ausblenden > Netzwerk, Internet, Provider
Internetbanking im öffentlichen WLAN?
MacFlieger:
Gegen Trojaner ist sowieso kein wirksames Kraut gewachsen. Und da könnte es OS X-Nutzern genauso oder gerade wegen der geringeren Aufmerksamkeit noch heftiger treffen.
radneuerfinder:
Ist Internetbanking aktuell noch sicher genug?
http://www.heise.de/security/meldung/Studie-Informationen-trotz-SSL-Verschluesselung-nicht-sicher-1742426.html
Reicht eine mTAN als zusätzlicher Schutz noch aus?
warlord:
--- Zitat von: radneuerfinder am November 03, 2012, 08:58:37 ---Ist Internetbanking aktuell noch sicher genug?
http://www.heise.de/security/meldung/Studie-Informationen-trotz-SSL-Verschluesselung-nicht-sicher-1742426.html
Reicht eine mTAN als zusätzlicher Schutz noch aus?
--- Ende Zitat ---
Das im Artikel verlinkte Youtube-Video läuft zwar (zumindest bei mir) derzeit nicht. Aber das im Heise-Artikel beschriebene Szenario kann IMO nicht vom (aufmerksamen) Benutzer unbemerkt erfolgen. Browser zeigen ja schliesslich an, ob sie verschlüsselt kommunizieren oder nicht. Kommuniziert der Browser nun nicht verschlüsselt mit dem gewünschten Server, sondern unverschlüsselt mit dem MiM, müsste das im Browser durchaus ersichtlich sein.
MacFlieger:
warlord hat es schon erwähnt:
Bei dem beschriebenen Problem geht es nicht um die Sicherheit von SSL selber.
Der Titel "trotz SSL-Verschlüsselung nicht sicher" suggeriert, dass ein Benutzer, der per SSL Kontakt zu seiner Bank hat, nicht sicher ist. Das ist aber völlig falsch. Der Titel bezieht sich eher auf den Server. D.h. der Bankserver kann trotz SSL-Verschlüsselung nicht sicher sein, ob die Daten von Dir kommen oder nicht.
Das ganze ist ein klassischer Man-in-the-middle-Angriff. Ein Angreifer setzt sich zwischen den Benutzer und der Bank. Zwischen dem Angreifer und der Bank läuft alles wie gewohnt per SSL, d.h. der Bankserver schöpft keinen Verdacht. Zwischen dem Benutzer und dem Angreifer aber läuft alles ohne SSL ab. Daher keine Warnung wegen eines ungültigen Zertifikates. Damit der Benutzer nicht bei Klick auf einen Link auf die https-Seite geleitet wird, filtert der Angreifer die Antwort des Bankservers und macht aus allen https ein http.
Das ganze sieht so aus:
Benutzer <- http -> Angreifer <- https -> Bank
Wann kann das nur passieren?
Man ruft die Bankseite nicht manuell oder per Bookmark direkt als https auf. D.h. man tippt nur bank.de oder klickt auf einen Link, bei dem nur http steht.
Kann man es bemerken?
Ja, ganz einfach. Da die Verbindung beim Benutzer nicht verschlüsselt ist, hat man kein Schloss bzw. gefärbte URL im Browser. Außerdem beginnt die URL mit "http:". Der Browser zeigt eben an, ob man verschlüsselt mit der Bank kommuniziert oder nicht.
warlord:
--- Zitat von: warlord am November 03, 2012, 09:24:06 ---Das im Artikel verlinkte Youtube-Video läuft zwar (zumindest bei mir) derzeit nicht.
--- Ende Zitat ---
Mittlerweile läuft das Video wieder. Und es behauptet ja gar nichts anderes. Das "Problem" lässt sich durch den Benutzer ganz einfach mit etwas Aufmerksamkeit vermeiden. Und ohne die gibt es nie und nirgendwo und mit keiner Ausrüstung je irgend eine Sicherheit.
Wiedermal ein Heise-Artikel der schwachen Sorte. So ein bisschen etwas antönen aber nicht komplett erläutern, so dass die Phantasie der Leser so richtig schön angeheizt wird. Ein Klick-Generator bestehend aus lauwarmer Luft.
Navigation
[0] Themen-Index
[#] Nächste Seite
[*] Vorherige Sete
Zur normalen Ansicht wechseln