AVAST 10.0.2206, openH264-Videocodec, https-Seiten

  • Es geht nicht um die Certs, sondern um den Inhalt. Bsp:
    Öffne "Über Firefox", starte SmartSniff, klicke auf "Nach Updates suchen", Stoppe SmartSniff. Was siehst du?
    http://www.nirsoft.net/utils/smsniff.html

    Und jetzt wiederholst du das mit einer http-Seite.

    Was ich sehe und lesen kann, kann jedes AV auch, ohne Hilfsmittel. Bei SSL geht das nicht ohne ein zwischenzeitliches Ent-/Verschlüsseln :roll:

    Und eines direkt dazu - diese Prüfung hat nichts mit MITM zu tun, auch wenn der Vorgang ähnlich ist. Bei MITM ist das Ziel nachweislich schädlicher Natur und der Inhalt in seltensten Fällen unschädlich.

    Was ist PKEY?
    https://www.soeren-hentzschel.at/mozilla/firefo…ic-key-pinning/
    https://wiki.mozilla.org/SecurityEngine…lic_Key_Pinning
    https://www.owasp.org/index.php/Cert…lic_Key_Pinning

    SSL ist nun mal sehr sensibel, weil es das ungeborene Kind betrifft während der Schwangerschaftsvorsorge.

    tschuldigung, mein Leben ist zu kurz, um das weiter auszuführen - macht mal allein weiter oder: Kaufst du Buch.

  • Zitat von Zitronella


    Sei willkommen ;)


    Danke :)

    Zitat von Zitronella


    Mir leuchtete auch nicht ein, warum die SSL-Prüfung durch den Antivirenhersteller sicherer sein sollte als die Zertifikate, die Mozilla in seinen Browser integriert.


    Ich will es gern nochmal etwas anschaulicher erklären. Kann aber sein, dass ich dich jetzt etwas zutexte.
    Es ist schon so, wie Bernd. es geschrieben hat. Nur mit packen hat es nichts zu tun. Ein Antivirenprogramm kann Inhalte von Webseiten nur dann untersuchen, wenn es den Inhalt lesen kann. Bei einer verschlüsselten Verbindung einer https-Seite kann es das nicht, weil die Verschlüsselung zwischen dem Firefox und dem Server besteht. Niemand dazwischen kann den Inhalt lesen.
    Etwas vereinfacht besteht der Trick nun darin, dass das Antivirenprogramm die Webseite selbst aufruft (mit einer eigenen verschlüsselten Verbindung zum Server). Dann kann es den Inhalt untersuchen, ihn aber nicht so weiteres an den Firefox weitergeben, denn es kennt ja den eigentlichen Schlüssel nicht, den der Firefox mit dem Server ausgehandelt hat. Um das zu lösen präsentiert es dem Firefox ein eigenes Zertifikat für eine eigene https-Verbindung. Der Transport sieht etwa so aus:

    http:
    Server -> Avast (scant) -> Firefox

    https:

    Server (Verschlüsselung 1) -> Firefox (entschlüsselt) -> Avast kann Downloads scannen

    https mit Avast in der Mitte:
    Server (Verschlüsselung 1) -> Avast (entschlüsselt und scannt) -> Avast (Verschlüsselung 2) -> Firefox (entschlüsselt)

    Wenn Avast schädliche Inhalte auf der Seite erkennen kann, dann hast du so eine größere Sicherheit. Das bezieht sich aber nur auf die aktiven Inhalten der Seite wie z.B. die Drive-By-Attacke des Bundestrojaners und neuerdings auch PDF, das ja vom Firefox direkt angezeigt wird. Schädliche Downloads, die nicht im Firefox ausgeführt werden, kann der Avast wie gewohnt überprüfen. Dazu muss er sich nicht in die HTTPS-Verbindung reinmogeln.
    Wie groß nun diese zusätzliche Sicherheit ist, kann ich nicht beurteilen. Das hängt davon ab, wie gut diese Programme im Erkennen sind.
    HTTPS-Seiten sind vom Inhalt her nicht sicherer als normale HTTP-Seiten. Es ist lediglich die Verbindung, die in diesem Fall abhörsicher ist.
    An dieser Stelle stört mich allein vom Prinzip her schon, dass sich jemand in diese Verbindung einklinkt. Die Hersteller der Antivirenprogramme könnten meine Passwörter mitlesen. Deshalb spreche ich ihnen nicht das Vertrauen aus.

