Kaputtes HTTPS gesucht
Vor vielen Jahren berichtete ich über Banken, die sicheres Login (SSL) abschalten. Sebastian twitterte über Truecrypt, die den Aufruf von https://truecrypt.org auf die HTTP-Seite umleiten. Gerade TrueCrypt als Anbieter von Sicherheitslösungen (Verschlüsselung der Festplatte) ist da ein schlechtes Beispiel. Einige weitere Beispiele nannte Sebastian in einer weiteren Nachricht. Ich habe das mal auf der Seite BadHTTPS gesammelt. Wenn euch weitere Beispiele einfallen, so hinterlasst entweder hier einen Kommentar oder schreibt es direkt auf die obige Wikiseite. Es wäre sehr interessant, weitere Beispiele zu kennen. Solch eine Sammlung liess sich in einem weiteren Schritt nutzen, um die betreffenden Firmen anzusprechen und auf eine Verbesserung der Situation hinzuwirken.
Comments
Display comments as Linear | Threaded
Rainer on :
Ein Wildcard-Zertifikat für *.example.com wird nicht helfen, da example.com nicht matchen wird, ganz abgesehen davon, daß Wildcard-Zertifikate teurer sind.
Eine wirkliche Lösung wird SNI (Server Name Identication) bieten - das wird flächendeckend wahrscheinlich gleichzeitig mit IPv6 eingesetzt werden
Jens Kubieziel on :
Auf der Seite will ich aber auch Fälle sammeln, wo z.B. bei einem Login ein “unsicheres” Cookie gesetzt wird. Mit dem kann man u.U. dann die Session übernehmen. und andere ähnliche Späße.