On 26 Apr 2014 Alexander Ausserstorfer <bavariasound@xxxxxxxxxxxxxxx> wrote: >Am 25.04.2014 21:16, schrieb Carlos Michael Santillan: >> Sind wir jetzt zu sechst? :-) >Inzwischen ja. Es werden allmählich mehr. Ich hatte ja gar nicht damit >gerechnet, dass sich überhaupt jemand einträgt. Ich schieb das, weil Du der zweite wast der etwas schrieb. :-) >> Der Mailserver hat ein selbstunterschriebendes Zertifikat. Ich werde >> nicht gewarnt, aber das schriebst Du ja in Deiner Mail. Grundsätzlich >> sollte das aber gehen. Dann sollte man aber das Zertifkat vom Server >> oder zumindestens ein Fingerabdruck inklusive Servernamen sichern und >> beim nächsten Mal genau das prüfen. Ich habe schon Browser gesehen bei >> den das Zertifkat einmal vom Benutzer akzeptiert wurde und der Browser >> dann jedes Zertifikat, egal ob ein "richtig" oder ein anderes ohne >> Meldung aktzeptiert hat. Das ist aber auch schon einige Jahre her und >> ich glaube das war Firefox. > >Danke für die vielen Hinweise. Das mit den Zertifikaten ist schon >eingebaut (web2), aber ich hab's einfachhalber vorerst mal abgeschaltet >/ ausgeblendet. Ich muss über deinen letzten Abschnitt oben noch einmal >nachdenken. Es sollte auf alle Fälle gehen, dass selbst erstellte Zertifiakte funktionieren. Nur sollte man den Schalter "alles erlauben" nicht benutzen. Bei Messenger Pro und Hermes ist das so. Das ist nicht gut so ohne Prüfung. Wenn man auf ein selbstunterschriebendes Zertifikat "stösst", sollte man informiert werden und das Zertifikat zulassen können. Dann sollte man das Zertifkat aber auch beim Benutzer speichern. So kann dann später geprüft werden ob das Zertifikat schon bekannt und in Ordnung ist. Wird das Zertifkat geändert oder, darum geht es, der man-in-the-middle sein Zertifakt dazwischen schiebt, muss der Benutzer gewarnt werden. Bei SSH wird das so gemacht. Loggt man sich das erste Mal ein muss man vorher den Serverschlüssel bestätigen und bekommt zur Kontrolle einen Fingerabdruck des Schlüssels angezeigt. Ist das Zertifkat des Servers plötzlich ein anderes, wird das dann angezeigt und man kann sich nicht ohne Bestätigung einloggen. Dann ist erst Mal Alarmstufe rot angesagt und dann sollte man sich nicht einloggen. Es sein den man hat, warum auch immer das Zertifakt geändert. Das sollte dann aber vom Admin angekündigt werden. Mit so einen Verfahren braucht man bei SSH keine CA und ist trotzdem recht sicher. Bei POP3S oder SMTPS ist das ein Schutz bei selbstunterschrieben Zertikaten und besser als jedes Mal das zu bestätigen. Wenn ich mich nicht irre, macht das Firefox und Thunderbird inzwischen so. Statt des Zertifikats könnte man auch den Fingerabdruck speichern und denn dann vergleichen. Bei ordentlichen Zertifkaten ist das nicht notwendig und kann auch Kontraproduktiv sein. Das Zertifikat wird in der Regel ein Mal im Jahr erneuert und dann auch schon mal neu erstellt. [...] >Beispielprogrammen auf meinem Webserver gepostet. Ich bekam >zwischenzeitlich auch einige E-Mails dazu (keine Posts), in der ich >gefragt wurde, ob sich der Tunnel nicht in !POPStar integrieren ließe >(POP3S / STARTTLS). Das vermissen wirklich viele. Ja, das ist nur mit Hermes oder Messenger Pro möglich und dann wird das Zertifikat auch nicht geprüft. [POPstar mit Norcroft kompiliert, GnuTLS mit GCC] Da gibt es noch eine andere Möglichkeit. Unter Linux gibt es stunnel, also SSL oder Secure Tunnel. Da kann man auf der einen Seite unverschlüsselt POP3 machen und auf der anderen Seite verbindet sich stunnel per POP3S mit den Server. Das geht auch mit anderen Diensten wie SMTP/SMTPS usw. Praktisch startet man stunnel dann auf den lokalen Rechner. Per Konfiguration sagt man stunnel was es machen soll. Also hier nimm vom lokalen Rechner Port 110 (POP3) an und reiche die Daten verschlüsselt an den Mailserver auf Port 995 (POP3S) weiter. Das ist nur ein Beispiel, was man mit stunnel machen kann. So etwas unter RISC OS würde die TLS/SSL Probleme bei Mail beheben. Man braucht dann nur zwei Tunnel einrichten. Einen für POP3/POP3S und einen für SMTP/SMTPS. POPstar, Hermes oder was auch immer benutzt dann den eigenen Rechner (localhost) als POP3 bzw. SMTP. So könnte man auch andere Tunnel für anderes einrichten. Wie wäre es zum Beispiel mit NFS über das Internet? Das mit den eigenen Zertifikaten muss man dann aber überdenken. Ein kleiner Teil davon hast Du schon geschrieben. Bei SMTP bin ich mir aber nicht sicher inwieweit SMTPS, also SMTP im TLS/SSL Tunnel (Port 465) unterstützt wird. Wenn ich mich richtig erinnere konnte Outlook früher kein STARTTLS (SMTP auf Port 25/587 und dann von Unverschlüsselt auf Verschlüsselt per ESMTP Kommando umschalten) und da musste man SMTPS nehmen. Mein Quercheck sagt das einige Provider sowohl SMTPS und STARTTLS unterstützen. Das war mal wieder viel Text. Ich hoffe es ist auch verständlich was ich meine. >Die beiden Bücher "Raspberry Pi RISC OS System, Programming Revealed" Das "Programming Revealed" steht bei mir schon länger auf der Liste. Ich muss es nur noch bestellen. Ist gerade per RSS reingekommen: http://riscpi.co.uk/german-mailing-list-risc-os-users/ Carlos Michael Santillán -- http://www.arcsite.de/ http://www.risc-os.de/ Ein Staat, in dem alle verdächtig sind, ist selbst verdächtig A state that suspects everyone is itself suspicious