SSL/TLS - Stand der Dinge
Wie sieht es aktuell eigentlich mit der Sicherheit von SSL/TLS aus? Seit dem letzten Artikel zum Thema ist einige Zeit vergangen, und es gibt ein paar neue Entwicklungen.
Wie sieht es aktuell eigentlich mit der Sicherheit von SSL/TLS aus? Seit dem letzten Artikel zum Thema ist einige Zeit vergangen, und es gibt ein paar neue Entwicklungen.
Die Themen dieses Standpunkts: Eine Java-Schwachstelle, die laut Oracle keine ist, und eine NetBSD-Schwachstelle, die zu unsicheren Krypto-Schlüsseln führt.
Das große Problem beim Vermeiden von Logikfehlern ist das gleiche wie bei der Suche danach: Es gibt so viele Möglichkeiten, einen Logikfehler in die Webanwendung ein zu bauen, dass es keine allgemeingültige Regel zu ihrer Vermeidung gibt. Oder vielleicht doch: Arbeiten Sie immer äußerst konzentriert und vorsichtig. Was das Problem mitunter aber auch nicht löst.
Im Windows.Developer 4.2013 ist ein Artikel über die Sicherheit von Tablets erschienen. Vorgestellt werden die bisher bekannten theoretischen und praktischen Angriffe. Bisher gibt es von beiden zwar erst wenige, aber da die Tablets immer mehr die Notebooks verdrängen, werden die Cyberkriminellen eher früher als später auch die Tablets und deren Eigenheiten bei ihren Angriffen berücksichtigen.
"Drucksache: Windows.Developer 4.2013 - Wie sicher ist das Tablet?" vollständig lesenIn der Weave 2.2013 ist ein Artikel über Sicherheitslücken in HTML5 erschienen. Vorgestellt werden einige ausgewählte Angriffe sowie die zugehörigen Schutz- und Gegenmaßnahmen.
Eine offizielle Linkliste gibt es auf der Website des Magazins. Hier meine durchnummerierte Version:
"Drucksache: Weave 2.2013 - Sicherheitslücken in HTML5" vollständig lesenJava im Browser ist gefährlich. Darum sollte man es ausschalten, wenn man es nicht braucht. Denn was nicht aus dem Browser heraus erreichbar ist, kann auch nicht über eine Drive-by-Infektion angegriffen werden. Im Fall von Mac OS X 10.7 und 10.8 reichte das Ausschalten von Browser im Java aber nicht aus, um Angriffe zu verhindern, wie jetzt im Rahmen eines Updates heraus kam.
Logikfehler haben zwei unangenehme Eigenschaften: Zum einen haben sie oft sehr weit reichende Folge, wie die Beispiele in den vorherigen Folgen gezeigt haben. Und zum anderen lassen sie sich oft nur schwer finden. Einige Hinweise, wie Sie Logikfehler finden, gibt dieser Text.
Beim diesjährigen Pwn2Own-Wettbewerb auf der Sicherheitskonferenz CanSecWest wurde mit Ausnahme von Apples Safari alles gehackt, was zur Verfügung stand. Und ob Safari nun allen Angriffen widerstanden hat oder ob niemand Lust hatte, sich damit zu befassen, werden wir nie erfahren, denn es gab nicht einen einzigen Angriffsversuch.
Es geht weiter mit der Entwicklung rund um die aktuellen 0-Day-Schwachstellen. Oracle hat die am 28. Februar entdeckte 0-Day-Schwachstelle in Java behoben - und außerdem einen Sicherheitsforscher provoziert, der auf Oracles trotziges "Das da ist aber keine Schwachstelle!!!" noch mal genauer hin gesehen und dabei gleich fünf weitere Schwachstellen entdeckt hat. Zusammen erlauben sie den Ausbruch aus der Sandbox. Vielleicht sollte man besser mal die Java-Entwickler in einen Standkasten stecken?
Es gibt mal wieder eine neue 0-Day-Schwachstelle. Diesmal mal wieder in Java. Ich kann hier also gleich da weiter machen, wo ich vorigen Donnerstag aufgehört habe: