Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

EFail Lücke war seit November bekannt - Veröffentlichung war unüberlegt

Mitglied: certifiedit.net

certifiedit.net (Level 5) - Jetzt verbinden

16.05.2018, aktualisiert 16:01 Uhr, 966 Aufrufe, 8 Kommentare, 3 Danke

Guten Morgen,

da in den Diskussionen zu OpenSource und OpenSource naher Entwicklung gerne das Argument genannt wird, dass die Sicherheit überprüfbar ist und "Security through obscurity" der Closed Source kein Mittel sein kann und darf, verwundert mich die Haltung des openPGP Entwicklers Brunschwig nun.

Fakt ist, offensichtlich war die Lücke seit mindestens November 2017 - also ein gutes halbes Jahr bekannt. Fakt ist demnach auch, dass bei der Nutzung von PGP im letzten halben Jahr die Möglichkeit der Kompromittierungswahrscheinlichkeit durch Unwissenheit der Nutzer ins unerträgliche gesteigert wurde.

Damit geht ein weiteres Totschlagargument der OpenSource Entwicklung und damit des dogmatischen Einsatzes von Open Source Software den Bach hinunter.

https://www.heise.de/security/meldung/Enigmail-Chefentwickler-im-Intervi ...

Viele Grüße,

Christian

PS: Wir setzen intern Closed und Open Source ein, allerdings nach Planung und Gegenüberstellung unter Betrachtung des Einsatzzwecks.
Mitglied: Lochkartenstanzer
16.05.2018 um 09:18 Uhr
Zitat von certifiedit.net:


Damit geht ein weiteres Totschlagargument der OpenSource Entwicklung und damit des dogmatischen Einsatzes von Open Source Software den Bach hinunter.

Das ist Blödsinn. die Lücke betrifft sowohl open- als auch Closed-Source.

Bei enigmail wurde die Lücke schon länger gefixt, aber niht bekanntgegeben auf Wunsch des efail-Autors.

Egal closed oder open source, solange der hersteller sich nciht die Mühe macht, den Bug zu fixen, ist man der gelackmeierte. Aber bei Open Source hat man die Möglichkeit, selbst Hand anzulegen und nicht auf irgendeinen warten zu müssen, der sich bequemt das für einen zu erledigen. Und man kann verifizieren, was der Author eingebaut hat.

lks

PS: Allerdings machen sich wirklich nur die wenigsten die Mühe da mal reinzuschauen und vertrauen darauf, daß da irgendein Experte ist, der das für sie tut. Es ist also die faulheit, die solche fehler hervorbringt und nicht open/closed-Source.
Bitte warten ..
Mitglied: Deepsys
16.05.2018 um 09:32 Uhr
Moin,

ich stimme LKS voll zu.
Steht ja auch drin, das es eigentlich schon gefixt ist, aber noch nicht ausgerollt ist.

Selbst bei uns in der IT waren die Kollegen der Meinung das die Verschlüsselung selber kaputt, das stimmt aber auch nicht.
Es sieht für mich fast schon so aus als sollte die Verschlüsselung selber schlechtgeredet werden ....

VG,
Deepsys
Bitte warten ..
Mitglied: Lochkartenstanzer
16.05.2018 um 09:45 Uhr
Zitat von Deepsys:

Selbst bei uns in der IT waren die Kollegen der Meinung das die Verschlüsselung selber kaputt, das stimmt aber auch nicht.

Das lag ander "unkritischen" Berichterstattung. Alle haben nur die dpa-meldung weitergegeben, daß PGP udn S/MIME kaputt wäre, dabe ist es nur das kaputte Konzept der "html-Mails", daß das Problem verursacht. man muß sich mal vorstellen, was los wäre, wenn man einen (Papier-)Brief erhält und der beimöffnen erstmal alle möglichen Leute anruft/informiert und sagt, man müsse sich von Hinz und Kunz noch Bilder holen udn in den brief einkleben, damit man ihn sieht.

lks
Bitte warten ..
Mitglied: rzlbrnft
16.05.2018, aktualisiert um 10:12 Uhr
Zitat von Lochkartenstanzer:
PS: Allerdings machen sich wirklich nur die wenigsten die Mühe da mal reinzuschauen und vertrauen darauf, daß da irgendein Experte ist, der das für sie tut. Es ist also die faulheit, die solche fehler hervorbringt und nicht open/closed-Source.

