Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Client-SSL auf unsicherem Webserver - sicher?

Frage Entwicklung Webentwicklung

Mitglied: Dirmhirn

Dirmhirn (Level 2) - Jetzt verbinden

16.09.2013 um 09:31 Uhr, 1460 Aufrufe, 2 Kommentare

Hi!

es soll ein kleiner Webserver werden der offline User authentifizieren kann. (d.h. keine Internetverbindung oder sonst ein zentraler Server)
hier besteht auch die Gefahr, dass der gesamte Server ausgebaut und ausgelesen wird (zb ein BeagleBone oder RPi).

daher die Idee: Client SSL-Zertifikate
http://it.toolbox.com/blogs/securitymonkey/howto-securing-a-website-wit ...

wenn ich das richtig verstanden habe, solange der CA-Root key nicht auf dem Server liegt, kann man mit den Daten keine weiteren Zertifikate erstellen oder weitere gleich aufgebaute Systeme angreifen.

die andere Idee wäre:
nur die Public Keys auf dem Server zu speichern, dann könnte ich auch beliebige Zertifikate nutzen - der User muss nur einmal den Public-Key angeben.
Bin mir aber nicht ganz sicher ob das so klappt.
ein paar Beiträge findet man dazu im Internet
http://serverfault.com/questions/381880/how-can-i-make-apache-request-a ...
http://serverfault.com/questions/497297/is-it-possible-to-allow-only-so ...

wozu das ganze:
zb bei einer Kaffeemaschine die einmal pro Tag mit Kaffee und ggf. den neuen Usern "befüllt" wird. Der User kann sein Zertifikat per Smartphone oder SmartCard mitbringen.
daher wäre es egal wenn ein Angreifer auf eine der Maschinen zugreifen könnte - er könnte diese zwar manipulieren, aber nicht großflächig auf alle anderen Zugreifen, indem er sich neue Client-Zertifikate erstellt.... o.ä.

hat hier jemand Erfahrung?
(ja, die Kaffeemaschine ist den Aufwand wert

sg Dirm

Mitglied: Lochkartenstanzer
16.09.2013, aktualisiert um 10:47 Uhr
Zitat von Dirmhirn:
wozu das ganze:
zb bei einer Kaffeemaschine die einmal pro Tag mit Kaffee und ggf. den neuen Usern "befüllt" wird. Der User kann
sein Zertifikat per Smartphone oder SmartCard mitbringen.
daher wäre es egal wenn ein Angreifer auf eine der Maschinen zugreifen könnte - er könnte diese zwar manipulieren,
aber nicht großflächig auf alle anderen Zugreifen, indem er sich neue Client-Zertifikate erstellt.... o.ä.

Solange auf dem Serevr nur die Public keys liegen, sollte man mit den client-zertifikaten keine Blödsinn anstellen können. Denn um sich zu authentifizieren, benötigt man den private-key.

Sinnvollerweise soltle sich aber die kaffemaschine sich ausweisen, d.h. einen eigenen private-key haben, mit dem sie sich gegenüebr den usern ausweist. Dieser kann dann natürlich mißbraufht werden, um die kaffemaschine zu faken, wenn man die daten klaut.


hat hier jemand Erfahrung?
(ja, die Kaffeemaschine ist den Aufwand wert

Wo bekomme ich die , was kostet die udn vor allem, was macht die so besonders, daß ich sie auch haben wollen sollte?

lks,

der ein koffeinjunkie ist (2l kaffee/d).

nachtrag: Macht die dann auch Quotas für kaffee? Dann wil ich sie doch lieber nicht.
Bitte warten ..
Mitglied: Dirmhirn
16.09.2013, aktualisiert um 11:48 Uhr
Hi!

ok, danke dann hab ich das eh mal so richtig verstanden.

d.h. einen eigenen private-key haben, mit dem sie sich gegenüebr den usern ausweist. Dieser kann dann natürlich mißbraufht werden, um die kaffemaschine zu faken, wenn man die daten klaut.
ja das habe ich mir auch schon gedacht, finde ich aber nicht so kritisch, da der User keine Daten o.ä. bereitstellen soll. d.h. wenn er sich bei einer fake-Maschine anmeldet sollte das niemanden Schaden. Außer, dass er keinen Kaffee bekommt. Aber das wirst du ja wohl verstehen, dass sich dieses lokale Problem, dann "rasend" schnell löst ^^.

Wo bekomme ich die , was kostet die udn vor allem, was macht die so besonders, daß ich sie auch haben wollen sollte?
mal schaun ob es die mal gibt
Die Hauptidee ist eigentlich in Zeiten von Share-Your-Life, wie man etwas Sharen kann ohne gleich eine Internetleitung anzuhängen. Aber sie müssen halt regelmäßig "gewartet" werden oder fix installiert werden. Nicht dass jemand den Webserver/Controller ausbaut und das ganze Teil fladdert.
Fand die Kaffeemaschine als anschauliches Beispiel gut
Aber vll für den Rasenmäher, Haustor, Fahrrad (oder sogar Autos), Wäscheausgabe im Spital, ... alles wo keine Echtzeitüberwachung stattfinden muss oder kann.

Steht keine konkrete Geschäftsidee dahinter. Aber ich denk mir einfach es ist alles immer mehr online - aber in Wirklichkeit ist man gar nicht so überall online. In Österreich haben wir zwar eine relativ gute Abdeckung, was Handy Empfang betrifft, aber in Gebäuden ist's oft recht schlecht.
Ganz anders sieht es da zb in Afrika aus.

nachtrag: Macht die dann auch Quotas für kaffee? Dann wil ich sie doch lieber nicht.
naja zumindest nicht in Echtzeit, d.h. du musst bei der erst Programmierung als koffeinjunkie bekannt sein Aber sie kann dann natürlich deine persönlichen Einstellungen speichern, da sie weiß, dass du es bist.

sg Dirm
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Netzwerk
Client Versucht SSL Verbindung (ausschalten) (5)

Frage von 2Seiten zum Thema Windows Netzwerk ...

LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Groupware
Newsletter Mails vom Webserver oder Mailserver versenden? (10)

Frage von Lakatusch zum Thema Groupware ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Festplatten, SSD, Raid
M.2 SSD wird nicht erkannt (14)

Frage von uridium69 zum Thema Festplatten, SSD, Raid ...