Zum Hauptinhalt Zur Navigation Zur Suche

SSL

Full Visibility into SSL Traffic - mit solchen Features werben viele Produkte. Oft birgt das schwerwiegende Sicherheitsrisiken. (Bild: Black Hat 2015/Hanno Böck) (Black Hat 2015/Hanno Böck)

HTTPS-Interception: Sicherheitsprodukte gefährden HTTPS

Zahlreiche Sicherheitsprodukte erlauben es, mittels lokal installierter Root-Zertifikate HTTPS-Verbindungen aufzubrechen. In einer Untersuchung sorgten alle getesteten Produkte für weniger Sicherheit. In vielen Fällen gibt es katastrophale Sicherheitslücken.
/ 22 Kommentare / Von Hanno Böck
Die C-Bibliothek des GNU-Projekts kann zuverlässige Zufallszahlen erzeugen. (Bild: Yoni Lerner, flickr.com) (Yoni Lerner, flickr.com)

Getrandom: Glibc 2.25 bekommt endlich besseren Zufall

Die Standard-C-Bibliothek des GNU-Projekts hat endlich Wrapper für die Linux-Systemaufrufe Getrandom und Getentropy - mehr als zwei Jahre nach deren Einführung. Neu sind außerdem Funktionen für Strings, Mathe-Operationen und ein starker Schutz vor Stack-Überläufen.
/ 7 Kommentare
Erneut hat Symantec Zertifikate ohne Zustimmung der Domaininhaber ausgestellt. Das könnte schwere Konsequenzen haben. (Bild: Symantec) (Symantec)

TLS-Zertifikate: Symantec verpeilt es schon wieder

Update Symantec hat offenbar eine ganze Reihe von Test-Zertifikaten ausgestellt, teilweise für ungültige Domains, teilweise für Domainnamen, für die es keine Berechtigung hatte. Wegen eines früheren Vorfalls steht Symantec zur Zeit unter verschärfter Beobachtung.
/ 24 Kommentare
Die Golem Newsletter : Das Wichtigste für Techies und IT-Leader auf einen Blick. Jetzt abonnieren
Schluss mit alten, unsicheren Verschlüsselungsverfahren: TLS 1.3 räumt auf. (Bild: PMRMaeyaert, Wikimedia Commons) (PMRMaeyaert, Wikimedia Commons)

TLS 1.3: Die Zukunft der Netzverschlüsselung

Schwache Kryptographie raus, weniger Round-Trips und damit mehr Performance - und außerdem Schmierfett für zukünftige Protokollversionen und Erweiterungen: Die Version 1.3 des TLS-Verschlüsselungsprotokolls kommt bald.
/ 10 Kommentare / Eine Analyse von Hanno Böck
Die Flagge des Daesh. (Bild: Gemeinfrei/Wikimedia Commons) (Gemeinfrei/Wikimedia Commons)

Großbritannien: Wenn HTTPS zu Terrorismus wird

Großbritannien bewirbt sich um die absurdeste Auslegung von Anti-Terror-Gesetzen. Einem angeblichen Terroristen wird vorgeworfen, dass er sein Blog mit HTTPS verschlüsselt hat. Hoffentlich haben die Richter nicht verstanden, was sie getan haben.
/ 66 Kommentare / Ein IMHO von Hauke Gierow
Eine Hintertür im Diffie-Hellman-Schlüsselaustausch ist theoretisch denkbar. (Bild: Mattes/Wikimedia Commons) (Mattes/Wikimedia Commons)

Schlüsselaustausch: Eine Backdoor für Diffie Hellman

Der Diffie-Hellman-Schlüsselaustausch ist sicher - wenn die Parameter korrekt gewählt sind. Doch was passiert, wenn es einem Angreifer gelingt, fehlerhafte Parameter einzuschleusen? David Wong ist es gelungen, damit eine sogenannte Nobus-Hintertür zu erzeugen.
/ 12 Kommentare
Eine TLS-Versandgarantie für E-Mails - eigentlich keine schlechte Idee, aber nicht jeder unterstützt den uralten Verschlüsselungsstandard. (Bild: Posteo.de) (Posteo.de)

STARTTLS: Keine Verschlüsselung mit der SPD

Der Mailanbieter Posteo hat die Möglichkeit eingeführt, E-Mails nur noch zu verschicken, wenn der Zielserver die STARTTLS-Verschlüsselung anbietet. Dabei fielen einige Mailserver auf, die den längst etablierten Verschlüsselungsstandard nicht unterstützen.
/ 48 Kommentare
Böses Zusammenspiel von Umgebungsvariablen, dem CGI-Standard und HTTP-Proxies. (Bild: Nicola Horlor) (Nicola Horlor)

HTTPOXY: Gefährliche Proxy-Variablen

Eine Sicherheitslücke im Zusammenspiel von CGI und der Variable HTTP_PROXY ermöglicht es Angreifern bis heute, HTTP-Anfragen von Webanwendungen umzuleiten. Dabei ist die Lücke uralt: Bereits 2001 implementierten einige Softwareprojekte Gegenmaßnahmen.
/ 7 Kommentare
Eine Verbindung zu Googles Play-Store - abgesichert mit CECPQ1. (Bild: Screenshot / Google) (Screenshot / Google)

New Hope: Google testet Post-Quanten-Algorithmus

In einem Experiment sichert Google verschlüsselte Verbindungen zwischen Chrome und einigen Google-Domains mit einem Schlüsselaustausch ab, der Sicherheit vor Quantencomputern bieten soll. Der neue New-Hope-Algorithmus kommt in Kombination mit einem bewährten Verfahren zum Einsatz.
/ 3 Kommentare
Start Encrypt will auch kostenfreie Zertifikate anbieten. (Bild: Sean MacEntee/Wikimedia Commons) (Sean MacEntee/Wikimedia Commons)

Verschlüsselung: Sicherheitslücke bei Start Encrypt

Sicherheitsforscher haben im Client der Let's Encrypt-Alternative Start Encrypt zahlreiche Probleme gefunden, die die Ausstellung gültiger Zertifikate für beliebige URLs ermöglichte. Der Client hatte zudem zahlreiche weitere Probleme, die jetzt behoben sein sollen.
/ 1 Kommentare
Fremder Javascript-Code auf der dänischen Webseite von Visa - ein Angriff auf die fehlerhafte GCM-Verschlüsselung (Bild: Screenshot) (Screenshot)

TLS/GCM: Gefahr durch doppelte Nonces

Moderne TLS-Verbindungen nutzen üblicherweise das AES-GCM-Verschlüsselungsverfahren. Das benötigt einen sogenannten Nonce-Wert, der sich nicht wiederholen darf. Ansonsten ist die Sicherheit dahin.
/ 14 Kommentare