SSL in der Krise

Erstellt 06.11.2011  Kategorien  Buntes

SSL ist massiv in der Krise: Die Nachrichten, nachdem Zertifizierungsstellen gehackt und es Unbefugten gelang, sich selbst Zertifikate auszustellen, häufen sich. Nun meldet heise, daß es die niederländische Firma KPN Corporate Market getroffen hat. Diese Zertifikate sollen dazu dienen, sicherzustellen, daß sich bspw. hinter der aufgerufenen Webseite meiner Bank https://www.meine-bank.de tatsächlich die Bank verbirgt und nicht ein Krimineller, der nur meine Zugangsdaten abfischen will. Angesichts der Anzahl der Fälle in der Vergangenheit kann man den Zertifikaten offenbar nicht mehr trauen. Und weiter: Nicht nur Kriminelle, sondern auch Schurkenstaaten erschleichen sich Zertifikate, um die verschlüsselten SSL-Verbindungen Ihrer Untertanen abzuhören.

Zudem haben Cryptoexperten Ende September bewiesen (Stichwort: BEAST-Attacke), daß eine längst bekannte Lücke in den derzeit weit verbreiteten Protokollen SSL3 und TLS 1.0 u.U. dazu genutzt werden kann, eine SSL-Verbindung zu kapern. Das in Bezug auf diese Sicherheitslücke immune TLS 1.1 ist zwar schon veröffentlicht, allerdings "spricht" der Großteil der Serverwelt im Internet noch die unsicheren Protokolle, da auch die wenigsten Browser (selbst in den aktuellen Versionen) das sichere TLS unterstützen - Chrome macht da wohl die positive Ausnahme.

Das sichere Internet-Surfen via SSL ist also massiv in die Krise gekommen. Doch wie kann man sich kurzfristig behelfen und wie sehen mittel- und langfristig Alternativen und Weiterentwicklungen aus? Ideen hierzu wurden in der Ausgabe 172 des Chaosradio besprochen. Die Sendung ist zwar zwei Stunden lang, aber sehr hörenswert.

 

[Ganzer Artikel]

Tags  browser,  ssl,  https,  tls,  zertifikate,  certificate authority

Linkvalidator-Skript überarbeitet

Erstellt 28.11.2010  Kategorien  Software

Letztes Jahr habe ich hier ein MySQLDumper downloade.

In der Zwischenzeit habe ich einiges an Erfahrungen mit dem Skript gesammelt und kleinere Verbesserungen eingebaut. Ein großes Manko war bislang, daß das Skript https-Links nicht korrekt verarbeitet hat. Deshalb habe ich via cpan das Perl-Modul Crypt::SSLeay nachinstalliert. Interessanterweise funktioniert anschließend die Überprüfung der https-Links auch ohne daß ich das Skript um die Zeile "use Crypt::SSLeay" erweitere. Das habe ich zwar nicht verstanden, aber was solls. Jedenfalls muß vor der Installation von Crypt::SSLeay die Bibliothek libssl-dev installiert sein.

Das Skript funktioniert grob so, daß jeder in der Datenbank gefundene Link aufgerufen und der Header übertragen wird. Dann wird der HTML Status Code ausgewertet. Ist dieser nicht "200 OK", sondern bspw. "404 Not found", dann stimmt irgendetwas nicht. Das Skript erstellt am Ende eine HTML-Seite mit den problematischen Links für jeden Artikel. Von dort aus kann man mit einem Klick auch in die Bearbeitungsansicht des Artikels wechseln, um den kaputten Link zu reparieren. Leider halten sich wohl nicht alle Webserver an das w3.org-Format der Status Codes. Manche Webserver geben statt "200 OK" auch "200 Here we go" (Fefes Blog) oder ähnliches zurück. Deshalb werte ich in der aktuellen Version des Linkvalidator-Skripts nur die Code-Nr. des Status Codes aus.

Die dritte und letzte Änderung bezieht sich auf die erlaubten Zeichen in Links. Nun funktioniert das Skript auch bei Links, die das Zeichen "@" enthalten.

Die neue Version des Skripts könnt Ihr am Ende dieses Artikels downloaden.

 

[Ganzer Artikel]

Tags  perl,  mysql,  datenbank,  links,  mysqldumper,  linkvalidator,  http,  webserver,  ssl,  cpan,  crypt::ssleay