Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Client-SSL auf unsicherem Webserver - sicher?

Mitglied: Dirmhirn

Dirmhirn (Level 2) - Jetzt verbinden

16.09.2013 um 09:31 Uhr, 1506 Aufrufe, 2 Kommentare

Hi!

es soll ein kleiner Webserver werden der offline User authentifizieren kann. (d.h. keine Internetverbindung oder sonst ein zentraler Server)
hier besteht auch die Gefahr, dass der gesamte Server ausgebaut und ausgelesen wird (zb ein BeagleBone oder RPi).

daher die Idee: Client SSL-Zertifikate
http://it.toolbox.com/blogs/securitymonkey/howto-securing-a-website-wit ...

wenn ich das richtig verstanden habe, solange der CA-Root key nicht auf dem Server liegt, kann man mit den Daten keine weiteren Zertifikate erstellen oder weitere gleich aufgebaute Systeme angreifen.

die andere Idee wäre:
nur die Public Keys auf dem Server zu speichern, dann könnte ich auch beliebige Zertifikate nutzen - der User muss nur einmal den Public-Key angeben.
Bin mir aber nicht ganz sicher ob das so klappt.
ein paar Beiträge findet man dazu im Internet
http://serverfault.com/questions/381880/how-can-i-make-apache-request-a ...
http://serverfault.com/questions/497297/is-it-possible-to-allow-only-so ...

wozu das ganze:
zb bei einer Kaffeemaschine die einmal pro Tag mit Kaffee und ggf. den neuen Usern "befüllt" wird. Der User kann sein Zertifikat per Smartphone oder SmartCard mitbringen.
daher wäre es egal wenn ein Angreifer auf eine der Maschinen zugreifen könnte - er könnte diese zwar manipulieren, aber nicht großflächig auf alle anderen Zugreifen, indem er sich neue Client-Zertifikate erstellt.... o.ä.

hat hier jemand Erfahrung?
(ja, die Kaffeemaschine ist den Aufwand wert

sg Dirm

Mitglied: Lochkartenstanzer
16.09.2013, aktualisiert um 10:47 Uhr
Zitat von Dirmhirn:
wozu das ganze:
zb bei einer Kaffeemaschine die einmal pro Tag mit Kaffee und ggf. den neuen Usern "befüllt" wird. Der User kann
sein Zertifikat per Smartphone oder SmartCard mitbringen.
daher wäre es egal wenn ein Angreifer auf eine der Maschinen zugreifen könnte - er könnte diese zwar manipulieren,
aber nicht großflächig auf alle anderen Zugreifen, indem er sich neue Client-Zertifikate erstellt.... o.ä.

Solange auf dem Serevr nur die Public keys liegen, sollte man mit den client-zertifikaten keine Blödsinn anstellen können. Denn um sich zu authentifizieren, benötigt man den private-key.

Sinnvollerweise soltle sich aber die kaffemaschine sich ausweisen, d.h. einen eigenen private-key haben, mit dem sie sich gegenüebr den usern ausweist. Dieser kann dann natürlich mißbraufht werden, um die kaffemaschine zu faken, wenn man die daten klaut.


hat hier jemand Erfahrung?
(ja, die Kaffeemaschine ist den Aufwand wert

Wo bekomme ich die , was kostet die udn vor allem, was macht die so besonders, daß ich sie auch haben wollen sollte?

lks,

der ein koffeinjunkie ist (2l kaffee/d).

nachtrag: Macht die dann auch Quotas für kaffee? Dann wil ich sie doch lieber nicht.
Bitte warten ..
Mitglied: Dirmhirn
16.09.2013, aktualisiert um 11:48 Uhr
Hi!

ok, danke dann hab ich das eh mal so richtig verstanden.

d.h. einen eigenen private-key haben, mit dem sie sich gegenüebr den usern ausweist. Dieser kann dann natürlich mißbraufht werden, um die kaffemaschine zu faken, wenn man die daten klaut.
ja das habe ich mir auch schon gedacht, finde ich aber nicht so kritisch, da der User keine Daten o.ä. bereitstellen soll. d.h. wenn er sich bei einer fake-Maschine anmeldet sollte das niemanden Schaden. Außer, dass er keinen Kaffee bekommt. Aber das wirst du ja wohl verstehen, dass sich dieses lokale Problem, dann "rasend" schnell löst ^^.

Wo bekomme ich die , was kostet die udn vor allem, was macht die so besonders, daß ich sie auch haben wollen sollte?
mal schaun ob es die mal gibt
Die Hauptidee ist eigentlich in Zeiten von Share-Your-Life, wie man etwas Sharen kann ohne gleich eine Internetleitung anzuhängen. Aber sie müssen halt regelmäßig "gewartet" werden oder fix installiert werden. Nicht dass jemand den Webserver/Controller ausbaut und das ganze Teil fladdert.
Fand die Kaffeemaschine als anschauliches Beispiel gut
Aber vll für den Rasenmäher, Haustor, Fahrrad (oder sogar Autos), Wäscheausgabe im Spital, ... alles wo keine Echtzeitüberwachung stattfinden muss oder kann.

