Skip to content

Kaputtes HTTPS gesucht

Fehlermeldung im IE bei Twitter

Vor vielen Jahren berichtete ich über Banken, die sicheres Login (SSL) abschalten. Sebastian twitterte über Truecrypt, die den Aufruf von https://truecrypt.org auf die HTTP-Seite umleiten. Gerade TrueCrypt als Anbieter von Sicherheitslösungen (Verschlüsselung der Festplatte) ist da ein schlechtes Beispiel. Einige weitere Beispiele nannte Sebastian in einer weiteren Nachricht. Ich habe das mal auf der Seite BadHTTPS gesammelt. Wenn euch weitere Beispiele einfallen, so hinterlasst entweder hier einen Kommentar oder schreibt es direkt auf die obige Wikiseite. Es wäre sehr interessant, weitere Beispiele zu kennen. Solch eine Sammlung liess sich in einem weiteren Schritt nutzen, um die betreffenden Firmen anzusprechen und auf eine Verbesserung der Situation hinzuwirken.

Trackbacks

No Trackbacks

Comments

Display comments as Linear | Threaded

Rainer on :

Das ist die Regel: Das Webserver-Zertifikat wurde für www.example.com ausgestellt. Dann kam die Geschäftsleitung und wollte www.example.com auch unter example.com erreichbar sehen. Der Admin legt im DNS einen PTR- oder einen zweiten A-Record an, eben für example.com. Das Zertifikat, ausgestelllt für www.example.com, paßt natürlich nicht.
Ein Wildcard-Zertifikat für *.example.com wird nicht helfen, da example.com nicht matchen wird, ganz abgesehen davon, daß Wildcard-Zertifikate teurer sind.
Eine wirkliche Lösung wird SNI (Server Name Identication) bieten - das wird flächendeckend wahrscheinlich gleichzeitig mit IPv6 eingesetzt werden ;-)

Jens Kubieziel on :

Danke für die Aufklärung.

Auf der Seite will ich aber auch Fälle sammeln, wo z.B. bei einem Login ein “unsicheres” Cookie gesetzt wird. Mit dem kann man u.U. dann die Session übernehmen. und andere ähnliche Späße.

Add Comment

Enclosing asterisks marks text as bold (*word*), underscore are made via _word_.
Standard emoticons like :-) and ;-) are converted to images.
BBCode format allowed
E-Mail addresses will not be displayed and will only be used for E-Mail notifications.

To prevent automated Bots from commentspamming, please enter the string you see in the image below in the appropriate input box. Your comment will only be submitted if the strings match. Please ensure that your browser supports and accepts cookies, or your comment cannot be verified correctly.
CAPTCHA

You can use [geshi lang=lang_name [,ln={y|n}]][/geshi] tags to embed source code snippets.
Form options
cronjob