News E-Mail-Anbieter Posteo unterstützt DANE/TLSA

Das mag ja sein, ändert aber nichts an der Tatsache, dass Mozilla für Windows keinen 64-Bit Firefox entwickelt.
Apropos Marktanteil: Zeig doch mal eine Statistik, die die Verbreitung von IE64 darstellt.
 
Trefoil80 schrieb:
Einen 64bit-Browser brauchst Du genau wofür?
64-Bit Browser können stärker von Sicherheitsfeatures wie ASLR proftitieren:
One of these protective measures is called Address Space Layout Randomization, ASLR, and it works by moving DLLs and application memory into unpredictable locations within the 4GB that each 32-bit application has available to it. This makes exploitation harder, but on 32-bit systems the protection is limited. With only 4GB of space, there aren't that many random locations to choose. DLLs, for example, still need to be packed relatively close together, to ensure that there are large tracts of free space open for applications to store their own data in.
http://arstechnica.com/information-technology/2012/11/64-bit-firefox-for-windows-should-be-prioritized-not-suspended/

Und nur weil die mobilen Browser und die weitere Unterstützung von dem weiterhin verbreiteten Windows XP (32 Bit) immernoch Vorrang hat, wird sich sicherheitstechnisch in den offiziellen Browsern von Mozilla und Google in nächster Zeit leider nichts mehr ändern.

Beim Internetexplorer gab es zum Zeitpunkt der letzten großen Lücke auch die Ratschläge, spezielle Schutzmechanismen, die nur mit der 64-Bit Version funktionierten, einzuschalten:
Microsoft rät alternativ zu weiteren temporären Maßnahmen, die ausführlich im Security Advisory unter „Suggested Actions“ beschrieben sind. Eine der Maßnahmen ist, unter Extras/Internetoptionen im Browser den erweiterten geschützten Modus einzuschalten. Dazu sind dort zwei Haken bei „64-Bit-Prozesse für erweiterten geschützten Modus aktivieren“ und „Erweiterten geschützten Modus aktivieren“ zu setzen.

Fazit also: Immernoch schwache Leistung, was sicherheitstechnisch abläuft.
 
Klasse Aktion von Posteo. Anstatt hier das Haar in der Suppe zu suchen, sollten Einige hier im Forum auch mals akzeptieren, dass es auch Menschen gibt die auf der gleichen Seite stehen, wie die Jenigen, die für Datensicherheit im Netz kämpfen. Ob die Eine oder Andere Aktion aufgrund von fehlenden technischen Vorraussetzungen Sinn mach, ist manchmal auch egal, weil solche Vorreiteraktion als auslösendes Element für weitere sicherheitsrelevanten Maßnahmen anderer Email bzw. Interdienstleister sehr wichtig sind.
 
Die Aktion in Ehren. Allerdings halte ich von DNSSEC wenig. DANE ansich wäre ja nicht schlecht, aber dadurch, dass es erst durch DNSSEC brauchbar wird sitzt es im gleichen Boot. DNSSec ist viel zu aufgeblasen, komplex und intransparent. DNSSEC verursacht eine Vertrauensebene auf niedererem Level zu erschaffen. Allerdings verlagert sich letztlich nur das Problem und beseitigt es nicht. Mit DANE & DNSSEC will man Wesentlichen nur die Spielregeln festlegen, also: "Welcher Server darf welches Zertifikat haben." Wäre eines der Hauptanwendungsgebiete. Damit spart man sich theoretisch das Beglaubigte Zertifikate auf dem HTTPS-Server, da ja der DNS-Server sagt: "Ja, das is gut, kannste nehmen!" oder "emails an @blablubb.com gehen nur über TLS raus, nixi unverschlüsselt!" Damit diktiert quasi der DNS-Server was Sache is. Das is solange cool, solange DNS-Einträge nicht von irgendwem manipuliert werden. Und an dem Punkt kommt DNSSEC ins Spiel. Alle DNS-Einträge sollen jeweils signiert sein, damit sie als vertrauenswürdig eingestuft werden. D.h. wieder das gleiche Spiel mit der Signiererei und dem vielgelobten Chain of Trust. Genau bei diesem fängt jedoch sprichwörtlich die Kacke zum Dampfen an.

