Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

EFail Lücke war seit November bekannt - Veröffentlichung war unüberlegt

Mitglied: certifiedit.net

certifiedit.net (Level 4) - Jetzt verbinden

16.05.2018, aktualisiert 16:01 Uhr, 800 Aufrufe, 8 Kommentare, 3 Danke

Guten Morgen,

da in den Diskussionen zu OpenSource und OpenSource naher Entwicklung gerne das Argument genannt wird, dass die Sicherheit überprüfbar ist und "Security through obscurity" der Closed Source kein Mittel sein kann und darf, verwundert mich die Haltung des openPGP Entwicklers Brunschwig nun.

Fakt ist, offensichtlich war die Lücke seit mindestens November 2017 - also ein gutes halbes Jahr bekannt. Fakt ist demnach auch, dass bei der Nutzung von PGP im letzten halben Jahr die Möglichkeit der Kompromittierungswahrscheinlichkeit durch Unwissenheit der Nutzer ins unerträgliche gesteigert wurde.

Damit geht ein weiteres Totschlagargument der OpenSource Entwicklung und damit des dogmatischen Einsatzes von Open Source Software den Bach hinunter.

https://www.heise.de/security/meldung/Enigmail-Chefentwickler-im-Intervi ...

Viele Grüße,

Christian

PS: Wir setzen intern Closed und Open Source ein, allerdings nach Planung und Gegenüberstellung unter Betrachtung des Einsatzzwecks.
Mitglied: Lochkartenstanzer
16.05.2018 um 09:18 Uhr
Zitat von certifiedit.net:


Damit geht ein weiteres Totschlagargument der OpenSource Entwicklung und damit des dogmatischen Einsatzes von Open Source Software den Bach hinunter.

Das ist Blödsinn. die Lücke betrifft sowohl open- als auch Closed-Source.

Bei enigmail wurde die Lücke schon länger gefixt, aber niht bekanntgegeben auf Wunsch des efail-Autors.

Egal closed oder open source, solange der hersteller sich nciht die Mühe macht, den Bug zu fixen, ist man der gelackmeierte. Aber bei Open Source hat man die Möglichkeit, selbst Hand anzulegen und nicht auf irgendeinen warten zu müssen, der sich bequemt das für einen zu erledigen. Und man kann verifizieren, was der Author eingebaut hat.

lks

PS: Allerdings machen sich wirklich nur die wenigsten die Mühe da mal reinzuschauen und vertrauen darauf, daß da irgendein Experte ist, der das für sie tut. Es ist also die faulheit, die solche fehler hervorbringt und nicht open/closed-Source.
Bitte warten ..
Mitglied: Deepsys
16.05.2018 um 09:32 Uhr
Moin,

ich stimme LKS voll zu.
Steht ja auch drin, das es eigentlich schon gefixt ist, aber noch nicht ausgerollt ist.

Selbst bei uns in der IT waren die Kollegen der Meinung das die Verschlüsselung selber kaputt, das stimmt aber auch nicht.
Es sieht für mich fast schon so aus als sollte die Verschlüsselung selber schlechtgeredet werden ....

VG,
Deepsys
Bitte warten ..
Mitglied: Lochkartenstanzer
16.05.2018 um 09:45 Uhr
Zitat von Deepsys:

Selbst bei uns in der IT waren die Kollegen der Meinung das die Verschlüsselung selber kaputt, das stimmt aber auch nicht.

Das lag ander "unkritischen" Berichterstattung. Alle haben nur die dpa-meldung weitergegeben, daß PGP udn S/MIME kaputt wäre, dabe ist es nur das kaputte Konzept der "html-Mails", daß das Problem verursacht. man muß sich mal vorstellen, was los wäre, wenn man einen (Papier-)Brief erhält und der beimöffnen erstmal alle möglichen Leute anruft/informiert und sagt, man müsse sich von Hinz und Kunz noch Bilder holen udn in den brief einkleben, damit man ihn sieht.

lks
Bitte warten ..
Mitglied: rzlbrnft
16.05.2018, aktualisiert um 10:12 Uhr
Zitat von Lochkartenstanzer:
PS: Allerdings machen sich wirklich nur die wenigsten die Mühe da mal reinzuschauen und vertrauen darauf, daß da irgendein Experte ist, der das für sie tut. Es ist also die faulheit, die solche fehler hervorbringt und nicht open/closed-Source.

