ausblenden > Mac-Software
Frage bezüglich Zertifikate ...
radneuerfinder:
Zertifikat nur echt im richtigen Design. Und wer sagt mir, ob das Design, ähnlich wie die Meldungstexte, nicht auch manipuliert werden kann? Die Trennlinie ist mir irgendwie zu vage.
MacFlieger:
--- Zitat von: radneuerfinder am November 25, 2015, 07:59:30 ---Zertifikat nur echt im richtigen Design.
--- Ende Zitat ---
Nein, das Design ist ja völlig frei gestaltbar (oder wir reden aneinander vorbei). Es werden entweder nur Textboxen mit deutlichem Hinweis auf die Herkunft angezeigt oder ein Browserfenster mit einer Website. Der Inhalt des Browserfensters ist wie bei Websites üblich frei gestaltbar und damit kann man damit auch jedes beliebige Design nachmachen. Zur Not auch einfach einen Screenshot darstellen. Aber es ist und bleibt ein Browserfenster, welches sich ....
ARGH! Kommando zurück. Ich habe es gerade mal in Safari ausprobiert. Ich hatte mich durch das Beispiel von fränk, was Du verlinkt hattest, täuschen lassen. Ein Browserfenster (mit beliebigem gefaktem Inhalt) kann man schon von einem anderen Fenster unterscheiden, da ja nur der Inhalt nachgemacht werden kann.
Aber das Zertifikatsfenster in Safari ist ja gar kein eigenes Fenster, sondern nur etwas, was über den normalen Browserinhalt gelegt wird. Das könnte man tatsächlich mit etwas Aufwand in HTML/CSS/JavaScript nachbasteln. Das könnte man dann tatsächlich nicht unterscheiden.
Einzige echte Unterscheidungsmöglichkeit scheint mir aktuell zu sein: Das echte Zertifikatsfenster wird durch Klick auf das Zertifikatszeichen in der Adresszeile geöffnet und nicht auf anderem Weg. Ob man den Klick auf dieses Zeichen in der Adressleiste nicht auch irgendwie per JavaScript abfangen könnte, um etwas eigenes einzublenden, weiß ich nicht. Aktuell ist mir da keine Möglichkeit bekannt.
Florian:
--- Zitat von: radneuerfinder am November 24, 2015, 22:43:23 ---Ich finde schon. Ich würde mir nicht zutrauen die Echtheit eines Zertifiktat Fensters zu erkennen.
--- Ende Zitat ---
Im jeweiligen Browser sind die ja „fest verankert“. Die kann man nicht einfach per Javascript einblenden. Was anderes ist freilich, wenn man der Rechner schon total übernommen wurde und in den laufenden Code des Browsers eingegriffen werden kann. Dann ist es aber eh zu spät…
--- Zitat ---
--- Zitat ---G4 … PKI
--- Ende Zitat ---
???
--- Ende Zitat ---
G2 steht, wie gesagt, für eine simple Email- und Domain-Identitätsprüfung, ähnlich wie wir es hier bei Neu-Anmeldung im Forum machen. Sprich, gehört die Domain wirklich dem Besteller des Zertifikats?
Dazu kommt dann, meistens, ja auch noch eine Zahlung mit Daten.
Identitätsdiebstahl schließt dies nicht wirklich aus.
Bei G3 und höher werden auf unterschiedliche Weise tatsächlich die Identitäten geprüft.
Wie sich das PKI herein verirrt hat, weiß ich nicht, soll jedenfalls einen hohen Standard signalisieren. Eigentlich heißt PKI Public Key Infrastructure und beschreibt das Grundprinzip des Ganzen.
--- Zitat ---
--- Zitat ---färbt Safari die URL auch grün. ... Manchmal funktioniert das auch nicht - weiß nicht genau, warum.
--- Ende Zitat ---
Besser kann man meine Meinung zu Zertifikaten nicht zusammenfassen. 8)
--- Ende Zitat ---
Ich hatte aber eine Vermutung angeführt, und diese nun überprüft. :)
Es ist, wie ich schrieb: Die Zertifikatsausgeber lassen sich das extra bezahlen, dafür soll die Identitätsprüfung noch genauer sein. Im Branchensprech: Extended Validation (EV). Auch hier wird es aber leider nicht immer allzu ernst genommen mit der Prüfung - der Preisdruck führt zu Kompromissen.
https://de.wikipedia.org/wiki/Extended-Validation-Zertifikat
Super Seite um Zertifikate von Mail- und Webservern zu checken - aber nicht verunsichern lassen, perfekt und auf dem neuesten Stand der Technik ist kaum eins:
https://ssl-tools.net/
MacFlieger:
--- Zitat von: Florian am November 25, 2015, 18:35:37 ---
--- Zitat von: radneuerfinder am November 24, 2015, 22:43:23 ---Ich finde schon. Ich würde mir nicht zutrauen die Echtheit eines Zertifiktat Fensters zu erkennen.
--- Ende Zitat ---
Im jeweiligen Browser sind die ja „fest verankert“. Die kann man nicht einfach per Javascript einblenden. Was anderes ist freilich, wenn man der Rechner schon total übernommen wurde und in den laufenden Code des Browsers eingegriffen werden kann. Dann ist es aber eh zu spät…
--- Ende Zitat ---
Wieso sollte man das nicht nachbilden können? Die Zertifkatsanzeige in Safari ist kein extra Fenster, wie ich erst dachte, sondern einfach nur ein Overlay über die angezeigte Seite, d.h. komplett innerhalb des Anzeigebereiches der Seite. Da kann ich doch beliebige Sachen per HTML/CSS anzeigen lassen. JavaScript brauche ich da nur, damit das nicht nur statisch so aussieht, wie das originale, sondern auch auf Mausklicks reagiert/sich verändert, langsam ein-/aus fährt etc. Ich sehe da jetzt echt kein Problem eine Website zu bauen, die über sich so eine Anzeige einblendet.
mbs:
Das kann man nicht wirklich nachbilden. Die Zertifikatsanzeige in Safari ist ein "gleitendes Dialogfenster" (Sheet), das fest am Browser-Fenster hängt und mit der Anzeige des Seiteninhalts nichts zu tun hat.
Natürlich kann man auf einer Seite allen möglichen Unfug machen, um Leichtgläubige zu allerlei Aktionen zu veranlassen. Dann sind wir aber beim üblichen "Trojaner-Problem", für das es keine technische Lösung gibt. Nur Schulung hilft.
Navigation
[0] Themen-Index
[#] Nächste Seite
[*] Vorherige Sete
Zur normalen Ansicht wechseln