Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

EFail Lücke war seit November bekannt - Veröffentlichung war unüberlegt

Mitglied: certifiedit.net

certifiedit.net (Level 4) - Jetzt verbinden

16.05.2018, aktualisiert 16:01 Uhr, 443 Aufrufe, 8 Kommentare, 3 Danke

Guten Morgen,

da in den Diskussionen zu OpenSource und OpenSource naher Entwicklung gerne das Argument genannt wird, dass die Sicherheit überprüfbar ist und "Security through obscurity" der Closed Source kein Mittel sein kann und darf, verwundert mich die Haltung des openPGP Entwicklers Brunschwig nun.

Fakt ist, offensichtlich war die Lücke seit mindestens November 2017 - also ein gutes halbes Jahr bekannt. Fakt ist demnach auch, dass bei der Nutzung von PGP im letzten halben Jahr die Möglichkeit der Kompromittierungswahrscheinlichkeit durch Unwissenheit der Nutzer ins unerträgliche gesteigert wurde.

Damit geht ein weiteres Totschlagargument der OpenSource Entwicklung und damit des dogmatischen Einsatzes von Open Source Software den Bach hinunter.

https://www.heise.de/security/meldung/Enigmail-Chefentwickler-im-Intervi ...

Viele Grüße,

Christian

PS: Wir setzen intern Closed und Open Source ein, allerdings nach Planung und Gegenüberstellung unter Betrachtung des Einsatzzwecks.
Mitglied: Lochkartenstanzer
16.05.2018 um 09:18 Uhr
Zitat von certifiedit.net:


Damit geht ein weiteres Totschlagargument der OpenSource Entwicklung und damit des dogmatischen Einsatzes von Open Source Software den Bach hinunter.

Das ist Blödsinn. die Lücke betrifft sowohl open- als auch Closed-Source.

Bei enigmail wurde die Lücke schon länger gefixt, aber niht bekanntgegeben auf Wunsch des efail-Autors.

Egal closed oder open source, solange der hersteller sich nciht die Mühe macht, den Bug zu fixen, ist man der gelackmeierte. Aber bei Open Source hat man die Möglichkeit, selbst Hand anzulegen und nicht auf irgendeinen warten zu müssen, der sich bequemt das für einen zu erledigen. Und man kann verifizieren, was der Author eingebaut hat.

lks

PS: Allerdings machen sich wirklich nur die wenigsten die Mühe da mal reinzuschauen und vertrauen darauf, daß da irgendein Experte ist, der das für sie tut. Es ist also die faulheit, die solche fehler hervorbringt und nicht open/closed-Source.
Bitte warten ..
Mitglied: Deepsys
16.05.2018 um 09:32 Uhr
Moin,

ich stimme LKS voll zu.
Steht ja auch drin, das es eigentlich schon gefixt ist, aber noch nicht ausgerollt ist.

Selbst bei uns in der IT waren die Kollegen der Meinung das die Verschlüsselung selber kaputt, das stimmt aber auch nicht.
Es sieht für mich fast schon so aus als sollte die Verschlüsselung selber schlechtgeredet werden ....

VG,
Deepsys
Bitte warten ..
Mitglied: Lochkartenstanzer
16.05.2018 um 09:45 Uhr
Zitat von Deepsys:

Selbst bei uns in der IT waren die Kollegen der Meinung das die Verschlüsselung selber kaputt, das stimmt aber auch nicht.

Das lag ander "unkritischen" Berichterstattung. Alle haben nur die dpa-meldung weitergegeben, daß PGP udn S/MIME kaputt wäre, dabe ist es nur das kaputte Konzept der "html-Mails", daß das Problem verursacht. man muß sich mal vorstellen, was los wäre, wenn man einen (Papier-)Brief erhält und der beimöffnen erstmal alle möglichen Leute anruft/informiert und sagt, man müsse sich von Hinz und Kunz noch Bilder holen udn in den brief einkleben, damit man ihn sieht.

lks
Bitte warten ..
Mitglied: rzlbrnft
16.05.2018, aktualisiert um 10:12 Uhr
Zitat von Lochkartenstanzer:
PS: Allerdings machen sich wirklich nur die wenigsten die Mühe da mal reinzuschauen und vertrauen darauf, daß da irgendein Experte ist, der das für sie tut. Es ist also die faulheit, die solche fehler hervorbringt und nicht open/closed-Source.

