http://www.theregister.co.uk/content/6/24812.html
Das Problem ist immer der User im Endeffekt. Chris At 11:19 AM 4/17/2002 +0200, you wrote: >Naja... da haben wir aneinander vorbeigemailt... > >Angenommen E-Banking: >Du loggst dich per SSL ein... >-> Klar es kommt keine Fehlermeldung... > >Nun, wenn mal eine Meldung kommt, dass das Zertifikat bei keiner CA >validiert werden kann, wie viele User klicken auf dennoch auf OK? >` >Dann bist du schon drin denn: > >Normaler Ablauf >(Bitte MailFenster gross machen!) > >Client - DNS Abfrage >Client >WebServer > >Man in the Middle >Client - DNS Abfrage > Ich gebe meine IP zur�ck >Client SSL zu Mir; ich SSL zu WebServer >WebServer >Client erh�lt meldung, dass CA nicht validieren kann... >Klickt auf OK... >Client SSL verbindung zu Mir Ich lese alle Daten und sende das gleiche >Per WebServer merkt nicht, dass > SSL zum WebServer >da jemand zwischengeschaltet ist > >Wurde schon oft getan; funktioniert wunderbar, wenn der Client einfach auf >OK klickt. > >L�sst sich erst mit STunnel (SSH) oder IPSec unterbinden. > >Gruss > >Christian Thuer > > > -----Original Message----- > > From: Claudius Ceteras [mailto:[EMAIL PROTECTED]] > > Sent: Mittwoch, 17. April 2002 11:14 > > To: AspGerman Kaffeehaus > > Subject: [aspdecoffeehouse] Re: Sicherheit von SSL > > > > > > > Naja... > > > > > > Denke auch mal, dass 128 Bit nicht sicher ist... > > > Habe es nicht von der Krypto angeschaut... (DES ist ja > > > wirklich katastrophe) > > > -> �brigens; es wird wohl Tripple-DES sein? Oder? > > > > > > Denke da mehr an etwas anderes... > > > Wie viele user klicken einfach auf ok, wenn die Meldung > > > erscheint, dass das > > > Zertifikat bei keiner CA. authentifiziert werden kann? > > > > Wenn schon, dann besorgtg man sich ein richtiges anerkanntes > > Zertifikat... > > Ansonsten: soll das ein Gegen-Argument sein, dass Surfer auch nicht > > anerkannt Zertifikate zulassen? Wo ist das Problem? > > > > > > > > Da kannst du einen simplem "Man in the Middle" machen; und so > > > gut wie kein > > > User merkt was... > > > > Das will ich sehen, wie Du innerhalb der kurzen Zeit zwischen ersten > > Verbindungsaufbau und der Server-Antwort einen > > 128bit-Schl�ssel knacken > > willst... > > Nat�rlich kannst Du das als "Mann in the Middle" diese Zeit beliebig > > verl�ngern, aber irgendwann ist der Surfer weg und dann > > bekommst Du sein > > passwort doch nicht.... | [aspdecoffeehouse] als [email protected] subscribed | http://www.aspgerman.com/archiv/aspdecoffeehouse/ = Listenarchiv | Sie k�nnen sich unter folgender URL an- und abmelden: | http://www.aspgerman.com/aspgerman/listen/anmelden/aspdecoffeehouse.asp
