OKFliese
Anmeldungsdatum: 15. April 2021
Beiträge: 91
|
Hallo! grundsätzlich finde ich es naheliegend, dass Linuxsysteme sicherer sind, als andere weit verbreitete Betriebssysteme. Zum einen ist es weniger verbreitet (und ein Angriff nicht sehr wirtschaftlich) und zum anderen ist es auch vom System her sicherer, da es z.B. mit den Benutzerrechten anders umgeht. (Etwas einfach beschrieben vielleicht, aber so lese ich es häufiger.) Aber wie sieht es z.B. auf Browserebene aus? Angenommen, ich verwende Firefox unter Ubuntu. Da handelt es sich ja im Grunde genommen um das gleiche Programm, bei dem auch Skripte im Hintergrund laufen könnnen. Ist Linux dennoch auch auf dieser Ebene sicherer? Kann mein Browser selbst nicht genauso 'einfach' infiziert werden wie unter einem mainstream Betriebsystem? Ich rede nicht von phishing. Da ist es ja vollkommen klar, dass es unabhängig vom Betriebssystem funktioniert. Besten Dank für die Info! Bearbeitet von kB: Bitte wähle in Zukunft einen aussagekräftigen Titel! „Grundsätzliche Sicherheitsfrage“ ist zu allgemein.
|
seahawk1986
Anmeldungsdatum: 27. Oktober 2006
Beiträge: 11180
Wohnort: München
|
Das grundlegende Problem, dass Prozesse, die unter deinem Benutzer laufen Zugriff auf alles haben, was dein Benutzer darf, bleibt: https://xkcd.com/1200/ - was in gewissem Rahmen helfen kann, ist den Browser in einer eingeschränkten Umgebung (ggf. unter einem anderen Nutzer) laufen zu lassen (das wird bei Snaps ja schon in gewissem Rahmen vorangetrieben, auch wenn das nicht modular genug ist, um wirklich Sicherheit zu schaffen) - jenseits von Snaps gibt es Ansätze wie firejail, AppArmor, selinux usw., um genauer zu Regeln, was einzelne Programme dürfen können sollen und was nicht.
Bearbeitet von sebix: Wikilink korrigiert.
|
Thomas_Do
Moderator
Anmeldungsdatum: 24. November 2009
Beiträge: 8542
|
Die Browser sind unter Linux und anderen Betriebssystemen prinzipiell gleich. Manchmal gibt es kleinere Unterschiede bzgl. bestimmter Funktionalitäten, die z.T. auch sicherheitsrelevant sein können. Im Allgemeinen werden aber ja nicht die Browser allein infiziert, sondern auch andere Komponenten des Betriebssystems. Ausnahme ist da vielleicht die ungewollte Installation von Plugins und Addons. Da gibt es keine Unterschiede.
|
OKFliese
(Themenstarter)
Anmeldungsdatum: 15. April 2021
Beiträge: 91
|
besten Dank schonmal. Dann befasse ich mich mit der Sandbox...
Meine Hauptsorge ist, dass meine login daten, die mein browser aussendet, abgefangen werden können. Das müsste ja unabhängig von der sandbox möglich sein, oder?
|
seahawk1986
Anmeldungsdatum: 27. Oktober 2006
Beiträge: 11180
Wohnort: München
|
OKFliese schrieb: Meine Hauptsorge ist, dass meine login daten, die firefox aussendet, abgefangen werden können. Das müsste ja unabhängig von der sandbox möglich sein, oder?
Das ist vorrangig ein Problem, das man mittels Transportverschlüsselung lösen muss - das steht und fällt damit, wie du am Netz hängst - da könnte man an einen Man-in-the-Middle-Angriff denken - und ob dein Gegenüber, dem du die Daten schickst, sauber arbeitet (also z.B. nicht Schlüssel mit potentiellen Mitlesern teilt). Mit Sandboxing kannst du ggf. etwas lokale Sicherheit gewinnen (wobei ein Angreifer, der erhöhte Rechte auf deinem System erlangt hat, praktsich auf alles Zugreifen kann, was auf deinem Rechner passiert), aber sobald die Daten deinen Rechner verlassen haben, musst du darauf hoffen, dass der Rest passt - das liegt dann dummerweise nicht mehr in deiner Hand.
|
OKFliese
(Themenstarter)
Anmeldungsdatum: 15. April 2021
Beiträge: 91
|
seahawk1986 schrieb: OKFliese schrieb: Meine Hauptsorge ist, dass meine login daten, die firefox aussendet, abgefangen werden können. Das müsste ja unabhängig von der sandbox möglich sein, oder?
Das ist vorrangig ein Problem, das man mittels Transportverschlüsselung lösen muss - das steht und fällt damit, wie du am Netz hängst - da könnte man an einen Man-in-the-Middle-Angriff denken - und ob dein Gegenüber, dem du die Daten schickst, sauber arbeitet (also z.B. nicht Schlüssel mit potentiellen Mitlesern teilt).
Bringt dann überhaupt ein starker zweiter login-Faktor - wie z.B. ein fido-hardware key - unbedingt mehr sicherheit? Auch hier muss man ja darauf vertrauen, dass die vom Key erzeugte Signatur (auch diese wird ja einfach ausgesendet vom browser) ordnungsgemäß übermittelt wird, so wie die ganz normalen login daten auch.
|
Thomas_Do
Moderator
Anmeldungsdatum: 24. November 2009
Beiträge: 8542
|
OKFliese schrieb: dass die vom Key erzeugte Signatur (auch diese wird ja einfach ausgesendet vom browser) ordnungsgemäß übermittelt wird, so wie die ganz normalen login daten auch.
