mathmos
404
- Registriert
- 14 Juli 2013
- Beiträge
- 4.415
Erzähl das mal Unternehmen wie Redhat (ca. 130 Millionen Euro Gewinn (netto) im letzten Geschäftsjahr).
-
Hallo liebe Userinnen und User,
nach bereits längeren Planungen und Vorbereitungen sind wir nun von vBulletin auf Xenforo umgestiegen. Die Umstellung musste leider aufgrund der Serverprobleme der letzten Tage notgedrungen vorverlegt werden. Das neue Forum ist soweit voll funktionsfähig, allerdings sind noch nicht alle der gewohnten Funktionen vorhanden. Nach Möglichkeit werden wir sie in den nächsten Wochen nachrüsten. Dafür sollte es nun einige der Probleme lösen, die wir in den letzten Tagen, Wochen und Monaten hatten. Auch der Server ist nun potenter als bei unserem alten Hoster, wodurch wir nun langfristig den Tank mit Bytes vollgetankt haben.
Anfangs mag die neue Boardsoftware etwas ungewohnt sein, aber man findet sich recht schnell ein. Wir wissen, dass ihr alle Gewohnheitstiere seid, aber gebt dem neuen Board eine Chance.
Sollte etwas der neuen oder auch gewohnten Funktionen unklar sein, könnt ihr den "Wo issn da der Button zu"-Thread im Feedback nutzen. Bugs meldet ihr bitte im Bugtracker, es wird sicher welche geben die uns noch nicht aufgefallen sind. Ich werde das dann versuchen, halbwegs im Startbeitrag übersichtlich zu halten, was an Arbeit noch aussteht.Neu ist, dass die Boardsoftware deutlich besser für Mobiltelefone und diverse Endgeräte geeignet ist und nun auch im mobilen Style alle Funktionen verfügbar sind. Am Desktop findet ihr oben rechts sowohl den Umschalter zwischen hellem und dunklem Style. Am Handy ist der Hell-/Dunkelschalter am Ende der Seite. Damit sollte zukünftig jeder sein Board so konfigurieren können, wie es ihm am liebsten ist.
Die restlichen Funktionen sollten eigentlich soweit wie gewohnt funktionieren. Einfach mal ein wenig damit spielen oder bei Unklarheiten im Thread nachfragen. Viel Spaß im ngb 2.0.
VM: "Anonyme Festung" aufbauen - Sicher im Netz u. lokal
- Ersteller orion94
- Erstellt am
Erzähl das mal Unternehmen wie Redhat (ca. 130 Millionen Euro Gewinn (netto) im letzten Geschäftsjahr).
Wenn man diese Denkweise an den Tag legt, kann man sich bestimmt einreden das eine laecherliche VPN verbindung irgendeinen sicherheitsbonus bringt.
willst du mir allen ernstes erzaehlen das du dir vollkommen im klaren bist welches zertifikat fuer welchen service mit welcher vererbung an wen ausgestellt wurde
und du kannst sicher validieren das keine der ketten unterbrochen wurde ???
Einfach und Plakativ - Wenn man sich das hier mal durchliest:
http://hbpub.vo.llnwd.net/o16/video/olmk/holt/greenwald/NoPlaceToHide-Documents-Uncompressed.pdf
Willst Du jetzt ernsthaft mit sicherheit erklaeren das keines der Zertifikate die sich auf dem normalo Rechner tummeln, absichtlich frisiert wurden ?
on top, Wieviele solcher vorfaelle:
http://www.heise.de/security/meldun...-CA-Hacks-schlimmer-als-erwartet-1336603.html
wirds wohl gegeben haben ueber die stillschweigen vereinbart wurde ?
Was das mit der Fragestellung zu tun hat, eine Menge:
Denn hier kommt ein User an und stellt eine valide frage und als antwort werden Vorgehensweisen gepostet die maximal die gefühlte sicherheit erhöhen,
aber doch in der realitaet keinerlei mehrwert bieten. das freut wahrscheinlich nur die Anbieter diverser vpn Services. ich denke das es gefährlich ist sowas zu publizieren...