    Zitat von Bernd.


    Und eines direkt dazu - diese Prüfung hat nichts mit MITM zu tun


    Doch, das hat es, auch wenn in diesem Fall keine böse Absicht dahintersteckt. Es ist also keine Attacke sondern eher ein Erschleichen mit Zustimmung des Nutzers.

    Zitat von Bernd.


    tschuldigung, mein Leben ist zu kurz, um das weiter auszuführen - macht mal allein weiter oder: Kaufst du Buch.


    Upps. Diese Antwort klingt jetzt eher nach beleidigter Leberwurst oder nach "Ich habe keine Ahnung". Vielleicht kaufst du dir selbst ein Buch?

  • Zitat

    Es ist schon traurig wenn eine SSL-Seite sich nicht selbst absichern kann.

    Zitat von Valerie

    Hier verstehe ich nicht, was gemeint ist.

    Da hatte ich meine Bank im Hinterkopf.
    Zumindest habe ich bei der Datenhaltung eine erhöhte Sicherheit unterstellt. Das ganze SSL ist ja ziemlich sinnlos wenn die bösen Buben den Server unterminieren.

    Zitat von Valerie

    Das verstehe ich nicht. In wie weit verstärkt AppAmor die Sicherheit von https-Seiten […]

    Das ist jetzt ein Missverständnis.
    Die Sicherheit der Seiten (eigentlich eine blöde Formulierung) wird davon überhaupt nicht tangiert. Falls es ein böser Bube schafft den Server zu infiltrieren und meint mir eine freundliche Dreingabe zu offerieren wird er scheitern.
    Der Fx hat durch diese Komponente viel weniger Rechte als der startende Benutzer.

  • Zitat von Valerie


    Das ist eine gute Frage. Grundsätzlich sollte es sich ja dann vertragen, wenn ich einem Zertifikat das Vertrauen ausspreche. Nun weiß ich nicht wie der Firefox damit im Detail umgeht. Weißt du, wie das Public Key Pinning im Firefox genau funktioniert? Public Key Pinning überprüft meines Wissens anhand eines Hash-Codes, ob ein Zertifikat wirklich von der CA stammt, von der es vorgibt zu stammen. Woher stammen denn die Hashes?

    Im Falle von Firefox sind die Hashes fix in Firefox implementiert, Mozilla integriert seit Firefox 32 nach und nach Pins für weitere Seiten. Ab Firefox 35 unterstützt Firefox den dazugehörigen HTTP-Header, der allen Webseiten die Möglichkeit des Pinnings gibt.

  • PKEY ist eingebaut und HPKP ist der Vorgang? (ggf per Erweiterung?)

    Valerie - wenn du die SSL-Prüfung als MITMA ansiehst, mir egal - das Glas ist halb voll oder halb leer. Du wirst aber kaum Befürworter für deine Auslegung finden.

    Und was das andere angeht - weder noch. Solltest du Informationen beruflich benötigen, kennst du die Mittel und Wege. Ich bin als Privatmensch niemandem verpflichtet, es gibt Brotkrumen zum autodidaktischen Gebrauch.

  • Zitat von Bernd.

    Valerie - wenn du die SSL-Prüfung als MITMA ansiehst, mir egal - das Glas ist halb voll oder halb leer. Du wirst aber kaum Befürworter für deine Auslegung finden.

    Ich habe ihren Beitrag komplett durchgelesen und muss ihr rechtgeben, sieht für mich auch nach MITMA aus.

    Ein amerikanisches Unternehmen entschlüsselt meine ganze https Verbindung und kann alles lesen? Dann kann es die USA auch und damit hat die amerikanische Regierung die ganze https Verbindung umgangen - ohne dafür Exploit kennen zu müssen, die User installieren freiwllig und mit Einwilligung diesen Trojaner.
    Hätte ich jemals einen Anti-Viren-Lösung eingesetzt würde ich spätestens jetzt damit aufhören.

  • Zitat von Bernd.

    Und was das andere angeht - weder noch. Solltest du Informationen beruflich benötigen, kennst du die Mittel und Wege. Ich bin als Privatmensch niemandem verpflichtet, es gibt Brotkrumen zum autodidaktischen Gebrauch.


