Verschlüsselung

Die aktuelle Version 12 von Node.js bekommt Langzeitunterstützung und unterstützt erstmals TLS 1.3. Das Team hat außerdem die Heap-Zuweisung verändert, die Startzeiten beschleunigt und einen neuen HTTP-Parser eingepflegt.

Eine ungeschützte Datenbank einer Android-App verrät die Zugangsdaten von zwei Millionen WLANs. Eigentlich sollten sich Nutzer der App nur unkompliziert mit öffentlichen Hotspots verbinden können, doch die Datenbank enthält auch die Zugangsdaten zu vielen privaten Wi-Fis.

Mit Googles Gmail unterstützt nun auch einer der weltweit größten E-Mail-Provider den Standard MTA-STS und damit die Transportverschlüsselung zwischen Mailservern. Auch andere Provider unterstützen die Technik bereits.

Ein neuer Vergleich für die Yahoo-Datenlecks sieht eine Zahlung von 117,5 Millionen US-Dollar an Yahoo-Nutzer aus Israel und den USA vor. Ein Richter muss noch zustimmen.

Schlechte Passwörter und schlechte E-Mail-Transportverschlüsselung: Eine Studie des Gesamtverbandes der Deutschen Versicherungswirtschaft stellt Ärzten, Apotheken und Kliniken kein gutes Zeugnis aus, wenn es um IT-Sicherheit geht.

Beamte des Bundeskriminalamts fragen bei den Internetprovidern immer öfter Bestandsdaten zu deren Kunden ab. Laut einem Medienbericht geht es um IP-Adressen, aber auch um Zugangscodes wie PIN und PUK etwa für Smartphones und Geldkarten.

Die CDN- und Netzwerkspezialisten von Cloudflare haben mit Boring-TUN eine eigene Userspace-Implementierung des Wireguard-VPN in Rust erstellt. Diese soll plattformübergreifend funktionieren und vor allem schnell sein.

Der Firefox-Browser von Mozilla bietet schon lange einen Passwortspeicher. Mit der Android-App Firefox Lockbox können Nutzer nun einfach von ihren Mobilgeräten darauf zugreifen. Die App ist zuerst als Experiment für iOS entstanden.

Das unverschlüsselte Speichern von Passwörtern gilt als grober Verstoß gegen den Datenschutz. Bei Facebook sollen bis zu 600 Millionen Nutzer davon betroffen gewesen sein.

Eine Gesetzesinitiative des Bundesrates soll den Betrieb von Handelsplattformen im Darknet unter Strafe stellen, wenn sie Illegales fördern. Das war auch bisher schon strafbar, das Gesetz könnte jedoch vor allem der Überwachung dienen, kritisieren Juristen.

Die Verschlüsselung der kabellosen Fujitsu-Tastatur LX901 lässt sich von Angreifern auf gleich zwei Arten umgehen - und für Angriffe aus der Distanz nutzen.

Golem-Wochenrückblick James Bond gibt in seinem nächsten Abenteuer nicht mehr Gas. Tesla widmet sich künftig der Generation Y. Und wir entdecken die Vorzüge einer kompakten Galaxie. Sieben Tage und viele Meldungen im Überblick.

34 von 45 getesteten Internetdiensten unterstützen laut Stiftung Warentest Zwei-Faktor-Authentifizierung - die Techniken sind allerdings sehr unterschiedlich.

Die Nutzung von Gesichtserkennung wird in China weiter ausgebaut. Die Shenzhen Metro testet das Bezahlen mit dem Gesicht. Im Moment nur an einem einzigen Bahnhof, der Ausbau ist Medienberichten zufolge aber geplant.

Am Mittwoch wird im Bundestag 5G diskutiert. Ein Experte kam zu dem Ergebnis, dass die klassische E-Mail, nicht der 5G-Mobilfunk, ein Angriffspunkt für Industriespionage sei.

In Hangzhou hat Alibaba Future Hotel eine Unterkunft eröffnet, die für den Zugang auf Biometrie setzt. Das gilt sowohl für die Fahrstühle als auch Hotelzimmer. Die Unterkunft bietet aber auch eine sehr moderne Ausstattung, die es bei großen Hotelketten noch nicht gibt.

Viele TLS-Zertifikate wurden nicht nach den geltenden Regeln ausgestellt. Sie müssten eine zufällige 64-Bit-Seriennummer haben, es sind aber real nur 63 Bit. Ein Risiko ist praktisch nicht vorhanden, trotzdem müssen die Zertifikate zurückgezogen werden.

