by dicer » 16 Mar 2009, 11:56
@ volkeroboda
Verschluesselt wird das ganze schon. ABER: Wenn jemand nun in die Uebermittlung eingreifen kann, kann er eine sogenannte Man-In-The-Middle Attacke durchfuehren. Dafuer generiert er ein eigenes SSL-Zertifikat und schickt das an den Teamdrive-Client. Dieser verschluesselt dann das ganze zwar, aber der Angreifer kann alles entschluesseln und dann neu verschluesselt an deinen Webdav-Server weiterreichen. Der Client merkt erstmal nichts davon.
Genau fuer solche Faelle gibt es fertige Tools, die zB ein offenes WLAN anbieten und dann automatisch alle SSL-Verbindung mittels einem dynamisch generiertem Zertifikat abfangen, entschluesseln und an den Zielserver weiterleiten.
Wenn es ein kein "offizielles" Zertifikat ist, dann merken zB Browser das und eine Warnung wird angezeigt. Teamdrive nimmt momentan einfach alles an Zertifikaten an. Ich will jetzt nicht zu sehr auf die Details eingehen, da sonst der Eintrag arg lang wird.
Was nun eigentlich in Teamdrive drin sein muesste: Anzeige des selbst-generierten Zertifikats inkl. Fingerabdruck (den jedes Zertifikat hat) beim Anlegen des Servers bei dir im Teamdrive und du muesstest dann einmal den Fingerabdruck bestaetigen. Danach wuerde dann nur genau dieses selbstgenerierte Zertifikat von Teamdrive angenommen werden und bei allen anderen Faelschungsversuchen ein Fehler angezeigt.
Du kannst ja einfach mal die Webdav-Adresse im Browser aufrufen. Da siehst du dann, wie Browser das ganze handhaben.
@jogibaer
Das ist genau die Frage. Habe ich jetzt nicht genau getestet. Es MUSS aber auch in diesem Fall wenigstens eine Warnung angezeigt werden. Das Problem ist allerdings technisch nicht allzu trivial, da solche Zertifikate ja auch ablaufen. Das ist allerdings nur bei "privaten", selbstgenerierten Zertifikaten ein Problem. Bei "offiziellen" Zertifikaten kann geprueft werden, ob eine bekannte Zertifizierungsstelle dieses Zertifikat ausgestellt hat. Daher kann sich auch jederzeit das Zertifikat an sich aendern. Die Browser haben zB eine Liste an Zertifizierungsstellen drin, denen sie vertrauen. Alles von denen ausgestellte ist OK, alles andere generiert eine Warnung.
Deswegen sind selbstgenerierte Zertifikate gerade in solchen automatischen Umgebungen wie Teamdrive eine ist, recht problematisch. Im Endeffekt muesste bei privaten Zertifikaten der Fingerabdruck in dem Server-Key abgespeichert werden und auch per Einladung verteilt werden. Wenn das Zertifikat dann ablaeuft, muesste man die Verbindung verweigern und der Share-Besitzer muss den Server-Key updaten, den neuen Fingerabdruck abnicken und dann irgendwie (per Einladung?) wieder an alle anderen verteilen. Das waere die sicherste aber auch unbequemste Art das ganze zu loesen.
Ich kann daher nur empfehlen offizielle SSL-Zertifikate einzusetzen. Die gibt es mittlerweile schon ab 15Euro pro Jahr. Allerdings ist dann immer die Frage, ob diese dann auch mit Teamdrive kompatibel sind, da die oben erwaehnten Listen von Zertifizierungsstellen natuerlich von Software zu Software verschieden sind. Am besten also abwarten, wie Teamdrive das ganze implementiert.