[Metalab] Cloud Computing!

Harald Schilly harald.schilly at gmail.com
Wed Jun 26 21:08:29 CEST 2013


2013/6/26 Andreas Faerber - Altertuemliches.at <info at altertuemliches.at>:
> die haben viele für blöd verkauft...

So einfach ist das alles leider nicht. Ohne jetzt alle möglichen
Aspekte aufzuzählen, eine sehr spannende Facette ist "PFS" (Perfect
Forward Secrecy) für SSL Verbindungen. Die ist nämlich nicht immer
aktiviert, oder überhaupt möglich, und ist genau so ein Detail, das es
erlaubt später Daten auszuwerten, ohne dass es die Betreiber wissen
oder sonst wie bemerken.

Artikel ist hier:
http://news.netcraft.com/archives/2013/06/25/ssl-intercepted-today-decrypted-tomorrow.html

Sprich, auch wenn man glaubt durch Servicewechsel mehr Privacy zu
erlangen (zB duckduckgo als google alternative, ...), kann das
eventuell nur ein Schein sein. Selbiges gilt für selbst gebastelte
Lösungen usw. Spannend ist auch, dass wiedermal der Internet Explorer,
gefolgt vom Safari, die schwarzen Schäfchen sind. Bezeichnend ist
weiters, dass der nginx Webserver – mit russischem Hintergrund – der
ist, der das am aggressivsten versucht zu aktiveren.

Klar gibt's auch noch mehr Themen und ich will den Thread hier nicht
noch weiter füttern – dieses ist nur ein Puzzelstück.

fallout:
http://www.theregister.co.uk/2013/06/26/ssl_forward_secrecy/

metalab related:
https://www.ssllabs.com/ssltest/analyze.html?d=metalab.at
… hat keine forward secrecy (unten in der handshake simulation)

Harald

PS: falls ich da teilweise sinnloses getippt habe, sorry und bitte
kontrollieren. ich bin so wie die meisten auch kein experte.




More information about the Metalab mailing list