Admininterface "abgelaufen"

[brummfondel]

Bei mir poppt seit einigen Tage die Meldung auf, daß das s4y SSL-Zertifikat für admin.vserver.de seit dem 18.11. abgelaufen ist. Gibts da bald ein neues oder hats da irgendwas an meinem Browser zerrissen?

 

[kumtse]

Selbe Mitteilung bekomme ich auch! Sollte meines Erachtens nichts mit Deinem Browser zu tun haben!

Gruß

Kumtse

 

[society]

Es ist einfach das Zertifikat abgelaufen von S4F
Abwarten und Tee Trinken die bekommen dann eh ein neues oder es wird verlängert...

 

[brummfondel]

So langsam sollte da doch mal ein neues Zertifikat installiert sein. Bemerkt das dort keiner? Stört das sonst niemanden? So könnte jedenfalls ein DNS-Spoofer oder andere den Leuten jeden beliebigen Key unterjubeln und sie verraten ihm dann ihre Zugangspassworte.

 

[server4downs]

...So könnte jedenfalls ein DNS-Spoofer oder andere den Leuten jeden beliebigen Key unterjubeln und sie verraten ihm dann ihre Zugangspassworte.

Also auf so eine Vermutung würde ich ja als letztes kommen!
Wie willst du denn so etwas anstellen? Toll, man "kann" auch die Hauptrechner von S4Y hacken und einfach die DBs ablauschen.
Also, dass wäre meine kleinste Sorge!

 

[Huschi]

Wie willst du denn so etwas anstellen?

Das wesentlichen bei einer 'Umleitung' ist, daß der Kunde es nicht merkt.
Bei SSL-Verbindungen sollte also immer der Zert-Manager meckern. Wenn der Kunde aber daran gewohnt ist, das bemeckerte Zertifiakt dennoch zu bestätigen, ist die erste Hürde schon genommen.

Und was man im Admin-Bereich alles anstellen kann (ich sag nur: root-Passwort im Klartext) sollte wohl klar sein. Ernsthafte Motive gibt es also zu genüge...

huschi.

 

[society]

Naja wer sein Root Passwort nich gleich ändert.....

 

[Metapro]

Trotzdem finde ich dürfte man sowas als Provider nicht übersehen, sorry...

 

[brummfondel]

Also auf so eine Vermutung würde ich ja als letztes kommen!
Wie willst du denn so etwas anstellen? Toll, man "kann" auch die Hauptrechner von S4Y hacken und einfach die DBs ablauschen.
Also, dass wäre meine kleinste Sorge!

Wie das geht? Naja, wenn ich deinen Browser daovn überzeuge, daß admin.vserver.de die IP von einem meiner Rechner hat (eben per DNS), dann wäre ich schon fertig. Noch schnell nen 304-Error im Webserver eingerichtet, damit er deinen Account abfragt und da du ja ein beliebigen nicht zertifizierten SSL-Key annimmst, hab ich deine s4y Zugangsdaten, kann deinen Server plätten, Root-Passwort ändern oder einfach unter Deinem Namen Geld ausgeben. Der Aufwand ist relativ gering und du würdest es gar nicht merken, erst wenn es zu spät ist, weil statt der Admin-Seiten was anderes kommt - aber dann ist dein PW schon angekommen.

Genau deshalb werden SSL-Keys ja zertifiziert, damit nicht irgend jemand so tun kann, als wäre er jemand anderere.

 

[HornOx]

Jetzt hat S4Y anscheinend die Zertifikate umgetauscht, https://admin.vserver.de hat jetzt ein gültiges Zertifikat für https://member.vserver.de
*bookmark änder*

 

[brummfondel]

Soll ich jetzt darüber froh sein oder eher entsetzt...

 

[Ansgar Berhorn]

Wie das geht? Naja, wenn ich deinen Browser daovn überzeuge, daß admin.vserver.de die IP von einem meiner Rechner hat (eben per DNS), dann wäre ich schon fertig. Noch schnell nen 304-Error im Webserver eingerichtet, damit er deinen Account abfragt und da du ja ein beliebigen nicht zertifizierten SSL-Key annimmst, hab ich deine s4y Zugangsdaten, kann deinen Server plätten, Root-Passwort ändern oder einfach unter Deinem Namen Geld ausgeben. Der Aufwand ist relativ gering und du würdest es gar nicht merken, erst wenn es zu spät ist, weil statt der Admin-Seiten was anderes kommt - aber dann ist dein PW schon angekommen.

Das ist zur Zeit wirlich gefährlich.
Heise hat da gestern eine Meldung drüber gebracht:
http://www.heise.de/newsticker/meldung/53962
Einbruch über eine Schwachstelle, Änderung der lokalen hosts-Datei, um eine Domain umzuleiten und dann abfangen der Login-Daten.

Wenn man davon ausgeht, das s4y einige tausend Kunden hat (einer wird schon dumm genug sein) und man als Angreifer Zugriff auf einen Server erlangen kann, auf dem man problemlos ein paar hundert GB verbrennen kann, bevor er vom Netz genommen wird, dann sollte man hier durchaus sehr, sehr vorsichtig sein.

 

[server4downs]

Tja, da lernt man doch immer noch dazu. Ich muss ganz ehrlich eingestehen, dass ich auf solche "Scherze" gar nicht gekommen wäre.

Man lernt eben nie aus

 

[brummfondel]

Jetzt meldet mir der Browser, daß auf admin.vserver.de das Zertifikat von members.vserver.de verwendet wird. Das wäre mir ja erstmal egal wenn ich über members gehe. Dummerweise hat irgendein Cleverling auf den Webseiten einen Link oder eine Grafik auf admin gelinkt (z.B. Traffic-Tagesansicht, wobei die gleichen Grafiken auch noch zusätzlich auf members gezogen werden) und jetzt ploppen da ständig die Warnungen mit der Zertifikatsmeldung hoch. So teuer ist ein Zertifikat nun auch nicht - und sollte es doch zu teuer sein, dann sollte man eben einen Namen abschalten bzw. per Redirect auf den richtigen schicken.

Sonst muß ich doch noch über einen der vielen Sicherheitsbugs den ganzen IE-User eine neue Hosts-Datei unterschieben und so deren Kennung abgreifen - da sie ja schon das weiterklicken des Warnungsfensters gewöhnt sind oder es schon ganz abgeschaltet haben (kann der IE das, Mozilla kann es jedenfalls zum Glück nicht).

 

[djrick]

Geh über http://admin.vserver.de zwar kein SSL aber für Reboot und Traffic nachzugucken halte ichs nicht für nötig SSL zu nutzen. Ich find dauernd auf "OK" für irgendwelche Graphiken zu klicken auch nervig.

 

[brummfondel]

Ich möchte nicht unbedingt jedem der will am Decix meine Passworte mitteilen....