    Das war klar. Wenn mal einer kommt der wirklich Ahnung hat ziehst Du den Schwanz ein. Aber dafür hast Du sicher einen Spruch parat. Da wo ich herkomme sagt man zu Leuten wie Dir 'Kaminefreier'. Jetzt kannst Du ja mal überlegen ob das gut oder schlecht ist.

    Wie hast Du dieser Tage jemanden bezeichnet: Er wäre allenfalls ein 'minderbevorteilter Claqueur'. Ich lach mich weg. Das passt so gut zu Dir.

  • Zitat von Bernd.


    wenn du die SSL-Prüfung als MITMA ansiehst, mir egal - das Glas ist halb voll oder halb leer. Du wirst aber kaum Befürworter für deine Auslegung finden.


    Du magst dich an dem Wort Attacke stören, denn um eine Attacke handelt es sich ja nicht. Es findet nicht heimlich statt. Der Benutzer stimmt ausdrücklich zu. Die Funktionsweise ist aber exakt die gleiche. Jemand setzt sich in die Mitte, um die verschlüsselte Kommunikation belauschen zu können. Dieser jemand, hier der Avast, ist ein klassischer Man-in-the-Middle.
    Du bist ehrlich gesagt der erste, der mir gegenüber vorgibt, das Thema verstanden zu haben, der das nicht so sieht.

    Zitat von Bernd.


    Solltest du Informationen beruflich benötigen, kennst du die Mittel und Wege.


    Nein, ich benötige (derzeit) dazu beruflich keine weiteren Informationen. Ich hatte hier nur nachgefragt, weil du so selbstsicher ein paar Dinge formuliert hattest, die ich nicht nachvollziehen konnte. Da dachte ich, es wäre für diesen Thread wichtig, das zu klären. Es hätte ja sein können, dass du dich wirklich mit der Materie auskennst und ich etwas übersehen habe.

    Zitat von Bernd.


    Ich bin als Privatmensch niemandem verpflichtet, es gibt Brotkrumen zum autodidaktischen Gebrauch.


    Nein, das bist du natürlich nicht. In diesem Fall scheint mir hinter den Brotkrumen aber etwas anderes zu stecken. Das ist zumindest mein Eindruck.

    Damit können von mir aus zumindest wir beiden das Thema beenden.
    An Sören und die anderen hätte ich aber noch eine Frage zum Firefox, weil ich nicht weiß, wie dort das Pinning implementiert ist.

    Zitat von Sören Hentzschel


    Im Falle von Firefox sind die Hashes fix in Firefox implementiert, Mozilla integriert seit Firefox 32


    Wie reagiert denn der Firefox, wenn die Hashes noch nicht vorliegen? Ich hatte so einen Fall noch nicht, nehme aber an, er fragt dann nach einer Ausnahme? Dann wäre ja alles konsistent.
    Und wie reagiert er, wenn er andere Hashes gespeichert hat, man also einen Betrugsversuch annehmen könnte? Lehnt er dann selbst eine Ausnahme ab?

  • Zitat von Valerie

    Wie reagiert denn der Firefox, wenn die Hashes noch nicht vorliegen? Ich hatte so einen Fall noch nicht, nehme aber an, er fragt dann nach einer Ausnahme? Dann wäre ja alles konsistent.
    Und wie reagiert er, wenn er andere Hashes gespeichert hat, man also einen Betrugsversuch annehmen könnte? Lehnt er dann selbst eine Ausnahme ab?

    Wenn HPKP fehlschlägt, gibt es keine Möglichkeit, eine Ausnahme hinzuzufügen. Die Fehlermeldung sieht so aus:

    Zitat

    An error occurred during a connection to {{website}}. The server uses key pinning (HPKP) but no trusted certificate chain could be constructed that matches the pinset. Key pinning violations cannot be overridden. (Error code: mozilla_pkix_error_key_pinning_failure)

  • heubergen, wie bereits erwähnt, das Verfahren ist gleich, nur MITMA ist eindeutig schadhafter Natur, die SSL-Prüfung nicht. Das ist (für mich) eine reine Schwarz-Weiss-Betrachtung.

    Zitat

    Ein amerikanisches Unternehmen entschlüsselt meine ganze https Verbindung und kann alles lesen?


