CWE ID: 300
Name: Channel Accessible by Non-Endpoint
Das Produkt verifiziert die Identität der beteiligten Akteure an beiden Enden eines Kommunikationskanals nicht ausreichend oder stellt nicht angemessen die Integrität des Kanals sicher, wodurch ein Akteur, der kein Endpunkt ist, Zugriff auf den Kanal erlangen oder ihn beeinflussen kann.
Um eine sichere Kommunikation zwischen zwei Parteien zu gewährleisten, ist es oft entscheidend, die Identität der beteiligten Entitäten an jedem Ende des Kommunikationskanals angemessen zu verifizieren. Unzureichende oder inkonsistente Verifikation kann zu einer ungenügenden oder fehlerhaften Identifizierung einer der kommunizierenden Entitäten führen. Dies kann negative Konsequenzen haben, wie beispielsweise eine fehlgeleitete Vertrauensbildung in die Entität am anderen Ende des Kanals. Ein Angreifer kann dies ausnutzen, indem er sich zwischen die kommunizierenden Entitäten einschaltet und als diese maskiert. Fehlt eine ausreichende Verifikation der Identität, kann ein solcher Angreifer die Kommunikation zwischen den ursprünglichen Entitäten abhören und potenziell modifizieren.
Effektivität: Unknown
Beschreibung: Verifizieren Sie stets vollständig beide Enden jedes Kommunikationskanals.
Effektivität: Unknown
Beschreibung: Halten Sie sich strikt an das Prinzip der vollständigen Vermittlung.
Effektivität: Unknown
Beschreibung: Ein Zertifikat bindet eine Identität an einen kryptografischen Schlüssel, um eine kommunizierende Partei zu authentifizieren. Häufig liegt das Zertifikat in einer verschlüsselten Form vor, welche den Hash der Identität des Subjekts, den öffentlichen Schlüssel und Informationen wie Ausstellungs- oder Ablaufzeit unter Verwendung des privaten Schlüssels des Herausgebers enthält. Das Zertifikat kann durch Entschlüsselung mit dem öffentlichen Schlüssel des Herausgebers validiert werden. Siehe auch X.509 certificate signature chains und die PGP certification structure.
