.NET Blog   ·   .NET Casts   ·   .NET GUI Foren   ·   .NET BlogBook   ·   WPF Blogger   ·   visual studio one   ·   ASP.NET professional

  • ACHTUNG - NEUES BLOG

    Ab sofort steht unter http://devtyr.norberteder.com mein neues Blog zur Verfügung. Dieses Blog wird nicht weiter betreut, bleibt aber erhalten. Neue Eintr%auml;ge erfolgen nur mehr im neuen Blog. Kommentare werden ebenfalls nicht mehr behandelt. Wer weiterhin meinen Einträgen und Aktivitäten folgen möchte, möge bitte RSS-Feeds, Verlinkungen etc. an die neue Location anpassen.
Download .NET Essentials Installer
Trickkiste

Sicherheitsloch in Visual Studio 2005

02.11.06 - Security
Beitrag von Norbert Eder
 So, nun hat es also auch Visual Studio 2005 erwischt. Laut Microsoft [1] steckt der Fehlerteufel in einem von Visual Studio 2005 verwendeten ActiveX Control.

Ganz genau handelt es sich um das WMI Object Broker Control, welches in der Library WmiScriptUtils.dll zu finden ist.

Durch die Sicherheitslücke ist es dem Angreifer möglich, Code auszuführen. Ein Update ist geplant und wird wohl bald entsprechend verteilt werden.

[1] Microsoft Security Advisory (927709)

  Kommentar hinzufügen   |  0 Trackbacks   |  Permalink  |  Trackback-URL


Encryption-Framework BouncyCastle

27.10.06 - .NET, Allerlei, Security
Beitrag von Norbert Eder
 Vor Jahren hatte ich aufgrund eines Projektes mit der Java-Version von Bouncycastle zu tun. Stichwörter: S/MIME, PGP. Auch damals gab es schon eine rudimentäre C#-Umsetzung [1], welche ich hier nun einmal kurz erwähnen möchte.

Am 24. Oktober 2006 (also vor ein paar Tagen) gab es ein weiteres Beta-Release, welches ansich schon recht gut funktioniert und auch zahlreiche Funktionalitäten bietet. Wer also Bedarf an einem Encryption-Framework hat, tut gut daran, sich BouncyCastle näher anzusehen.

[1] BouncyCastle C# Framework
  Kommentar hinzufügen   |  0 Trackbacks   |  Permalink  |  Trackback-URL


Security unter dem .NET Framework 2.0

06.02.06 - Security
Beitrag von Norbert Eder
 Mittlerweile spricht sich herum, dass Security doch auch für Entwickler relevant ist. Daher auch dieser Tipp von mir:

Der Artikel Security Enhancements in the .NET Framework 2.0 führt in die Sicherheits-Features des .NET Frameworks 2.0 ein und bringt diese Funktionen auch näher.

Auch hier wieder: Dieser Artikel lohnt sich!

  Kommentar hinzufügen   |  0 Trackbacks   |  Permalink  |  Trackback-URL


Bürgerkarte, A-Trust und der Spaß am Signieren

28.01.06 - Security
Beitrag von Norbert Eder
 ... der sich aber vielleicht bald aufhört. A-Trust scheint es ja derzeit nicht besonders gut zu gehen. Noch dazu will niemand für A-Trust die Hand ins Feuer legen - zumindest sieht alles danach aus.

Was passiert aber, wenn A-Trust den Bach runter geht? Nun, einige mögen sagen: "Hey, die Zertifikate von A-Trust sind eh noch eine Zeit gültig.". Theoretisch schon. Praktisch wirds wohl eher ein Fall für die Revocation List. Sprich, die Zertifkate werden dann als abgelaufen bzw. zurückgezogen markiert und schon ists wieder vorbei mit der Bültigkeit des eigenen Zertifikats (Beispiel Bürgerkarte bzw. Signaturfunktion auf den Bankomatkarten).

Zahlen dann alle umsonst für ihre Signaturfunktion? Traut sich dann in Österreich überhaupt noch jemand über dieses Thema drüber? Oder müssen wir es vielleicht den großen Konzernen überlassen unsere Daten zu verwalten? Da hab ich meine Daten doch lieber beim Staat bebunktert, der hat diese Informationen ohnehin schon. Also Vater Staat, vielleicht weniger über ein paar Gemälde diskutieren und viel mehr A-Trust retten.

Und beim Thema "Fax und Signatur" stellts mir sowieso gleich die Haare auf ... aber das ist ein Thema für einen anderen Eintrag.

  Kommentar hinzufügen   |  0 Trackbacks   |  Permalink  |  Trackback-URL


Bürgerkarte: Des Usability-Problems 2. Teil

05.12.05 - Security
Beitrag von Norbert Eder
 Zum Thema Bürgerkarte/Signaturkarte habe ich doch glatt noch einen weiteren Punkt(ursprüngliche Post ist hier zu finden), den ich aus Usability-Sicht nicht ganz nachvollziehen kann.

