Chrome und die Nullzeichen Zertifikate

Da lese ich gerade bei Heise, das jetzt ein Zertifikat speziell für www.paypal.com angepasst wurde, um Probleme mit der Nullzeichenfilterung in SSL-Zertifikaten zu verdeutlichen. Damit sollen die Entwickler aufgerüttelt werden, endlich etwas gegen diesen Fehler zu unternehmen.

Nun gut, jetzt schreibt der Autor aber, dass in Chrome die zugehörige Überprüfung von Zertifikaten abgeschaltet sein sollte.

In meiner Bachelorarbeit habe ich mich ja auch gerade mit dem Thema beschäftigt und bei mir war diese Option in der aktuellen Chrome 3 Version (also keine Entwickler- oder sonstwie-beta-Version) auch aktiviert. Das habe ich jetzt auf mehreren Rechnern schon testen können. Ich habe jetzt noch mehr Rechner damit mal befüllt und siehe da, die Option scheint echt deaktiviert zu sein ?! fragt sich nur, warum das auf den Rechnern von mir an war oder ich mir da selber das Ergebnis mit einer uralten Installation verfälscht habe 🙁

Was stimmt denn nun? Könnt ihr das auch mal ausprobieren und bei euch nachgucken? Zu finden ist das unter dem Schraubenschlüsselsymbol rechts oben im Browser, dann unter Optionen und anschließend unter Sicherheit muss der Punkt „Sperrung des Zertifikats überprüfen“ gesetzt sein. Die von mir getestete Version ist die aktuelle 3.0.195.25. Im Heise Forum wundern sich über diese Tatsache auch schon einige Leute und für mich wäre das natürlich noch ein Punkt, den ich eventuell beachten müsste.

Zwar schützt diese Option nicht vor erneuten Angriffen mit dem Nullzeichenfehler, aber zumindest verhindert sie bei bekannteren Zertifikaten größeres Unheil, in dem der Nutzer vorher bei Betreten der Seite gewarnt wird.

SD Karten Diebstahlschutz durch DRM

Vor einiger Zeit habe ich von der Aktion im Radio gehört. Der Elektronikmarkt MediMax hat in 14 seiner Filialen SD Karten im Einsatz, die vor ihrer erstmaligen Benutzung in ein Spezialgerät gelegt werden müssen und freigeschaltet werden.

Wieso macht man so etwas? Nun, es geht um Diebstahlschutz. SD Karten eignen sich auf Grund ihrer geringen Größe wohl besonders gut zum Klauen. Der Hersteller der Software DiSa Digital Safety erhofft sich mit diesem Verfahren den Rückgang der Diebstahlrate.

Ehrliche Kunden kaufen nun eine Speicherkarte und gehen nach dem Kauf zu einem speziellen Lesegerät, das die Karte freischaltet. Das ganze soll einmalig sein und soll einem danach nie wieder stören oder nerven.

An sich ist die Idee nicht schlecht und soll auch auf Handys oder Kameras ausgeweitet werden. Jedoch frage ich mich, wie die überhaupt das Gerät so stark absichern wollen (ohne Mithilfe des Herstellers) und wieso nicht einfach das Formatieren der SD Karte den Schutz irgendwie entfernen kann? Da muss doch wieder irgendein System verwendet werden, das irgendwelche Lücken im System ausnutzt und sich dort verankert. Bei einer SD Karte vielleicht irgendein Sektor im Dateisystem oder ähnlichem, was man nur bei direktem Hardwarezugriff rausbekommen kann.

Hat da einer Informationen zu dem System? Ich zweifel ja an, dass MediaMarkt, Saturn und co. da mit einsteigen werden. Denn ich sehe schon am Samstag die ganzen Schlangen an der Kasse und am Freischaltungsgerät… Wenn das dann defekt ist, dann legt das den ganzen Betrieb lahm und nervt die Kunden.

Die bei Saturn eingeführten Elektronischen Selbstbedienungsterminals sind ja auch dauernd schon kaputt…

Google Chrome und die Extended Validation Certificates

Also irgendwas mache ich falsch, oder ich verstehs einfach nur nicht, vielleicht weiß ja einer von euch woran das liegt:

Wieso zeigt der Google Chrome Browser z.B. bei der Online-Banking Seite der Dresdner Bank nicht die Bank in der Adressleiste an? Moderne Webseiten wollen dem Nutzer einfach und schnell einen Überblick geben, ob sie auch wirklich die Seiten sind, die sie sein sollten. Dazu gibt es für SSL Zertifikate eine Erweiterung, die sich Extended Validation nennt. Dabei werden die Webseitenbetreiber/Antragssteller einer genaueren Prüfung als sonst üblich unterstellt und erhalten dann für ihr Zertifikat diese Erweiterung.

