[linux-l] tor sicherheitsfrage

Benjamin Schieder blindcoder at scavenger.homeip.net
Fr Jan 12 09:01:54 CET 2007


On 11.01.2007 21:23:03, Steffen Schulz wrote:
> On 070111 at 13:40, Benjamin Schieder wrote:
> > On 11.01.2007 13:09:03, Ivan F. Villanueva B. wrote:
> > Damit waere es moeglich. Drei Schwachstellen sehe ich hier:
> > 	1) Du verwendest Tor um den DNS Namen deiner Bank aufzuloesen.
> > 	   Schlechte Idee, sollte man in die /etc/hosts eintragen.
> > 	2) Ich habe zufaellig ein SSL Zertifikat fuer den DNS Namen deiner
> > 	   Bank. Merke: Pro IP Adresse und Service (HTTP in dem Fall) kann
> > 	   nur ein Zertifikat verwendet werden.
> 
> Die beiden halte ich fuer Unsinn. Ob am anderen Ende deine Bank steht,
> kannst du am effektivsten ueber das Zertifikat beurteilen. 
> 
> Im uebrigen ist es mit Anonymitaet nicht mehr weit her, wenn man DNS
> nicht ueber Tor macht.

Gut. Dann sind ja die ersten beiden Schwachstellen schonmal beseitigt :)

> > 	3) Du weisst den SSL Fingerprint deiner Bank nicht und klickst die
> > 	   Browsermeldung ueber ein geaendertes Zertifikat einfach weg.
> > 
> > Punkt 3) ist wohl der, den du ansprichst. Ja, FF meldet geaenderte
> > Zertifikate. Hoffe ich. Mozilla hat es gemacht.
> 
> Geaenderte Zertifikate? Mozilla merkt sich Zertifikate und sagt
> gesondert bescheid, wenn ein neues(womoeglich gueltiges) kommt?
> Wohl kaum, oder?

Ja. Wenn dir das Zertifikat angeboten wird sagst du 'dauerhaft akzeptieren'.
Wenn dann ein anderes Zertifikat da ist, wirst du erneut gefragt.

> Mozilla/FF und andere kennen die ueblichen CA-Certifikate. Wenn du was
> bekommst, was nicht von diesen unterschrieben ist und was nicht in
> deiner whitelist steht, bekommst du eine entsprechende Meldung.

Und natuerlich rennst du bei einem geaenderten Zertifikat erstmal in deine
Bank-Geschaeftsstelle und laesst dir den neuen Fingerprint geben. Und
natuerlich haben die Mitarbeiter dort sofort Ahnung, wovon du sprichst.


Gruesse,
	Benjamin
-- 
Benjamin 'blindCoder' Schieder
Registered Linux User #289529: http://counter.li.org
finger blindcoder at scavenger.homeip.net | gpg --import
-- 
/lusr/bin/brain: received signal: SIGIDIOT
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : nicht verfügbar
Dateityp    : application/pgp-signature
Dateigröße  : 189 bytes
Beschreibung: nicht verfügbar
URL         : <https://mlists.in-berlin.de/pipermail/linux-l-mlists.in-berlin.de/attachments/20070112/330cdc66/attachment.sig>


Mehr Informationen über die Mailingliste linux-l