Seite 1 von 1
[GELÖST] Sicherheit
Veröffentlicht: 21. September 2018 – 14:56 Uhr
von Smart
Hallo,
ich betreibe einen WAPT-Server, der aktuell auf Client-Rechnern installiert wird. Ich hätte dazu folgende Fragen:
– Könnte jemand, der einen zweiten WAPT-Server einrichtet, die Pakete (Serverdaten usw.) abfangen?
– Gibt es eine Möglichkeit, WAPT-Pakete (im Python-Code) zu sichern?
Vielen Dank im Voraus für Ihre Antworten. Weiter so!
Mit freundlichen Grüßen
Betreff: Sicherheit
Veröffentlicht: 21. September 2018 – 18:33 Uhr
von dcardon
Hallo Smarty,
Futé schrieb: ↑21. Sep. 2018 - 14:56 Uhr
Ich habe einen WAPT-Server, der auf Client-Rechnern installiert wird. Ich möchte wissen:
- Wenn jemand einen zweiten WAPT-Server einrichten würde, könnte er dann die Pakete (Serverdaten usw.) abfangen?
Die Datenströme sind standardmäßig über HTTPS verschlüsselt. Wenn Sie ein gültiges SSL-Zertifikat konfiguriert haben, ist die Verbindung genauso sicher wie Ihre HTTPS-Verbindung zu jeder beliebigen HTTPS-Website (und kann fixiert werden). Mit einem selbstsignierten HTTPS-Zertifikat sind – genau wie bei jeder HTTPS-Verbindung – Man-in-the-Middle-Angriffe möglich. Mit einem gefälschten (nicht fixierten) Zertifikat können die Kommunikationsvorgänge daher eingesehen werden.
Selbst mit einem selbstsignierten Zertifikat kann ein Angreifer jedoch kein Schadprogramm installieren, da die Pakete selbst signiert sind. Abschließend sei noch erwähnt, dass es eine ausführliche Dokumentation gibt (siehe unten). Sollten Sie eine konkrete Frage haben, lesen Sie diese bitte und teilen Sie uns mit, wo Unklarheiten bestehen.
Futé schrieb: ↑21. Sep. 2018 - 14:56 Uhr
- Gibt es eine Möglichkeit, ein WAPT-Paket (im Python-Code) abzusichern?
Die Sicherheitsprinzipien von WAPT werden in der Dokumentation ausführlich beschrieben:
https://www.wapt.fr/fr/doc/PrincipesSec ...ciple.html
Zur Information: Version 1.5.0.13 hat die CSPN-Zertifizierung von ANSSI erhalten [1]. Dies kann zwar nicht garantieren, dass keine Sicherheitslücken vorhanden sind, bedeutet aber dennoch, dass die Software geprüft und gründlich untersucht wurde.
Aufrichtig,
Denis
[1]
https://www.ssi.gouv.fr/entreprise/cert ... -1-5-0-13/
Betreff: Sicherheit
Veröffentlicht: 24. September 2018 – 13:27 Uhr
von Smart
Wow! Vielen Dank für Ihre Antwort.
Sie ist sehr ausführlich.
Beste Grüße
Betreff: [GELÖST] Sicherheit
Veröffentlicht: 24. September 2018 – 17:45 Uhr
von Sfonteneau
Genau genommen sind die Inhalte eines WAPT-Pakets nicht vertraulich.
Jeder kann sie lesen.
Um die Inhalte eines WAPT-Pakets zu schützen, können Sie die sensiblen Daten mit dem öffentlichen Zertifikat jedes Rechners verschlüsseln.
Beispiel:
https://wapt.lesfourmisduweb.org/detail ... 4_all.wapt