[Thread Prev][Thread Next]   >Date Index >Thread Index

Re: Links zum gestrigen Meeting

Steffen Ullrich - Thu Mar 20 20:25:49 2008


Besten Dank,

noch ein Link von mir dazu über Wildcard Zertifikate
http://nils.toedtmann.net/pub/subjectAltName.txt

Übrigens - IO::Socket::SSL 1.13_5 (developer release) kann in Zusammenarbeit mit Net::SSLeay 1.33_02 (noch nicht released, aber 1.33_01 geht auch halbwegs) ordentliches Checken von Zertifikaten, und zwar nicht nur so billig wie ruby das schnell schnell gemacht hat
(http://www.heise.de/security/Ruby-Anwendungen-akzeptieren-beliebige-SSL-Zertifikate--/news/meldung/98944).

Die checken nämlich so wie ich den Check verstehe nur gegen den commonName, was beim Vorhandensein von subjectAltNames zumindest bei HTTP sogar falsch ist (rfc2828), bei LDAP jedoch OK wäre (rfc4513). Und ja, da gibt es noch mehr RFCs und jeder machts ein wenig anders und manche dokumentieren es garnicht ordentlich (SMTP) und das wäre durchaus mal ein Thema für ein perl mongers Treffen, wenn Ihr darauf Lust habt, ist so richtig schön zum Gruseln.

Steffen


Ich hatte Steffen einen Link versprochen, in dem diverse Varianten
aufgeführt sind, was Browser als "Javascript" interpretieren (für den
Fall, das man sowas am Server vorher filtern will) - das Ding hat denn
auch den Untertitel "Esp: for filter evasion":

<http://ha.ckers.org/xss.html>

...und was zu dem in Javascript geschriebenen Botnet Jikto:

<http://portal.spidynamics.com/blogs/spilabs/archive/2007/04/02/Jikto-in-the-wild.aspx>


Next: