IT-weblog

Artikel-Schlagworte: „SSL“

Das zeigt wieder mal schön die Grenzen von SSL und erst recht von EV-SSL auf. Die ganzen Verschlüsselungen beziehen sich schließlich nur auf die Übertragungsstrecke und signieren in keinster Weise den Inhalt. Der Inhalt aber ist gerade das wichtige in Hinblick auf XSS, da diese Codefragmente ja direkt vom erlaubten Server geschickt werden.

Dagegen kann nur eine inhaltliche Signierung helfen, wie mal auf SigHTTP von mir angedacht wurde. Ich glaube es wird Zeit für eine erste IMplementierung dieser Idee. Wenn mannur mehr Zeit hätte.

Schade drum.

Das zeigt wieder mal schön die Grenzen von SSL und erst recht von EV-SSL auf. Die ganzen Verschlüsselungen beziehen sich schließlich nur auf die Übertragungsstrecke und signieren in keinster Weise den Inhalt. Der Inhalt aber ist gerade das wichtige in Hinblick auf XSS, da diese Codefragmente ja direkt vom erlaubten Server geschickt werden. Dagegen kann nur eine inhaltliche Signierung helfen, wie mal auf SigHTTP von mir angedacht wurde. Ich glaube es wird Zeit für eine erste IMplementierung dieser Idee. Wenn mannur mehr Zeit hätte. Schade drum.

Eine kleine Warnung an alle, die SSL, HTTPS und Verschlüsselung in einen Topf werfen. Auch bei einer Webseite die via https angesteuert wird, kann man einzelne Informationen auf dem Weg abgreifen.

Zumindest der Servername wird im Klartext beim TLS-Handshake übertragen, obwohl man eigentlich direkt mit einer IP-Nummer kommunizieren wollte. Dies ist nicht zu verwechseln mit dem Host-Header im HTTP1.1 Standard, diese Zeile wird im SSL verschlüsselt übertragen. Bringt halt nur nichts, weil der Key im Klartext vorher versendet wurde.

Wer sich also schon mal gewundert hat, wie z.B. ein Verbindungsprotokoll erstellt wird, hat hier einen Ansatz.

Schade drum.

Eine kleine Warnung an alle, die SSL, HTTPS und Verschlüsselung in einen Topf werfen. Auch bei einer Webseite die via https angesteuert wird, kann man einzelne Informationen auf dem Weg abgreifen. Zumindest der Servername wird im Klartext beim TLS-Handshake übertragen, obwohl man eigentlich direkt mit einer IP-Nummer kommunizieren wollte. Dies ist nicht zu verwechseln mit dem Host-Header im HTTP1.1 Standard, diese Zeile wird im SSL verschlüsselt übertragen. Bringt halt nur nichts, weil der Key im Klartext vorher versendet wurde. Wer sich also schon mal gewundert hat, wie z.B. ein Verbindungsprotokoll erstellt wird, hat hier einen Ansatz. Schade drum.