[linux-l] tor sicherheitsfrage
Benjamin Schieder
blindcoder at scavenger.homeip.net
Fr Jan 12 09:01:54 CET 2007
On 11.01.2007 21:23:03, Steffen Schulz wrote:
> On 070111 at 13:40, Benjamin Schieder wrote:
> > On 11.01.2007 13:09:03, Ivan F. Villanueva B. wrote:
> > Damit waere es moeglich. Drei Schwachstellen sehe ich hier:
> > 1) Du verwendest Tor um den DNS Namen deiner Bank aufzuloesen.
> > Schlechte Idee, sollte man in die /etc/hosts eintragen.
> > 2) Ich habe zufaellig ein SSL Zertifikat fuer den DNS Namen deiner
> > Bank. Merke: Pro IP Adresse und Service (HTTP in dem Fall) kann
> > nur ein Zertifikat verwendet werden.
>
> Die beiden halte ich fuer Unsinn. Ob am anderen Ende deine Bank steht,
> kannst du am effektivsten ueber das Zertifikat beurteilen.
>
> Im uebrigen ist es mit Anonymitaet nicht mehr weit her, wenn man DNS
> nicht ueber Tor macht.
Gut. Dann sind ja die ersten beiden Schwachstellen schonmal beseitigt :)
> > 3) Du weisst den SSL Fingerprint deiner Bank nicht und klickst die
> > Browsermeldung ueber ein geaendertes Zertifikat einfach weg.
> >
> > Punkt 3) ist wohl der, den du ansprichst. Ja, FF meldet geaenderte
> > Zertifikate. Hoffe ich. Mozilla hat es gemacht.
>
> Geaenderte Zertifikate? Mozilla merkt sich Zertifikate und sagt
> gesondert bescheid, wenn ein neues(womoeglich gueltiges) kommt?
> Wohl kaum, oder?
Ja. Wenn dir das Zertifikat angeboten wird sagst du 'dauerhaft akzeptieren'.
Wenn dann ein anderes Zertifikat da ist, wirst du erneut gefragt.
> Mozilla/FF und andere kennen die ueblichen CA-Certifikate. Wenn du was
> bekommst, was nicht von diesen unterschrieben ist und was nicht in
> deiner whitelist steht, bekommst du eine entsprechende Meldung.
Und natuerlich rennst du bei einem geaenderten Zertifikat erstmal in deine
Bank-Geschaeftsstelle und laesst dir den neuen Fingerprint geben. Und
natuerlich haben die Mitarbeiter dort sofort Ahnung, wovon du sprichst.
Gruesse,
Benjamin
--
Benjamin 'blindCoder' Schieder
Registered Linux User #289529: http://counter.li.org
finger blindcoder at scavenger.homeip.net | gpg --import
--
/lusr/bin/brain: received signal: SIGIDIOT
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname : nicht verfügbar
Dateityp : application/pgp-signature
Dateigröße : 189 bytes
Beschreibung: nicht verfügbar
URL : <https://mlists.in-berlin.de/pipermail/linux-l-mlists.in-berlin.de/attachments/20070112/330cdc66/attachment.sig>
Mehr Informationen über die Mailingliste linux-l