Profile cover photo
Profile photo
Zar Gohn
129 followers -
¯\_(ಠ_๏)_/¯
¯\_(ಠ_๏)_/¯

129 followers
About
Zar's posts

Post has attachment

Post has attachment
Can we please take a minute to appreciate Goombas?

Post has attachment

Post has attachment
John Oliver interviewing Ed Snowden about dick pics. This really happened.

Post has shared content
Comodo ist eine Root-CA mit mehr als 30% Marktanteil. Die Aufgabe einer CA ist es, SSL-Zertifikate so zu unterschreiben, daß nur die Leute ein Zertifikat haben, die den Namen der so beglaubigten Website rechtmäßig führen. 

Comodo hat das 2011 nicht hin bekommen, und man hätte deren Root-CA Cert damals aus seinem Browser entfernen sollen. Das kann man nicht, weil dadurch ein Drittel aller SSL-Webseiten in vielen Browsern nicht mehr funktionieren würden.

Comodo verteilt jetzt gerade Software, bei denen sich PrivDog mit installiert. Das ist eine Software, die SSL MITM macht, genau wie Superfish oder andere Komodia-Software, und die SSL-Zertifikate falsch prüft und signiert.

Auch jetzt kann man das Comodo Root Zertifikat nicht löschen, auch wenn Comodo sich zum zweiten Mal als komplett unfähig erwiesen hat. Sogar noch weniger als je zuvor, denn inzwischen gibt es eine Menge Websites, die Unsinn wie HSTS verwenden

http://en.wikipedia.org/wiki/HTTP_Strict_Transport_Security

HSTS ist der kleine, kaputte Bruder von Cert Pinning, und der würde es unmöglich machen, auf eine Website noch zuzugreifen, wenn man das CA-Cert der CA entfernte, das das Cert dieser Website ausgestellt hat.

http://blog.chromium.org/2011/06/new-chromium-security-features-june.html
»The same HSTS technology also prevents users from clicking through SSL warnings for things such as a self-signed certificate. These attacks have been seen in the wild, and users have been known to fall for such attacks. Now there’s a mechanism to prevent them from doing so on sensitive domains.«

Entferne Comodo, greife nie wieder auf eine Site zu, die HSTS verwendet und ein Comodo Cert hat.

SSL ist kaputt. Und die Forschung konzentriert sich auf den SSL Dialog und warum Leute da so oft weiter klicken anstatt "sich mit dem Problem zu beschäftigen und nicht auf die offensichtlich kompromittierte Site zuzugreifen"
http://static.googleusercontent.com/media/research.google.com/en//pubs/archive/41927.pdf

Das ist so, weil in der Erfahrung der Leute jede einzelne SSL Warnung jemals ein Server-Problem war, und nie ein Angriff.

Es ist außerdem nicht durch den User fixbar, sondern nur durch den Serverbetreiber.
https://plus.google.com/+KristianK%C3%B6hntopp/posts/Kqgx3Pf7WGJ

Der korrekte Ansatz wäre, den Start des betreffenden Servers mit einem kaputten Cert zu verhindern, anstatt das Problem dem User anzuzeigen.

Das passiert nicht.

Und der Rest von SSL ist auf dieselbe Weise kaputt.

Post has attachment

Post has attachment
"[…] es ist der falsche Weg mit Gesetzen zu reagieren, die mehr “Sicherheit” vorgaukeln, aber letztlich nur die Freiheit an sich einschränken werden. Niemandem darf signalisiert werden, dass man mit Mordanschlägen Freiheitsrechte wegschießen könne. Ohnehin gäbe es keine sinnvolle gesetzliche Reaktion auf die Morde, die das Leben der Opfer hätte retten können. Wir dürfen nicht vergessen, dass Frankreich zu den europäischen Ländern mit den schärfsten Sicherheitsgesetzen zählt, schon 2006 Vorratsdatenspeicherung, Überwachung von Fluggastdaten und flächendeckende Videoüberwachung einführte und diese Maßnahmen trotzdem nicht zur Verhinderung der Tat führten. Wer angesichts dessen nun gleichwohl die Einführung einer Vorratsdatenspeicherung fordert, instrumentalisiert die Opfer dieses abscheulichen Verbrechens für seine Zwecke und trägt zur Irreführung der Öffentlichkeit bei."

Post has attachment

Post has attachment
A new Doom 2 UV speedrunning world record (23:03 min)

Post has attachment
Tatsächlich mal gut klingende Nachrichten aus dem Hause Microsoft.
Wait while more posts are being loaded