krasnoj schrieb am 27. August 2008 11:31
> Alice_im_Wunderland schrieb am 27. August 2008 09:57
>
[stuff deleted]
> > Was man be dem Modell bekommt ist aber: es gibt mehrere Instanzen
> > (Notar-Server), die alle das selbe Zertifikat sehen. Dadurch erhält
> > man aber keine Aussage darüber, wer wirklich der Betreiber der
> > Website ist.
>
> Ja. Aber du erhälst folgende Information:
> - Von versch. Standorten (weltweit verteilt), löst die Homepage
> www.example.com auf die selbe IP Adresse auf UND das angezeigte
> Zertifikat ist das selbe.
> Die Information was du jetzt zusätzlich bekommst ist:
> - Es kann keine lokal beschränkte DNS Manipulation, Man-in-the-middle
> stattfinden.
>
> Was aber noch immer sein kann:
> - Der DNS Server ist manipuliert worden und leitet weltweit alle auf
> die falsche Domain um.
>
> - Die Domainangaben stimmen nicht. Aber das sollte der User selber
> sehen, wenn die URL seiner Bank was anderes ist. Meine Bank hat mir
> für Online Banking einen ausgedruckten Zettel gegeben.
>
Dritte Möglichkeit: irgendein Bad Guy möchte z.B. Kreditkartendaten
sammeln und gibt sich deshalb als seriöser Händler aus.
Als Beispiel ein Webshop:
Es gibt ja auch Shops bei denen ich noch nie vorher eingekauft habe,
deshalb kann ich seine URL nicht mit einer vorher benutzten
vergleichen.
Bevor ich jetzt meine Daten eingebe, interessiert mich ganz
besonders, wessen Webshop das eigentlich ist, also wem ich eigentlich
meine Daten gebe.
> >
> > Letztlich weiss man also doch nicht, an wen man seine Daten gerade
> > übermittelt. Damit ist doch das Ziel verfehlt.
>
> Es gibt den Begriff "better than nothing security". Auf dies wird
> hier abgezielt. Es ist so, dass momentan sehr viele Seiten überhaupt
> keine Verschlüsselung anbieten, weil ihnen das Zertifikat zu teuer
> ist. Für diese Seiten würde das Notar System wirklich eine
> Verbesserung darstellen. Gratis eine halbsichere Verschlüsselung ist
> besser als gar keine Verschlüsselung.
Ja, aber so ein Zertifikat ist doch in erster Linie dazu da, einen
Nachweis, oder wenigstens Anhaltspunkt, zu haben, mit wem ich da
Daten austausche.
Mit "better than nothing security", also Verschlüsseln, damit kein
Unbefugter meine Daten auf dem Transportweg lesen kann, habe ich
nicht wirklich Sicherheit gewonnen, solange nicht klar ist, wer der
Empfänger wirklich ist.
Die größere Gefahr sind doch wohl gefakete Webseiten, und nicht DNS
Manipulationen.
Alice
> Alice_im_Wunderland schrieb am 27. August 2008 09:57
>
[stuff deleted]
> > Was man be dem Modell bekommt ist aber: es gibt mehrere Instanzen
> > (Notar-Server), die alle das selbe Zertifikat sehen. Dadurch erhält
> > man aber keine Aussage darüber, wer wirklich der Betreiber der
> > Website ist.
>
> Ja. Aber du erhälst folgende Information:
> - Von versch. Standorten (weltweit verteilt), löst die Homepage
> www.example.com auf die selbe IP Adresse auf UND das angezeigte
> Zertifikat ist das selbe.
> Die Information was du jetzt zusätzlich bekommst ist:
> - Es kann keine lokal beschränkte DNS Manipulation, Man-in-the-middle
> stattfinden.
>
> Was aber noch immer sein kann:
> - Der DNS Server ist manipuliert worden und leitet weltweit alle auf
> die falsche Domain um.
>
> - Die Domainangaben stimmen nicht. Aber das sollte der User selber
> sehen, wenn die URL seiner Bank was anderes ist. Meine Bank hat mir
> für Online Banking einen ausgedruckten Zettel gegeben.
>
Dritte Möglichkeit: irgendein Bad Guy möchte z.B. Kreditkartendaten
sammeln und gibt sich deshalb als seriöser Händler aus.
Als Beispiel ein Webshop:
Es gibt ja auch Shops bei denen ich noch nie vorher eingekauft habe,
deshalb kann ich seine URL nicht mit einer vorher benutzten
vergleichen.
Bevor ich jetzt meine Daten eingebe, interessiert mich ganz
besonders, wessen Webshop das eigentlich ist, also wem ich eigentlich
meine Daten gebe.
> >
> > Letztlich weiss man also doch nicht, an wen man seine Daten gerade
> > übermittelt. Damit ist doch das Ziel verfehlt.
>
> Es gibt den Begriff "better than nothing security". Auf dies wird
> hier abgezielt. Es ist so, dass momentan sehr viele Seiten überhaupt
> keine Verschlüsselung anbieten, weil ihnen das Zertifikat zu teuer
> ist. Für diese Seiten würde das Notar System wirklich eine
> Verbesserung darstellen. Gratis eine halbsichere Verschlüsselung ist
> besser als gar keine Verschlüsselung.
Ja, aber so ein Zertifikat ist doch in erster Linie dazu da, einen
Nachweis, oder wenigstens Anhaltspunkt, zu haben, mit wem ich da
Daten austausche.
Mit "better than nothing security", also Verschlüsseln, damit kein
Unbefugter meine Daten auf dem Transportweg lesen kann, habe ich
nicht wirklich Sicherheit gewonnen, solange nicht klar ist, wer der
Empfänger wirklich ist.
Die größere Gefahr sind doch wohl gefakete Webseiten, und nicht DNS
Manipulationen.
Alice