Die Bürgerkarte/Signaturkarte soll doch eigentlich für jeden sein - und zwar nicht nur für Online-Bankgeschäfte, sondern auch zum Signieren von Emails. Nur, viele Bürger gehen doch einer Beschäftigung nach und manche machen auch Dienst in einem Büro. Diejenigen, die im Büro arbeiten (und da bin ich mir ganz sicher), rufen auch ihre privaten Emails ab bzw. schreiben mit ihrer privaten Adresse Nachrichten. Diese wollen eigentlich auch signiert werden.

Der Haken an der Geschichte? Wer schleppt das unhandliche externe Kartenlese-Gerät mit? Vielleicht 2, 3 Tage und dann nicht mehr. Daher gibt es dann genau zwei Möglichkeiten:

- entweder zu Hause oder in der Firma wird signiert
- Anschaffung eines zweiten Kartenlese-Gerätes

Zwei sehr gute Alternativen. Warum werden nicht handlichere Geräte angeboten? Die Technik dazu ist vorhanden und würde allen Beteiligten das Leben um sehr viel einfacher gestalten.

Hinweis: Natürlich besitzen die neuen Laptops zum Großteil integrierte Kartenleser. Diese sind aber zum Großteil nicht zertifiziert. Dies bedeutet, dass eine signiert Email unter Verwendung eines nicht zertifizierten Lesegerätes genauso viel Gültigkeit vor Gericht hat, wie eine nicht signierte Email. Sogesehen ist deren Verwendung ziemlich sinnlos.

Schöne neue Technik ...

  1 Kommentar - 1196 mal angesehen   |  0 Trackbacks   |  Permalink  |  Trackback-URL


Bürgerkarte und schnelles, einfaches Signieren ...

04.12.05 - Security
Beitrag von Norbert Eder
 ... denkste!!

Ein kleines Übungsbeispiel:
Man gehe zur Bank und besorge sich eine signaturfähige Karte. Danach einfach einen notwendigen Termin ausmachen (Daten angeben, PINs festlegen etc.). Nun schnell einen externen, zertifizierten Cardreader gekauft und am Rechner alles notwendige installieren und schon kann es losgehen mit signierten Emails.

Das klingt in der Theorie ganz einfach, birgt aber in der Praxis das eine oder andere Problem. Denn, nach dem Einrichten des Zertifikates im entsprechenden Mailclient war ein Email (und zwar ein signiertes) schnell geschrieben. Beim Absenden kommt dann die PIN-Abfrage, dieser wurde eingegeben und schon war das Testemail weg. Ein paar Augenblicke später war es im Posteingang und wollte verifiziert werden. Fehlgeschlagen! Welches Problem liegt da wohl vor? Oh. Verdammt. Das Stammzertifikat der Zertifizierungsstelle muss noch installiert werden. Gesagt, getan! Und die Verifizierung? Fehlgeschlagen. Was kann das jetzt schon wieder sein? Autsch. Da wollen noch ein paar Zwischenzertifikate installiert werden, damit der Zertifizierungspfad verfolgt werden kann. Gemacht und schon kann das Email verifiziert werden. Juhu, dieses Email ist eindeutig von mir.

Tja, das klingt ja eigentlich gar nicht so schwer. Nur bergen auch die unterschiedlichen Email-Clients so ihre Eigenheiten. Zum Beispiel müssen beim Thunderbird die Zertifikate direkt importiert werden, denn der Windows Root Certificate Store wird hier nicht ausgelesen. Etwas nervig, aber Thunderbird-Benutzer wissen das ja ;-)
Auch Outlook hat so seine Problemchen damit. So sollte unter den Optionen/Lasche Sicherheit der Punkt "Signierte Nachrichten als Klartext senden" nicht angehakt sein, wenn HTML-Mails versendet werden (dies sollte das eine oder andere Mal vorkommen, vor allem wenn man die Standard-Konfiguration von Outlook verwendet). Hier werden anscheinend nach dem Erstellen der Signatur erst die Änderungen im Body vorgenommen, wodurch die Signatur ungültig wird.

Diese und weitere Probleme warten auf den Otto-Normal-Verbraucher, der sich einbildet, seine Email ab sofort signiert versenden zu müssen. Hier sind noch einige Usability-Experten gefragt, um dies für den allgemeinen User transparenter und vor allem einfacher zu machen. Denn selbst Personen, die sich damit auskennen haben das eine oder andere Problem damit ...

  Kommentar hinzufügen   |  0 Trackbacks   |  Permalink  |  Trackback-URL



Zurück