SSL-Verschlüsselung eine Farce?

Hallo Claudio,

vergleichst Du da nicht Äpfel mit Birnen?

Also das in der Studie angegebene Beispiel per SSL Daten schicken, verarbeiten und dann per E-Mail zustellen ist ganz klar unsicher. Aber SSL ist hat für den Part, wo es genutzt wurde, für Sicherheit gesorgt. Wenn nun der Server die Daten unverschlüsselt, unkomprimiert, unsigniert (unsicher?) weiterschickt, kann doch SSL nichts dafür.

Du hast recht, wer den technischen Background nicht kennt, vertraut auf ein sicheres System, welches am Webserver endet. Aber das hat mit SSL eigentlich nichts zu tun.
Wobei wir alle vertrauen irgendwo auf eine Sicherheit, die wir gar nicht im Detail kennen und auch nicht verifizieren können. Da gilt wieder der alte Spruch: Security by Obscurity

Aber eMail ist nur eine der unsicherne Komponenten - was ist z.B. mit einer Datenbank, in der unverschlüsselt Daten am WebServer abgelegt werden - das wäre da gleiche in Grün.

Mein Vorschlag, überdenke nochmals Deine Meinung ... und gib SSL eine Chance.

Beste Grüße und einen angenehmen Abend - oder Gute Nacht, wie in meinem Fall (gähn).
Ralph

rdombach schrieb:

Mein Vorschlag, überdenke nochmals Deine Meinung ... und gib SSL eine Chance.

Beste Grüße und einen angenehmen Abend - oder Gute Nacht, wie in meinem Fall (gähn).
Ralph

Ich bin auch nicht gegen SSL.
Ich halte es aber für falsch diese Verschlüsselungstechnologie als sicher darzustellen, wenn Webhoster respektive Provider nicht von einer unabhängigen Stelle zertifiziert werden, die den Datentransfer des Providers zertifiziert und regelmäßig auditiert - und da haperts noch.

Gruß,
Claudio.

Und wie soll jemand prüfen, ob eine Seite "sicher" ist? Selbst wenn der Hoster sein Bestes tut, SSL vorhanden ist und auch die Emails über eine sichere Verbindung gesendet werden, so ist die Seite dennoch nicht sicher. Passwörter können gehackt werden, Schadcode kann eingeschleust werden, ... es gibt unzählige Möglichkeiten, wegen denen eine Seite nicht sicher ist und die man nicht mit angemessenem Aufwand absichern kann.

Sicherheit ist immer etwas relatives. SSL ist nicht das eine Kriterium für Sicherheit, aber es gehört dazu.

Das Thema Sicherheit von Webseiten kommt regelmäßig und oft hoch im Forum.
Und jedes mal habe ich ein paar graue Haare mehr, weil ich einfach nicht die Kapazität habe, alle Tipps und Links zu verfolgen. Matthias hat mir wertvolle Tipps zur Typo3 Sicherheit gegeben, Gerard (er fehlt!) zum Mailing bei evtl. Angriffen, Ralph glänzt regelmäßig mit sehr wertvollen Tipps.

Nach dem Fiasko von Matthias hatte ich vorgeschlagen, Angriffe auf bzw. Lücken in CMS hier sofort zu posten.
Jetzt schlage ich vor, die Tipps zur Sicherheit in irgendeiner Form hier zu sammeln. Quasi als Checkliste, die fortgeschrieben wird. Sei es SSL, .htaccess, IP-Sperre, ...
Vielleicht in Form eines offenen Artikels? Klar, das ist Arbeit und technisch vielleicht nicht so einfach zu realisieren. Mehrere Redakteure an einem Artikel!!!
Aber es würde die Reputation von Seitenreport und dessen Foristen sicher steigern. Und Einige Leser vor böser Erfahrung bewahren.
Wie ist eure Meinung zu dieser unausgereiften Idee?

Hallo Claudio,

Passe schrieb:

Ich halte es aber für falsch diese Verschlüsselungstechnologie als sicher darzustellen, wenn Webhoster respektive Provider nicht von einer unabhängigen Stelle zertifiziert werden, die den Datentransfer des Providers zertifiziert und regelmäßig auditiert - und da haperts noch.

Die Verschlüsselungstechnologie hinter SSL ist per Design sicher. Die verwendeten Algorithmen bieten ebenfalls eine hohe Sicherheitsstufe.
Einzige Schwachstelle ist hier, wie bei jeder zertifikatbasierenden Verschlüsselung, die Herkunft des ausgestellten Zertifikat. Stammt es von einer vertrauenswürdigen Zertifizierungsstelle und das zugehörige Stammzertifikat ist dem Browser bekannt, gibt es keine Probleme. Kritisch wird es immer, wenn eine Zertifikatsmeldung im Browser aufpoppt, die Adresse des Server und die im ausgestellten Zertifikat währen unterschiedlich. Traurig ist an dieser Konstellation nur, dass mittlerweile schon "üble Gesellen" die Benutzer vorab mit einer Meldung impfen, so in etwa:
"Entschuldigen sie bitte diese Störung, aber wir konnten unser Zertifikat nach einem Serverumzug noch nicht erneuern. Es ist alle in Ordnung."
Das schlimme daran ist, dass in 90% aller Fälle, die Benutzer diesen Schwachsinn glauben.