    Das setzt die Annahme voraus, dass deine lokale Sicherheitssoftware den Drang verspürt, alle oder zumindestens nach Stichwort sortierte SSL-Daten nach Hause sendet? Sorry, aber das dürfte arg weit her geholt sein, wenn auch nicht undenkbar, nur nachgewiesen bzw in der Praxis überhaupt vorgekommen ist es bislang noch nicht.
    Was deine Vorbehalte noch angeht - glaubst du ernsthaft, NSA und GCHQ hätten keinen passenden Schlüssel, wenn sie denn wollten?

    Wieso muss ich grad an Aluhelme denken?

    Nachtrag

    Zitat

    Du magst dich an dem Wort Attacke stören, denn um eine Attacke handelt es sich ja nicht.


    Ich störe mich nicht daran, aber wie bereits ausgeführt, der springende Punkt.

    Das mit den Infos ist nicht nachteilig gemeint. Viele Webseiten sind seitenweise gefüllt, das auf wenige Sätze zu reduzieren und dann noch ein Gesamtbild daraus zu kontruieren - ganz schwere Aufgabe bis unmöglich. ich habe hier etliche Bücher liegen, die ich beruflich brauch(t)e und etliche eBooks zu bestimmten Themen. Ich kann nicht alles davon weitergeben, weil kostenpflichtig und Urheberrecht, nicht mal seitenweise. Ich kann nur verweisen oder Alternativen suchen. ok?

  • ich beziehe mich im Folgenden auf Beitrag22 von Valerie:
    Danke für die Ausführungen,wieder etwas schlauer geworden :D
    Ich habe mich mal auf die Suche begeben um "am lebenden Beispiel" so eine Seite zu untersuchen. Ich habe all dies in Sandboxie gemacht (ich schreibe dies, weil ich nicht ausschließen kann, dass es sich anders verhalten würde wenn es nicht in Sandboxie laufen würde) Ich kann jetzt nicht sagen ob es ein falsch positiv in AVAST ist, aber auf jeden Fall meldet es mir "Als attackierende Webseite- Bedrohung wurde gefunden" weshalb ich die Seite als Code hier schreibe.

    Erstmal ohne HTTPS-Sanning: wird als Bedrohung eingestuft folgende Seite:

    Code
    http://www.joomlaportal.de/joomla-2-5-sicherheit/301675-als-attackierend-gemeldete-website.html


    genauso wenn ich sie im google cache aufrufe:

    Code
    http://webcache.googleusercontent.com/search?q=cache:LEjBfOILQ-AJ:http://www.joomlaportal.de/joomla-2-5-sicherheit/301675-als-attackierend-gemeldete-website.html%2Bfirefox+attackierende+webseite&pws=0&oe=utf-8&hl=de&as_q&nfpr&spell=1&&ct=clnk


    Das lustige dabei ist, dass die Seite zunächst trotzdem angezeigt wird und erst nach Neuladen der Seite gibts dieses "Verbindung wurde unterbrochen" :-?? Der Sinn dahinter erschließt sich mir nicht. Meiner Meinung nach ist es ja dann schon zu spät wenn wirklich attackierende Inhalte auf der Seite sind.

    Weiterhin ohne HTTPS-Scanning wird nicht als Bedrohung eingestuft wenn ich die Seite im google cache mit https aufrufe:

    Code
    https://webcache.googleusercontent.com/search?q=cache:LEjBfOILQ-AJ:http://www.joomlaportal.de/joomla-2-5-sicherheit/301675-als-attackierend-gemeldete-website.html%2Bfirefox+attackierende+webseite&pws=0&oe=utf-8&hl=de&as_q&nfpr&spell=1&&ct=clnk


    Allerdings sieht die Seite dann "zerrupft" aus und firefox zeigt mir an, dass es auf der Seite unsichere Inhalte gibt.
    Lasse ich diese trotzdem zu, wird die Seite auch wieder "normal" angezeigt und vor dem https ist das gelbe Ausrufezeichen zu sehen.

    Jetzt den letzten Link nochmals mit HTTPS-Scanning--> Wenn nicht noch im Cache/Chronik komme ich gar nicht mehr auf die Seite drauf. Es ist so, als hätte ich niemals etwas in die Adresszeile eingetippt.

