Einer der möglichen Angriffe auf ABRA Flexi ist der Man-In-The-Middle-Angriff, bei dem sich der Angreifer als ABRA-Flexi-Server ausgibt und der Benutzer ihm Autorisierungsdaten zur Verfügung stellt, mit denen sich der Angreifer dann gegen die echten Server autorisieren und so den Verlauf der Kommunikation analysieren kann.

Standardmäßig erzeugt ABRA Flexi ein sogenanntes selbstsigniertes Zertifikat. Das SSL-Zertifikat kann ersetzt werden.

Um dies zu verhindern, verfügt ABRA Flexi über mehrere Funktionen, die dieses Problem beseitigen:

Anstelle des SWEDE-Tools ist es auch möglich, die Konfiguration von einem laufenden ABRA-Flexi-Server unter /certificate/tlsa zu erhalten.

Fügen Sie dann diesen Eintrag zum DNS hinzu:

_5434._tcp.demo.flexibee.eu. IN TXT TLSA 1 0 1 85b928d1cab396d8e632d15d57b3a97ebbc2769ab74a292040dc4fc340153973

D.h. die gesamte "TLSA 1 0 1 85b928d1cab396d8e632d15d57b3a97ebbc2769ab74a292040dc4fc340153973" wird als Wert gespeichert

Die Suche ist in dieser Sendung im Gange:

Achtung: Wenn Sie nicht auch DNSSec verwenden, ist die Sicherheit der DNS-Serverantwort nicht gewährleistet.

Achtung: der ABRA-Flexi-Client unterstützt zur Zeit auch nicht das komplette DANE, sondern nur die folgenden Parameter: -selector 1, -mtype 1, -usage 0

ABRA Flexi verfügt über einen eingebauten Schutz gegen Cross Site Request Forgery und muss in dieser Hinsicht nicht konfiguriert werden.

Während des Designprozesses haben wir uns sehr bemüht, SQL Injection Cross Site Scripting (XSS) zu verhindern. Daher treten diese Arten von Fehlern nicht auf.

Zuvor verwendete ABRA Flexi die MD5-Chiffre zum Speichern von Passwörtern. Jetzt wird SHA256 verwendet und Salt angewendet. Alte Passwörter werden nur neu codiert, wenn sie geändert werden.