Das ist so nicht richtig. Lies Dich bei Interesse in die entsprechenden Techniken ein.
|
OKFliese
(Themenstarter)
Anmeldungsdatum: 15. April 2021
Beiträge: 91
|
hmm.. mag sein, dass ich noch einen Denkfehler habe. Aber habe bereits eingiges gelesen. Grundsätzlich läuft es doch so ab: - ein öffentlicher Schlüssel wird bei xy hinterlegt. - beim login sendet server von xy eine Anfrage an den hardware-key. - diese wird mit hilfe des internen keys bestätigt/signiert und die Signatur versendet. - damit ist der login ok Also wird am Ende des Tages eine information gesendet, die abgefangen werden könnte, und jemand könnte zumindest für diese login sitzung mit einsteigen, oder nicht?
Es mag ja sein, dass diese Information verschlüsselt ist, aber das sind ja meine normalen login-infos auch. Also wodurch entsteht die zusätzliche Sicherheit?
|
Thomas_Do
Moderator
Anmeldungsdatum: 24. November 2009
Beiträge: 8542
|
OKFliese schrieb: Also wird am Ende des Tages eine information gesendet, die abgefangen werden könnte, und jemand könnte zumindest für diese login sitzung mit einsteigen, oder nicht?
Das ist komliziert und ich bin kein Kryptoexperte. Bei U2F sind Man-In-The-Middle-Attacken recht schwierig. Dieses Dokument beschreibt am Ende von Punkt 6 (Seite 8) welche Voraussetzungen gegeben sein müssen, damit sowas klappt.
|
Kätzchen
Anmeldungsdatum: 1. Mai 2011
Beiträge: 6679
Wohnort: Technische Republik
|
https://ubuntuusers.de/user/Kätzchen/ AppArmor Profil Firefox Damit kann man Surfen und Dateien nach Downloads herunterladen und aus Downloads und Öffentlich hochladen. Zuletzt unter 18.04 verwendet aber sollte auch mit neueren Versionen klappen.
|
OKFliese
(Themenstarter)
Anmeldungsdatum: 15. April 2021
Beiträge: 91
|
Thomas_Do schrieb: OKFliese schrieb: Also wird am Ende des Tages eine information gesendet, die abgefangen werden könnte, und jemand könnte zumindest für diese login sitzung mit einsteigen, oder nicht?
Das ist komliziert und ich bin kein Kryptoexperte. Bei U2F sind Man-In-The-Middle-Attacken recht schwierig. Dieses Dokument beschreibt am Ende von Punkt 6 (Seite 8) welche Voraussetzungen gegeben sein müssen, damit sowas klappt.
Okay, vielen Dank an alle. Das hilft mir bereits sehr. Noch eine letzte Verständnisfrage zu dem Thema: - Das mit dem login an sich erscheint mir nun ausreichend sicher, insbesondere mit dem erwähnten zweiten Faktor. - Aber... Betrifft diese (zusätzliche) Sicherheit nur den Login selbst oder auch eine offene Sitzung? Was ich meine: Kann jemand irgendwie in mein System eindringen und "einfach" meine offene aktuelle Login-Sitzung mitnutzen, indem er so tut, als sei er ich? Oder hilft mir bei einem solchen Szenario (falls es überhaupt realistisch ist) der zweite Faktor fido-key auch weiter? Hoffe man kann die Frage nachvollziehen. Gruß
|
seahawk1986
Anmeldungsdatum: 27. Oktober 2006
Beiträge: 11180
Wohnort: München
|
Der Login ist ja nur ein kleiner Teil der Kommunikation mit dem Gegenüber und welche Implikationen die Verwendung von 2-Faktor Authentifikation für die Sicherheit hat, kann man nicht pauschal beantworten (im von Thomas_Do verlinkten Dokument sind da ja einige Angriffsszenarien beschrieben, gegen die Fido/U2F keinen Schutz bieten kann) - und sobald die Sitzung offen ist, kann z.B. CSRF ein reales Problem sein - da muss man darauf hoffen, dass die Webseite ordentlich programmiert ist, und dass der eigene Rechner sauber ist - also z.B., dass man keine Browser-Extensions nutzt, die sich da einklinken und Daten abgreifen, selbstständig Requests machen usw.
|
OKFliese
(Themenstarter)
Anmeldungsdatum: 15. April 2021
Beiträge: 91
|
seahawk1986 schrieb: Der Login ist ja nur ein kleiner Teil der Kommunikation mit dem Gegenüber und welche Implikationen die Verwendung von 2-Faktor Authentifikation für die Sicherheit hat, kann man nicht pauschal beantworten (im von Thomas_Do verlinkten Dokument sind da ja einige Angriffsszenarien beschrieben, gegen die Fido/U2F keinen Schutz bieten kann) - und sobald die Sitzung offen ist, kann z.B. CSRF ein reales Problem sein - da muss man darauf hoffen, dass die Webseite ordentlich programmiert ist, und dass der eigene Rechner sauber ist - also z.B., dass man keine Browser-Extensions nutzt, die sich da einklinken und Daten abgreifen, selbstständig Requests machen usw.
sollte man auch besser keinen pw-manager als browser extension verwenden?!
|
seahawk1986
Anmeldungsdatum: 27. Oktober 2006
Beiträge: 11180
Wohnort: München
|
Je mehr Informationen man auf einem Gerät vorhält, desto größer ist das Risiko, dass ein Angreifer etwas abgreifen kann. In der Vergangenheit sind immer mal wieder Sicherheitsprobleme bei den Browser-Extension von Passwort-Managern aufgefallen, absolute Sicherheit kann praktisch keine Software bieten.
|