loader
SSL

Umgehung von Netzsperren

Nach dem OGH Beschluss zu Netzsperren im Zusammenhang mit der Website kino.to und dem Internet Service Provider UPC, bei dem Entschieden wurde, dass Sperrverfügungen zulässig sind, solange man sich an die EuGH-Rechtsprechung (Rechtssache C-314/12) hält, sehen sich die Access-Provider mit zahlreichen Forderungen konfrontiert den Zugang zu Seiten mit rechtsverletzenden Inhalten zu sperren. Nicht nur seitens der Filmindustrie, die die Klage – insbesondere mit Hilfe des Vereins für Antipiraterie (VAP) – im oben genannten Musterprozess angestrengt hat, sondern auch seitens der Musikindustrie werden die Provider zu Netzsperren aufgefordert, da nun auch der Verband der österreichischen Musikwirtschaft (IFPI) Sperraufforderungen verschickt hat. Nach …

Weiterlesen

Web-VPN hebelt Sicherheitsmodell der Browser aus

„Clientless SSL VPN“-Produkte zahlreicher Anbieter weisen eine Lücke im Sicherheitsmodell von Browsern auf, durch die sich Cookies und Zugangsdaten stehlen lassen. „Clientless SSL VPNs“ beruhen auf der sicheren Verbindung eines Webbrowsers über das Internet zu einem Webserver im Unternehmen, der diverse Anwendungen anbietet und den Zugriff auf weitere Dienste im Intranet ermöglicht. Da die Lösung keinen extra VPN-Client benötigt, spricht man auch von „Clientless“. Damit bestimmte Ressourcen von außen per http bzw https verfügbar sind, muss die Web-VPN-Lösung URLs umschreiben, beispielsweise wird https://intranet.example.com/mail.html zu https://webvpnserver/intranet.example.com umgeschrieben. Letzlich beginnen in der Folge alle URLs immer mit der gleichen Domain, egal woher …

Weiterlesen

Null-Prefix-Attack

Die heutige Version des X.509 Zertifikats ist Version 3 (X.509v3) und dieses Zertifikat identifiziert beispielsweise eindeutig einen Server bei einer SSL/TLS Kommunikation. Genauergesagt ist bei allen SSL/TLS Implementationen der Common Name essentiell, denn anhand dieses Feldes wird ein Server identifiziert. Beispielsweise würde im Falle von PayPal im Feld „common name“ www.paypal.com stehen. Um es der Certification Authority zu erleichtern, prüft die nur den Besitzer solch einer Domain mittels einer WHOIS Abfrage und überprüft nur die Root Domain (also in diesem Beispiel paypal.com), wobei Subdomains in den meisten Fällen ignoriert werden. Nun muss man unterscheiden zwischen Pascal Strings und C Strings. …

Weiterlesen