Skip to content

Kaputtes HTTPS gesucht

Fehlermeldung im IE bei Twitter

Vor vielen Jahren berichtete ich über Banken, die sicheres Login (SSL) abschalten. Sebastian twitterte über Truecrypt, die den Aufruf von https://truecrypt.org auf die HTTP-Seite umleiten. Gerade TrueCrypt als Anbieter von Sicherheitslösungen (Verschlüsselung der Festplatte) ist da ein schlechtes Beispiel. Einige weitere Beispiele nannte Sebastian in einer weiteren Nachricht. Ich habe das mal auf der Seite BadHTTPS gesammelt. Wenn euch weitere Beispiele einfallen, so hinterlasst entweder hier einen Kommentar oder schreibt es direkt auf die obige Wikiseite. Es wäre sehr interessant, weitere Beispiele zu kennen. Solch eine Sammlung liess sich in einem weiteren Schritt nutzen, um die betreffenden Firmen anzusprechen und auf eine Verbesserung der Situation hinzuwirken.

Trackbacks

Keine Trackbacks

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Rainer am :

Das ist die Regel: Das Webserver-Zertifikat wurde für www.example.com ausgestellt. Dann kam die Geschäftsleitung und wollte www.example.com auch unter example.com erreichbar sehen. Der Admin legt im DNS einen PTR- oder einen zweiten A-Record an, eben für example.com. Das Zertifikat, ausgestelllt für www.example.com, paßt natürlich nicht.
Ein Wildcard-Zertifikat für *.example.com wird nicht helfen, da example.com nicht matchen wird, ganz abgesehen davon, daß Wildcard-Zertifikate teurer sind.
Eine wirkliche Lösung wird SNI (Server Name Identication) bieten - das wird flächendeckend wahrscheinlich gleichzeitig mit IPv6 eingesetzt werden ;-)

Jens Kubieziel am :

Danke für die Aufklärung.

Auf der Seite will ich aber auch Fälle sammeln, wo z.B. bei einem Login ein “unsicheres” Cookie gesetzt wird. Mit dem kann man u.U. dann die Session übernehmen. und andere ähnliche Späße.

Kommentar schreiben

Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
BBCode-Formatierung erlaubt
Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.

Um maschinelle und automatische Übertragung von Spamkommentaren zu verhindern, bitte die Zeichenfolge im dargestellten Bild in der Eingabemaske eintragen. Nur wenn die Zeichenfolge richtig eingegeben wurde, kann der Kommentar angenommen werden. Bitte beachten Sie, dass Ihr Browser Cookies unterstützen muss, um dieses Verfahren anzuwenden.
CAPTCHA

Sie können [geshi lang=LANG][/lang] Tags verwenden um Quellcode abhängig von der gewählten Programmiersprache einzubinden
Formular-Optionen
cronjob