Alice_im_Wunderland schrieb am 27. August 2008 13:11
> krasnoj schrieb am 27. August 2008 11:31
>
> > Alice_im_Wunderland schrieb am 27. August 2008 09:57
> >
>
> [stuff deleted]
>
> Dritte Möglichkeit: irgendein Bad Guy möchte z.B. Kreditkartendaten
> sammeln und gibt sich deshalb als seriöser Händler aus.
>
> Als Beispiel ein Webshop:
> Es gibt ja auch Shops bei denen ich noch nie vorher eingekauft habe,
> deshalb kann ich seine URL nicht mit einer vorher benutzten
> vergleichen.
OK. Und dann macht ein Bad Guy einen kompletten neuen Webshop,
schaltet Google AdWords und kauft sich ein Verisign Zertifikat. 2x
nach dem Einkauf verkauft er die Kreditkartendaten weiter. Wo ist da
der Unterschied?
Oder es wird einfach überhaupt kein SSL angeboten. Die meisten würden
trotzdem kaufen.
> Bevor ich jetzt meine Daten eingebe, interessiert mich ganz
> besonders, wessen Webshop das eigentlich ist, also wem ich eigentlich
> meine Daten gebe.
Da macht es Sinn, sofern du wirklich das Zertifikat überprüfst. Wenn
du es für jedes Zertifikat wirklich sorgfältig überprüfst (Gegencheck
mit Firmenbuch am Gericht). Aber dann bist du die erste Person, die
sich das antut, die ich kenne.
Aber es gibt auch das Fan Forum zu Musikgruppe XY. Die würden gerne
das Login Passwort verschlüsselt übertragen, eine Authentifizierung
ist aber nicht so wichtig (mir egal, ob das Forum Meyer oder Huber
betreiben).
>
> > >
> > > Letztlich weiss man also doch nicht, an wen man seine Daten gerade
> > > übermittelt. Damit ist doch das Ziel verfehlt.
> >
> > Es gibt den Begriff "better than nothing security". Auf dies wird
> > hier abgezielt. Es ist so, dass momentan sehr viele Seiten überhaupt
> > keine Verschlüsselung anbieten, weil ihnen das Zertifikat zu teuer
> > ist. Für diese Seiten würde das Notar System wirklich eine
> > Verbesserung darstellen. Gratis eine halbsichere Verschlüsselung ist
> > besser als gar keine Verschlüsselung.
>
> Ja, aber so ein Zertifikat ist doch in erster Linie dazu da, einen
> Nachweis, oder wenigstens Anhaltspunkt, zu haben, mit wem ich da
> Daten austausche.
Theoretisch wäre dafür das whois da. In einer Welt, wo die eigene
AGBs der Provider streng geprüft werden, sollte es so ablaufen.
- Domain Registry prüft streng, dass die angeben im whois stimmen.
- Zertifikat ist dafür da, um zu bestätigen, dass keine Manipulation
auf dem Weg zum Server statt gefunden hat.
In Falle von Zertifikaten gilt die Frage:
Kann man Verisign mehr vertrauen als DENIC? Theoretisch sollten beide
die Identität des Kunden gleich streng prüfen. Praktisch läuft
einiges anders.
>
> Mit "better than nothing security", also Verschlüsseln, damit kein
> Unbefugter meine Daten auf dem Transportweg lesen kann, habe ich
> nicht wirklich Sicherheit gewonnen, solange nicht klar ist, wer der
> Empfänger wirklich ist.
>
> Die größere Gefahr sind doch wohl gefakete Webseiten, und nicht DNS
> Manipulationen.
Ich kenne keine Statistik. Aber es gab Gerüchte, dass die Core-Router
eines großen österreichischen Provider (groß, nicht der größte)
regelmäßig gehackt wurden, was es Angreifern ermöglichte, den
gesamten Verkehr mitzulesen. Dieser Angriff könnte zumindest
verhindert werden.
BTW: Die eine Sicherheitslücke im DNS hast du schon mitbekommen, mit
der ein DNS Cache-Poisoning in wenigen Sekunden funktioniert:
<http://www.heise.de/security/Exploits-fuer-DNS-Schwachstellen-veroeffentlicht--/news/meldung/113266>
Und ich bin ganz deiner Meinung: Eine Chain of trust mit signierten
Zertifikaten ist sinnvoller, und ich würde jeden Webshop misstrauen,
der kein ordentlich signiertes Zertifikat hat, aber mir ist ein
selbstsigniertes lieber, als gar keines.