Ja, ich weiß, welche Zertifikate mein Server an welcher Stelle ausgibt und mein Server weiß auch ganz genau und eindeutig, welche Zertifikate ich ihm geben muss, um mich gegenüber ihm zu identifizieren. Bei verschlüsselten Chats und Emails sind die Fingerprints jedes Kontakts händisch von mir bzw. dem Kontakt abgeglichen worden. - Alles was ebenenmäßig darunter liegt, ist nicht vertrauenswürdig, aber das spielt auch keine Rolle, denn die Cryptosysteme sind so designed, dass sie auf einer unsicheren Leitung aufbauen können und trotzdem als sicher gelten. Um es noch mal zu sagen, das ist genau die Idee dahinter.
Kugelfisch
Nerd
Ich will sicherlich nicht behaupten, dass die X.509-PKI, welche u.a. für SSL/TLS benutzt wird, absolut sicher ist. Ebenso wenig bestreite ich, dass es möglich ist, einen MitM-Angriff auf eine TLS-Verbindung durchzuführen, sofern die Anwendung ausschliesslich der X.509-PKI vertraut und ein Angreifer (was auch Gateways einschliesst, welche als MitM-Proxy fungieren) ein Zertifikat für den FQDN des Zielhosts erhalten kann. Eine unterbrochene Zertifikatskette stellt jedoch keine Gefahr dar, da sie automatisch validiert wird und die Verbindung abgelehnt wird, wenn die Zertifikatskette nicht über gültige Zertifikate bis zu einem gültigen, als vertrauenswürdig eingestuften Root-Zertifikat führt
Ausserdem lassen sich die Aussagen zu X.509 und TLS nicht auf alle VPN-Systeme anwenden. Im Falle von OpenVPN werden zwar in der Regel TLS-Verbindungen verwendet (die Alternative sind statische Schlüssel - vgl. http://openvpn.net/index.php/open-source/documentation/security-overview.html), allerdings wird das dazu nötige Root-Zertifikat einmalig mit der Konfigurationsdatei installiert (Option `--ca`, vgl. https://community.openvpn.net/openvpn/wiki/Openvpn23ManPage#lbAK). Anderen Root-Zertifikaten wird nicht vertraut. Daher lässt sich nur dann ein MitM-Angriff durchführen, wenn dem Angreifer der zu diesem spezifischen CA-Zertifikat zugehörige private Schlüssel bekannt ist. In aller Regel handelt es sich dabei um ein Root-Zertifikat einer eigenen CA des jeweiligen VPN-Anbieters, welche einzig und ausschliesslich dazu benutzt wird, VPN-Zertifikate auszustellen.
Es wäre natürlich denkbar, dass ein Angreifer bereits bei der erstmaligen Übertragung der Konfigurationsdateien zum Client einen MitM-Angriff durchführt und die Konfiguration inklusive Zertifikat austauscht. Allerdings wäre das sehr gefährlich, da dann sichergestellt werden müsste, dass jede zukünftige Verbindung ebenfalls über den MitM-Proxy des Angreifers umgeleitet wird, da andernfalls aufgrund des ausgetauschten Zertifikats keine Verbindung möglich ist. Daher wirst du kaum behaupten können, das würde in grossem Massstab getan. Viel einfacher wäre in solch einem Szenario, ein beliebiges heruntergeladenes Binary über einen MitM-Angriff gegen Malware auszutauschen und damit das Client-System komplett zu kompromittieren. Auch da wäre die Entdeckungsgefahr jedoch hoch, weshalb das maximal sehr gezielt geschieht.
Wenn du auf eine derart umfangreiche Kollektion von Dokumenten verlinkst, wäre sehr sinnvoll, mit anzugeben, auf welche Dokumente du dich im Folgenden konkret beziehst.
Die vorherigen Beiträge zur Open-/Closed-Source-Diskussion habe ich in https://ngb.to/threads/9034-Meta-Diskussion-Streamseite-geht-auf-Linux-nicht verschoben.