Thema
https
Vorsicht beim Skypen - Microsoft liest mit
Wer glaubt, ein Skype-Chat wäre privat, unterliegt einem unter Umständen folgenschweren Irrtum. Wie heise Security feststellten musste, wertet Skype beziehungsweise Microsoft alle verschickten Daten aus.
Fotoklau und Spion-Funktion: Hintertür zu vernetzten Kameras
Schleichen sich Fremde über den integrierten Webserver in eine der neuen smarten Kameras ein, können sie Fotos schießen und diese hochladen. Schöne neue, vernetzte Fotowelt?
Nokia: Ja, wir entschlüsseln HTTPS - aber wir spitzeln nicht
Nokias Xpress-Browser leitet jeglichen Datenverkehr über Server des Herstellers - auch den verschlüsselten. Nokia bestätigt, dass die Daten dort auch entschlüsselt werden. Die Daten seien aber trotzdem sicher.
Yahoo zieht nach - Nutzer können HTTPS aktivieren
Yahoo musste sich wegen seiner Sicherheitsmaßnahmen Kritik gefallen lassen; Gmail und Hotmail haben die Konkurrenz schon länger überholt. Jetzt kommt das Unternehmen unter Marrisa Meyers Führung aber langsam aus den Puschen.
Fatale Panne bei Zertifikatsherausgeber Türktrust
Zwei für Kunden ausgestellte SSL-Zertifikate eigneten sich dazu, Zertifikate für beliebige Domains auszustellen. Mit einem der beiden wurde ein Wildcard-Zertifikat für Google.com erzeugt.
29C3: "Das SSL-System ist grundlegend defekt - und jemand muss es reparieren"
Nach den Vorfällen um den Zertifikats-Anbieter Diginotar plant die EU-Kommission durch eine Regulierung das Vertrauen in die Verschlüsselung wieder herzustellen. Doch die Regelung greife viel zu kurz, meint der Forscher Axel Arnbak auf dem 29C3.
HTTP Strict Transport Security als Internet-Standard
Das neue RFC 6797 beschreibt die HTTPS-Sicherung HTTP Strict Transport Security (HSTS), das Angriffe auf verschlüsselte HTTP-Verbindungen erschwert. Gegen einige der im RFC beschriebenen Attacken braucht es aber trotz HSTS noch weitere Maßnahmen.
Facebook setzt auf HTTPS für alle Nutzer
Twitter, Gmail und Hotmail haben es vorgemacht, Facebook folgt jetzt: HTTPS wird Standard.
Firefox macht es HTTPS-Lauschern künftig schwerer
Die aktuelle Beta bringt eine Liste von Domains wie PayPal.com mit, zu denen der Browser ausschließlich verschlüsselte Verbindungen aufbaut. Das soll Man-in-the-middle-Angriffe vereiteln.
HTTPS Everywhere unterstützt mehr Websites
Die Electronic Frontier Foundation hat eine neue Version ihrer Browser-Erweiterung HTTPS Everywhere veröffentlicht. Version 3.0 unterstützt jetzt verschlüsselte Verbindungen zu rund 1500 weiteren Websites.
Lücke in SSL-Verschlüsselung kaum ausnutzbar
Experten haben ein Problem bei der im Web üblichen SSL-Verschlüsselung ausgemacht, das auftritt, wenn der Inhalt zuvor komprimiert wurde. Zum Glück haben die betroffenen Browser-Hersteller bereits reagiert.
Webserver Nginx in stabiler Version 1.2.0 veröffentlicht
Die Version 1.2.0 behebt einige Fehler der Vorgängerfassungen, neue Funktionen bringt sie offenbar nicht mit.
Chrome warnt vor gültigen SSL-Zertifikaten
Wenn der Browser beim Besuch der HTTPS-Ausgabe von Google oder Facebook eine Zertifikatswarnung anzeigt, ist das nicht zwangsläufig die Folge eines Angriffs.
Mozilla fordert schärfere Kontrollen von Sub-CAs
Stammzertifizierungsstellen sollen laut einem Vorschlag künftig öffentlich einsehbare Listen mit allen ausgestellten Intermediate-Zertifikaten führen oder die Ausstellungsrechte der Sub-CA stark einschränken.
HTTPS Everywhere jetzt auch für Chrome
HTTPS Everywhere forciert jetzt auch unter Google Chrome verschlüsselte Verbindungen, sofern der Webserver sie anbietet.
