HSTS: Edge-Feature fließt jetzt zum Internet Explorer 11 zurück

Angesichts der bevorstehenden Veröffentlichung von Windows 10 und dem dazugehörigen neuen Browser Edge ist die Aufmerksamkeit natürlich vor allem auf deren Weiterentwicklung gerichtet. Dabei soll allerdings nicht unter den Tisch fallen, dass ... mehr... Windows 7, Windows 8.1, Windows Phone 8.1, internet explorer 11, ie11 Bildquelle: Microsoft Windows 7, Windows 8.1, Windows Phone 8.1, internet explorer 11, ie11 Windows 7, Windows 8.1, Windows Phone 8.1, internet explorer 11, ie11 Microsoft

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Meinen die das ernst? Ein "Wettrennen"? *kopfkratz*

SSL nützt nichts gegen Geheimdienste. Die besorgen sich ein passendes Zertifikat und dann ist das gut. Welches Unternehmen - egal ob Websitebetreiber oder Zertifizierungsstelle -- ist schon in der Position, NEIN zu sagen, wenn Geheimdienste an der Türe läuten?
 
@RalphS: Wer redet hier von Geheimdiensten? Es geht um die ganz normale tägliche Abzocke, von der der Ottonormalo ständig bedroht ist. Dieser Geheimdienstkäse ist doch i. d. R. für dich und mich vollkommen irrelevant. Wenn die Jungs wirklich was von mir wollten, wäre meine Hütte schon längst verwanzt bis nach Meppen, da brauchen die keine Browsertricks für.

Man sollte auch mal realistisch bleiben.
 
@DON666: Ich bezog mich auf das "Wettrennen" oben. :)

Aber auch sonst. Nepper N und Bauernfänger B können sich da genausogut wie Du und ich ein - bald vermutlich kostenlos verfügbares - Zertifikat für sonsteine Website beschaffen, sagen wir onlinebanking.sparkasse.de, und dann damit abzocken. Ist ja SSL.
 
@RalphS: *.sparkasse.de wohl eher nicht ;)
 
@dodnet: Doch, natürlich. Das ist doch genau der Punkt. Jeder kann für jede Domain ein Zertifikat erstellen. Dann noch DNS umbiegen - was schon gemacht wird, daher ja die Versuche mit DNSSEC -- und der Film hat sich, dann gehst Du auf "*.sparkasse.de" und bekommst... nicht mal die Sicherheitsmeldung, wenn das verwendete Zertifikat auch noch von einer vom Browser als vertrauenswürdig eingestufte CA ausgestellt wurde. Egal ob das legitim war (sagen wir, über letsencrypt) oder nicht.

SSL garantiert überhaupt nichts. Es schafft lediglich die Möglichkeit, den Gegenüber zu identifizieren. Nur macht das niemand.
 
@RalphS: Das liegt aber doch genau an SSL/HTTPS selber, bzw. daran das es Die_neue_tolle_Homepage_von_Karl_Heinz.de nur in HTTPs gibt. Bei dem ganzen Mist den es heutzutage nur noch in HTTPs gibt, kann man sich auch gleich sämtliche Sachen, die sie Sicherheit von HTTPs betrifft, auch gleich sparen. Warnung bei HTTPs, da klickt man heutzutage doch automatisch auf "trotzdem anzeigen" oder man sucht gleich in den Browsereinstellungen, ob man die Warnung nicht gleich abschalten kann. Selbst wenn der Browser bei Sparkasse.de wirklich eine Warnung ausgibt, den Meisten dürfte das heutzutage doch vollkommen egal sein. Ich behaupte jetzt mal so vor 10 Jahren, wäre eine HTTPs Warnung auf Sparkasse.de noch vielen Leuten aufgefallen und Einige hätten entsprechend reagiert (z.B. Telefonanruf bei der Hotline, oder so.
 
@DON666: Trotzdem sollte man es diesen Verbrechern (den Geheimdiensten!) nicht zu leicht machen.
 
@dodnet: Keine Frage! :)
 
@DON666: Vor allem sollte man mal SSL verstehen. SSL bringt im übrigen sehr wohl etwas.
Ein paar Stichpunkte für Google: Ladar Levison SSL Key, Certificate Pinning, Forward Secrecy
 
@RalphS: Es gibt durchaus vertrauenswürdige CAs und wenns die eigene ist ;)
Auch gibt es ein paar CAs in Regionen bei denen es dich nicht kümmert wenn der Geheimdienst mitliest aber der Geheimdienst der dich kümmert es eben nicht kann. Auch ist es ja mitnichten so dass da einfach ein "masterschlüssel" rausgegeben werden kann, das können die CAs auch nicht.
Rechtlich ist es in den meisten Ländern für die Unternehmen nicht schwer Nein zu sagen...ob sies machen ist eine andere Sache.

"Alles verschlüsseln" ist auf jedenfall positiv, umso mehr, umso höherer aufwand.
 
@0711: Wie kommst Du darauf? Es braucht keinen Master-Schlüssel. Es braucht einfach nur ein Zertifikat. Die Mitleseoption steckt in der X.509-Architektur drin.

Was den privaten Schlüssel angeht... nun ja, wenn man den in die Finger bekommt, kann man den Traffic genauso mitlesen. Schwer ist daran, bezogen auf die Verschlüsselung(sstärke), gar nichts.

--- Ansonsten seh ich das einen kleinen Ticken anders. Wenn so ziemlich ALLES verschlüsselt wird, dann steigen auch die Investitionen in die ENTschlüsselung und zwar massiv. Einfach deswegen, weil es dann sehr viel notwendiger wird, entschlüsseln zu *können*, wenn man irgendwas haben will.

Was bedeutet, daß mit einem Mehr an verschlüsselten Verbindungen die Sicherheit derselben proportional abnimmt.
 
@RalphS: welche Option meinst du da?

um die Verbindung ohne zertifikatstausch mitlesen zu können braucht man den privaten schlüssel....und der private schlüssel liegt nie beim Aussteller.

es wird notwendiger aber bedeutend teurer, teuerer bedeutet meist weniger betroffene
Kommentar abgeben Netiquette beachten!