Wie willst du den Datentransfer eines Hosters/ISP auditieren?
Der Hoster bietet nur an, was der Kunde verlangt. Währen die Seitenbetreiber bereit Geld auszugeben, währe auch die Sicherheit in einem höheren Maße machbar.
Greifen wir mal das vorher gefallene Thema Datenbank <=> CMS auf.
Die einzige saubere Konstellation währe hier eine n-Tier Anwendung incl. Datenbank auf einem dediziertem DB-Server. Der Webserver auf einem eigenem Server und im selben LAN-Segment.
Wer gibt das Geld dafür aus?!? Richtig
Also wird immer die DB auf dem selben Server laufen wie der Webserver. Meist wird dann noch so ein noCost DB-System verwendet.
Was soll also bei so einer billigen Konstellation auditiert werden?

Wie du siehst Claudio, ist im ganzen Konzept nicht das Protokoll oder die Verschlüsselung das Problem, sondern die Komponente Mensch; wie in den meisten anderen sicherheitskritischen Bereichen ebenfalls. Würde man die Benutzer dazu bewegen können, endlich zu verstehen was eine Sicherheitsmeldung bedeutet, würde sich meiner Meinung nach die Anzahl der Sicherheitsvorfälle halbieren. Wenn aber weiter auf alles geklickt wird was nur schön bunt ist, hilft auch das beste Konzept nichts.
Als weiterer Punkt ist aus meiner Sicht, das Leistungsverständniss der Seitenbetreiber gefragt. Ihnen muss bewusst gemacht werden, dass man für 5€/Monat keine sicherheitskritische, professionelle Webanwendung aufziehen kann, sondern maximal eine private Hobbyseite.

Just my 2 cents.
Servus,
Klaus

klaus_b@.NET über alles was an .NET und C# Spass macht.

Hallo nochmal,

Passe schrieb:
<snip>
Hier der Link zum PDF-Dokument: XamitStudie

Seite 18/19 bzw. 20/21 im Dokument zeigen die Schwächen von SSL.

Dieses Dokument zeigt absolut keine Schwachstelle von SSL, sondern ein, verzeiht bitte den Ausdruck, "dummes Konzept der Datenübermittlung".
SSL ist ausschließlich für die Ãœbermittling zwischen Client und Server zuständig. Wenn der Seitenbetreiber jetzt dieses gesichert übertragenen Daten nimmt und mittels unverschlüselter Email weitersendet, ist das keine Schwachstelle der SSL Ãœbermittlung sondern reine Dummheit oder Unwissenheit des Seitenbetreibers. Die Aufgabe einer SSL-Verbindung endet am Server.

Servus,
Klaus

klaus_b@.NET über alles was an .NET und C# Spass macht.

Mir geht es nicht im eigentlichen Sinn um SSL, was ich als Technologie für sehr sinnvoll und sicher halte. Im wesentlichen geht es mir darum, dass es den meisten Benutzern (noch einschließlich meiner Person) gar nicht klar ist, dass die Datenwege deshalb auch nicht sicher sein müssen. Mich hat es schon sehr verwundert, dass es offenbar mit den Datentransfer nach dem Eingang auf dem Server nicht so eng genommen wird. Für Benutzer ist dies alles kaum nachvollziehbar.

Gruß,
Claudio.

Hallo Claudio,

Passe schrieb:
<snip>
Mich hat es schon sehr verwundert, dass es offenbar mit den Datentransfer nach dem Eingang auf dem Server nicht so eng genommen wird. Für Benutzer ist dies alles kaum nachvollziehbar.

Vielleicht lernst du ja jetzt eine vernünftige Datenschutzerklärung, welche die Datentransportwege und Methoden beinhaltet, zu schätzen
Spätestens jetzt sollte dir auch klar sein, warum bestimmten Leuten diese Datenschutzerklärung so wichtig ist.

Servus,
Klaus

klaus_b@.NET über alles was an .NET und C# Spass macht.

klaus_b schrieb:

Spätestens jetzt sollte dir auch klar sein, warum bestimmten Leuten diese Datenschutzerklärung so wichtig ist.

Sicher, sicher - eine gute Datenschutzerklärung halte ich auch für sinnvoll. Hier muss ich auch noch ein wenig individuelles bei mir reinpacken.
Aber zumindest ist bei mir die Datenschutzerklärung bei jeder Eingabemöglichkeit von personen bezogenen Daten mit einem Texthinweis verlinkt, da haperts noch auf so manch anderen mir bekannten Seiten.

Gruß,
Claudio.

Passe schrieb:
<snip>
Aber zumindest ist bei mir die Datenschutzerklärung bei jeder Eingabemöglichkeit von personen bezogenen Daten mit einem Texthinweis verlinkt, da haperts noch auf so manch anderen mir bekannten Seiten.

Erwischt!
Hast Recht. Da muss ich auch noch ran.

Servus,
Klaus

klaus_b@.NET über alles was an .NET und C# Spass macht.