tryton

3ff · Montag 9. August 2010, 17:40

Hallo! und Guude!
Hat jemand der Mitstreiter hier im Forum Erfahrung mit tryton.org?
Offenbar handelt es sich dabei um eine Buchhaltung, die, sowie SQL-Ledger, auf einer datenbankanwendung mit Remoteserver etc. beruht, nur eben nicht in Pearl, sondern in Python, was ja genau DAS wäre.
ich war grad auf der Homepage von tryton.org und Schwupps, da kam diese Warnung, die man so oft bei Windows ließt, wegen Nontrusted servers.
Ich hab zwar 1 gutes Avira installiert, aber Vorsicht ist die Mutter der Porzellankiste!
Grüße Fritz

burli · Montag 9. August 2010, 18:38

Tryton ist eigentlich vertrauenswürdig. Es kann natürlich sein, dass die Seite gehackt wurde. Wahrscheinlicher ist aber, dass der Virenschutz (mal wieder) spinnt

Leonidas · Montag 9. August 2010, 18:50

Oder das das Zertifikat einfach selbstsigniert ist, was etwa hier der Fall wäre.

3ff · Montag 9. August 2010, 21:52

@burli,@Leonodas!
danke, alles klar!
kürzlich war ich auf der Site vom CCC früher Hamburg und da passierte mir das Gleiche!
Nichts gegen den CCC, da sind echte Experten am Werke, die meine Hochachtung haben, aber diese Meldungen verunsichern irgendwie!
Zum Glück gibts unter Linux nicht diese vielen Viren und Trojaner etc. wie unter Windows. Aber Vorsicht ist halt immer gut.
Guude!
Fritz

cofi · Montag 9. August 2010, 22:06

Und wie kommst du darauf, dass ungueltige Zertifikate etwas mit Schaedlingen zu tun haetten?
Der Zweck von HTTPS ist vertrauenswuerdige Kommunikation, wenn das auf Basis eines Schluessels passiert, dem der Browser nicht vertraut, ist das durchaus Grund fuer eine Warnung, auch wenn die von Firefox evtl etwas uebertrieben ist.

sma · Montag 9. August 2010, 22:18

cofi hat geschrieben:Der Zweck von HTTPS ist vertrauenswuerdige Kommunikation, wenn das auf Basis eines Schluessels passiert, dem der Browser nicht vertraut, ist das durchaus Grund fuer eine Warnung, auch wenn die von Firefox evtl etwas uebertrieben ist.

Selbstsignierte Zertifikate kann JEDER herstellen. Diese taugen damit ÜBERHAUPT NICHT, um Vertrauen aufzubauen. Daher ist es schon okay, das Browser DEUTLICH warnen, dass der Kommunikationspartner jeder beliebige sein kann, da es niemanden gibt, der für das Zertifikat bestätigt, dass es "echt" ist.

Ein selbstsigniertes Zertifikat ist WERTLOS, wenn es darum geht zu ermitteln, mit wem man da gerade spricht. Es reicht nur aus, dass eine HTTPS-Verbindung aufgebaut werden kann, bei der dritte micht mitlesen können. ABER: Jeder beliebige Dritte kann sich mit einem eigenen selbstsigniertes Zertifikat dazwischen hängen, ohne das es eine der anderen beiden Parteien bemerkt. Und nein, ein fingerprint (den sowieso keiner prüft) hilft auch nicht wirklich, denn wenn er (oder sogar die Signatur) auf MD5 basiert, ist beides fälschbar.

Stefan

lunar · Montag 9. August 2010, 22:44

@sma: Wenn ein Zertifikat einmal akzeptiert wurde, dann warnt der Browser, wenn es sich ändert. Insofern reicht es bei einem selbst-signierten Zertifikat, einmal den Fingerprint und den Verschlüsselungsalgorithmus zu prüfen. Wenn man es noch genauer möchte, kann man dann Addons wie Perspectives nutzen, oder das Zertifikat von einem anderen Rechner aus betrachten (e.g. über einen SSH oder TOR-Tunnel) und auf Abweichungen zu prüfen. Ein Man-in-the-middle kann schließlich nicht überall zugleich sein ...

Wenn man will, kann man also auch mit selbst-signierten Zertifikaten Vertrauen aufbauen. Wenn man nicht will, dann hilft auch die größte Warnung nichts. Man hat sich an fünf Klicks schneller gewöhnt als sich in die Hintergründe des Themas eingelesen, und Nutzer gehen immer den Weg des geringsten Widerstands und des geringsten Zeitaufwands. Insofern hilft diese dicke Warnung der Masse wenig und geht dem Rest auf die Nerven.

Glücklicherweise ist echtes Vertrauen zum Gegenüber sowieso nur in manchen Fällen nötig (Banken, Online-Shop), und da sind selten selbst signierte Zertifikate beteiligt.

Leonidas · Dienstag 10. August 2010, 06:51

Und ich muss sagen, das mein Vertrauen gegenüber den von Browsern standardmäßig vertrauten CAs auch eher begrenzt ist.

@3ff: Beim CCC sind nicht nur selbstsignierte Zertifikate zu finden, manchmal gibt es auch längst abgelaufene Zertifikate. Sowas muss echt nicht sein.

3ff · Dienstag 10. August 2010, 09:08

@cofi,
lustig, lustig liebe Brueder!
In diesem Forum geht es (manchmal) lustig zu, also Schaedlinge hab ich in diesem (Lappy) zusammenhang noch nicht gehoert.
Man koennte jetzt den Faden weiter spinnen und auf Schaedlingsbekaempfungsmittel etc. kommen, sowie damals der Biolehrer was ueber Wuermer vortrug und dann auf den Elefanten kam, der ja auch einen wurmartigen Ruessel hat.
Ich schliess mal jetzt den Beitrag von meiner Seite und muss mich um die FFT kuemmern.
Dazu hab ich meinen Lappy aus UK angeworfen. Der hat wieder einige Flugstunden in der Boeing hinter sich und das Paket DRM der TU-Darmstadt war drauf (im cpp-Source) aber irgendwie will der lappy nicht.
Ob mir da irgend jemand 1 Schaedling reingezaubert hat?
Guude!
Fritz

snafu · Dienstag 10. August 2010, 13:42

lunar hat geschrieben:Glücklicherweise ist echtes Vertrauen zum Gegenüber sowieso nur in manchen Fällen nötig (Banken, Online-Shop), und da sind selten selbst signierte Zertifikate beteiligt.

Sowas in der Art wollte ich gerade sagen. Wenn ich auf einer Seite bin, die "zufällig" über eine HTTPS-Verbindung läuft und da erstmal gar nichts ist, wo schützenswerte Daten übertragen werden müssen, dann ist mir die Warnung relativ egal. Sensibel bin ich, wie du schon sagst, nur bei Online-Banking und solchen Geschichten.