Pünktlich zum Beginn des Chorauftritts regnet es. #
Monat: Juli 2015
Nachher hier: Auftritt von Kind.eins mit dem Schulchor (@ Stuttgarter Zeitung Kinder- und Jugendfestival) swarmapp.com/c/9gnAoS67St2 #
„Ort: Internet“
„Ort: Internet“ #
Irgendwelcher Fertigfisch, dafür selbstgemachter Kartoffelbrei #Alltagsessen instagram.com/p/5PsUPbpfuF/ #
@Felicea Ein bisschen was von beidem, aber mehr Stil als Plot. // @VolkerGoebbels #
Komme gerade aus zwei Stunden Meeting. Auf Englisch. In einem Glaskasten mit 35°C. Ich fahr jetzt heim und zieh ein neues Hemd an. #
Certificate Pinning funktioniert nicht
Wenn Webseiten verschlüsselte Verbindungen benutzen (https), dann wird zu Beginn des Kontakts dem Browser vom Server ein Zertifikat gezeigt, mit dem der Server versichert, dass er auch der richtige Server ist (und nicht irgendein Angreifer, der auf der Leitung steht). Die Ausstellung und Überprüfung dieser Zertifikate folgt einem hierarchischen Ansatz („X.509“), und die Liste der als vertrauenswürdig betrachteten Herausgeber sieht gar nicht so vertrauenswürdig aus, wie man sich das wünschen würde (siehe hier). Es gab immer wieder Fälle, in denen sehr neugierige Menschen sich von einer der zwielichtigeren Zertifizierungsstellen der Liste ein Zertifikat für eine bekannte Webseite organisiert haben. Sie konnten dann alles mithören ohne dass den Benutzern aufgefallen wäre, dass sie nicht direkt mit z.B. Google reden.
Eine Gegenmaßnahme für dieses Problem ist das Certificate Pinning: der Browser merkt sich für alle Webseiten, mit denen er sich schon einmal verbunden hat, das Zertifikat und schlägt Alarm, wenn ihm später ein anderes vorgezeigt wird (funktioniert natürlich nur unter der Annahme, dass die Verbindung nicht schon von Anfang an infiltriert ist, aber das nehmen wir einfach mal an).
Genau zu diesem Zweck habe ich jetzt ein paar Monate lang das Firefox-Plugin Certificate Patrol benutzt. Das Plugin funktioniert auch super, aber es bringt trotzdem keinen Sicherheitsgewinn.
Das liegt daran, dass viele größere Webseiten ihre Daten über Content Delivery Networks ausliefern, und dass die es mit den Zertifikaten nicht so genau nehmen: die über die ganze Welt verteilten Server, die Dateien für dieselbe Webseite ausliefern, scheinen oft jeder ein anderes Zertifikat zu benutzen.
Certificate Patrol bietet sogar noch die Möglichkeit, nicht schon bei einem bloßen Zertifikatswechsel zu warnen sondern erst dann, wenn das geänderte Zertifikat auch von einem anderen Herausgeber stammt, aber selbst diese geringe Integritätsbedingung halten viele CDNs nicht ein.
Wenn ich also mit Certificate Pinning im Web unterwegs bin, muss ich ununterbrochen Warnmeldungen lesen und wegklicken, lesen und wegklicken, lesen und wegklicken, und irgendwann nur noch wegklicken…
Ich werde deshalb Certificate Patrol wieder deinstallieren, denn wenn es mich irgendwann mal vor einem tatsächlichen Lauschangriff warnen würde, würde ich es wahrscheinlich nicht einmal lesen. 🙁
Dieser Ventilator will mich doch hypnotisieren. #
@sr_rolando Mit Eile hat das gar nichts zu tun. #
@sr_rolando Nach Leuten, die wissen, wie man Bücker schreibt und den Text mal lesen und sagen, auf welche Art genau er Mist ist. 😉 #
(sie ist ja mehr so die mit den Zeichnungen, und ich bin mehr der mit den Computern) #
Hallo Textschaffende! Meine Frau arbeitet an einem Kinderbuch. Würde jemand von Euch sich bereiterklären, da mal drüberzusehen? #