View Issue Details
| ID | Project | Category | View Status | Date Submitted | Last Update |
|---|---|---|---|---|---|
| 0000180 | Main CAcert Website | organisational section | public | 2006-03-27 17:29 | 2013-01-14 02:56 |
| Reporter | wonderer | Assigned To | Sourcerer | ||
| Priority | normal | Severity | major | Reproducibility | always |
| Status | closed | Resolution | fixed | ||
| Fixed in Version | 2006 | ||||
| Summary | 0000180: man in the middle attack to mails | ||||
| Description | die Bestätigungsmail zu einem erstellten Account kann abgefangen werden. Das heisst man "kann" af einen fremde E-mail Adresse (mit entsprechend hohem Aufwand) einen Account anlegen ohne das Person XY etwas davon mitbekommt, danach die Haupt mail Adresse ändern und dann "normal" weiterarbeiten... | ||||
| Tags | No tags attached. | ||||
| Reviewed by | |||||
| Test Instructions | |||||
|
|
Man kann nur bestätigte Email Adressen wieder zur Haupt-Email Adresse machen. Man kann sich nach dem anlegen des Accounts nur einloggen, wenn die Email Adresse verifiziert wurde. Erkläre bitte den genauen Vorgang Schritt für Schritt, wie man einen Man-in-the-Middle Angriff machen kann. |
|
|
Vermutlich übersehe ich grad etwas, aber ich denke MiM ist nicht möglich: 1. Angreifer fängt Bestätigungs-E-Mail ab und bestätigt nicht. Neuer Account: der Account wird nach iirc 2 Tagen wieder gelöscht, wenn die E-Mail nicht bestätigt wird. Bestehender Account: Diese E-Mail-Adresse wird weiterhin als "unverified" geführt. In jedem Fall wird sich das Opfer wundern und das ganze nochmal versuchen. Mehr passieren kann imho nicht. 2. Angreifer fängt Bestätigungs-E-Mail ab und verifiziert Account selbst. Er hat dann zwar dem Opfer die Arbeit abgenommen, aber missbrauchen kann er nichts. Mit dem Bestätigungslink kann man sich nicht einloggen. 3. Der Angreifer hat vollen Zugriff auf das Postfach des Opfers Er kann jetzt theoretisch im Namen des Opfers einen Account anlegen und alle Domains des Opfers verifizieren und Zertifikate dafür ausstellen. Das halte ich aber nicht mehr für ein Problem von CAcert und es ist auch kein MiM, sondern ein direkter Angriff auf das Opfer ... |
| Date Modified | Username | Field | Change |
|---|---|---|---|
| 2006-03-27 17:29 | wonderer | New Issue | |
| 2006-03-27 17:57 | Sourcerer | Note Added: 0000116 | |
| 2006-03-27 22:28 |
|
Note Added: 0000126 | |
| 2006-08-15 02:07 | duane | Status | new => needs work |
| 2006-08-15 02:07 | duane | Assigned To | => Sourcerer |
| 2006-08-15 07:44 | Sourcerer | Status | needs work => closed |
| 2006-08-15 07:44 | Sourcerer | Resolution | open => fixed |
| 2011-06-22 00:09 | edgarwahn | Source_changeset_attached | => cacert-devel release 5b68967d |
| 2013-01-14 02:56 | Werner Dworak | Fixed in Version | => 2006 |