Sorry aber wenn ich eine SECURITY Software nutze, dann gehe ich nicht davon aus, das ich sie selbst erst reparieren muss.
Auch bei Open Source gibt es durchaus Hersteller die damit Geld verdienen möchten.

Zudem sind die wenigsten User in der Lage sich durch 3 Millionen Zeilen Spaghetticode zu wühlen.

Ich nutze selbst ebenfalls Open und Closed Source Produkte, und bin oft angepisst von dem was z.B. Microsoft so fabriziert, trotzdem gibt es Argumente die für mich sinnlos sind, wie z.B. die Überprüfbarkeit, wenn sich eh keiner die Mühe macht.
Bitte warten ..
Mitglied: certifiedit.net
16.05.2018 um 10:10 Uhr
Moin LKS,

richtig.

PS: Allerdings machen sich wirklich nur die wenigsten die Mühe da mal reinzuschauen und vertrauen darauf, daß da irgendein Experte ist, der das
für sie tut. Es ist also die faulheit, die solche fehler hervorbringt und nicht open/closed-Source.

Das ist Blödsinn. die Lücke betrifft sowohl open- als auch Closed-Source.

Closed Source aber in Rückgriff auf OpenSource Plugins/Libs. Oder irr ich mich?

Dann kann das allerdings nicht mehr als absoluter Vorteil für Open Source gewertet werden. Denn sonst wäre wohl mit geballter "OS Power" wohl bereits im November die Lücke gefixt und ausgerollt worden.

wenn man einen (Papier-)Brief erhält und der beim öffnen erstmal alle möglichen Leute anruft/informiert und sagt, man müsse sich von Hinz und Kunz noch Bilder holen udn in den brief einkleben, damit man ihn sieht.

Sicher richtig, versprach allerdings PGP nicht genau die Sicherheit ohne große Komforteinbußen?

So, das Ergebnis des ersten Treffers bei der großen Suchmaschine:

PGP gestattet den Austausch von Nachrichten ohne Verzicht auf Privatsphäre, Authentifikation und Komfort.

HTML gehört für die meisten Endanwender eben zum Komfort.

VG
Bitte warten ..
Mitglied: certifiedit.net
16.05.2018 um 10:12 Uhr
Eben und genau aus diesem Grund ist hiermit für mich wiedermal eine Stütze der dogmatischen OS Verfechter weggefallen.
Bitte warten ..
Mitglied: Lochkartenstanzer
16.05.2018, aktualisiert um 14:09 Uhr
Zitat von certifiedit.net:

Closed Source aber in Rückgriff auf OpenSource Plugins/Libs. Oder irr ich mich?

Das betrifft im Prinzip alle MUA, die HTML erlauben, unabhängug davon ib open- oder closed-source-Module verwendet werden


HTML gehört für die meisten Endanwender eben zum Komfort.


Man kann HTML ja ohne weiteres verwenden. Nur muß der MUA drauf achten, daß nur Elemente aus der Mail selbst dargestellt werden und nicht noch irgendwelche Kommunikation mit externen Systemen und Programmen erfolgt. Das Problem esultiert ja daraus, das die MUAs ungefragt mit dem Angreifer reden statt zu sagen "ist nicht!".

lks
Bitte warten ..
Mitglied: Deepsys
16.05.2018 um 14:56 Uhr
Sieh mal einer an, bei Heise ist dieser Kommentar der gleichen Meinung:

https://www.heise.de/newsticker/meldung/Kommentar-Efail-ist-ein-EFFail-4 ...

