Nein; musst du nicht... Du must nur schneller sein...
Must in der Position sein, dass du die DNS Anfragen des Client mitbekommst (in der N�he des Clients oder in der N�he des DNS Servers sein) Dann kannst du (wenn du schneller bist) eine falsche Antwort zur�ckgeben (mit IP Spoofing)... Dann kommt es nur noch auf die Intelligenz des Users an... ->Da sehe ich das riesige Problem von SSL ->nicht umbedingt bei den Krypto Algorythmen Gruss Christian Thuer > -----Original Message----- > From: Claudius Ceteras [mailto:[EMAIL PROTECTED]] > Sent: Mittwoch, 17. April 2002 11:24 > To: AspGerman Kaffeehaus > Subject: [aspdecoffeehouse] Re: Sicherheit von SSL > > > Ok, ich sehe das Problem... > Aber daf�r muss ich den DNS Server unter meine Macht bringen - oder? > > Claudius > > > > > Naja... da haben wir aneinander vorbeigemailt... > > > > Angenommen E-Banking: > > Du loggst dich per SSL ein... > > -> Klar es kommt keine Fehlermeldung... > > > > Nun, wenn mal eine Meldung kommt, dass das Zertifikat bei keiner CA > > validiert werden kann, wie viele User klicken auf dennoch auf OK? > > ` > > Dann bist du schon drin denn: > > > > Normaler Ablauf > > (Bitte MailFenster gross machen!) > > > > Client - DNS Abfrage > > Client > > WebServer > > > > Man in the Middle > > Client - DNS Abfrage > > Ich gebe meine IP zur�ck > > Client SSL zu Mir; ich SSL zu WebServer > > WebServer > > Client erh�lt meldung, dass CA nicht validieren kann... > > Klickt auf OK... > > Client SSL verbindung zu Mir Ich lese alle Daten und sende > > das gleiche > > Per WebServer merkt nicht, dass > > SSL zum WebServer > > da jemand zwischengeschaltet ist > > > > Wurde schon oft getan; funktioniert wunderbar, wenn der > > Client einfach auf > > OK klickt. > > > > L�sst sich erst mit STunnel (SSH) oder IPSec unterbinden. > > > > Gruss > > > > Christian Thuer > > > > > -----Original Message----- > > > From: Claudius Ceteras [mailto:[EMAIL PROTECTED]] > > > Sent: Mittwoch, 17. April 2002 11:14 > > > To: AspGerman Kaffeehaus > > > Subject: [aspdecoffeehouse] Re: Sicherheit von SSL > > > > > > > > > > Naja... > > > > > > > > Denke auch mal, dass 128 Bit nicht sicher ist... > > > > Habe es nicht von der Krypto angeschaut... (DES ist ja > > > > wirklich katastrophe) > > > > -> �brigens; es wird wohl Tripple-DES sein? Oder? > > > > > > > > Denke da mehr an etwas anderes... > > > > Wie viele user klicken einfach auf ok, wenn die Meldung > > > > erscheint, dass das > > > > Zertifikat bei keiner CA. authentifiziert werden kann? > > > > > > Wenn schon, dann besorgtg man sich ein richtiges anerkanntes > > > Zertifikat... > > > Ansonsten: soll das ein Gegen-Argument sein, dass Surfer > auch nicht > > > anerkannt Zertifikate zulassen? Wo ist das Problem? > > > > > > > > > > > Da kannst du einen simplem "Man in the Middle" machen; und so > > > > gut wie kein > > > > User merkt was... > > > > > > Das will ich sehen, wie Du innerhalb der kurzen Zeit > zwischen ersten > > > Verbindungsaufbau und der Server-Antwort einen > > > 128bit-Schl�ssel knacken > > > willst... > > > Nat�rlich kannst Du das als "Mann in the Middle" diese > Zeit beliebig > > > verl�ngern, aber irgendwann ist der Surfer weg und dann > > > bekommst Du sein > > > passwort doch nicht.... > > > > > > > > > Claudius > > > > > > > > > | [aspdecoffeehouse] als [EMAIL PROTECTED] subscribed > > > | http://www.aspgerman.com/archiv/aspdecoffeehouse/ = Listenarchiv > > > | Sie k�nnen sich unter folgender URL an- und abmelden: > > > | > > http://www.aspgerman.com/aspgerman/listen/anmelden/aspdecoffee > house.asp > > | [aspdecoffeehouse] als [EMAIL PROTECTED] subscribed > | http://www.aspgerman.com/archiv/aspdecoffeehouse/ = Listenarchiv > | Sie k�nnen sich unter folgender URL an- und abmelden: > | > http://www.aspgerman.com/aspgerman/listen/anmelden/aspdecoffee house.asp | [aspdecoffeehouse] als [EMAIL PROTECTED] subscribed | http://www.aspgerman.com/archiv/aspdecoffeehouse/ = Listenarchiv | Sie k�nnen sich unter folgender URL an- und abmelden: | http://www.aspgerman.com/aspgerman/listen/anmelden/aspdecoffeehouse.asp | [aspdecoffeehouse] als [email protected] subscribed | http://www.aspgerman.com/archiv/aspdecoffeehouse/ = Listenarchiv | Sie k�nnen sich unter folgender URL an- und abmelden: | http://www.aspgerman.com/aspgerman/listen/anmelden/aspdecoffeehouse.asp
