Ok, ich sehe das Problem... Aber daf�r muss ich den DNS Server unter meine Macht bringen - oder?
Claudius > > Naja... da haben wir aneinander vorbeigemailt... > > Angenommen E-Banking: > Du loggst dich per SSL ein... > -> Klar es kommt keine Fehlermeldung... > > Nun, wenn mal eine Meldung kommt, dass das Zertifikat bei keiner CA > validiert werden kann, wie viele User klicken auf dennoch auf OK? > ` > Dann bist du schon drin denn: > > Normaler Ablauf > (Bitte MailFenster gross machen!) > > Client - DNS Abfrage > Client > WebServer > > Man in the Middle > Client - DNS Abfrage > Ich gebe meine IP zur�ck > Client SSL zu Mir; ich SSL zu WebServer > WebServer > Client erh�lt meldung, dass CA nicht validieren kann... > Klickt auf OK... > Client SSL verbindung zu Mir Ich lese alle Daten und sende > das gleiche > Per WebServer merkt nicht, dass > SSL zum WebServer > da jemand zwischengeschaltet ist > > Wurde schon oft getan; funktioniert wunderbar, wenn der > Client einfach auf > OK klickt. > > L�sst sich erst mit STunnel (SSH) oder IPSec unterbinden. > > Gruss > > Christian Thuer > > > -----Original Message----- > > From: Claudius Ceteras [mailto:[EMAIL PROTECTED]] > > Sent: Mittwoch, 17. April 2002 11:14 > > To: AspGerman Kaffeehaus > > Subject: [aspdecoffeehouse] Re: Sicherheit von SSL > > > > > > > Naja... > > > > > > Denke auch mal, dass 128 Bit nicht sicher ist... > > > Habe es nicht von der Krypto angeschaut... (DES ist ja > > > wirklich katastrophe) > > > -> �brigens; es wird wohl Tripple-DES sein? Oder? > > > > > > Denke da mehr an etwas anderes... > > > Wie viele user klicken einfach auf ok, wenn die Meldung > > > erscheint, dass das > > > Zertifikat bei keiner CA. authentifiziert werden kann? > > > > Wenn schon, dann besorgtg man sich ein richtiges anerkanntes > > Zertifikat... > > Ansonsten: soll das ein Gegen-Argument sein, dass Surfer auch nicht > > anerkannt Zertifikate zulassen? Wo ist das Problem? > > > > > > > > Da kannst du einen simplem "Man in the Middle" machen; und so > > > gut wie kein > > > User merkt was... > > > > Das will ich sehen, wie Du innerhalb der kurzen Zeit zwischen ersten > > Verbindungsaufbau und der Server-Antwort einen > > 128bit-Schl�ssel knacken > > willst... > > Nat�rlich kannst Du das als "Mann in the Middle" diese Zeit beliebig > > verl�ngern, aber irgendwann ist der Surfer weg und dann > > bekommst Du sein > > passwort doch nicht.... > > > > > > Claudius > > > > > > | [aspdecoffeehouse] als [EMAIL PROTECTED] subscribed > > | http://www.aspgerman.com/archiv/aspdecoffeehouse/ = Listenarchiv > > | Sie k�nnen sich unter folgender URL an- und abmelden: > > | > http://www.aspgerman.com/aspgerman/listen/anmelden/aspdecoffee house.asp | [aspdecoffeehouse] als [EMAIL PROTECTED] subscribed | http://www.aspgerman.com/archiv/aspdecoffeehouse/ = Listenarchiv | Sie k�nnen sich unter folgender URL an- und abmelden: | http://www.aspgerman.com/aspgerman/listen/anmelden/aspdecoffeehouse.asp | [aspdecoffeehouse] als [email protected] subscribed | http://www.aspgerman.com/archiv/aspdecoffeehouse/ = Listenarchiv | Sie k�nnen sich unter folgender URL an- und abmelden: | http://www.aspgerman.com/aspgerman/listen/anmelden/aspdecoffeehouse.asp