    Das bestätigt die Aussagen, die du gemacht hast. Ich muss also teilweise meine Meinung revidieren, die ich anfangs hatte, was es nicht unbedingt leichter macht. Ein abschließendes Urteil darüber ob/wann und wie sinnvoll generell dieses https-scanning ausgehend vom AV-Hersteller ist, konnte ich mir deswegen noch nicht bilden. Es gibt jetzt zwar auch etwas, was dafür spricht, aber auch eine Menge, was dagegen spricht :|

    Hilfe auch im deutschsprachigen Matrix-Chat möglich oder im IRC-Chat
    Meine Anleitungstexte dürfen gerne "geklaut" und weiter verwendet/kopiert werden ;)

  • Zu deinem ersten Beispiel, Auslösend ist zwar ein Script-Eploiter, für die Malware wird allerdings Java, Adobe PDF oder Adobe Flash in veralteten Ausgaben benötigt, wo der Exploit einklinkt.
    http://www.2-removevirus.com/de/expjs-expack-entfernen/

    Clientseitig liesse sich auf jeden Fall was tun - was nicht da ist, kann nicht ausgenutzt werden. Server-seitig muss der Admin handeln
    http://www.web-worker-berlin.de/leitfaeden/ich…as-soll-ich-tun

    Zitat

    Allerdings sieht die Seite dann "zerrupft" aus und firefox zeigt mir an, dass es auf der Seite unsichere Inhalte gibt.


    Das ist korrekt, sobald gemischte Inhalte nicht zugelassen werden. Google bietet den Inhalt via SSL an, der Rest ist aber nicht SSL, weil vom Zielserver. Und das ist auch der Unterschied, weil das iFrame ebenfalls ohne SSL geladen werden soll, aber nicht darf. Erst mit gemischten Inhalten wird das iFrame wieder geladen und damit der Exploit. Das hat aber mit der SSL-Prüfung nichts tun ;)

  • Danke Sören. Nun passt es zusammen. Ich denke jetzt habe ich verstanden wie der Firefox den "Workaround" Public-Key-Pinning handhabt. Er behandelt Zertifikate von "unbekannten" Seiten so wie sonst auch. Das war mir nicht ganz klar. Ich hatte mich schon gefragt, wie das Modell skalieren soll.

    Zur Erklärung mein letzter Roman in diesem Faden. Was meine ich mit unbekannt? Nehmen wir an zu einer Webseite, sagen wir https://s%c3%b6ren.de, gehört ein Zertifikat, das von einer CA1 herausgegeben wurde. Nun könnte ich als Angreifer ein anderes, gültiges Zertifikat präsentieren, welches von der CA2 herausgegeben wurde. Wenn für diese CA2, aus welchen Gründen auch immer, ein Root-Zertifikat im Firefox vorliegt, dann akzeptiert er das normalerweise.
    Mit Public-Key-Pinning, also bei einer bekannten Webseite, weiß der Firefox jedoch, dass zu Sören.de ein Zertifikat der CA1 gehört. Auch wenn nun CA2 ein gültiges Root-Zertifikat hat, kann der Firefox erkennen, dass der Betreiber der Webseite sören.de bei dieser CA kein Zertifikat erworben hat und lehnt es daher ab.
    Das Problem ist die Skalierung. Es gibt ja schließlich Millionen an Webseiten, und der Firefox kann sie unmöglich alle kennen. Deinem Hinweise entnehme ich jetzt, dass der Firefox für den Fall, dass er die Seite und deren CA-Hash nicht kennt, ganz normal verfährt. Er prüft, ob ein Root-Zertifikat vorliegt, dem vertraut wird. Somit klappt das auch mit dem Avast.

    Zitat von Sören Hentzschel


    Wenn HPKP fehlschlägt, gibt es keine Möglichkeit, eine Ausnahme hinzuzufügen.


    Dieses restriktive Vorgehen erfolgt nur dann, wenn der Server sich am Public-Key-Pinning beteiligt, der Betreiber bei Mozilla den entsprechenden Hash hinterlegt hat und beim Aufruf der Seite festgestellt wird, dass die CA nicht stimmt.

    Warum sprach ich oben von Workaround? Weil das alles nicht nötig wäre, wenn alle CAs wirklich zuverlässig wären. Public-Key-Pinning versucht, ein Problem zu beheben, dass dadurch entsteht, dass Zertifikate am Ende des Tages auch ein Geschäft sind und es daher Schwarze Schafe gibt.