Sorry aber wenn ich eine SECURITY Software nutze, dann gehe ich nicht davon aus, das ich sie selbst erst reparieren muss.
Auch bei Open Source gibt es durchaus Hersteller die damit Geld verdienen möchten.

Zudem sind die wenigsten User in der Lage sich durch 3 Millionen Zeilen Spaghetticode zu wühlen.

Ich nutze selbst ebenfalls Open und Closed Source Produkte, und bin oft angepisst von dem was z.B. Microsoft so fabriziert, trotzdem gibt es Argumente die für mich sinnlos sind, wie z.B. die Überprüfbarkeit, wenn sich eh keiner die Mühe macht.
Bitte warten ..
Mitglied: certifiedit.net
16.05.2018 um 10:10 Uhr
Moin LKS,

richtig.

PS: Allerdings machen sich wirklich nur die wenigsten die Mühe da mal reinzuschauen und vertrauen darauf, daß da irgendein Experte ist, der das
für sie tut. Es ist also die faulheit, die solche fehler hervorbringt und nicht open/closed-Source.

Das ist Blödsinn. die Lücke betrifft sowohl open- als auch Closed-Source.

Closed Source aber in Rückgriff auf OpenSource Plugins/Libs. Oder irr ich mich?

Dann kann das allerdings nicht mehr als absoluter Vorteil für Open Source gewertet werden. Denn sonst wäre wohl mit geballter "OS Power" wohl bereits im November die Lücke gefixt und ausgerollt worden.

wenn man einen (Papier-)Brief erhält und der beim öffnen erstmal alle möglichen Leute anruft/informiert und sagt, man müsse sich von Hinz und Kunz noch Bilder holen udn in den brief einkleben, damit man ihn sieht.

Sicher richtig, versprach allerdings PGP nicht genau die Sicherheit ohne große Komforteinbußen?

So, das Ergebnis des ersten Treffers bei der großen Suchmaschine:

PGP gestattet den Austausch von Nachrichten ohne Verzicht auf Privatsphäre, Authentifikation und Komfort.

HTML gehört für die meisten Endanwender eben zum Komfort.

VG
Bitte warten ..
Mitglied: certifiedit.net
16.05.2018 um 10:12 Uhr
Eben und genau aus diesem Grund ist hiermit für mich wiedermal eine Stütze der dogmatischen OS Verfechter weggefallen.
Bitte warten ..
Mitglied: Lochkartenstanzer
16.05.2018, aktualisiert um 14:09 Uhr
Zitat von certifiedit.net:

Closed Source aber in Rückgriff auf OpenSource Plugins/Libs. Oder irr ich mich?

Das betrifft im Prinzip alle MUA, die HTML erlauben, unabhängug davon ib open- oder closed-source-Module verwendet werden


HTML gehört für die meisten Endanwender eben zum Komfort.


Man kann HTML ja ohne weiteres verwenden. Nur muß der MUA drauf achten, daß nur Elemente aus der Mail selbst dargestellt werden und nicht noch irgendwelche Kommunikation mit externen Systemen und Programmen erfolgt. Das Problem esultiert ja daraus, das die MUAs ungefragt mit dem Angreifer reden statt zu sagen "ist nicht!".

lks
Bitte warten ..
Mitglied: Deepsys
16.05.2018 um 14:56 Uhr
Sieh mal einer an, bei Heise ist dieser Kommentar der gleichen Meinung:

https://www.heise.de/newsticker/meldung/Kommentar-Efail-ist-ein-EFFail-4 ...

