Informationssicherheit, 11. Übung
Aufgabe 1, 4 Punkte, Gruppe
Wir nutzen in diesem Wintersemester Mattermost als Chatsystem für
Informationssicherheit. Öffnet im Browser ein privates Fenster (einen
privaten Tab) mit diesem URI.
Meldet Euch dort (erneut) an.
Was passiert dabei hinter dem Vorhang?
Beschreibt den (technischen) Ablauf, wie Eure bestehenden
gitlab-Zugänge genutzt werden, um auch Zugang zu mattermost zu
erlangen. Wo wird autorisiert, wo authentisiert? Welche wesentlichen
Daten werden ausgetauscht? Wer ist jeweils an
diesen Vorgängen beteiligt? In welchem Verhältnis stehen mattermost
und gitlab zueinander? Warum erlaubt mattermost dem Nutzer dieses
Browsers die Anmeldung? Was wird dazu an mattermost übertragen?
Die Inspector-Umgebungen der verschiedenen Browser können dabei
nützlich sein (z.B. Firefox oder Chrome Developer Tools, einzublenden
z.B. mit F12). Schaut Euch insbesondere die Analyse der ausgetauschten
Nachrichten (Tab “Network”) an. Hilfreich ist dabei die Aktivierung
persistenter Logs (z.B. via Zahnrad im Console-Tab in Firefox und
Chromium).
Nennt wie immer die von Euch verwendeten Quellen.
Natürlich sollten in Euren Abgaben keine Passwörter oder Cookies zu
sehen sein (z.B. bei Screenshots evtl. ausblenden).
Abgabe
bis 2025-01-30 23:59 UTC, digital in Stud.IP als zip-Archiv mit einer
Markdown-Datei, einem gerenderten PDF dieser Markdown-Datei und allen
Dateien, die die Markdown-Datei zum Rendern braucht. Als Dateinamen
verwendet Ihr isec24_ueb11_grpYY.(md|pdf|zip) (Das YY mit Eurer
Gruppennummer ersetzen). Dabei bitte in der Datei alle
Gruppenmitglieder namentlich nennen. Ebenso die Nummer Eurer Gruppe in
Stud.IP.
Bitte steckt die Energie ins Denken und Schreiben, nicht in eine
wunderschöne Formatierung — lesbar darf es allerdings sein. Die
Lösungswege sollten nachvollziehbar sein.
Wenn Ihr Euch irgendwelcher Quellen bedient (Anleitungen, Howtos,
andere Gruppe, etc.), gebt diese bitte an (Quellen aus dem Netz bitte
gleich als URI).
Carsten Bormann, Karsten Sohr, Stefanie Gerdes, Jan-Frederik
Rieckers, Finn Ewers, Andreas Benischke ·
isec@tzi.org, WS 2024/25
