Forum

Re: Frage bezüglich Zertifikate ...
Antwort #45: November 23, 2015, 23:27:16
Konkret verstehe ich gar nix: ich kann Zertifikate nicht zu- und einordnen, oder - was vermutlich wichtig wäre - auf Echtheit überprüfen. Gut bin ich nur im wegklicken von abgelaufenen Zertifikaten (von Webseiten.)

Außerdem irgendwelche Meldungen im Systemdesign einblenden kann wohl jeder.
« Letzte Änderung: November 23, 2015, 23:35:05 von radneuerfinder »
Re: Frage bezüglich Zertifikate ...
Antwort #46: November 24, 2015, 07:21:20
Außerdem irgendwelche Meldungen im Systemdesign einblenden kann wohl jeder.

Zum Glück nicht ganz. Eine Website kann per JavaScript ein Fenster mit beliebigem Inhalt oder eine Dialogbox öffnen. Zum Glück kann man das doch noch von echten Meldungen unterscheiden.
In dem verlinkten Beispiel:
Der erste Screenshot ist eine Dialogbox. Hier kann der "Böse" nur einen Text vorgeben. Das Icon links (von Safari) und der Text oben drüber "Von xy:" wird vom System hinzugefügt, damit man sehen kann, dass das von safari stammt und von welcher Website die Meldung stammt.
Der zweite Screenshot ist dann der Inhalt eines normalen Safarifensters. Was dort zu sehen ist, kann natürlich wie bei jeder Website beliebig aussehen. Dafür kann man dann aber sehen, dass es ein normales Safari-Fenster ist.
Also echte systemmeldungen können so nicht geöffnet werden, aber die versuchen natürlich dies durch das Aussehen nachzuahmen. Ähnlich wie bei Phishingmails.
_______
Was ist die Mehrheit? Mehrheit ist der Unsinn, Verstand ist stets bei wen´gen nur gewesen." -- Schiller

Florian

  • Zurück in der Zukunft
Re: Frage bezüglich Zertifikate ...
Antwort #47: November 24, 2015, 21:48:50
Das mit dem Apple-Zertifikat hat warlord doch damals beantwortet. Das ist aber auch ein echter Sonderfall.

Die „Meldung im Systemdesign“ hat mit Zertifikaten auch nichts zu tun.

Zertifikate haben zwei Funktionen:
Identitätscheck und Verschlüsselung.

Zertifikate einordnen und bewerten kann man natürlich nur, wenn man sie liest. :) Das macht meiner Schätzung nach niemand wirklich. Daher haben die Browser-Hersteller nachgerüstet.
Generell muss das Zertifikat natürlich zur Domain passen und gültig sein - der Browser übernimmt diesen Check. Mittlerweile haben viele Browser auch Funktionen, etwa färben sie die Adresszeile grün, wenn das Zertifikat wirklich 100% sicher ist.
Wenn Du mehr wissen willst, musst Du auf das Schloss klicken und brauchst in Safari insgesamt „nur“ drei Klicks. Dann erfährst Du, wer der Aussteller des Zertifikats ist, seit und wie lange es gültig ist, welche Verschlüsselung zum Einsatz kommt und v.a. auch, wie der Serverbetreiber denn eigentlich vor Ausstellen des Zertifikats überprüft wurde.
Im Titel des Zertifikats steht dazu i.d.R. G2/G3/G4. G2 bedeutet, dass eigentlich nur sichergestellt wurde, dass der Server zu einer anderen Email passt. Ein echter Identitätscheck findet also nicht statt. Ein Beispiel für G2 ist wikipedia, wo das sicherheitstechnisch auch in Ordnung geht. Dort steht, komischerweise, als Organisationsname sogar „domain validated“.

Banken usw. müssen sich schon in der echten Welt ausweisen und haben G3 oder G4 oder im Namen man liest PKI. Dann färbt Safari die URL auch grün. Beispiel der eBay-Login. Manchmal funktioniert das auch nicht - weiß nicht genau, warum. Wahrscheinlich lassen sich die Zertifikationsstellen das extra bezahlen.
Ein anderer Unterscheidungspunkt ist das Wörtchen „kritisch“ für bestimmte Anwendungszwecke. Oft steht auch da, wie verifiziert wurde und es sind auch immer Links, wo man mehr lesen kann, was natürlich sehr aufwendig ist, weil kaum jemand das aufbereitet, sondern auf ein Dokumentenarchiv verweist.

