Startcom. Der Browser nutzt außerdem WebGL 2 und ermöglicht eine bessere Videowiedergabe ohne GPU.
/ 9 Kommentare
Sicher geglaubte Türen sind möglicherweise leicht zu knacken. (Bild: Dieter Nagl/AFP/Getty Images) (Dieter Nagl/AFP/Getty Images)

Sicherheit: Hacker knacken 12 von 16 Smartlocks

Zwei Hacker haben drei Viertel der von ihnen untersuchten Bluetooth-Smartlocks knacken können - mit stellenweise haarsträubend einfachen Mitteln. Die Reaktion der Hersteller zeugt nicht von großem Interesse, an den Problemen etwas ändern zu wollen.
/ 88 Kommentare
Eine TLS-Versandgarantie für E-Mails - eigentlich keine schlechte Idee, aber nicht jeder unterstützt den uralten Verschlüsselungsstandard. (Bild: Posteo.de) (Posteo.de)

STARTTLS: Keine Verschlüsselung mit der SPD

Der Mailanbieter Posteo hat die Möglichkeit eingeführt, E-Mails nur noch zu verschicken, wenn der Zielserver die STARTTLS-Verschlüsselung anbietet. Dabei fielen einige Mailserver auf, die den längst etablierten Verschlüsselungsstandard nicht unterstützen.
/ 48 Kommentare
Start Encrypt will auch kostenfreie Zertifikate anbieten. (Bild: Sean MacEntee/Wikimedia Commons) (Sean MacEntee/Wikimedia Commons)

Verschlüsselung: Sicherheitslücke bei Start Encrypt

Sicherheitsforscher haben im Client der Let's Encrypt-Alternative Start Encrypt zahlreiche Probleme gefunden, die die Ausstellung gültiger Zertifikate für beliebige URLs ermöglichte. Der Client hatte zudem zahlreiche weitere Probleme, die jetzt behoben sein sollen.
/ 1 Kommentare