ausblenden > Mac-Software
Frage bezüglich Zertifikate ...
MacFlieger:
--- Zitat von: Florian am Juli 30, 2013, 18:02:30 ---
--- Zitat von: MacFlieger am Juli 30, 2013, 07:32:07 ---Ich verstehe den Unterschied auch nicht so ganz. Wobei auch andere Browser es genauso machen und selber Stammzertifikate aktualisieren und nachladen.
--- Ende Zitat ---
Wenn dann machen auch sie es falsch. Ich wüsste auch nicht, dass unter OS X bei Bedarf was nachgeladen wird.
--- Ende Zitat ---
AFAIK ist es unter Windows so, dass einige Browser (IE, Safari...) die im System und Artikel genannten Methode verwenden. Firefox führt seine eigenen Listen und updatet die ebenfalls selber, parallel zu der Liste des Systems.
Ich vermute, dass es ähnlich unter OS X ist.
Aber: Was ist daran falsch, dass das System die Stammzertifikate aktualisiert? Wie sollen sonst neuere oder aktualisierte Zertifikate auf dem Rechner landen und wie wollen kompromittierte entfernt werden? OK, man könnte fordern, dass so etwas nur manuell geschehen kann, aber seien wir ehrlich: Dann würde so etwas bei den meisten nie passieren.
--- Zitat ---Ich verstehe auch nicht die Logik von einer mitgelieferten Liste und einer zusätzlichen.
--- Ende Zitat ---
Was meinst Du?
Florian:
--- Zitat von: MacFlieger am Juli 31, 2013, 07:57:37 ---AFAIK ist es unter Windows so, dass einige Browser (IE, Safari...) die im System und Artikel genannten Methode verwenden. Firefox führt seine eigenen Listen und updatet die ebenfalls selber, parallel zu der Liste des Systems.
Ich vermute, dass es ähnlich unter OS X ist.
--- Ende Zitat ---
Der erste Punkt steht im Artikel so drin. Ist natürlich an sich sinnvoll, dass die Programme die zentrale Datei nutzen. Hier aber schlecht.
Unter OS X wäre das ja der Schlüsselbund. Auch hier pflegt FF seine eigene Liste.
Würde der Schlüsselbund „System-Roots“ aber dynamisch verändert, wäre doch ein Admin-Passwort fällig? Oder „überreitet“ OS X das einfach mit seinen eigenen Rechten ohne zu informieren?
--- Zitat ---Aber: Was ist daran falsch, dass das System die Stammzertifikate aktualisiert?
--- Ende Zitat ---
Gar nichts!
Der richtige Weg ist aber, dies transparent zu gestalten, nicht hintenrum ohne Information des Anwenders. Ansonsten meldet Windows doch auch jeden Kleinkram.
Es spricht null dagegen, turnusmäßig die Listen per Softwareaktualisierung/Windows-Update zu aktualisieren und dies in die Release Notes zu schreiben. Leider macht das i.d.R. niemand, nur bei den spektakulären Revoke-Fällen. Aber im laufenden Betrieb ins Geschehen einzugreifen, finde ich noch schlimmer.
--- Zitat ---Was meinst Du?
--- Ende Zitat ---
War falsch ausgedrückt, ich meinte zwei (oder noch mehrere) verschiedene Update-Wege. Was soll das?
Insgesamt ist doch die ganze Prämisse merkwürdig. Die Seitenbetreiber orientieren sich doch eh an den schon installierten RCs. Und es kommen auch nicht jeden Tag zwei neue CAs dazu.
MacFlieger:
--- Zitat von: Florian am Juli 31, 2013, 19:19:59 ---Ist natürlich an sich sinnvoll, dass die Programme die zentrale Datei nutzen. Hier aber schlecht.
--- Ende Zitat ---
Es wäre besser, wenn jedes Programm (so wie Firefox) seine eigene Liste und Updateroutine mitbringt?
--- Zitat ---Würde der Schlüsselbund „System-Roots“ aber dynamisch verändert, wäre doch ein Admin-Passwort fällig? Oder „überreitet“ OS X das einfach mit seinen eigenen Rechten ohne zu informieren?
--- Ende Zitat ---
Wie es unter OS X läuft, weiß ich nicht. Es könnte(!) sein, dass hier neue Einträge nur mit Sicherheitsaktualisierungen ausgeliefert werden. Ist aber eine reine Vermutung ohne Hintergrundwissen.
Die XProtect-Liste wird übrigens unter OS X auch völlig ohne Rückmeldung systemweit unter OS X aktualisiert.
Florian:
--- Zitat von: MacFlieger am August 01, 2013, 07:58:22 ---Es wäre besser, wenn jedes Programm (so wie Firefox) seine eigene Liste und Updateroutine mitbringt?
--- Ende Zitat ---
Natürlich nicht, nur in diesem Fall hat es eben mal einen Vorteil.
--- Zitat ---Die XProtect-Liste wird übrigens unter OS X auch völlig ohne Rückmeldung systemweit unter OS X aktualisiert.
--- Ende Zitat ---
Der Vergleich passt aber nicht.
Erstens reagiert Apple nur bei Gefahr in Verzug, was man bei Zertifikaten nicht sagen kann. Zweitens geschieht es zwar ohne Meldung, man gibt aber offensichtlich eine Presse-Meldung raus, zumindest kann man es überall lesen. Drittens kann man das auch deaktivieren.
--- Zitat ---Wie es unter OS X läuft, weiß ich nicht. Es könnte(!) sein, dass hier neue Einträge nur mit Sicherheitsaktualisierungen ausgeliefert werden. Ist aber eine reine Vermutung ohne Hintergrundwissen.
--- Ende Zitat ---
Ich verstehen diesen Absatz nicht:
--- Zitat ---When a user visits a secure Web site (that is, by using HTTPS), reads a secure e-mail (that is, S/MIME), or does some other operation using PKI, the Mac OS X certificate chain verification software checks the X509Anchors file. To the user, the experience is seamless. The user does not see any security dialog boxes or warnings. The download happens automatically, behind the scenes.
--- Ende Zitat ---
http://www.apple.com/certificateauthority/ca_program.html
Einerseits ist vom lokalen File die Rede, andererseits von einem Download.
Weiter unten steht dann:
--- Zitat ---After Apple accepts your root certificate, it will appear in a Software Update after the next root certificate refresh cycle.
--- Ende Zitat ---
Florian:
Nach dem Open-SSL-Desaster nun die Skandale um Lenovo bzw. Superfish und jetzt auch noch einem angeblichen Schutzprogramm, dass Sicherheit aushebelt. Irgendwie hat man den Eindruck, SSL soll wundgeschossen werden. Noch wunder als es natürlich eh schon ist. Zumindest ist es vielen Werbefritzen u.a. total egal, was sie anrichten.
http://www.heise.de/newsticker/meldung/Gefaehrliche-Adware-Mehr-als-ein-Dutzend-Anwendungen-verbreiten-Superfish-Zertifikat-2557619.html
http://www.heise.de/newsticker/meldung/PrivDog-torpediert-die-Web-Sicherheit-im-Namen-der-Privatsphaere-2557756.html
Navigation
[0] Themen-Index
[#] Nächste Seite
[*] Vorherige Sete
Zur normalen Ansicht wechseln