Schlagwort-Archive: Browser

Convergence – endlich ein Fix für SSL?

Millionen von Internet-Transaktionen täglich werden von Secure Socket Layer (SSL)-Technologie geschützt. Doch Sicherheitsprobleme tauchen immer wieder auf. Hier könnte ein ganz neues Verfahren eine Lösung bieten.

Vor wenigen Wochen wurde die Open-Source-Webseite von MySQL von Hackern mit JavaScript-Code injiziert und damit der Traffic auf die Malware-Seite BlackHole umgeleitet. Zum Glück dauerte die Weiterleitung nur wenigen Stunden, da verschiedene Sicherheits-Firmen sofort den Betreiber der Seite, Oracle, informierten und das Loch schnell gestopft war. Nun sind derartige Injektionen an sich nichts ungewöhnliches, was diesen Fall so besonders interessant gemacht hat, war die Tatsache, dass dieser Angriff nur möglich war, weil die Hacker Root-Access-Rechte hatten.

Laut den Security-Experten von Trend Micro haben sich die Hacker die Zugänge für die MySQL-Cluster-Server für rund 3000 Dollar auf dem Schwarzmarkt beschafft. Möglich wurde das durch die Attacken auf die SSL-Zertifikatsanbieter DigiNotar, Comodo und Global Sign, die dazu geführt haben, dass sich Hacker immer häufiger Root-Access verschaffen können.

Schon seit 2004 weiß man um die Probleme von SSL/TLS. „Es ist schon lange bekannt, dass es eine Schwäche in diesem Protokoll gibt, und dass wir schon längst einen Update hätten vornehmen müssen“, bestätigt der SSL-Vater Taher Elgamal. Doch seiner Ansicht nach ist es nicht nur das Protokoll, sondern das gesamte Eco-System heutiger Websicherheit. „Wenn ich die Chance hätte, würde ich bessere Browser machen“, sagte Elgamal jüngst in einem Gespräch mit silicon.de und schob damit den Schwarzen Peter an die Browser-Hersteller.

Doch die Browser sind nur eine weitere Schwachstelle der gesamten Infrastruktur-Schwäche. Laut Moxie Marlinspike vom Security-Anbieter Qualys gibt es inzwischen über 650 Organisationen, die wie Comodo oder Global Sign, berechtigt sind, Zertifikate abzuzeichnen. „Bei so vielen digitalen Stempeln wird das ursprüngliche Prinzip eines ‚Single Point of Trust‘ ad absurdum geführt“, sagte Marlinspike jüngst auf einer Sicherheits-Konferenz in San Francisco.

Sein Unternehmen hat sich deshalb eine Lösung einfallen lassen, die von immer mehr Sicherheitsexperten anerkannt wird. „Convergence“ nennt Marlinspike das Verfahren, das nicht auf der Public-Key-Infrastructure aufsetzt, sondern aus einem konföderierten Netz an Notar-Servern besteht, die unabhängig für ein Zertifikat bürgen. Seit April denken Marlinspike und andere Security-Experten bereits über die Implementierung dieser Idee nach. Eines der großen Probleme ist der Traffic der schnell und sicher bewältigt werden muss. Doch inzwischen gibt eine Lösung, die man sich als eine Art Peer-to-Peer-Infrastruktur von unabhängigen Notaren vorstellen kann.

Den kompletten Artikel mit Links von Harald Weiss, findet ihr unter Convergence – endlich ein Fix für SSL? von silicon.de.

Freundliche Grüße
das OSS-Haus Team

Firefox 7 optimiert Speichernutzung

Mozilla hat Firefox 7 für die verschiedenen Plattformen veröffentlicht und gleichzeitig neue Entwicklerwerkzeuge.

Geschwindigkeit ist das Schlagwort, unter dem Mozilla den neuen Firefox 7 vermarktet. Der Browser selbst soll durch schnelleres Öffnen von Tabs und beim Klick auf Menüpunkte schneller reagieren. Die Entwickler haben sich dafür die Speichernutzung der Software vorgeknöpft und dort Verbesserungen eingebracht.

Bei der Nutzung der Funktion Sync zum Synchronisieren von Bookmarks und Passwörtern in verschiedenen Firefox-Instanzen soll der Abgleich nun fast nahtlos erfolgen. Das Websocket-Protokoll ist im Firefox nun von Version 7 auf Version 8 geklettert.

Ein Update hat auch die Engine der Hardware-beschleunigten HTML-Erweiterung Canvas erfahren, was HTML-5-Animationen und Spielen unter Windows helfen soll. Entwickler von Webseiten sollen davon ebenfalls profitieren. Unterstützung für das API W3C Navigation Timing Spec im Firefox dient Entwicklern zudem zur Messung diverser Faktoren beim Laden von Websites.

Mozilla hat außerdem mit Telemetry einen neuen Dienst eingerichtet, über den geneigte Nutzer Informationen zur Browser-Leistung an die Entwickler schicken können. Dies geschehe anonym und gemäß den Mozilla-Privacy-Prinzipien, heißt es. Die Release Notes zählen weitere Neuerungen auf. Es liegt auch eine komplette Liste der Änderungen und Bugfixes vor.

Den originalen Artikel mit allen Links von Ulrich Bantle, findet ihr unter Firefox 7 optimiert Speichernutzung von Linux-Magazin.

Freundliche Grüße
das OSS-Haus Team