Die traurige Tatsache ist, dass viele Anwendungen noch nichtmal Zertifikatsperrlisten überprüfen. Ergo ist -und bleibt- ein kompromittiertes Zertifikat bis zu seinem Verfallsdatum auf so manchem Server weiterhin gültig. Womit wir beim Thema Implementierung wären... Die beste Verschlüsselung nützt nix, wenn die Implementierung letztlich nicht korrekt ist oder durch Tolerierung von Fallback auf "unverschlüsselt" eliminiert wird.
Traurige Tatsache ist ebenfalls, dass SMTPS -wo wir gerade bei email sind- schon seit Ewigkeiten existiert. Es gibt Lesebestätigungen, Out of office replies, usw. Aber keinen Schalter für: "Diese email nicht im Klartext übertragen." Warum lauschen email-server nicht auch auf dem SMTPS-Port und warum steuern Browser nicht per default HTTPS an und geben eine Warnmeldung raus, wenn nur HTTP verfügbar ist? Ein selbstsigniertes Zertifikat führt zu 50 Sicherheitsmeldungen, aber einem Umleitung auf einen HTTP-Server zu keiner Einzigen. Finde den Fehler... :rolleyes:
Verschlüsselung & Signierung is nach wie vor Opt-In... :freak:

Und damit es nicht heißt, ich mecker nur rum: Um Signierung und Verschlüsselung verwenden zu können muss es forciert werden (Beispiele):
  • Browser per default auf HTTPS => HTTP entsprechend als nicht vertrauenswürdig brandmarken
  • unsignierte emails as "unsigniert - nicht vertrausenwürdig" deklarieren
  • Sperrlisten prüfen, wenn nicht möglich "Zertifikatstatus unbekannt - möglicherweise gesperrt" anzeigen
  • usw
Dass das funktioniert hat Microsoft und Apple ganz gut gezeigt. Ohne Signatur auf deiner Anwendung gibt's eine orange Warnung bei der Ausführung des Programmes, bzw die App wird überhaupt nicht ausgeführt (Gatekeeper). Fazit: Funktioniert.
Microsoft müsste nur bei Outlook definieren, dass unsignierte Mails als "nicht vertrauenswürdig" eingestuft werden. Ich wette, dann würden binnen weniger Monate zumindest im Unternehmensbereich nurnoch signierte Mails verschickt werden... :rolleyes:
Ähnliches wenn die Browser HTTP-Verbindungen als solches deklassieren würden...

Ändert natürlich nix an der Problematik mit der Unsumme an "vertrausenwürdigen Stammzertifizierungsstellen". Allerdings liegt hier eine Abhilfe im Fingerprint Caching kombiniert mit persönlichen Begrüßungen oder dgl. (bei Loginseiten) sowie 2 Faktor-Authentifizierung. Für Server2Server-Kommunikation kann man so oder so nur hoffen, dass da verschlüsselt übertragen wird... In dem Fall schützt nur selbst verschlüsseln.
 
Naja,

Ich sehe im Verhalten nicht unbedingt einen "Fehler":

Wenn eine Seite / Email ohne Verschlüssellung ist, dann ist das soweit in Ordnung,
Wenn es jedoch verschlüsselt ist, dann wird entsprechend drauf hingewiesen, dass es "Vertrauenswürdig" ist.
Passiert nun aber ein Fehler in der Verschlüssellung, wie z.B. ein ungültiges Zertifikat, dann wird gewarnt, dass es zwar verschlüsselt ist, aber das ist nicht unbedingt gültig.

Hätten wir zu über 90% Verschlüssellung, dann sollte es tatsächlich umgestellt werden. Aber erstmal brauchen wir eine vertrauenswürdigere, übergreifendere Verschlüssellungen.
 
Zurück
Oben