"PGP ist nicht kaputt. Wenn man allerdings große Teile der Berichterstattung über die Efail-Lücken verfolgt hat, könnte man zu diesem Schluss gelangen. ...."
Bitte warten ..
Ähnliche Inhalte
Verschlüsselung & Zertifikate

Efail die II - Warum SMime und PGP der Zeit hinterherhinken

Information von certifiedit.netVerschlüsselung & Zertifikate

Guten Morgen, nachdem der letzte Beitrag rege kommentiert wurde, die IT-Republik sich nun darüber streitet ob es nun ein ...

Sicherheit

SMB 1.0 - neue Lücken

Information von DerWoWussteSicherheit3 Kommentare

und, waren wir alle brav und haben SMB 1 vorsorglich abgeschaltet? ->die nächsten Lücken: Edit - ups, letztere ist ...

Vmware

VMware Updates gegen L1 Lücke

Information von sabinesVmware

Für die Vmware Produkte vCenter Server, ESXi, Workstation und Fusion stehe Updates bereit um die L1 Lücke zu schließen. ...

Datenschutz

Datenschutzfreundliche Alternativen zu bekannten Apps

Information von sabinesDatenschutz2 Kommentare

Studenten der UNI Wien haben bekannte Apps hinsichtlich des Datenschutzes untersucht und bewertet. Und einen Hinweis auf Alternativen hierzu ...

Neue Wissensbeiträge
Ausbildung

Linux-Ausstieg in Niedersachsen - Windows statt Bugfix

Information von StefanKittel vor 15 StundenAusbildung8 Kommentare

Sind ja nur Steuergelder

Speicherkarten

Neuer Speicherkartentyp - zunächst nur für Huawei-Smartphones (künftig auch für Notebooks u. Tablets?)

Tipp von VGem-e vor 2 TagenSpeicherkarten2 Kommentare

Servus, als ob das "Chaos" i.S. Speicherkarten noch nicht groß genug wäre?! Evtl. kommt dieser neue Kartentyp bald auch ...

Sicherheit

Diverse D-Link-Router durch drei Schwachstellen kompromittierbar

Information von kgborn vor 2 TagenSicherheit

Hat jemand D-Link-Router in Verwendung? Einige Modelle sind sicherheitstechnisch offen wie ein Scheunentor. Äußerst unschöne Sache, aber nichts neues ...

Hardware

100.000 Mikrotik-Router ungefragt von Hacker abgesichert

Information von 7Gizmo7 vor 3 TagenHardware3 Kommentare

Hallo zusammen, da hier ja öfters mal von Mikrotik gesprochen wird. Trotz Updates klafft eine Sicherheitslücke in Hundertausenden Mikrotik-Routern. ...

Heiß diskutierte Inhalte
Off Topic
SysAdmin im öffentlichen Dienst - jemand Erfahrungen?
Frage von JohnDorianOff Topic22 Kommentare

Hallo zusammen, hat jemand Erfahrung wie es so ist als SysAdmin im öffentlichen Dienst (Landkreis) im Südwesten der Republik ...

SAN, NAS, DAS
Nas mit USB und LAN gleichzeitig zugreifen
gelöst Frage von MarkBeakerSAN, NAS, DAS16 Kommentare

Hallo zusammen, ich suche eine Art NAS, womit ich via LAN und USB zugreifen kann. Folgender Aufbau ist gedacht: ...

Vmware
Offene LDAP-Server in AS
gelöst Frage von obi-wan-kenobiVmware16 Kommentare

Hallo alle Miteinander, ich habe ein Problem, unsere VM-Ware Appliance (Version. 6.5.0.10000) ist scheinbar angreifbar. Wir haben eben die ...

Entwicklung
Ist dies als Programmieren zu bezeichen?
Frage von kmsw110Entwicklung13 Kommentare

Hallo, ein Kollege redet dauernd darüber das er im Betrieb seine Maschinen (Fräsmaschinen) Programmiert bzw. Zahlenwerte in ein .txt ...