On Wednesday 17 March 2010, Bernhard Schiffner wrote:
"In a terminal server environment the communication between server and client/s is conducted via an encrypted channel and is therefore to be considered trustworthy."
ssh -X -c none?, ROT13?, HDMI+HDCP? Warum auf Details eingehen: "is" langt doch!
Das Wort "is" impliziert eine Menge. In diesem Fall fällt ROT13 nicht darunter.
"The user must ensure that all components of the operating system are correct. The user must ensure that no harmful or malicious software is installed on the system."
Hätte ich auch so geschrieben. Selbstschutz des Herstellers.
Und das nach ausdrücklichem Hinweis, daß IE > 5.01 zum Betrieb der Software nötig ist und Internetverbindung nicht ausgeschlossen wird. Kein Wort, wie das passieren soll. Debsums für Windows? Wohin mit Updates? (Immerhin wird später erwähnt, daß die eigene Software wohl ihre Checksumme prüft.)
Also Standard-Windoof-Software mit HTML Komponente. Warum wundert Dich das?
Mag sein, daß ich nach den letzten 40 Seiten an Abkürzungswerferei den Sinn nicht mehr verstehe, aber irgendwie klingt es danach, daß li_sha1 la_sha1 bestätigt, weil lo_sha1 sichert, daß lu_sha1 zuverlässig ist und sha5 nicht zutrifft.
SHA5 gibt es (noch) nicht. Meintest Du SHA-512? (Das wird zumindest erwähnt und ist eine Variante von SHA2.)
Kein Wort über konkrete Test, immer nur wird versichert. Findet ihr vielleicht einen Hinweis auf wenigstens einen statischen Code-Check a la lint?
Ich wüßte nach der Lektüre nicht viel mehr zum Thema Sicherheit der ganzen Sache zu sagen, als daß Papier wohl sehr geduldig ist. Wieviel Arbeit wohl in so einer Zertifizierung steckt? Ob das überhaupt jemand ernst nimmt (nehmen kann)?
Nach sehr kurzem draufschauen: das ist ein Überblick. Im Allgemeinen sieht eine komplette Spec oder ein Testbericht anders aus.
Zitat: "1 Introduction The following sections contain general information about the TOE 1 and other general information."
Mit dem Ding kann man lediglich entscheiden ob es sich lohnt weiteres Material anzufordern.
Wenn ich ein solches System für Windoofs-Umgebungen bräuchte würde ich jetzt Kontakt aufnehmen und nach den echten Infos fragen.
Konrad