|
die große IM Alternative?
|
|
16 Dec 2010, 12:31
|
Straight Esh
Punkte: 14030
seit: 01.10.2003
|
Ist mir schon klar, dass es trotzdem läuft. Aber wenn ich schon auf Jabber umsattle, dann auch richtig. Sprich: Verschlüsselung der Zugangsdaten und Ende zu Ende Verschlüsselung.
Ansonsten kann ich gleich bei ICQ bleiben oder alle meine Daten zu Google verschicken.
--------------------
bonum agere et bonum edere, sol delectans et matrona delectans (Verlängere dein Leben indem du hier und hier und hier und hier klickst!)
|
|
|
|
|
16 Dec 2010, 13:06
|
Flunkyballmeister 2010
Punkte: 1415
seit: 26.11.2003
|
Zitat(Chris @ 16 Dec 2010, 11:31) Ist mir schon klar, dass es trotzdem läuft. Aber wenn ich schon auf Jabber umsattle, dann auch richtig. Sprich: Verschlüsselung der Zugangsdaten und Ende zu Ende Verschlüsselung. Ansonsten kann ich gleich bei ICQ bleiben oder alle meine Daten zu Google verschicken. dass das cert abgelaufen ist heisst ja nich dass das nu alles unverschlüsselt ist ..
--------------------
There is a theory which states that if ever anybody discovers exactly what the Universe is for and why it is here, it will instantly disappear and be replaced by something even more bizarre and inexplicable. There is another theory which states that this has already happened. Douglas Adams
|
|
|
|
|
16 Dec 2010, 13:56
|
Straight Esh
Punkte: 14030
seit: 01.10.2003
|
Zitat(Jabber Chat) sammler@ speeqe.com : hello 2010/12/16 - 09:39:20 UTC
* sammler@ speeqe.com : my IM-client says me, that my jabber-certificate from jabber.org ends today. thats right? 2010/12/16 - 09:40:42 UTC
* Kev@ speeqe.com : That's correct, the person that needs to get a new one has it on their TODO. 2010/12/16 - 09:41:45 UTC
* sammler@ speeqe.com : ok, so always is ok & next days comes a new certificate. till this time i must accept the message from my IM-client by every login? right? 2010/12/16 - 09:42:32 UTC
* sammler@ speeqe.com : sorry, because my f_cking english 2010/12/16 - 09:42:56 UTC
* Kev@ speeqe.com : Yes, that's right. Or, if you're paranoid, don't use jabber.org until the cert has been replaced. 2010/12/16 - 09:43:30 UTC
* Kev@ speeqe.com : But as long as the cert is valid, but just expired by a few hours, I'd be inclined to continue trusting it. 2010/12/16 - 09:43:42 UTC
* Kev@ speeqe.com : is valid -> was valid
I am fucking paranoid. That's why I'm using jabber! Kennt jemand einen verlässlicheren Jabber-Server? Und wie migriere ich meine Daten dahin?
|
|
|
|
|
16 Dec 2010, 14:42
|
Flunkyballmeister 2010
Punkte: 1415
seit: 26.11.2003
|
Zitat(Chris @ 16 Dec 2010, 12:28) Schon klar. Ungültige Zertifikate lassen aber immer Raum für Angriffe, oder? Deswegen sollte man sie doch nicht verwenden, oder? für man-in-the-middle attacken .. ja .. dann sollte dir dein client aber sagen dass da irgendwie ein neues cert da ist, was für nen anderen host ausgestellt is .. und nicht dass es "nur" abgelaufen ist tu so paranoid wie de willst .. aber man kanns auch übertreiben (dir is klar dass du dich hier z.b. unverschlüsselt anmeldest? und die "security" in dem board echt mau is?) grüße Seb
|
|
|
|
|
16 Dec 2010, 14:48
|
Are you afraid?
Punkte: 1648
seit: 11.10.2007
|
Was seb sagt, ausserdem: Du hast schon verstanden, dass abgelaufen nur heisst, dass Tag X, der im Zertifikat steht, erreicht ist, und nicht, dass jetzt der private Schluessel dazu auf 4chan verfuegbar ist?
Auch: Wie hast du denn damals verifiziert, dass es tatsaechlich das richtige Zertifikat ist, als es noch gueltig war, und du es das erste mal bestaetigt hast (insbesondere: Wie kannst du ausschliessen, dass du nicht schon von Anfang an Opfer einer Man-in-the-Middle-Attacke geworden bist)?
--------------------
In my talons, I shape clay, crafting life forms as I please. Around me is a burgeoning empire of steel. From my throne room, lines of power careen into the skies of Earth. My whims will become lightning bolts that devastate the mounds of humanity. Out of the chaos, they will run and whimper, praying for me to end their tedious anarchy. I am drunk with this vision. God: the title suits me well.
|
|
|
|
|
16 Dec 2010, 15:37
|
Straight Esh
Punkte: 14030
seit: 01.10.2003
|
Zitat(seb @ 16 Dec 2010, 13:42) für man-in-the-middle attacken .. ja .. dann sollte dir dein client aber sagen dass da irgendwie ein neues cert da ist, was für nen anderen host ausgestellt is .. und nicht dass es "nur" abgelaufen ist
Und wenn der Angreifer den Host umbiegt und ein altes Zertifikat benutzt? Zitat tu so paranoid wie de willst .. aber man kanns auch übertreiben (dir is klar dass du dich hier z.b. unverschlüsselt anmeldest? und die "security" in dem board echt mau is?)
Ist mir schon klar, dass ich auch einige unsichere Wege der Kommunikation nutze. Kann doch trotzdem versuchen eine sichere Verbindung zu halten. Zitat(mmarx @ 16 Dec 2010, 13:48) Was seb sagt, ausserdem: Du hast schon verstanden
Check Zitat Auch: Wie hast du denn damals verifiziert, dass es tatsaechlich das richtige Zertifikat ist, als es noch gueltig war, und du es das erste mal bestaetigt hast (insbesondere: Wie kannst du ausschliessen, dass du nicht schon von Anfang an Opfer einer Man-in-the-Middle-Attacke geworden bist)? Zertifizierung erfolgte über StartCom. Und denen muss ich irgendwie vertrauen. Wie den anderen CAs. Und ich kann natürlich nicht ausschließen, dass ich nicht schon von Anfang an so einem Angriff zum Opfer gefallen bin. Aber Papa hat mir beigebracht, dass ich immer genau hinschauen muss, wenn es Fehlermeldungen gibt.
|
|
|
|
|
16 Dec 2010, 15:55
|
Flunkyballmeister 2010
Punkte: 1415
seit: 26.11.2003
|
Zitat(Chris @ 16 Dec 2010, 14:37) Und wenn der Angreifer den Host umbiegt und ein altes Zertifikat benutzt?
das cert bringt ihm ohne key genau gar nichts, ebenso hat ein anderer host ne ander ip, die dann auch nicht von dem im cert stehenden namen aufgelöst wird .. grüße Seb
|
|
|
1 Nutzer liest/lesen dieses Thema (1 Gäste)
0 Mitglieder:
|