© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
On Thu, Jan 17, 2013 at 12:00:32AM +0100, Bernhard(at)gtkx.de wrote:
> alle,
>
> sorry mein mittelfinger hat den sendenbutton erwischt
>
> also, ich hab aus interesse selber einen webserver programmiert. Ich weis also wie das http protokoll funktioniert und das nicht die klingel (port) das problem ist sonder der dienst der dahinter ist. Alles was da an daten ankommt ist erst einmal text! Und dieser wird vom programm interpretiert. der angreifer hat auf diese weise keine möglichkeit schadcode einzuspielen.
http://www.phreedom.org/research/exploits/apache-openssl/
(das war das schnellste was ich eben mit einer Google-Suche gefunden
habe, es gibt sicherlich genügend andere Exploits die deine Aussage
widerlegen).
> das ssl "aufzubrechen" ist mit sicherheit eine recht fragwürdige methode und ich denke in den meisten staaten nicht legal, da es einem "einbruch" gleich kommt.
>
> für was wurde denn das ssl erfunden?
>
> um ganau dies zu verhindern!
Quatsch. Es wurde erfunden um eine sichere Kommunikation zwischen
Server und Client zu ermöglichen und falls dies nicht möglich ist,
sollte der Client davon erfahren. Das ist hier der Fall, du bekommst
eine Fehlermeldung weil das Zertifikat ungültig ist. Wenn nicht, dann
traut dein Client dem Zertifikat des Proxys (bzw. der DPI-Maschine),
z.B. weil der Admin das Zertifikat da installiert hat - oder
alternativ, weil der User einfach auf "Ja, mir egal was die
Fehlermeldung soll, ich will weitermachen" geklickt hat. Im ersten
Fall hast du einen Rechner auf dem ein anderer Benutzer so und so
genug Rechte hat alles mitzulesen. Im zweiten Fall hast du einen
Benutzer, bei dem SSL eh hinfällig ist, weil er auch bei
MITM-Angriffen einfach auf "OK" klicken wird.
Gruß,
Harold
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Thu 17 Jan 2013 - 00:22:17 CET