    Zitronella

    Zitat von Zitronella


    Ein abschließendes Urteil darüber ob/wann und wie sinnvoll generell dieses https-scanning ausgehend vom AV-Hersteller ist, konnte ich mir deswegen noch nicht bilden.

    Hier kann ich dir nicht wirklich helfen. Da ich kein Antivirenprogramm verwende, das einen solchen Web-Scanner hat, weiß ich zum Beispiel nicht, ob manche der Antivirenprogramme in der Lage sind, schädlichen Inhalt herauszufiltern oder ob sie eine solche Seite komplett blockieren. Auch die Quote der Fehlalarme kenne ich nicht.
    Wenn du den Firefox konsequent in einer Sandbox verwendest, kann dir das aber egal sein. Dass ein solcher Schädling auch noch aus der Sandbox ausbricht, ist gewiss weit, weit weniger wahrscheinlich als die Fehlerquote solcher der Scanner.

    P.S.:

    Bevor noch jemand Google anwirft, mir ein paar Krumen hinwirft und auf einen Fehler aufmerksam macht. Ich sprach der Einfachheit halber oben immer von Zertifikaten. Ich weiß, dass das nicht ganz korrekt ist, weil es um Zertifikate, geheime und öffentliche Schlüssel geht. Das hätte die Beschreibung aber unnötig verkompliziert.

  • Zitat

    kann dir das aber egal sein.


    Böse Falle, so zu denken, da stehst du auch nicht allein. Die Sandbox verhindert nur das ausbrechen ins System, kann dennoch ihr Unwesen in der Sandbox verrichten. Und wie üblich, man sollte die genutzten Programme auch konfigurieren können, Standard hilft hier nicht unbedingt weiter.

  • Ich sehe, du möchtest auf dem Brotkrumen-Niveau weitermachen. Für die Taktik hast du schon fast ein Lob verdient. Mal hier und da ein paar Fetzen reinwerfen, die richtig nach Kompetenz klingen und sobald es in die Details geht, heißt es: Kauf dir ein Buch. Soviel Zeit, das alles für dich dummen Benutzer zu erklären, habe ich nicht.
    Du solltest jedoch nicht davon ausgehen, dass ein jeder darauf reinfällt, wie man an der deutlichen Reaktion von Heaven_69 wohl sieht.

    Zitat von Bernd.


    Böse Falle, so zu denken, da stehst du auch nicht allein.


    Ja, zum Glück stehe ich damit nicht allein da.

    Zitat von Bernd.

    Die Sandbox verhindert nur das ausbrechen ins System, kann dennoch ihr Unwesen in der Sandbox verrichten.

    Ja genau, darum geht es. Wir reden hier von Angriffen, die über https-Webseiten kommen, die Sicherheitslücken im Firefox oder einem PlugIn nutzen und die ohne Scanner vielleicht nicht erkannt werden würden. Wir reden nicht davon, dass ein Benutzer sich bewusst etwas installiert oder unbekannte Dateien öffnet, wobei auch da eine Sandbox gute Dienste leistet. Das ist aber nicht das Thema.

    Richtig konfiguriert, kann es mir fast egal sein, was ein Schädling in der Sandbox treibt, solange er nicht ausbrechen kann. Beim Beenden vom Firefox wird die Sandbox gelöscht und das war es auch schon. Es bleibt nichts vom Schädling übrig. Das Schöne daran ist, es braucht keine Signaturen, keine Heuristik, nichts dergleichen. Es funktioniert sogar mit Schädlingen, die den Herstellern der Antivirenprogramme noch gar nicht bekannt sind.

    Übrig bleibt das Risiko, dass ein Schädling unerkannt während der aktuellen Session aktiv sein könnte. Um dessen Auswirkungen zu verhindern, muss man den Firefox lediglich neu in eine gelöschte Box starten, bevor man sensible Dinge tut. Das sind im einfachsten Fall ein Klick auf das X im Firefox und ein Doppelklick zum Neustart.