So läuft das also im Internet:
- Serverbetreiber braucht Zertifikat
- Anerkannte Zertifikationsstelle verkauft es ihm
- Er installiert es auf dem Server
- Des Users Browser checkt, ob das Z. zur Seite passt, ob es noch gültig ist, welche Güte es hat und wer es ausgestellt hat. Für letzten Punkt schaut er in die Liste der auf dem OS X vorinstallierten Liste
- Stimmt was nicht, kommt eine Warnmeldung, manche färben die URL auch noch rot und was weiß ich
- Stimmt alles, generiert der Browser einen Schlüssel und mit dem öffentlichen Schlüssel des Server-Zertifikats zusammen entsteht ein Session-gebundene Verschlüsselung
- Stimmt alles und liegt ein echter Identitätscheck vor, wird die URL oder Adresszeile grün

Nun kann an Zertifikate auch anders verwenden. Z.B. um eine App mit dem eigenen Server zu verbinden. Und siehe da, dort sind meistens selbst erzeugte Zertifikate im Einsatz, die nicht gegengecheckt wurden, aber immerhin erlauben sie eine Verschlüsselung der Verbindung.
Leider gibt es aber keine Warnung für die User, dass hier theoretisch irgendwer irgendwelche Identitäten angenommen haben könnte. Theoretisch aber könnte sich jetzt jemand unerkannt dazwischen klemmen, denn man sieht ja nicht, was da abgeht und geprüft wird es vom System m.W. auch nicht.

Das System hat auch generell Angriffspunkte, insbesondere steht und fällt es mit der Seriosität und Sicherheit der Zertifikationsinstitute. Skandale gab es ja schon.

Was Dell gemacht hat, sieht für mich nach böser Absicht aus. Mittlerweile haben sie immerhin reagiert und wollen ein Update bereitstellen. Hier handelt es sich um ein Root-Zertifikat, welches auch noch andere Zertifikate beglaubigen konnte und dessen privater Schlüssel allgemein bekannt ist. So kann sich ein Angreifer sein selbst ausgestelltes Zertifikat beglaubigen lassen. Leitet er nun den den https-Verkehr über seinen Proxy, wird keine Warnung gegeben. Der Browser verbindet sich also mit dem Proxy und schickt seine Daten an den Angreifer/man in the middle.
Was mir wegen akutem Windows-Unwissen nicht klar ist: Ob er Kontrolle über den Dell haben muss oder ob das im selben Netz schon geht.

_______
"If music be the food of love, play on!”
                         William Shakespeare
Re: Frage bezüglich Zertifikate ...
Antwort #48: November 24, 2015, 22:43:23
Tausend Dank für die Mühe!

Die „Meldung im Systemdesign“ hat mit Zertifikaten auch nichts zu tun.

Ich finde schon. Ich würde mir nicht zutrauen die Echtheit eines Zertifiktat Fensters zu erkennen.

Zitat
G4 … PKI

 ???

Zitat
färbt Safari die URL auch grün. ... Manchmal funktioniert das auch nicht - weiß nicht genau, warum.

Besser kann man meine Meinung zu Zertifikaten nicht zusammenfassen. 8)


Re: Frage bezüglich Zertifikate ...
Antwort #49: November 25, 2015, 07:17:20
Ich würde mir nicht zutrauen die Echtheit eines Zertifiktat Fensters zu erkennen.

Warum nicht? Ein Zertifikatsfenster ist doch anders als ein Browserfenster oder eine Textdialogbox.
_______
Was ist die Mehrheit? Mehrheit ist der Unsinn, Verstand ist stets bei wen´gen nur gewesen." -- Schiller
Re: Frage bezüglich Zertifikate ...
Antwort #50: November 25, 2015, 07:59:30
Zertifikat nur echt im richtigen Design. Und wer sagt mir, ob das Design, ähnlich wie die Meldungstexte, nicht auch manipuliert werden kann? Die Trennlinie ist mir irgendwie zu vage.
Re: Frage bezüglich Zertifikate ...
Antwort #51: November 25, 2015, 08:30:57
Zertifikat nur echt im richtigen Design.

