SSL & TLS doch nicht so sicher?
- Thread starter OldSwede
- Start date
... und noch mehr hier: http://heise.de/-1708371
Schnell und nebenwirkungsfrei abschaltbar.
Schnell und nebenwirkungsfrei abschaltbar.
Hallo Leute, ich weiß.. das Thema ist nun schon ein paar Wochen / Monate alt, aber wie sieht es denn mit der Sicherheit aus.. hat sich da schon etwas getan?
Ich habe auf meinem privaten vServer einen Dovecot und selbst erstellte 2048bit Zertifikate die ich für IMAP verwende. Muss ich mir da Gedanken machen?
Mein Client ist ein "Thunderbird" und die Verbindungssicherheit ist auf "StartTLS" gestellt. Ich hoffe einfach mal, dass das ausreicht für die IMAP Verbindung.
Klar, 100% sicher gibt es ja nicht, aber mit dem Zertifikat sollte doch eigentlich eine "Man-in-the-Middle" Option etwas ausgeschlossen sein.. und wenn nicht, sollten doch die Daten trotzdem verschlüsselt sein, oder bin ich da gerade auf dem Holzweg?
Gruß, Domi
Ich habe auf meinem privaten vServer einen Dovecot und selbst erstellte 2048bit Zertifikate die ich für IMAP verwende. Muss ich mir da Gedanken machen?
Mein Client ist ein "Thunderbird" und die Verbindungssicherheit ist auf "StartTLS" gestellt. Ich hoffe einfach mal, dass das ausreicht für die IMAP Verbindung.
Klar, 100% sicher gibt es ja nicht, aber mit dem Zertifikat sollte doch eigentlich eine "Man-in-the-Middle" Option etwas ausgeschlossen sein.. und wenn nicht, sollten doch die Daten trotzdem verschlüsselt sein, oder bin ich da gerade auf dem Holzweg?
Gruß, Domi
d4f
Kaffee? Wo?
Der Angriff ist relativ komplex und setzt viel Wissen und Technik voraus.
Er ist auch überhaupt erst verwendbar falls Komprimierung auf der Verschlüsslungsebene (TLS Deflate) aktiv ist
Er ist auch überhaupt erst verwendbar falls Komprimierung auf der Verschlüsslungsebene (TLS Deflate) aktiv ist
Der Angriff erlaubt es durch sukkessives Erraten der der Teile einer URL (mehr oder weniger Bruteforce) zB dein Email-Passwort trotz Verschlüsslung ausfindig zu machen. Natürlich nur wenn es in plaintext übertragen wird.
Okay, dann trifft das ja ein wenig auf mich zu...d4f said:
Verbindungssicherheit: STARTTLS
Auth-Methode: Passwort, normal
Ich hab das nämlich so eingestellt, weil Dovecot den Auth mit Verschlüsselung nicht hinnehmen wollte. Also habe ich nur die Verbindung mit TLS versehen. Kennwort wird ja bei der aktuellen Einstellung im Plain übertragen.. oder ist "Passwort, normal" doch was anderes..?!