Sorry aber wenn ich eine SECURITY Software nutze, dann gehe ich nicht davon aus, das ich sie selbst erst reparieren muss.
Auch bei Open Source gibt es durchaus Hersteller die damit Geld verdienen möchten.

Zudem sind die wenigsten User in der Lage sich durch 3 Millionen Zeilen Spaghetticode zu wühlen.

Ich nutze selbst ebenfalls Open und Closed Source Produkte, und bin oft angepisst von dem was z.B. Microsoft so fabriziert, trotzdem gibt es Argumente die für mich sinnlos sind, wie z.B. die Überprüfbarkeit, wenn sich eh keiner die Mühe macht.
Bitte warten ..
Mitglied: certifiedit.net
16.05.2018 um 10:10 Uhr
Moin LKS,

richtig.

PS: Allerdings machen sich wirklich nur die wenigsten die Mühe da mal reinzuschauen und vertrauen darauf, daß da irgendein Experte ist, der das
für sie tut. Es ist also die faulheit, die solche fehler hervorbringt und nicht open/closed-Source.

Das ist Blödsinn. die Lücke betrifft sowohl open- als auch Closed-Source.

Closed Source aber in Rückgriff auf OpenSource Plugins/Libs. Oder irr ich mich?

Dann kann das allerdings nicht mehr als absoluter Vorteil für Open Source gewertet werden. Denn sonst wäre wohl mit geballter "OS Power" wohl bereits im November die Lücke gefixt und ausgerollt worden.

wenn man einen (Papier-)Brief erhält und der beim öffnen erstmal alle möglichen Leute anruft/informiert und sagt, man müsse sich von Hinz und Kunz noch Bilder holen udn in den brief einkleben, damit man ihn sieht.

Sicher richtig, versprach allerdings PGP nicht genau die Sicherheit ohne große Komforteinbußen?

So, das Ergebnis des ersten Treffers bei der großen Suchmaschine:

PGP gestattet den Austausch von Nachrichten ohne Verzicht auf Privatsphäre, Authentifikation und Komfort.

HTML gehört für die meisten Endanwender eben zum Komfort.

VG
Bitte warten ..
Mitglied: certifiedit.net
16.05.2018 um 10:12 Uhr
Eben und genau aus diesem Grund ist hiermit für mich wiedermal eine Stütze der dogmatischen OS Verfechter weggefallen.
Bitte warten ..
Mitglied: Lochkartenstanzer
16.05.2018, aktualisiert um 14:09 Uhr
Zitat von certifiedit.net:

Closed Source aber in Rückgriff auf OpenSource Plugins/Libs. Oder irr ich mich?

Das betrifft im Prinzip alle MUA, die HTML erlauben, unabhängug davon ib open- oder closed-source-Module verwendet werden


HTML gehört für die meisten Endanwender eben zum Komfort.


Man kann HTML ja ohne weiteres verwenden. Nur muß der MUA drauf achten, daß nur Elemente aus der Mail selbst dargestellt werden und nicht noch irgendwelche Kommunikation mit externen Systemen und Programmen erfolgt. Das Problem esultiert ja daraus, das die MUAs ungefragt mit dem Angreifer reden statt zu sagen "ist nicht!".

lks
Bitte warten ..
Mitglied: Deepsys
16.05.2018 um 14:56 Uhr
Sieh mal einer an, bei Heise ist dieser Kommentar der gleichen Meinung:

https://www.heise.de/newsticker/meldung/Kommentar-Efail-ist-ein-EFFail-4 ...