Momentan akzeptiere ich selbst signierte für Hobby Sachen (die
genannte Kreditkartennummer würde ich aber nie eingeben). Dieses Tool
würde mir da eine zusätzliche Absicherung geben.
krasnoj
> krasnoj schrieb am 27. August 2008 11:31
>
> > Alice_im_Wunderland schrieb am 27. August 2008 09:57
> >
>
> [stuff deleted]
>
> Dritte Möglichkeit: irgendein Bad Guy möchte z.B. Kreditkartendaten
> sammeln und gibt sich deshalb als seriöser Händler aus.
>
> Als Beispiel ein Webshop:
> Es gibt ja auch Shops bei denen ich noch nie vorher eingekauft habe,
> deshalb kann ich seine URL nicht mit einer vorher benutzten
> vergleichen.
OK. Und dann macht ein Bad Guy einen kompletten neuen Webshop,
schaltet Google AdWords und kauft sich ein Verisign Zertifikat. 2x
nach dem Einkauf verkauft er die Kreditkartendaten weiter. Wo ist da
der Unterschied?
Oder es wird einfach überhaupt kein SSL angeboten. Die meisten würden
trotzdem kaufen.
> Bevor ich jetzt meine Daten eingebe, interessiert mich ganz
> besonders, wessen Webshop das eigentlich ist, also wem ich eigentlich
> meine Daten gebe.
Da macht es Sinn, sofern du wirklich das Zertifikat überprüfst. Wenn
du es für jedes Zertifikat wirklich sorgfältig überprüfst (Gegencheck
mit Firmenbuch am Gericht). Aber dann bist du die erste Person, die
sich das antut, die ich kenne.
Aber es gibt auch das Fan Forum zu Musikgruppe XY. Die würden gerne
das Login Passwort verschlüsselt übertragen, eine Authentifizierung
ist aber nicht so wichtig (mir egal, ob das Forum Meyer oder Huber
betreiben).
>
> > >
> > > Letztlich weiss man also doch nicht, an wen man seine Daten gerade
> > > übermittelt. Damit ist doch das Ziel verfehlt.
> >
> > Es gibt den Begriff "better than nothing security". Auf dies wird
> > hier abgezielt. Es ist so, dass momentan sehr viele Seiten überhaupt
> > keine Verschlüsselung anbieten, weil ihnen das Zertifikat zu teuer
> > ist. Für diese Seiten würde das Notar System wirklich eine
> > Verbesserung darstellen. Gratis eine halbsichere Verschlüsselung ist
> > besser als gar keine Verschlüsselung.
>
> Ja, aber so ein Zertifikat ist doch in erster Linie dazu da, einen
> Nachweis, oder wenigstens Anhaltspunkt, zu haben, mit wem ich da
> Daten austausche.
Theoretisch wäre dafür das whois da. In einer Welt, wo die eigene
AGBs der Provider streng geprüft werden, sollte es so ablaufen.
- Domain Registry prüft streng, dass die angeben im whois stimmen.
- Zertifikat ist dafür da, um zu bestätigen, dass keine Manipulation
auf dem Weg zum Server statt gefunden hat.
In Falle von Zertifikaten gilt die Frage:
Kann man Verisign mehr vertrauen als DENIC? Theoretisch sollten beide
die Identität des Kunden gleich streng prüfen. Praktisch läuft
einiges anders.
>
> Mit "better than nothing security", also Verschlüsseln, damit kein
> Unbefugter meine Daten auf dem Transportweg lesen kann, habe ich
> nicht wirklich Sicherheit gewonnen, solange nicht klar ist, wer der
> Empfänger wirklich ist.
>
> Die größere Gefahr sind doch wohl gefakete Webseiten, und nicht DNS
> Manipulationen.
Ich kenne keine Statistik. Aber es gab Gerüchte, dass die Core-Router
eines großen österreichischen Provider (groß, nicht der größte)
regelmäßig gehackt wurden, was es Angreifern ermöglichte, den
gesamten Verkehr mitzulesen. Dieser Angriff könnte zumindest
verhindert werden.
BTW: Die eine Sicherheitslücke im DNS hast du schon mitbekommen, mit
der ein DNS Cache-Poisoning in wenigen Sekunden funktioniert:
<http://www.heise.de/security/Exploits-fuer-DNS-Schwachstellen-veroeffentlicht--/news/meldung/113266>
Und ich bin ganz deiner Meinung: Eine Chain of trust mit signierten
Zertifikaten ist sinnvoller, und ich würde jeden Webshop misstrauen,
der kein ordentlich signiertes Zertifikat hat, aber mir ist ein
selbstsigniertes lieber, als gar keines.
Momentan akzeptiere ich selbst signierte für Hobby Sachen (die
genannte Kreditkartennummer würde ich aber nie eingeben). Dieses Tool
würde mir da eine zusätzliche Absicherung geben.
krasnoj