Sag ich immer: Sicherheit f�ngt in den K�pfen der Benutzer und Verantworlichen an, nicht bei der Software.
-----Urspr�ngliche Nachricht----- Von: Azubi IFK LabTec [mailto:[EMAIL PROTECTED]] Gesendet: Mittwoch, 17. April 2002 11:20 An: AspGerman Kaffeehaus Betreff: [aspdecoffeehouse] Re: Sicherheit von SSL Naja... da haben wir aneinander vorbeigemailt... Angenommen E-Banking: Du loggst dich per SSL ein... -> Klar es kommt keine Fehlermeldung... Nun, wenn mal eine Meldung kommt, dass das Zertifikat bei keiner CA validiert werden kann, wie viele User klicken auf dennoch auf OK? ` Dann bist du schon drin denn: Normaler Ablauf (Bitte MailFenster gross machen!) Client - DNS Abfrage Client WebServer Man in the Middle Client - DNS Abfrage Ich gebe meine IP zur�ck Client SSL zu Mir; ich SSL zu WebServer WebServer Client erh�lt meldung, dass CA nicht validieren kann... Klickt auf OK... Client SSL verbindung zu Mir Ich lese alle Daten und sende das gleiche Per WebServer merkt nicht, dass SSL zum WebServer da jemand zwischengeschaltet ist Wurde schon oft getan; funktioniert wunderbar, wenn der Client einfach auf OK klickt. L�sst sich erst mit STunnel (SSH) oder IPSec unterbinden. Gruss Christian Thuer > -----Original Message----- > From: Claudius Ceteras [mailto:[EMAIL PROTECTED]] > Sent: Mittwoch, 17. April 2002 11:14 > To: AspGerman Kaffeehaus > Subject: [aspdecoffeehouse] Re: Sicherheit von SSL > > > > Naja... > > > > Denke auch mal, dass 128 Bit nicht sicher ist... > > Habe es nicht von der Krypto angeschaut... (DES ist ja > > wirklich katastrophe) > > -> �brigens; es wird wohl Tripple-DES sein? Oder? > > > > Denke da mehr an etwas anderes... > > Wie viele user klicken einfach auf ok, wenn die Meldung > > erscheint, dass das > > Zertifikat bei keiner CA. authentifiziert werden kann? > > Wenn schon, dann besorgtg man sich ein richtiges anerkanntes > Zertifikat... > Ansonsten: soll das ein Gegen-Argument sein, dass Surfer auch nicht > anerkannt Zertifikate zulassen? Wo ist das Problem? > > > > > Da kannst du einen simplem "Man in the Middle" machen; und so > > gut wie kein > > User merkt was... > > Das will ich sehen, wie Du innerhalb der kurzen Zeit zwischen ersten > Verbindungsaufbau und der Server-Antwort einen > 128bit-Schl�ssel knacken > willst... > Nat�rlich kannst Du das als "Mann in the Middle" diese Zeit beliebig > verl�ngern, aber irgendwann ist der Surfer weg und dann > bekommst Du sein > passwort doch nicht.... > > > Claudius > > > | [aspdecoffeehouse] als [EMAIL PROTECTED] subscribed > | http://www.aspgerman.com/archiv/aspdecoffeehouse/ = Listenarchiv > | Sie k�nnen sich unter folgender URL an- und abmelden: > | http://www.aspgerman.com/aspgerman/listen/anmelden/aspdecoffeehouse.asp | [aspdecoffeehouse] als [EMAIL PROTECTED] subscribed | http://www.aspgerman.com/archiv/aspdecoffeehouse/ = Listenarchiv | Sie k�nnen sich unter folgender URL an- und abmelden: | http://www.aspgerman.com/aspgerman/listen/anmelden/aspdecoffeehouse.asp | [aspdecoffeehouse] als [email protected] subscribed | http://www.aspgerman.com/archiv/aspdecoffeehouse/ = Listenarchiv | Sie k�nnen sich unter folgender URL an- und abmelden: | http://www.aspgerman.com/aspgerman/listen/anmelden/aspdecoffeehouse.asp
