Startseite > Client Security, COM2, MyVIPNet, Sicherheit > Update: mehrere Sicherheitslücken in COM2 "MyVIPNet"

Update: mehrere Sicherheitslücken in COM2 "MyVIPNet"


Hallo Gemeinde,

Ich habe erst kürzlich von Sicherheitslücken bzw. Mängeln in einem COM2 Produkt berichtet. Leider muss ich das heute schon wieder tun.
Es geht um das Produkt MyVIPNet, welches an und für sich ein sehr gutes Client Security Produkt ist (der Preis soll allerdings etwas hoch sein).
Leider hat man aber auch hier ein paar meiner Meinung grundlegende Dinge übersehen.

1.
Es gibt wie auch bei der Emailarchivierung „NetOrchestra“ keine SSL Verschlüsselung für den Login und schon gar nicht für die Session.
Somit kann man relativ einfach die Logindaten mitlesen.

2.
Das Passwort des Administrators liegt im Klartext in einer XML Datei vor.
Dies ist in der heutigen Zeit ein schweres Vergehen!
Dabei wäre es doch ein leichtes mit einer entsprechenden Verschlüsselung zu arbeiten.

Aber hier noch etwas positives:

Alles in allem ist die MyVIPNet Suite, welche aus Firewall, VPN Client, Festplatten- und Containerverschlüsselung und SingleSignOn besteht ein gelungenes Produkt, welche aber viel zu wenig Beachtung findet.
Hervorheben möchte ich die konsequente Umsetzung des Prinzips „Trennen von Wissen und Besitz“. Die Verschlüsselungsdaten und die Zugangsdaten für das SingleSignOn werden auf einem Crypto Token abgelegt.

Gruß NF

###############################
Update: 20.11.09
Die Übertragung der Daten soll scheinbar bei der Lösung NetOrchestra verschlüsselt erfolgen (nicht SSL). Mit welchem Algoritmus ist noch unklar.
Vielleicht kann hier ja die Fa. com2 mal Licht in’s Dunkel bringen.
Ein Beitrag in diesem Blog könnte helfen. 😉

Gruß NF

Advertisements
  1. Es gibt noch keine Kommentare.
  1. No trackbacks yet.

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

%d Bloggern gefällt das: