[archimedes] Re: Ein Test

From: Carlos Michael Santillan <ml-archimedes@xxxxxxxxxx>
To: archimedes@xxxxxxxxxxxxx
Date: Sat, 26 Apr 2014 12:13:29 +0200
On 26 Apr 2014  Alexander Ausserstorfer <bavariasound@xxxxxxxxxxxxxxx> wrote:
>Am 25.04.2014 21:16, schrieb Carlos Michael Santillan:
>> Sind wir jetzt zu sechst? :-)
>Inzwischen ja. Es werden allmählich mehr. Ich hatte ja gar nicht damit
>gerechnet, dass sich überhaupt jemand einträgt.

Ich schieb das, weil Du der zweite wast der etwas schrieb. :-)


>> Der Mailserver hat ein selbstunterschriebendes Zertifikat. Ich werde
>> nicht gewarnt, aber das schriebst Du ja in Deiner Mail. Grundsätzlich
>> sollte das aber gehen. Dann sollte man aber das Zertifkat vom Server
>> oder zumindestens ein Fingerabdruck inklusive Servernamen sichern und
>> beim nächsten Mal genau das prüfen. Ich habe schon Browser gesehen bei
>> den das Zertifkat einmal vom Benutzer akzeptiert wurde und der Browser
>> dann jedes Zertifikat, egal ob ein "richtig" oder ein anderes ohne
>> Meldung aktzeptiert hat. Das ist aber auch schon einige Jahre her und
>> ich glaube das war Firefox.
>
>Danke für die vielen Hinweise. Das mit den Zertifikaten ist schon
>eingebaut (web2), aber ich hab's einfachhalber vorerst mal abgeschaltet
>/ ausgeblendet. Ich muss über deinen letzten Abschnitt oben noch einmal
>nachdenken.

Es sollte auf alle Fälle gehen, dass selbst erstellte Zertifiakte
funktionieren. Nur sollte man den Schalter "alles erlauben" nicht
benutzen. Bei Messenger Pro und Hermes ist das so. Das ist nicht gut so
ohne Prüfung.

Wenn man auf ein selbstunterschriebendes Zertifikat "stösst", sollte man
informiert werden und das Zertifikat zulassen können. Dann sollte man
das Zertifkat aber auch beim Benutzer speichern. So kann dann später
geprüft werden ob das Zertifikat schon bekannt und in Ordnung ist. Wird
das Zertifkat geändert oder, darum geht es, der man-in-the-middle sein
Zertifakt dazwischen schiebt, muss der Benutzer gewarnt werden. Bei SSH
wird das so gemacht. Loggt man sich das erste Mal ein muss man vorher
den Serverschlüssel bestätigen und bekommt zur Kontrolle einen
Fingerabdruck des Schlüssels angezeigt. Ist das Zertifkat des Servers
plötzlich ein anderes, wird das dann angezeigt und man kann sich nicht
ohne Bestätigung einloggen. Dann ist erst Mal Alarmstufe rot angesagt
und dann sollte man sich nicht einloggen. Es sein den man hat, warum
auch immer das Zertifakt geändert. Das sollte dann aber vom Admin
angekündigt werden. Mit so einen Verfahren braucht man bei SSH keine CA
und ist trotzdem recht sicher. Bei POP3S oder SMTPS ist das ein Schutz
bei selbstunterschrieben Zertikaten und besser als jedes Mal das zu
bestätigen. Wenn ich mich nicht irre, macht das Firefox und
Thunderbird inzwischen so. Statt des Zertifikats könnte man auch den
Fingerabdruck speichern und denn dann vergleichen. Bei ordentlichen
Zertifkaten ist das nicht notwendig und kann auch Kontraproduktiv sein.
Das Zertifikat wird in der Regel ein Mal im Jahr erneuert und dann auch
schon mal neu erstellt.


[...]
>Beispielprogrammen auf meinem Webserver gepostet. Ich bekam
>zwischenzeitlich auch  einige E-Mails dazu (keine Posts), in der ich
>gefragt wurde, ob sich der Tunnel nicht in !POPStar integrieren ließe
>(POP3S / STARTTLS). Das vermissen wirklich viele.

Ja, das ist nur mit Hermes oder Messenger Pro möglich und dann wird das
Zertifikat auch nicht geprüft.


[POPstar mit Norcroft kompiliert, GnuTLS mit GCC]
Da gibt es noch eine andere Möglichkeit. Unter Linux gibt es stunnel,
also SSL oder Secure Tunnel. Da kann man auf der einen Seite
unverschlüsselt POP3 machen und auf der anderen Seite verbindet sich
stunnel per POP3S mit den Server. Das geht auch mit anderen Diensten wie
SMTP/SMTPS usw.

Praktisch startet man stunnel dann auf den lokalen Rechner. Per
Konfiguration sagt man stunnel was es machen soll. Also hier nimm vom
lokalen Rechner Port 110 (POP3) an und reiche die Daten verschlüsselt an
den Mailserver auf Port 995 (POP3S) weiter. Das ist nur ein Beispiel,
was man mit stunnel machen kann.

So etwas unter RISC OS würde die TLS/SSL Probleme bei Mail beheben. Man
braucht dann nur zwei Tunnel einrichten. Einen für POP3/POP3S und einen
für SMTP/SMTPS. POPstar, Hermes oder was auch immer benutzt dann den
eigenen Rechner (localhost) als POP3 bzw. SMTP. So könnte man auch
andere Tunnel für anderes einrichten. Wie wäre es zum Beispiel mit NFS
über das Internet? Das mit den eigenen Zertifikaten muss man dann aber
überdenken. Ein kleiner Teil davon hast Du schon geschrieben.

Bei SMTP bin ich mir aber nicht sicher inwieweit SMTPS, also SMTP im
TLS/SSL Tunnel (Port 465) unterstützt wird. Wenn ich mich richtig
erinnere konnte Outlook früher kein STARTTLS (SMTP auf Port 25/587 und
dann von Unverschlüsselt auf Verschlüsselt per ESMTP Kommando
umschalten) und da musste man SMTPS nehmen. Mein Quercheck sagt das
einige Provider sowohl SMTPS und STARTTLS unterstützen.


Das war mal wieder viel Text. Ich hoffe es ist auch verständlich was ich
meine.


>Die beiden Bücher "Raspberry Pi RISC OS System, Programming Revealed"

Das "Programming Revealed" steht bei mir schon länger auf der Liste. Ich
muss es nur noch bestellen.


Ist gerade per RSS reingekommen:
http://riscpi.co.uk/german-mailing-list-risc-os-users/




Carlos Michael Santillán

--
http://www.arcsite.de/
http://www.risc-os.de/

Ein Staat, in dem alle verdächtig sind, ist selbst verdächtig
A state that suspects everyone is itself suspicious
Follow-Ups:
- [archimedes] Re: SMTPS/ POP3S u. STARTTLS unter RISC OS
  - From: Alexander Ausserstorfer
References:
- [archimedes] Ein Test
  - From: Thomas Milius
- [archimedes] Re: Ein Test
  - From: Alexander Ausserstorfer
- [archimedes] Re: Ein Test
  - From: Carlos Michael Santillan
- [archimedes] Re: Ein Test
  - From: Alexander Ausserstorfer
[archimedes] Re: Ein Test

Other related posts:
