xDSL.at

[local.host]

da xDSL.at eine private website ist, (...)

lt. Impressum:

Foren-Betreiber:
IFO.net Internet Service GmbH

Impulszentrum Haus KB5
A-8082 Kirchbach in Steiermark

das sehe ich anders.

[jutta]

<offtopic> eine gmbh ist eine juristische person des handelsrechts, also privatrechts. wenn die potentielle kund_innen abschreckt, indem sie grottenhaessliche oder user-unfreundliche websites hat, ist das vielleicht ein schnitt ins eigene rindfleisch, aber darueber hinaus wurscht.
was anderes sind websites, die von behoerden (oder von privaten im dienst von behoerden), gemeinden, kammern usw betrieben werden und auf die man zugreifen muss, um zb die steuererklaerung einzureichen oder sich die formulare dafuer runterzuladen. </ot>

[penguinforce]

...aber genau da (bei behördenwegen) liegt wieder das problem mit der encryption (wenn der ie vor version 6 nicht die 128bit mitmacht (machen kann)).

um tv-kaiser zu zitieren: ein teufelskreis, meine damen und herren!

*SCNR*

[jutta]

> ein teufelskreis, meine damen und herren!

aus dem es 2 moegliche auswege gibt:

a) jede/r beduerftige kriegt zumindest alle 5 jahre einen dem aktuellen stand der technik entsprechenden pc samt software geschenkt

b) die dienste werden fuer alle, deren technisches equipment oder know-how nicht ausreicht, weiterhin auf papier angeboten.

[penguinforce]

oder c:

c.) man blickt über tellerrand und erkennt, dass es nicht nur microsoft gibt.

/me ist für variante c

ausserdem: seit wann gehören firmen zu bedürftigen (und jetzt keine jokes über cosmos)...

[jutta]

ich bin zwar sehr fuer c) aber das loest das problem nicht voellig. eine aktuelle anwenderfreundliche distribuiton a la (k)ubuntu auf hardware zu betreiben, die fuer win98 oder win2k gemacht wurde, ist ganz schoen muehsam und erfordert mehr linux-erfahrung als bloss dvd reinschieben und bei allem, was der installer vorschlaegt, auf "ok" zu klicken.

ueber die beduerftigkeit von firmen laesst sich diskutieren (oder auch nicht, siehe http://www.edikte.justiz.gv.at/ ), aber pcs in unternehmen werden im schnitt viel seltener ausgetauscht oder upgedatet als private (umstellungskosten, anzupassende spezial-software, schulungsaufwand, aufwand fuer neue dokumentvorlagen, makros usw und das ganze multipliziert mit der anzahl der arbeitsplaetze ... ).

btw: wenn dir sehr fad ist, kannst du einmal versuchen, unsere aktenverwaltungssoftware unter linux (wine, crossover, wwi) zu betreiben oder sie zu portieren ich taet den anbieter zu dem zweck glatt um eine testlizenz fuer dich bitten. das buchhaltungsprogramm waer dann die zweite aufgabe, aber das ist nicht so dringend, weils nur auf einem einzigen rechner/arbeitsplatz laeuft.

[penguinforce]

btw: wenn dir sehr fad ist, kannst du einmal versuchen, unsere aktenverwaltungssoftware unter linux (wine, crossover, wwi) zu betreiben oder sie zu portieren ich taet den anbieter zu dem zweck glatt um eine testlizenz fuer dich bitten. das buchhaltungsprogramm waer dann die zweite aufgabe, aber das ist nicht so dringend, weils nur auf einem einzigen rechner/arbeitsplatz laeuft.

no chance in hell...

meine projekte sowie meine arbeit füllen mich entsprechend aus, und den rest meiner freien zeit nutze ich offline/pc-frei.

[radditz]

Ich hab mir alle eure Beiträge durchgelesen, will aber eigtl. nur den von wicked_one kommentieren:

Im Onlinebanking verbringe ich ca 10 Minuten bis alles erledigt ist... Ich habe also nicht die geringste Sorge, dass mir jemand während der laufenden Session den Key knackt und auch nur 1 verwertbares Datenpaket erbeutet... zumindest nicht indem er das PP-Keyset angreift...

Es geht nicht darum, dass man den Schlüssel knackt, während du Online bist.
Was du aber machen kannst ist, den Private Key anzugreifen. Der Public-Key ist öffentlich, dementsprechend kannst du den Private-Key knacken.
Jetzt gibts 2 Varianten:
a) du greifst das Zertifikat der Website an und liest Daten "irgendwo" mit; Dadurch bist du auch in der Lage den Session-Key zu entschlüsseln, und dieser ist dann ja erst wichtig für den Endbenutzer (das sind dann die SAchen die mit 40 bits bei den alten Browsern zu tun haben).
b) du greifst das Zertifkat des Ausstellers an und bist dadurch in der Lage gültige Zertifikate, zB für eine Phishing Seite auszustellen.

Der Aufwand einen 1024 Bit RSA Schlüssel zu knacken ist nicht so wild. Ein einzelner Rechner würde zwar einiges an Zeit für die Faktorisierung brauchen, aber ein Verbund von Rechnern schaffts. Und wenns 6 Monate dauert, dann ist das Zertifikat meistens noch immer eine Zeit lang gültig. Der Widerruf derselben ist auch nicht so einfach. Und von Root-Zertifikaten will ich gar nicht erst reden.

[wicked_one]

Danke, hier war ein kleiner Denkfehler drin... fall ich selber über die a/symmetrische sache. Naja leb mehr mit VPNs als mit Telebanking

Dennoch:
>>Der Aufwand einen 1024 Bit RSA Schlüssel zu knacken ist nicht so wild.
Ich halte "nicht so wild" für immer noch wild genug - wenn man nicht gerade ein Google-Datenzentrum zum berechnen unter seine fittiche bekommt, wirds IMO nix damit.

[radditz]

>>Der Aufwand einen 1024 Bit RSA Schlüssel zu knacken ist nicht so wild.
Ich halte "nicht so wild" für immer noch wild genug - wenn man nicht gerade ein Google-Datenzentrum zum berechnen unter seine fittiche bekommt, wirds IMO nix damit.

Ich spreche hier nicht von "Script-Kiddies" (ich liebe den Ausdruck ) die eben mal den Schlüssel knacken wollen, sondern von kriminellen Organisationen die ein finanzielles Interesse haben. Rechenzeit kannst du heute bald mal mieten, zB bei Amazon [1].

[1] Amazon Elastic Compute Cloud http://aws.amazon.com/ec2/

[penguinforce]

geht noch viel einfacher... man braucht nur z.b. einen cluster von ps3 aufbauen, oder man nutzt die gpu's der heutigen grafikkarten (es gibt - für andere zwecke wie folding@home - bereits heute fundierte reports[1,2,3,4], nach denen man sich einen gpu-cluster bauen kann))

siehe dazu (nutzer mit niedriger bandbreite verzichten auf das &hd=1 am ende jeden links):

[1] http://www.youtube.com/watch?v=pLubHCmBqpY&hd=1
[2] http://www.youtube.com/watch?v=7F3XE1-d_rw&hd=1
[3] http://www.youtube.com/watch?v=4Q1nfHJOvGY&hd=1
[4] http://www.youtube.com/watch?v=xq1r09ZVfOg&hd=1

ok, für den oben genannten einsatz feht noch die software, aber wer das geld und das knowhow hat, um sich so einen cluster zu bauen, der wird auch diese hürde nehmen (da stecken dann - wie radditz bereits geschrieben hat - sicher keine script-kiddies mehr dahinter, die würden ja bei soviel grafikpower zocken und den rest der welt vergessen *g*).

[wicked_one]

Ich spreche hier nicht von "Script-Kiddies" (ich liebe den Ausdruck )

Nichts liegt mir ferner...

ROFO

[xp]

http://www.backtrack-linux.org/document ... A_v2.0.pdf

http://www.acooke.org/cute/MITMAttack0.html

http://www.searchsecurity.de/index.cfm? ... mp=rss-bep

mit der neuen gtx 480 wirds sicher nicht schwerer

http://www.nvidia.com/object/fermi_architecture.html

[ANOther]

geht noch viel einfacher... man braucht nur z.b. einen cluster von ps3 aufbauen,

die kerle, die das gemacht haben, spielen in einer ganz eigenen liga. allerdings eher auf der hellen seite der macht;)
und für die dunkle bin ICH zu uninteressant (wenngleich ich auch einiges zur risikominimierung unternehme...)

ich für meinen teil leb mit vollem wissen, dass keinerlei aktion zu 100% sicher ist, und ich leb gut damit;)