NSS - Network Security Services

Schwache Kryptographie raus, weniger Round-Trips und damit mehr Performance - und außerdem Schmierfett für zukünftige Protokollversionen und Erweiterungen: Die Version 1.3 des TLS-Verschlüsselungsprotokolls kommt bald.
Eine Analyse von Hanno Böck

13.12.201610 Kommentare

Mozilla hat auf der Entwicklermailingliste angekündigt, Zertifikaten von Wosign und Startcom mit der übernächsten Firefox Version 51 nicht mehr zu vertrauen. Die Version ist für den kommenden Januar geplant.

14.10.20169 Kommentare

Mit der Volksverschlüsselung soll jeder verschlüsseln können - also zumindest jeder, der einen E-Perso, einen Telekom-Festnetz-Account oder einen Registrierungscode besitzt. Zum offiziellen Start des Projektes gibt es aber weder Quellcode noch ein Written Offer im Sinne der GPL.
Von Hauke Gierow

29.06.201650 Kommentare

Forschern ist es gelungen, RSA-Verschlüsselungsoperationen von OpenSSL mittels eines Cache-Timing-Angriffs zu belauschen und so den privaten Key zu knacken. Der Cachebleed-Angriff nutzt dabei Zugriffskonflikte auf den Cache-Speicher.

02.03.20161 Kommentar

Neue Angriffe gegen TLS: Krypto-Forscher präsentieren mit Sloth mehrere Schwächen in TLS-Implementierungen und im Protokoll selbst. Am kritischsten ist ein Angriff auf Client-Authentifizierungen mit RSA und MD5.

07.01.20164 Kommentare

Eine Optimierung von RSA-Signaturen kann bei fehlerhaften Berechnungen den privaten Schlüssel verraten. Bekannt ist dieser Angriff schon seit 1996, ein Red-Hat-Entwickler hat jetzt herausgefunden, dass es immer noch verwundbare Hard- und Software gibt.

04.09.20159 Kommentare

SSLv3 ist aus Firefox 39 endgültig entfernt worden, und RC4 ist nur noch temporär für einige wenige Seiten erlaubt. Das Mozilla-Team erweitert den Schutz des Browsers vor Malware, daneben gibt es noch viele kleinere Neuerungen.

03.07.201539 Kommentare

Die Poodle-Sicherheitslücke offenbarte eine Schwäche in der alten SSL-Version 3. Wie sich herausstellte, sind auch viele fehlerhafte TLS-Implementierungen betroffen - ganze zehn Prozent aller Server.

08.12.20149 Kommentare

Linux-Nutzer können das HTML5-Streaming von Netflix nun ohne Einschränkungen mit dem Chrome-Browser nutzen. Eine Ankündigung dazu gibt es bisher nicht, die Unterstützung ist aber seit längerem in Vorbereitung.

10.10.201463 Kommentare

Die Sicherheitslücke BERserk ist nur deshalb ein Problem, weil einige Zertifizierungsstellen sich nicht an gängige Empfehlungen für RSA-Schlüssel halten. Mit BERserk akzeptieren Firefox und Chrome gefälschte Zertifikate.

01.10.20143 Kommentare

In der NSS-Bibliothek ist eine Sicherheitslücke entdeckt worden, mit der sich RSA-Signaturen fälschen lassen. Betroffen sind die Browser Chrome und Firefox, für die bereits Updates erschienen sind. Es handelt sich um eine Variante der Bleichenbacher-Attacke von 2006.

25.09.20147 Kommentare

Es fehlt wohl nur ein Bibliotheksupdate, um den HTML5-Player von Netflix auch auf Linux anbieten zu können. Das Filtern des User-Agents soll nach dem Update beendet werden, berichtet ein Mitarbeiter.

19.09.201444 Kommentare

Fast unbemerkt haben Entwickler eine weitere Sicherheitslücke in der Kryptobibliothek GnuTLS geschlossen. Anwendungen, die die Bibliothek nutzen, müssen jedoch ebenfalls angepasst werden.

04.06.20145 Kommentare

Die Spezifikation der TLS-Verschlüsselung ist ein Gemischtwarenladen aus exotischen Algorithmen und nie benötigten Erweiterungen. Es ist Zeit für eine große Entrümpelungsaktion.
Von Hanno Böck

17.04.201473 Kommentare

Der Heartbleed-Bug in OpenSSL dürfte wohl als eine der gravierendsten Sicherheitslücken aller Zeiten in die Geschichte eingehen. Wir haben die wichtigsten Infos zusammengefasst.
Von Hanno Böck

09.04.2014183 Kommentare

Ein kurzer Schlüsselaustausch bringt Chrome zum Absturz, andere Browser akzeptieren völlig unsinnige Parameter für einen Diffie-Hellman-Schlüsselaustausch. Im Zusammenhang mit den jüngst gefundenen TLS-Problemen könnte das ein Sicherheitsrisiko sein.

06.03.201430 Kommentare

In der Verschlüsselungsbibliothek GnuTLS ist ein Fehler gefunden worden, der dazu führen kann, dass bösartige, gefälschte Zertifikate akzeptiert werden. Ähnlich wie bei der kürzlich bei Apple entdeckten Lücke spielt ein "goto fail" eine Rolle.

04.03.2014100 Kommentare

Der Chrome-Browser von Google wird künftig für TLS-Verbindungen auf allen Plattformen die Bibliothek OpenSSL verwenden. Die ursprünglich von Netscape entwickelte Bibliothek NSS könnte dadurch an Bedeutung verlieren.

27.01.20144 Kommentare

30C3 2013 war kein gutes Jahr für die Verschlüsselung. Auch jenseits des NSA-Skandals gab es etliche Schwachstellen, die zwar bereits bekannt waren, 2013 aber akut wurden.

31.12.201326 Kommentare

Mit Nidium haben Entwickler eine von Grund auf neu entwickelte Browser-Engine vorgestellt. Sie ist für künftige Generationen von Web-Apps ausgelegt, die sich nicht von Desktop-Apps oder nativen mobilen Apps unterscheiden.

04.09.201343 KommentareVideo

Die TLS-Schnittstelle von Windows lädt automatisch fehlende Zertifizierungsstellen nach. Das sowieso schon kritisierte System der TLS-Zertifizierung wird dadurch noch unsicherer.

29.07.201319 Kommentare

Die von Mozilla entwickelte Verschlüsselungsbibliothek NSS unterstützt in der aktuellen Version den aktuellen TLS-Standard 1.2. Das könnte die in Firefox und Chrome verwendete SSL-Verschlüsselung verbessern. Die Unterstützung für AES im authentifizierten Modus GCM fehlt allerdings noch.

15.07.20139 Kommentare

Ein Team um den Kryptografen Dan Bernstein präsentiert neue Sicherheitsprobleme in der von TLS genutzten RC4-Stromverschlüsselung. Praktisch umsetzbar ist der Angriff nur in seltenen Fällen, die Autoren rechnen aber damit, dass er künftig noch verbessert wird.

13.03.20137 Kommentare

Forscher der Royal Holloway University in London haben eine Möglichkeit gefunden, um die im Web genutzten Verschlüsselungsverfahren SSL, TLS und DTLS auszuhebeln. Betroffen sind praktisch alle Implementierungen.

04.02.201318 Kommentare

Für die Groupware Kolab haben Entwickler ein Evolution-Plugin veröffentlicht. Ein Kolab-Frontend für Gnome gab es bislang nicht. Das Plugin lässt sich gegenwärtig nur unter Ubuntu 10.04 installieren.

24.06.20110 Kommentare

Mozilla-Entwickler David Dahl hat mit DOMCrypt eine Firefox-Erweiterung entwickelt, die im Browser ein Objekt mit Verschlüsselungsfunktionen bereitstellt. Sie könnte künftig direkt in Browser integriert werden, um die Sicherheit der Nutzerdaten zu erhöhen.

09.06.20114 Kommentare

Ulrich Drepper hat einen Ausblick auf die Version 10 der GNU-C-Bibliothek (Glibc) gegeben. Die neue Version ist unter anderem zu POSIX 2008 kompatibel.

20.04.200919 Kommentare

Das maßgeblich von Red Hat unterstützte Fedora-Projekt hat die Version 10 der gleichnamigen Linux-Distribution veröffentlicht. Darin finden Administratoren und Entwickler einige neue Funktionen. Desktopanwender können die vom 100-Dollar-Laptop bekannte Sugar-Oberfläche ausprobieren.

25.11.2008136 KommentareVideo

Die Linux Foundation hat eine erste Beta der Linux Standard Base 4.0 (LSB) veröffentlicht. Sie enthält neue Werkzeuge für Programmierer und eine Spezifikation für Shellskripte. Die fertige Version soll noch 2008 erscheinen.

15.10.200833 Kommentare

Die Entwicklung von Mozillas Onlinedienst Weave macht Fortschritte und wurde in einer neuen Entwicklerversion veröffentlicht. Die Onlinedienste sollen künftig den Browser Firefox ergänzen, wobei Lesezeichen, besuchte Webseiten oder Browsereinstellungen auf einem Server gespeichert werden, so dass sie leicht auf andere Rechner übertragen werden können.

02.07.200825 Kommentare

Der Linux-Anbieter Red Hat hat seine Sicherheitssoftware Certificate System komplett als Open Source veröffentlicht. Die Lösung ist zum Indentitätsmanagement in heterogenen Umgebungen bestimmt und setzt eine vollständige Public-Key-Infrastruktur ein. Durch die Veröffentlichung der bisher nicht frei erhältlichen Komponenten lässt sich das Certificate System nun in andere Open-Source-Lösungen integrieren.