"PGP ist nicht kaputt. Wenn man allerdings große Teile der Berichterstattung über die Efail-Lücken verfolgt hat, könnte man zu diesem Schluss gelangen. ...."
Bitte warten ..
Ähnliche Inhalte
Humor (lol)
Visionhelp bekannt?
Tipp von AnkhMorporkHumor (lol)35 Kommentare

Wer sich über den einen oder anderen Thread hier aufregt (Problemschilderung, Kernaussagen, Zeichensetzung, innere Logik ), sollte mal den ...

Verschlüsselung & Zertifikate

Efail die II - Warum SMime und PGP der Zeit hinterherhinken

Information von certifiedit.netVerschlüsselung & Zertifikate

Guten Morgen, nachdem der letzte Beitrag rege kommentiert wurde, die IT-Republik sich nun darüber streitet ob es nun ein ...

Sicherheit

SMB 1.0 - neue Lücken

Information von DerWoWussteSicherheit3 Kommentare

und, waren wir alle brav und haben SMB 1 vorsorglich abgeschaltet? ->die nächsten Lücken: Edit - ups, letztere ist ...

Datenschutz

Datenschutzfreundliche Alternativen zu bekannten Apps

Information von sabinesDatenschutz2 Kommentare

Studenten der UNI Wien haben bekannte Apps hinsichtlich des Datenschutzes untersucht und bewertet. Und einen Hinweis auf Alternativen hierzu ...

Neue Wissensbeiträge
Windows Server

Scheduled Task zum Log - Löschen direkt aus der SCOM Console

Tipp von Juanito vor 1 StundeWindows Server

SCOM Agent Task - Create Log Deletion Job Einleitung: Viele Applikationen und Dienste die auf Servern laufen erstellen Log ...

Humor (lol)

Ratgeber: Die wichtigsten Fragen und Antworten zur neuen Datenschutz-Grundverordnung (DSGVO)

Information von BassFishFox vor 1 StundeHumor (lol)

Hier bleiben keine Fragen offen. ;-)

Humor (lol)
Wieder mal DSGVO
Information von brammer vor 13 StundenHumor (lol)2 Kommentare

Mal was zum Lachen: Der Countdown zur Datenschutz-Grundverordnung läuft. Ab 25. Mai sollte man folgende Regeln beachten: Visitenkarten nur ...

Router & Routing

Cisco Talos deckt riesiges Router- und NAS-Botnetz auf

Tipp von Bosnigel vor 13 StundenRouter & Routing

Anscheinend kommt da wieder was auf uns zu: Gruß Bosnigel

Heiß diskutierte Inhalte
LAN, WAN, Wireless
Powerline über zwei Stockwerke optimieren
gelöst Frage von DultusLAN, WAN, Wireless45 Kommentare

Guten Morgen liebes Forum, ich hätte einmal eine Frage bezüglich Powerline Adapter: Mein Problem ist seit gestern präsent, da ...

HTML
Link nicht vollständig
Frage von jensgebkenHTML32 Kommentare

Hallo Gemeinschaft, ich erstelle mit Word einen Serienbrief, den ich per Mail versende. Nun mein Problem der Wordserienbrief holt ...

Datenschutz
E-Mail Verschlüsselung DSGVO 2018
Frage von SoccerdeluxDatenschutz27 Kommentare

Hallo zusammen, ich verzweifele langsam und wende mich an euch und hoffe vielleicht ein paar Antworten zu finden. Ich ...

Rechtliche Fragen
DISKUSSION: Was bringt der Disclaimer "Wenn Sie nicht der Empfänger sind."
Frage von N8DragonRechtliche Fragen23 Kommentare

So oder ähnlich, lese ich immer wieder Kleingedrucktes am Ende diverser Mails. Letzten Endes wollen sie mir alle sagen, ...