Steht keine konkrete Geschäftsidee dahinter. Aber ich denk mir einfach es ist alles immer mehr online - aber in Wirklichkeit ist man gar nicht so überall online. In Österreich haben wir zwar eine relativ gute Abdeckung, was Handy Empfang betrifft, aber in Gebäuden ist's oft recht schlecht.
Ganz anders sieht es da zb in Afrika aus.

nachtrag: Macht die dann auch Quotas für kaffee? Dann wil ich sie doch lieber nicht.
naja zumindest nicht in Echtzeit, d.h. du musst bei der erst Programmierung als koffeinjunkie bekannt sein Aber sie kann dann natürlich deine persönlichen Einstellungen speichern, da sie weiß, dass du es bist.

sg Dirm
Bitte warten ..
Ähnliche Inhalte
Verschlüsselung & Zertifikate
SSL-Webserver-Wildcard-Zertifikate
Frage von OlliPWSVerschlüsselung & Zertifikate5 Kommentare

Moin, wer kann mir SSL-Webserver-Wildcard-Zertifikate bisschen erklären? wir haben eine Domain draußen bei einem Dienstleister registiert. mustermax.org Jetzt haben ...

Apache Server

Apache 2.2 und SSL Probleme auf Webserver

gelöst Frage von atomiqueApache Server16 Kommentare

Guten Abend zusammen! Es geht hier um meinen Webserver der unter Debian 7 und mit Apache 2.2 läuft. Um ...

Datenschutz

Welcher Proxy mit SSL-Unterstützung für sicheres Surfen?

Frage von BirdyBDatenschutz4 Kommentare

Hallo zusammen, ich stehe gerade vor dem Problem, dass ich bei uns im Hause einen Proxy für den Internetzugriff ...

Verschlüsselung & Zertifikate

SSL Client Zertifikate ausstellen

Frage von laza86Verschlüsselung & Zertifikate4 Kommentare

Hallo zusammen, ich möchte persönliche Client Zertifikate ausstellen. Habe ein Wild Card Server SSL Zertifikat und eine Windows CA. ...

Neue Wissensbeiträge
Server-Hardware
HP iLO ist gefährdet (iLO 4))
Tipp von AlFalcone vor 42 MinutenServer-Hardware

Gemäss Twitter und Heise gibt es eine Angriffsmöglichkeit auf iLO iLO ist gefährdet Copyright © und alle Rechte liegen ...

CMS
Erneut kritische Zero-Day-Lücke in Drupal
Tipp von Reini82 vor 9 StundenCMS

Laut einem Bericht auf t3n gibt es eine Schwere Sicherheitslücke in Drupal die auch schon ausgenutzt wird. Betroffen sind ...

Sicherheit

MikroTik-Router patchen, Schwachstelle wird ausgenutzt

Information von kgborn vor 1 TagSicherheit

Am 23. April 2018 wurde von Mikrotik ein Security Advisory herausgegeben, welches auf eine Schwachstelle im RouterOS hinwies. Mikrotik ...

Windows 10

Microcode-Updates KB4090007, KB4091663, KB4091664, KB4091666 für Windows 10

Information von kgborn vor 1 TagWindows 101 Kommentar

Kurze Information für Administratoren von Windows 10-Systemen, die mit neueren Intel CPUs laufen. Microsoft hat zum 23. April 2018 ...

Heiß diskutierte Inhalte
Ausbildung
Wie gelingt ein guter Einstieg in die FiSi-Ausbildung? (Umschulung)
Frage von SiAnKoAusbildung27 Kommentare

Schönen guten Tag, ich bin SiAnKo und habe seit dem 1.04.2018 eine Umschulung als FiSi angefangen. Ich möchte natürlich ...

Windows Server
Alten DC entfernen
gelöst Frage von smartinoWindows Server27 Kommentare

Hallo zusammen, ich habe hier eine Umgebung übernommen und erstmal einen DCDIAG gemacht. Dabei fällt auf, daß eine ganze ...

Batch & Shell
Mit Powershell den Inhalt einer Excel mit einer Text Datei abgleichen
gelöst Frage von Bommi1961Batch & Shell21 Kommentare

Hallo zusammen, ich muss den Inhalt einer Excel Datei (Mappe1) mit dem Daten einer Text Datei abgleichen. Die Daten ...

Router & Routing
Subnetzmaske vergrößern
gelöst Frage von groovesurferRouter & Routing17 Kommentare

Hallo, hat jemand schonmal getestet was passiert, wenn man die Subnetzmaske bei laufendem Betrieb (wenn user im Netzwerk verbunden ...