26.03.20084 Kommentare

Red Hat hat den Directory Server 8 freigegeben, der nun den Standard-Update-Prozess über das Red Hat Network nutzen kann. Die neue Version unterstützt zusätzliche Plattformen, Sicherheitsfunktionen und IPv6.

16.01.20080 Kommentare

Das neue Red Hat Enterprise Linux (RHEL) 5.1 verbessert vor allem die Virtualisierungsfunktion in Bezug auf unmodifizierte Gastsysteme wie Windows. Zusätzlich gibt es Kernel-Verbesserungen und aktualisierte Hardware-Treiber.

08.11.20073 Kommentare

Es wurde bereits erwartet, ist vom Mozilla-Team aber immer noch nicht offiziell angekündigt worden: Das Sicherheits-Update für den E-Mail-Client Thunderbird findet sich auf den Mozilla-Seiten, nachdem bereits entsprechende Patches für Firefox und SeaMonkey erschienen sind. Die aktuelle Version schließt zwei Sicherheitslücken in Thunderbird.

02.03.200720 Kommentare

Sun will sein Betriebssystem Solaris mit den "Trusted Extensions für Solaris 10" zum sichersten Betriebssystem auf dem Planeten machen, heißt es in einer vollmundigen Ankündigung. Die Erweiterungen sollen mehr Flexibilität bieten als das bisher erhältliche Trusted Solaris.

15.02.200618 Kommentare

Wie angekündigt hat Red Hat den von AOL übernommenen Netscape Directory Server unter dem Namen Fedora Directory Server in Version 1.0 komplett als Open Source freigegeben. Der LDAP-Server soll das Management durch Zentralisierung von Anwendungseinstellungen, Benutzerprofilen, Gruppendaten, Richtlinien und Zugriffskontrollinformationen in einer netzwerkbasierten Datenbank vereinfachen.

02.12.200514 Kommentare

Iomega hat die Ergebnisse seiner Geschäftstätigkeit im letzten Quartal bekannt gegeben. Demnach erzielte das Unternehmen Umsätze in Höhe von 72,9 Millionen US-Dollar und musste einen Verlust von 5,9 Millionen US-Dollar hinnehmen.

29.04.200521 Kommentare

Novell hat eine Beta-Version seines neuen Open Enterprise Server veröffentlicht, der Novell NetWare und Suse Linux miteinander verbindet. So soll der Open Enterprise Server die beiden Welten verbinden, denn die Nutzer haben mit der Software die Wahl, ob sie die benötigten Dienste auf der NetWare-Plattform oder dem Suse Linux Enterprise Server 9 aufsetzen wollen.

28.12.20040 Kommentare

Das Mozilla-Team hat überraschend - kurz vor Erscheinen des stabilen Zweigs von Mozilla 1.7 - eine aktualisierte Version von Mozilla 1.4.x zum Download bereitgestellt. Mit Mozilla 1.4.2 wird ein Sicherheitsloch beseitigt, das bei eingebundenen URLs falsche Angaben in der Status-Zeile anzeigte. Zudem werden einige Programmfehler bereinigt; neue Funktionen gibt es nicht.

06.05.20040 Kommentare

Zum neunten Mal legt die PC-Welt mit der "Brand Awareness International 2002" die nach Eigenangaben größte internationale Marken-Image-Studie für den IT-Markt vor. Sie soll die Markenbekanntheit, das Marken-Image und das Marktpotenzial von IT-Produkten in 16 Produktsegmenten aus 284 Marken aufzeigen - von Desktop-PCs und Handys über Peripheriegeräte bis hin zu Online-Dienstleistern.

05.07.20020 Kommentare

Novell bringt ab dem 15. November 2001 die deutsche Version von NetWare 6 auf den Markt. Die neue Generation des Netzwerkbetriebssystems macht Informationen aus Unternehmensnetzwerken weltweit nutzbar. Neue Funktionen wie Novell iFolder, ein virtuelles Internet-basierendes Arbeitsverzeichnis, und Novell iPrint ermöglichen das Bearbeiten und Ausdrucken von Dateien über das Internet.

15.11.20010 Kommentare

Novell hat gestern in München mit NetWare 6 die nächste Generation seines Netzwerkbetriebssystems vorgestellt, das Informationen aus Unternehmensnetzwerken weltweit nutzbar machen soll. Mitarbeiter haben über einen Browser jederzeit und überall Zugriff auf wichtige Daten und Netzservices.

11.09.20010 Kommentare

Das Mozilla-Team hat Anfang März die Version 3.2 der Network Security Services (NSS 3.2) veröffentlicht, die eine deutlich bessere Performance bei SSL-Verbindungen, Unterstützung von Shared Libraries und bessere Unterstützung von Tools bieten soll.

09.03.20010 Kommentare

Das Mozilla-Team hat die eigene Roadmap seines Projekts überarbeitet. Dabei geht es weniger um eine Verschiebung der Termine als vielmehr um konzeptionelle Modifikationen, die der Änderung der Umstände des Projekts Rechnung tragen sollen.

21.09.20000 Kommentare