Verschlüsselt alles, benutzt überall TLS, betrachtet alles andere als ein großes sicherheitsproblem, haben sie uns gesagt. Schon schade, wenn diese verschlüsselung dann keine sicherheitsprobleme (sehr wohl aber vertraulichkeitsprobleme) löst, aber dafür ein paar neue sicherheitsprobleme schafft, so übel, dass eine wördpress-webseit schon gepwnt ist, bevor sie überhaupt onlein geht:
WordPress ist ein prominentes Beispiel dafür: Man lädt die Basis-Installation auf den Server und startet den Installer auf https://mysite.irgend.wo/wp-admin/setup-config.php, um gleich ein neues Passwort zu setzen. Doch da kommt man vielleicht schon zu spät. Denn typischerweise hat man kurz zuvor einen neuen Server eingerichtet und für diesen auch ein neues Zertifikat erstellt. Dieser Vorgang wird im öffentlich einsehbaren Protokoll der Certificate Transparency dokumentiert. Diverse Angreifer monitoren diese CT-Änderungen und liegen dann schon auf der Lauer, wenn der Eigentümer dort etwas installiert. Dazu warten sie etwa auf das Auftauchen der typischen WordPress-Installer-URLs. Typischerweise 4 Minuten dauerte es in Smitkas Selbstversuchen, bis die ersten Hintertüren auf dem System waren; ein Angreifer benötigte weniger als 1 Minute. Das als Gegenprobe ohne HTTPS eingerichtete WordPress-System blieb hingegen völlig unbehelligt
Bwahahahaha! 😂️
Das ist doch sicherlich nur eine obskure teoretische möglichkeit, die ganzen sicherheitsexperten raten doch alle zu TLS?
Smitka gelang es, zumindest eine Angreifergruppe bei ihrem Tun zu beobachten. Innerhalb weniger Tage kaperten die über 800 WordPress-Systeme, deren Eigentümer er direkt benachrichtigte. Doch es ist davon auszugehen, dass dieses Problem noch viel größer ist und tausende WordPress-Systeme auf diesem Weg kompromittiert wurden
Bwahahahaha! 🤣️
Leute, glaubt niemals, dass eine erhöhung der komplexität die sicherheit von kompjutern erhöht! Auch nicht, wenn es ein „experte“ für irgendwas sagt. Und erst recht nicht, wenn es ein scheißjornalist sagt, der von nix eine ahnung hat. Was die sicherheit eines kompjuters erhöht, ist nicht die erhöhung von komplexität, sondern die redukzjon von komplexität. Im idealfall eine so weitgehende redukzjon von komplexität, dass man alles noch selbst verstehen kann.
Gut, wenn man TLS braucht — etwa, weil man güter, geld oder abhör- und zensurgefährdetes zeug aller art ins web stellen will — dann kommt man nicht umhin, TLS zu benutzen, es gibt im moment nix besseres. Aber einfach TLS als schlangenöl aufzutragen oder „weil es alle so machen“, wird leicht kontraproduktiv. Zumal die zentralistische organisazjon mit im brauser hinterlegten CAs — ein faktisch sichereres selbstsigniertes zertifikat wird ja seit vielen vielen jahren jedem seit-besucher von brauser als ganz gefährliches sicherheitsrisiko angezeigt, für das er erstmal unter genuss von großen warnungen eine ausnahmeregel konfigurieren muss, was jeden unerfahrenen menschen abschrecken dürfte — eine zusätzliche möglichkeit für manipulazjonen durch staatliche oder große wirtschaftliche organisazjonen darstellt. Ich habe jedenfalls kein vertrauen zu den CA-klitschen, die ab werk im brauser als sicher betrachtet werden. Und wer sich diese insgesamt mehr als nur etwas gruselige liste mal angeschaut hat…
…wird mir in meinem vertrauensmangel hoffentlich zustimmen.
Schwerdtfegr (beta) 