Besucht man dann eine Webseite mit dieser Erweiterung, zeigt der Browser einem ein oder mehrere Extrafelder an, dass es sich auch wirklich um den Betreiber dieser Seite handeln soll.

Beim IE 8 sieht das z.B. so aus:

Internet Explorer 8, EVC Meldung dresdner-privat.de
Internet Explorer 8, EVC Meldung dresdner-privat.de

Beim Firefox 3.0.10 sieht das so aus:

Firefox 3.0.10, EVC Meldung dresdner-privat.de
Firefox 3.0.10, EVC Meldung dresdner-privat.de

Auf dem Mac sieht das mit dem Safari 4 Beta so aus:

Safari 4 Beta unter Mac OS X, EVC Meldung dresdner-privat.de
Safari 4 Beta unter Mac OS X, EVC Meldung dresdner-privat.de

Wenn man sich jedoch jetzt den aktuellen Google Chrome unter Windows dann mal anschaut, sehe ich keinerlei! Meldung, die so ähnlich aussehen könnte:

Google Chrome, EVC Meldung dresdner-privat.de
Google Chrome, EVC Meldung dresdner-privat.de

Dass das ganze in Chrome gehen soll, zeigt z.B. die Schweizer Firma QuoVadis in ihrer FAQ.

Also ich verstehs echt nicht, wieso der Chrome das nicht anzeigt? Chrome und IE benutzen z.B. die gleiche Zertifikatsdatenbank, daher sind auch die Meldungen gleich beim Check des Zertifikats. Es handelt sich also nur um die fehlende Darstellung der EVC. Irgendwie erschrickt mich das ganze ja doch schon, ich dachte eigentlich, Google hätte das eingebaut…

Update: Hab den Fehler gefunden: Es liegt doch tatsächlich an der dämlich versteckten Option „Sperrung des Serverzertifikats überprüfen“ in den Einstellungen Chromes. Aktiviert man dieses Kästchen, so wird der EVC Indikator dann auch mit angezeigt.

Apples Safari für Windows Zwangsupgrade

Jaja, sie schlagen hoch die Welle der Empörung… Apple hatte über Ostern ein Sicherheitsupdate für die Windows Versionen von iTunes und Quicktime Player rausgebracht. Dabei wurde jetzt auch standardmäßig und vollkommen für jeden einsehbar ein Haken beim Safari 3.1 „Update“ gesetzt.

Jeder unaufmerksame Windows DAU klickt ja jeden Dialog gewohnt mit „weiter, weiter, weiter, ok, fertig“ durch und liest sich schon gar nicht mehr durch, was sein Computer da überhaupt macht.

Darin sehen jetzt viele Leute, u.A. ein Sprecher von der Mozilla Foundation, ein Microsoft ähnliches Monopol-Verhalten mit Vertrauensbruch. Schließlich würde sich ja so unbemerkt eine Software auf das System einschleichen können.

Also bitte… so einen Aufstand zu machen, nur weil ein paar Leute zu faul sind, sich den Dialog vernünftig durchzulesen und einen Haken wegzunehmen… Bei Spyware oder Adware Programmen können die Leute ja scheinbar auch lesen und wählen z.B. bei Winamp oder Daemon Tools auch die Standard Toolbar raus. Oder beim Adobe Acrobat Reader für Windows will sich die Yahoo Search Bar mit installieren. Und das ist ja nur eine kleine Auswahl an Programmen, die fast jeder Windows Benutzer schon mal installiert und genutzt hat.

Doch wenn Apple mal wieder sich so ein Ding leistet schreit die ganze Welt gleich auf. Gut, es mag vielleicht nicht die feine Art sein, das einfach direkt anzuhaken, aber dafür wird man direkt drauf hingewiesen, dass es den Safari Browser in der Version 3.1 gibt und man ihn jetzt auch direkt mit installieren könnte. Hier hätte es sicherlich auch eine leere Checkbox getan, die man selber erst anklicken muss zum Installieren des Brwosers.

Just my 2 Cents 😉