Twitter verschlüsselt standardmäßig
Ab sofort aktiviert Twitter die im März 2011 eingeführte Option "Nur HTTPS" standardmäßig für alle Nutzer. Damit werden Daten zwischen Browser und Twitter-Server SSL-verschlüsselt übertragen
Windows-Webserver mit Javascript, IPv6 und SSL
Der Webserver Personal Net 0.9 von cFos führt Javascript-Programme aus, verschlüsselt die Übertragung per SSL und versteht IPv6.
Trustwave verkaufte Man-in-the-Middle-Zertifikat
Der Zertifikatsherausgeber Trustwave hat einer Firma ein CA-Zertifikat ausgestellt, mit dem sich diese selbst Zertifikate für beliebige Server wie Google ausstellen konnte, um damit den verschlüsselten Datenverkehr ihrer Mitarbeiter zu überwachen.
Google will Online-Zertifikats-Check abschaffen
Weil sie ohnehin nicht richtig funktionieren will Google die Online-Checks auf Gültigkeit von SSL-Zertifikaten in Chrome demnächst abschalten.
Neues Tool: Webcheck überprüft Webserver
Mit dem neuem Heise-Netze-Tool Webcheck lässt sich schnell überprüfen, ob und wie ein Webserver auf HTTP- oder HTTPS-Anfragen antwortet.
EU-Behörde für IT-Sicherheit kritisiert Zertifizierungsstellen
Die IT-Sicherheitsbehörde Enisa äußert sich erstmals über die Probleme mit Sicherheitszertifikaten und macht Vorschläge für eine Verbesserung des Systems.
Google-Forscher schlagen Ausweg aus dem SSL-Dilemma vor
Öffentlich einsehbare Listen sollen das Vertrauen in die Public-Key-Infrastruktur (PKI) hinter HTTPS stärken und vor GAUs wie im Fall der kompromittierten Zertifizierungsstelle DigiNotar schützen.
Die Frist ist um: Facebook-Apps nur noch mit OAuth 2.0 und über HTTPS
Die Frist für veraltete Facebook-Anwendungen ist abgelaufen – das soziale Netzwerk akzeptiert künftig nur noch über OAuth 2.0 authentifizierte und über HTTPS übermittelte Canvas- und Page-Tab-Apps.
Tool soll SSL-Cookies in zehn Minuten knacken
Zwei Forscher wollen am Freitag ein Tool vorstellen, das verschlüsselt übertragene Cookies innerhalb weniger Minuten knacken kann. Die Schwachstelle ist seit 2006 bekannt, allerdings gab es bislang keinen praktikablen Weg, sie auszunutzen.
CA-Hack: Auch Anonymisierungs-Projekt TOR im Visier der Angreifer
Bei dem Angriff auf den niederländische SSL-Zertifizierungsstelle DigiNotar wurden auch zwölf Zertifikate für die Webseite des Anonymisierungsdienstes TOR erstellt. Zudem sollen es die Eindringlinge auf WordPress, Yahoo und Mozilla abgesehen haben.
HTTPS Everywhere ausgebaut
Die Bürgerrechtsorganisation Electronic Frontier Foundation hat ihre Firefox-Erweiterung HTTPS Everywhere in Version 1.0 veröffentlicht. Sie leitet seinen Nutzer beim Besuch von über 1000 Webseiten automatisch auf die verschlüsselte HTTPS-Ausgabe um.
Google macht Schluss mit unsicheren Inhalten auf sicheren Seiten
Chrome soll zukünftig auf verschlüsselten Seiten keine Scripte ausführen, die unverschlüsselt übertragen wurden – es sei denn, der Nutzer wünscht es. Bislang warnt der Browser seinen Anwender lediglich, wenn eine HTTPS-Webseite unsichere Elemente enthält.
Der "ehrliche Achmed" bittet um Vertrauen
Mit einem Antrag, bei Mozilla als Zertifizierungsstelle für SSL-Zertifikate akzeptiert zu werden, sorgt der "ehrliche Achmed" derzeit für Gelächter in der Security-Szene.
Zwei weitere Comodo-SSL-Registrare gehackt
Wie Comodo bei Tests im Gefolge des SSL-Debakels festgestellt hat, wurden zwei weitere Registrare gehackt. Dabei seien jedoch keine weiteren gefälschten Zertifikate erstellt worden.
Safari-Anwender durch kompromittierte Zertifikate gefährdet
Während andere Hersteller bereits mit Updates auf die kompromittierten Comodo-Zertifikate reagiert haben, warten Safari-Anwender immer noch auf Hilfe von Apple. Erschwerend hinzu kommt, dass unter Mac OS X die Zertifikatsprüfung ausgeschaltet ist.
heise online Themen