Die Deutsche Post trennt sich doch von ihrem Whatsapp-Konkurrenten Sims Me, der bei Privatkunden ein Misserfolg ist. Doch mit dem Verkauf an Brabbler bekommt die Post Anteile an dem Startup.

Update Eine schwere Sicherheitslücke im Code der Schweizer Post für zukünftige Onlinewahlen ermöglicht es dem Betreiber einer Wahl, das Ergebnis zu manipulieren. Die Schweizer Post weiß angeblich schon seit 2017 von dem Problem, der Hersteller hat es jedoch versäumt, den Fehler zu beheben.

Von einer "subtilen Blockade" spricht der Protonmail-CEO. Die Weboberfläche kann weiterhin erreicht werden, russische Mails können jedoch nicht mehr empfangen werden. Auch andere Mailanbieter und Tor-Server sind von der Blockade betroffen.

Der US-Grenzschutz will Medienberichten zufolge an Flughäfen vermehrt den Einsatz von Gesichtserkennung nutzen. Das passiert parallel zu ohnehin schon testweise durchgeführten Gesichtserkennungen, an denen auch die Lufthansa beteiligt ist.

Bei der vergangenen Parlamentswahl in Estland haben rund 44 Prozent der Wähler online gewählt. Die Sicherheitslücken der eID-Zertifikate scheinen das Vertrauen der Esten nicht beeinflusst zu haben.

Im Vereinigten Königreich startet ein kleiner Test zu Contactless-Bezahlkarten (EMVCo), die auch höhere Beträge ohne PIN oder Unterschrift freigeben können. Der Fingerabdruck wird als Autorisierungsmerkmal verwendet.

Wozu sammelt ein völlig unbekanntes Unternehmen Hunderte Millionen E-Mail-Adressen und weitere Nutzerdaten? Dahinter steckt eine Dienstleistung, die für Spammer nützlich ist.

Facebook hat in den USA in den vergangenen Jahren 15 Millionen Nutzer verloren. Firmenchef Mark Zuckerberg will das soziale Netzwerk daher mehr in Richtung Whatsapp und Snapchat ausbauen.

Ohne Passwort anmelden? Mit dem Webauthn-Standard soll das möglich werden. Die Technik steht bereit und soll das Anmelden nicht nur sicherer, sondern auch komfortabler machen.

Facebook verwendet die zur Zwei-Faktor-Authentifizierung hinterlegte Telefonnummer auch zu Werbezwecken und zum Zurücksetzen des Kontos. Hierüber lässt sich herausfinden, wem die Telefonnummer gehört.

Cisco legt seinen 5G-Quellcode zu Prüfzwecken in seinen eigenen Zentren offen. Doch das BSI äußert sich bisher nicht dazu, ob Cisco damit in Deutschland ausreichend Transparenz schafft.

Mit der Version Release 1.12 der von Google initiierten Programmiersprache Go haben die Entwickler erstmals die Unterstützung für TLS 1.3 implementiert. Das Team hat außerdem die Werkzeuge der Sprache verbessert und die Ports erweitert.

Der Hauptentwickler und Sponsor der gleichnamigen Datenbank MariaDB hat auf seiner Anwender- und Entwicklerkonferenz einen Enterprise Server angekündigt. Der soll Open Source sein und besseres Auditing, schnellere Backups und größere Zuverlässigkeit bieten.

In manchen OpenSSL-Konfigurationen und in Citrix-Loadbalancern wurde eine Padding-Oracle-Lücke gefunden, mit der man TLS-Datenverkehr entschlüsseln kann. Ein Forscherteam hat weitere Lücken entdeckt, weiß aber bei vielen nicht, welche Produkte dafür verantwortlich sind.

16 Millionen Heimnetzwerke wurden für eine Studie der Sicherheitsfirma Avast überprüft: In fast jedem zweiten Netzwerk wurden verwundbare Geräte gefunden. Viele Nutzer haben noch nie ihren Router aktualisiert.

Die Firma Dark Matter aus den Vereinigten Arabischen Emiraten betreibt eine TLS-Zertifizierungsstelle. Laut einem Reuters-Bericht ist Dark Matter daran beteiligt, im staatlichen Auftrag Menschenrechtsaktivisten mit Hilfe von Sicherheitslücken anzugreifen.

Signaturen von PDF-Dateien sind offenbar nicht besonders sicher: Einem Forscherteam der Uni Bochum gelang es, die Signaturprüfung in nahezu allen PDF-Programmen auszutricksen.

MWC 2019 Nokia-Chef Suri zeigt in Barcelona sein neues Endgerät für Fixed Wireless Access mit 5G. Damit seien 1 GBit/s möglich, es kommt bereits in einem Land zum Einsatz. Auch zu Huawei äußerte er sich.