Oracle schaffe es auch nach mehreren Updates immer noch nicht, die Sicherheitslücken in Java zu schliessen.

Wie bekannt wurde sind einige Lücken seit Anfang Februar bei Oracle bekannt, wurden aber wegen des Updatezyklus zurückgehalten.

Sicherheitsexperten finden weiterhin immer neue Lücken in Java.

Wer also Java nicht unbedingt braucht sollte es zumindest im Browser deinstallieren (wenn nicht gleich komplett vom Rechner entfernen).

VOR dem Start der Java-Anwendung sollten Sie unbedingt die Zertifikatinformationen lesen. Auch ein digital zertifiziertes Java-Programm Malware,

wie gerade ein Fall an der TU Chemnitz zeigt

Am 12.6.2012 wurde eine bislang unbekannte Sicherheitslücke in xt-Commerce und allen Forks veröffentlicht. Auf xtc-load werden Patches bereitgestellt, die allerdings auf Standardinstallationen zugeschnitten sind.

Um Ihnen die Installation bei geänderten Shops zu erleichtern stellen wir hier einen Versionsvergleich für Gambio GX2 und xt-Commerce 3.04 SP2.1 zur Verfügung.
Damit sehen Sie sehr leicht, welche Änderungen durch den Sicherheitspatch durchgeführt wurden. Die rot markierten Stellen kennzeichnen die Unterschiede zwischen den Versionen.

Im Vergleich ist jeweils application_top.php die alte Datei ohne Sicherheisupdate, die Datei application_top_security.php die Datei mit dem Sicherheitsfix.

Security Update Gambio GX2 12.06.2012
Security Update xt-commerce 3.04 SP2.1 12.06.2012

Viele Entwickler von kostenloser Software bieten Hashwerte an, damit der Benutzer prüfen kann, ob die heruntergeladene Version auf unbefugte Änderungen zu prüfen.
Ein Beispiel ist KeePass:
http://keepass.info/integrity.html

Unter Windows hat man leider nach der Installation des Betriebssystems kein Tool zur Hand, um Downloads auf Echtheit zu verifizieren.

Microsoft bietet ein Kommandozeilentool an, das diese Funktion nachrüstet (“File Checksum Integrity Verifier”)

http://support.microsoft.com/kb/841290/de

http://download.microsoft.com/download/c/f/4/cf454ae0-a4bb-4123-8333-a1b6737712f7/windows-kb841290-x86-enu.exe

Deutlich komfortabler geht es allerdings mit der Software Hashtab. Diese erweitert das Eigenschaften-Menü einer Datei um einen Tab für Hashwerte
http://www.heise.de/software/download/hashtab/30191

SSL (Secure Socket Layer) wurde Mitte der Neunziger Jahre von Netscape entwickelt, um sichere und authentische Internetverbindungen zu ermöglichen.

Viele Webuser verbinden seitdem den Begriff SSL automatisch mit Sicherheit. Das Schloßsymbol im Browser bzw. die grüne Adressleiste, so die gängige Meinung, soll automatisch für eine sichere Verbindung mit einem anderen Server sorgen. Angreifer, die sich dazwischenschalten wollen (Man-in-the-Middle), um Daten, Passwörter etc. abzufangen, sollen durch die Zertifikatsprüfung bei den Zertifizierungsstellen, den sogenannten “Certificate Authorities” (CAs, z.B. Thawte, Verisign usw.), ausgeschaltet werden. Die CAs garantieren, dass das verwendete SSL-Zertifikat authentisch ist.

Aber wie sicher ist SSL wirklich?

Heise griff das Thema in diesem Artikel auf. Schwachpunkt des Verfahrens sind u.a. die Zertifizierungsstellen, auf deren Vertrauenswürdigkeit das ganze System aufbaut. Die CAs prüfen vor Ausstellung, ob das Zertifikat auch zu dem entsprechenden User gehört. Von CAs geprüfte SSL-Zertifikate werden beim Aufruf des Servers dann als “sicher” angezeigt, solange der überprüfte Servername verwendet wird, das Zertifikat gültig und noch nicht abgelaufen ist.

Woher weiß der Browser aber, welchem CA zu vertrauen ist?

Dazu sind sogenannte Root-Zertifikate in allen Browsern bereits vorhanden, die bestimmte CAs vertrauenswürdig erscheinen lassen. Jemand der den privaten Schlüssel dieser CAs vorliegen hätte, könnte beliebige SSL-Zertifikate herausbringen, die dann allgemein als “sicher” angezeigt werden.

Viele dieser CAs sind in den USA beheimatet. Es besteht Grund zu der Befürchtung, dass Regierungsstellen die CAs zwingen könnten, mit Ihnen zusammenzuarbeiten, um verschlüsselte Verbindungen abhören zu können. Einige Firmen bieten diese Dienste bereits auch offiziell an.

Es bestehen aber weitere Gefahren. Moderne Browser zeigen zwar an, wenn die Authentizität eines Zertifikats nicht überprüft werden kann, viele User lassen sich aber dadurch nicht abschrecken. Dadurch kann auch ein nicht vertrauenswürdiger Server vom User als sicher eingestuft werden.

Noch gefährlicher ist eine dritte Variante: Gelingt es einem Angreifer, ein Herausgeberzertifikat zu fälschen, kann er beliebige Zertifikate ausstellen. Bereits 2008 wurden Schwachstellen in den Verschlüsselungsverfahren aufgedeckt. Selbst das Fälschen ist aber nicht unbedingt nötig: CAs können andere Stellen als CAs zertifizieren. Der User hat kaum Möglichkeiten, die gefälschten Zertifikate und die nicht vertrauenswürdigen CAs zu erkennen.

Fazit: Absolute Sicherheit gibt es im Internet nicht. Tools wie dieses AddOn, das die Zertifizierer überprüft, können die Sicherheit verbessern. Meist hilft nur eine gesunde Portion Misstrauen. Jeder User muss selbst abwägen, ob er einer Internetseite trauen will oder nicht.