Passwort - der Podcast von heise security

Stammhörer, seid stark: Dieses Mal gibt es keine Neuigkeiten rund um die WebPKI. Dafür sprechen Christopher und Sylvester über das angebliche 16-Milliarden-Zugangsdaten-Leck und wie es zum Großereignis überhöht wurde. Außerdem geht es um eine Sicherheitslücke im Linux-Kernel - oder doch woanders? Darüber sind sich die Kernelentwickler und die Distribution Ubuntu uneins und trugen diesen Streit via CVE-Kennungen aus. Außerdem erzählt Christopher über seine Eindrücke zum Sicherheitslücken-Ökosystem und wie es einzelne Verwalter von Opensource-Software überlastet. Und zum Schluß wirft eine Bluetooth-Sicherheitslücke ein Schlaglicht auf eine Industrie, in der die Zulieferkette so unübersichtlich geworden ist, dass man unmöglich sagen kann, welche Geräte...

Meta und Yandex sind bei Trackingmethoden erwischt
worden, die weit über das Übliche hinausgehen. Christopher und
Sylvester sehen sich die Publikation "Local Mess" an. Darin
dokumentieren Forscher Tracking-Tricks dieser Firmen, die den
Nutzerwünschen explizit zuwiderlaufen, Securitymaßnahmen untergraben
und Kommunikation verschleiern. Die Hosts haben Mühe, noch einen
Unterschied zum Vorgehen typischer Malware zu sehen.

- Publikation "Local Mess": https://localmess.github.io
- Ars Technica zu LocalMess:
https://arstechnica.com/security/2025/06/meta-and-yandex-are-de-anonymizing-android-users-web-browsing-identifiers/
- Pläne zu "Local Networt Access": https://github.com/explainers-by-googlers/local-network-access

Mitglieder unserer Security Community auf heise security PRO hören
alle Folgen bereits zwei Tage früher. Mehr Infos: https://pro.heise.de/passwort

In dieser Folge gibt es ein längeres Gespräch zu einer eigentlich recht marginalen Neuerung im WebPKI-Ökosystem. Auf Drängen von Chrome bauen CAs ein Feature aus TLS-Zertifikaten aus, das einige wenige Serverbetreiber nutzten. Ist es statthaft, die Marktmacht derart zu nutzen - und ist die Begründung sinnvoll? Das diskutieren Sylvester und Christopher ausgiebig. Außerdem hat Sylvester ein kleines, nützliches Werkzeug für Tor-Nutzer namens Oniux gefunden und erzählt anhand eines kleinen Fehlers im Ankündigungsartikel des Tor Project, welche Auswirkungen es haben kann, wenn eine .onion-URL irrtümlich bei einem DNS-Server landet. Außerdem befassen die Hosts sich mit den "Busts" gegen Cybercrime-Strukturen, die Malware-Loader...

Quantencomputer bedrohen die ganze Kryptografie… die ganze? Nein! Sylvester lässt sich von seinen Kolleg:innen Dr. Sabrina Patsch und Wilhelm Drehling erklären, welche Algorithmen Quantencomputer tatsächlich bedrohen und wofür sie kein Problem darstellen. Die drei erörtern auch, wie weit real existierende Maschinen von diesen Fähigkeiten noch entfernt sind, warum man sich dennoch bereits Sorgen macht und welche – oft gar nicht so neuen – Verfahren vor Quantencomputern schützen.

- Übersichtsseite zum PQC-Standardisierungsprojekt des NIST
https://www.nist.gov/pqcrypto
- Weiterführender Artikel zum aktuellen Stand der Entwicklung von
Quantencomputern
https://heise.de/-10349382
- Weiterführender Artikel zu Kryptoagilität und Post-Quanten-
Kryptografie
https://heise.de/-10337485
- Cloudflares Zufallsgeneratoren
https://blog.cloudflare.com/chaos-in-cloudflare-lisbon-office-securing-the-internet-with-wave-motion/
- Das...