Nein, das Design ist ja völlig frei gestaltbar (oder wir reden aneinander vorbei). Es werden entweder nur Textboxen mit deutlichem Hinweis auf die Herkunft angezeigt oder ein Browserfenster mit einer Website. Der Inhalt des Browserfensters ist wie bei Websites üblich frei gestaltbar und damit kann man damit auch jedes beliebige Design nachmachen. Zur Not auch einfach einen Screenshot darstellen. Aber es ist und bleibt ein Browserfenster, welches sich ....
ARGH! Kommando zurück. Ich habe es gerade mal in Safari ausprobiert. Ich hatte mich durch das Beispiel von fränk, was Du verlinkt hattest, täuschen lassen. Ein Browserfenster (mit beliebigem gefaktem Inhalt) kann man schon von einem anderen Fenster unterscheiden, da ja nur der Inhalt nachgemacht werden kann.
Aber das Zertifikatsfenster in Safari ist ja gar kein eigenes Fenster, sondern nur etwas, was über den normalen Browserinhalt gelegt wird. Das könnte man tatsächlich mit etwas Aufwand in HTML/CSS/JavaScript nachbasteln. Das könnte man dann tatsächlich nicht unterscheiden.

Einzige echte Unterscheidungsmöglichkeit scheint mir aktuell zu sein: Das echte Zertifikatsfenster wird durch Klick auf das Zertifikatszeichen in der Adresszeile geöffnet und nicht auf anderem Weg. Ob man den Klick auf dieses Zeichen in der Adressleiste nicht auch irgendwie per JavaScript abfangen könnte, um etwas eigenes einzublenden, weiß ich nicht. Aktuell ist mir da keine Möglichkeit bekannt.
_______
Was ist die Mehrheit? Mehrheit ist der Unsinn, Verstand ist stets bei wen´gen nur gewesen." -- Schiller

Florian

  • Zurück in der Zukunft
Re: Frage bezüglich Zertifikate ...
Antwort #52: November 25, 2015, 18:35:37
Ich finde schon. Ich würde mir nicht zutrauen die Echtheit eines Zertifiktat Fensters zu erkennen.

Im jeweiligen Browser sind die ja „fest verankert“. Die kann man nicht einfach per Javascript einblenden. Was anderes ist freilich, wenn man der Rechner schon total übernommen wurde und in den laufenden Code des Browsers eingegriffen werden kann. Dann ist es aber eh zu spät…

Zitat
Zitat
G4 … PKI

 ???

G2 steht, wie gesagt, für eine simple Email- und Domain-Identitätsprüfung, ähnlich wie wir es hier bei Neu-Anmeldung im Forum machen. Sprich, gehört die Domain wirklich dem Besteller des Zertifikats?
Dazu kommt dann, meistens, ja auch noch eine Zahlung mit Daten.
Identitätsdiebstahl schließt dies nicht wirklich aus.

Bei G3 und höher werden auf unterschiedliche Weise tatsächlich die Identitäten geprüft.


Wie sich das PKI herein verirrt hat, weiß ich nicht, soll jedenfalls einen hohen Standard signalisieren. Eigentlich heißt PKI Public Key Infrastructure und beschreibt das Grundprinzip des Ganzen.

Zitat
Zitat
färbt Safari die URL auch grün. ... Manchmal funktioniert das auch nicht - weiß nicht genau, warum.

Besser kann man meine Meinung zu Zertifikaten nicht zusammenfassen. 8)

Ich hatte aber eine Vermutung angeführt, und diese nun überprüft. :)
Es ist, wie ich schrieb: Die Zertifikatsausgeber lassen sich das extra bezahlen, dafür soll die Identitätsprüfung noch genauer sein. Im Branchensprech: Extended Validation (EV). Auch hier wird es aber leider nicht immer allzu ernst genommen mit der Prüfung - der Preisdruck führt zu Kompromissen.
https://de.wikipedia.org/wiki/Extended-Validation-Zertifikat

Super Seite um Zertifikate von Mail- und Webservern zu checken - aber nicht verunsichern lassen, perfekt und auf dem neuesten Stand der Technik ist kaum eins:
https://ssl-tools.net/
_______
"If music be the food of love, play on!”
                         William Shakespeare
Re: Frage bezüglich Zertifikate ...
Antwort #53: November 26, 2015, 07:16:08
Ich finde schon. Ich würde mir nicht zutrauen die Echtheit eines Zertifiktat Fensters zu erkennen.

Im jeweiligen Browser sind die ja „fest verankert“. Die kann man nicht einfach per Javascript einblenden. Was anderes ist freilich, wenn man der Rechner schon total übernommen wurde und in den laufenden Code des Browsers eingegriffen werden kann. Dann ist es aber eh zu spät…

Wieso sollte man das nicht nachbilden können? Die Zertifkatsanzeige in Safari ist kein extra Fenster, wie ich erst dachte, sondern einfach nur ein Overlay über die angezeigte Seite, d.h. komplett innerhalb des Anzeigebereiches der Seite. Da kann ich doch beliebige Sachen per HTML/CSS anzeigen lassen. JavaScript brauche ich da nur, damit das nicht nur statisch so aussieht, wie das originale, sondern auch auf Mausklicks reagiert/sich verändert, langsam ein-/aus fährt etc. Ich sehe da jetzt echt kein Problem eine Website zu bauen, die über sich so eine Anzeige einblendet.
_______
Was ist die Mehrheit? Mehrheit ist der Unsinn, Verstand ist stets bei wen´gen nur gewesen." -- Schiller

mbs

Re: Frage bezüglich Zertifikate ...
Antwort #54: November 26, 2015, 08:41:23
Das kann man nicht wirklich nachbilden. Die Zertifikatsanzeige in Safari ist ein "gleitendes Dialogfenster" (Sheet), das fest am Browser-Fenster hängt und mit der Anzeige des Seiteninhalts nichts zu tun hat.

Natürlich kann man auf einer Seite allen möglichen Unfug machen, um Leichtgläubige zu allerlei Aktionen zu veranlassen. Dann sind wir aber beim üblichen "Trojaner-Problem", für das es keine technische Lösung gibt. Nur Schulung hilft.
Re: Frage bezüglich Zertifikate ...
Antwort #55: November 26, 2015, 09:04:06
Das kann man nicht wirklich nachbilden. Die Zertifikatsanzeige in Safari ist ein "gleitendes Dialogfenster" (Sheet), das fest am Browser-Fenster hängt und mit der Anzeige des Seiteninhalts nichts zu tun hat.

Das ist schon klar. Ein echtes Sheet kann ich nicht erzeugen. Aber wo ist der optische(!) Unterschied zwischen einem echten Sheet über einer Website und einer Website, bei der eine Ebene am oberen Rand über dem normalen Inhalt eingeblendet wird? Ich kann da jetzt kein direktes Problem erkennen. Beide Sachen sind innerhalb des Anzeigebereiches und überlagern den normalen Inhalt.

Nur mal hypothetisch: Ich mache einen Screenshot von dem Sheet und setze den per CSS oben mittig auf eine Website. Bis auf das Hereingelassen und die Funktionalität beim Klicken, sieht es doch erst einmal dann identisch aus, oder?
Klar, reicht ein Screenshot (=Grafik) nicht aus. Ich müsste schon den Inhalt tatsächlich auch als Text und interaktiv und animiert nachbilden. Aber das ist doch nur Fleißarbeit.

Wo ist mein Denkfehler? Wie kann man ein Sheet von HTML-Ausgabe unterscheiden?
_______
Was ist die Mehrheit? Mehrheit ist der Unsinn, Verstand ist stets bei wen´gen nur gewesen." -- Schiller

mbs

Re: Frage bezüglich Zertifikate ...
Antwort #56: November 26, 2015, 09:47:47
Das wird jetzt etwas esoterisch, aber ein echtes Sheet kann zum Beispiel über die Seite herausragen und lässt sich vom Benutzer beliebig vergrößern.

Re: Frage bezüglich Zertifikate ...
Antwort #57: November 26, 2015, 11:06:47
OK, das kann man tatsächlich nicht nachbilden.
_______
Was ist die Mehrheit? Mehrheit ist der Unsinn, Verstand ist stets bei wen´gen nur gewesen." -- Schiller

Florian

  • Zurück in der Zukunft
Re: Frage bezüglich Zertifikate ...
Antwort #58: November 26, 2015, 14:32:13
Zudem wird der Dialog ja erst eingeblendet, wenn man das Schloss in der Adresszeile klickt. Das kann eine Webseite ja nicht erfassen.

Edit: Sorry, Macflieger schreibt das ja auch schon mehr oder weniger.

Jedenfalls wäre es schon sehr merkwürdig, würde da plötzlich ein Zertifikat auf einer Seite erscheinen, ohne angefordert zu werden.
« Letzte Änderung: November 27, 2015, 00:15:59 von Florian »
_______
"If music be the food of love, play on!”
                         William Shakespeare
Re: Frage bezüglich Zertifikate ...
Antwort #59: August 29, 2016, 22:21:28
Wieso überprüft eine Werbeanzeige die Identität meines Browsers? Wieso hält sie meinen Browser für einen Server?? Was ist mein Sicherheitsgewinn aus dieser Abfrage ???