"PGP ist nicht kaputt. Wenn man allerdings große Teile der Berichterstattung über die Efail-Lücken verfolgt hat, könnte man zu diesem Schluss gelangen. ...."
Bitte warten ..
Ähnliche Inhalte
Verschlüsselung & Zertifikate

Efail die II - Warum SMime und PGP der Zeit hinterherhinken

Information von certifiedit.netVerschlüsselung & Zertifikate

Guten Morgen, nachdem der letzte Beitrag rege kommentiert wurde, die IT-Republik sich nun darüber streitet ob es nun ein ...

Sicherheit

SMB 1.0 - neue Lücken

Information von DerWoWussteSicherheit3 Kommentare

und, waren wir alle brav und haben SMB 1 vorsorglich abgeschaltet? ->die nächsten Lücken: Edit - ups, letztere ist ...

Datenschutz

Datenschutzfreundliche Alternativen zu bekannten Apps

Information von sabinesDatenschutz2 Kommentare

Studenten der UNI Wien haben bekannte Apps hinsichtlich des Datenschutzes untersucht und bewertet. Und einen Hinweis auf Alternativen hierzu ...

Windows 10

Zero-Day-Lücke in Microsoft Edge

Information von kgbornWindows 10

In Microsofts Edge-Browser klafft wohl eine nicht geschlossene (0-Day) Sicherheitslücke im Just In Time Compiler (JIT Compiler) für Javascript. ...

Neue Wissensbeiträge
Router & Routing

Das pfSense Buch ist jetzt für jeden kostenlos zu beziehen

Tipp von magicteddy vor 13 StundenRouter & Routing2 Kommentare

Bisher war das Buch nur für zahlende Unterstützer verfügbar, jetzt steht für Jedermann kostenlos zur Verfügung. Siehe auch The ...

Firewall

Möglicherweise neue Sicherheitslücke in Mikrotik-Firmware

Information von LordGurke vor 2 TagenFirewall3 Kommentare

Hallo zusammen, vor ein paar Monaten gab es ja bereits eine Sicherheitslücke in der Firmware von Mikrotik-Routern, über welche ...

Erkennung und -Abwehr
Rechner hacken mit Cortana, auch Remote
Information von Lochkartenstanzer vor 3 TagenErkennung und -Abwehr3 Kommentare

heise berichtet über den Vortrag von der Blackhat Open Sesame: Picking Locks with Cortana. Einige Fehler sind schon gefixt, ...

DSL, VDSL
Bei Unitymedia eine eigene IPv4 mit DS bekommen
Tipp von matze2090 vor 3 TagenDSL, VDSL1 Kommentar

Hallo, ich hatte noch vor kurzem eine DS-Lite Verbindung bei Unitymedia. Das nachteil zu DS ist das Port Forwarding ...

Heiß diskutierte Inhalte
Windows Netzwerk
Performance bei Terminalserver
Frage von azizalexanderWindows Netzwerk20 Kommentare

Hallo zusammen, Ich wusste nicht in welches Thema meine Frage passt ich Bitte um Vergebung falls ich hier falsch ...

LAN, WAN, Wireless
Bandbreitenverteilung Netzwerk Linux NAS Qnap
Frage von Re-AnimatorLAN, WAN, Wireless18 Kommentare

Hallo Allerseits, ich habe hier im Netzwerk ein Problem mit der Bandbreite für das ich keine Erklärung habe! und ...

Exchange Server
Exchange 2013 - Unable to Relay nach extern, SuperMailer
Frage von leon123Exchange Server13 Kommentare

Hallo zusammen, ich brauch mal wieder eure Hilfe. Ich beschäftige mich gerade mit dem SuperMailer und erhalte vom Exchange ...

Windows Server
Fujitsu Server Installation
Frage von stolliWindows Server10 Kommentare

Guten Tag, Ich benötige mal wieder eure Hilfe. Ich hab mir einen gebrauchten Fujitsu Server Primergy TX120 SP3 zugelegt ...