    Warum schrieb ich fast egal? Weil natürlich ein Restrisiko besteht, dass ein Schädling sowohl eine Sicherheitslücke im Firefox oder einem PlugIn nutzen kann und es ihm auch noch gelingt über eine weitere Lücke aus der Box auszubrechen. Anschließend nutzt er auch noch eine Lücke in Windows um erhöhte Rechte zu erlangen und infiziert mein System. Ja, in der Theorie ist das denkbar. Aber mal ehrlich, dieses Risiko ist um Größenordnungen geringer als die Wahrscheinlichkeit, dass ein Virenscanner einen Schädling erst gar nicht erkennt.

    Ich hatte eigentlich gar nicht vor, hier lange zu verweilen. Ich habe mich hier lediglich eingebracht, weil zwei andere freiwillige Helfer mir etwas ihrer Zeit geschenkt hatten und weil Sören, Zitronella und Hermes einige auch für mich interessante Fragen aufgeworfen hatten.
    Ich will damit sagen, ich bin offen für darstellbaren Widerspruch und eine weitere Diskussion. Ich halte mich nicht für allwissend und lerne gerne hinzu.
    Bei der Brotkrumen-Schlaumeier-Nummer mache ich aber nicht weiter mit, ebenso wenig, falls du zur Ausweichtaktik greifen solltest und das Thema in eine ganz andere Richtung lenkst.

  • Hallo Zitronella,

    ist deine Ansicht immer noch gleich, dass die Webseite -> https://www.postbank.de/ Zertifikat anzeigen
    (Beitrag #15 Mit AVAST HTTPS-Scanning (Bild)
    Ausgestellt von
    Allgemeiner Name (CN) Symantec Class 3 EV SSL CA - G3 wirklich so bei allen vorhanden sein sollte. :?:

    Hier erhalte ich mit HTTPS-Scanning aktiviert
    Ausgestellt von
    Allgemeiner Name (CN) avast! Web/Mail Schield Root
    generated by avast! antivirus for SSL/TLS scanning
    [Blockierte Grafik: http://www11.pic-upload.de/thumb/26.10.14/h8sdgo4hizk.jpg]

    Gruß, der_nachdenklicher

  • :o jetzt bei mir auch. Sieht bei mir jetzt genauso aus wie bei dir. Da müssen die wohl was verändert haben.
    Ohne HTTPS-Avast Scanning ist https://www.postbank.de/ auch mit einem grünen Schloss hinterlegt.
    Mit HTTPS-Avast-Scanning ist es nur noch grau. Das war vor Tagen, als ich den Beitrag schrieb, noch definitv anders.

    Hilfe auch im deutschsprachigen Matrix-Chat möglich oder im IRC-Chat
    Meine Anleitungstexte dürfen gerne "geklaut" und weiter verwendet/kopiert werden ;)

  • Zitat von Zitronella


    Das war vor Tagen, als ich den Beitrag schrieb, noch definitv anders.


    Bist du ganz sicher? Das würde bedeuten, dass Avast in diesem Fall die Seite nicht untersucht hätte, obwohl die Funktion aktiviert war.

    Ich habe eben ein wenig danach gesucht, ob solche Scanner verdächtige Seiten einfach blockieren oder ob sie in der Lage sind, lediglich die verdächtigen Inhalten herauszufiltern. Ich bin auf die Schnelle nicht fündig geworden. Aber etwas anderes interessantes habe ich dabei auf den Seiten des ehemals deutschen Firewall-Spezialisten Astaro gefunden. Die gehören inzwischen zu Sophos und bieten u.a. einen HTTPS-Scanner für Firmennetzwerke an.

    Zitat


    Die Astaro HTTPS-Filterfunktion kann verschlüsselte Datenströme mithilfe des fortschrittlichen Man-in-the-Middle-Verfahrens prüfen und damit für volle Kontrolle sorgen.


    Der Hersteller selbst spricht also von einem Man-in-the-Middle-Verfahren. Das ist auf jeden Fall der freundlichere Begriff. Mir gefällt, dass die das Kind beim Namen nennen.

    Zitat


    Dies liefert umfangreichen Schutz, falls eine als sicher geltende Website kompromittiert wurde und damit beginnt, schädliche Inhalte über HTTPS zu verbreiten, denn Astaro kann diese weiterhin blocken.

    Es bleibt leider offen, ob die Webseite weiterhin blockiert wird oder nur deren schädliche Inhalte.

    Quelle: https://www.astaro.de/node/12234