Am 29.06.2007 um 12:36 schrieb Daniel Weinand:
Na ja. Ist klar dass es immer Leute gibt die irgendwas schlecht
machen wollen, oder müssen.
Kann natürlich sein dass ein Sicherheitsrisiko besteht. Aber dieses
Risiko besteht immer und
überall im Internet sobald es um sensible Daten geht.
Wenn man damit ein Problem hat soll man in den Laden gehen und bar
bezahleb.
Die Interbanking Portale der Banken bieten ja im Prinzip keinen
anderen Dienst an. Auch eine Webseite
auf der die Daten eingegeben werden müssen.
Ich habe mir eben mal die Texte auf der Seite durchgelesen. Was diese
Sofortüberweisungs-Leute machen zeugt meiner Meinung nach nicht von
hohem Sicherheitsverständnis. Die bieten genau das, was jeder Phisher
auch machen würde: Eingeben von PIN/TAN-Daten in Webformulare mit
Ursprung != Bank.
Das mag technisch alles einwandfrei zu funktionieren, das Problem
sind hier - wie meistens - die unbedarften Benutzer. Banken arbeiten
sehr hart daran, Ihren Usern einzutrichtern "Gib deine PIN und TAN"
nur bei UNS ein und wirklich nur bei UNS.
Kann mir auch nicht vorstellen dass eine AG leichtsinnig an sowas
rangeht. Man mag sich täuschen,
aber solange nur ein paar Leute Mutmassungen in den Raum stellen um
zu zeigen wie weit sie in ihrem Blog vorausdenken können, ohne dass
irgendwas negatives passiert ist, find ich solche Lösungen erstmal
gut.
Ich finde es eher kritisch. Sicherheitsdenken bei Leuten, die nicht
viel mit Technik zu tun haben ist meiner Erfahrung nach meist gar
nicht Vorhanden. Es gibt dann 2 Reaktionen:
a) Angst. Lieber gar nix benutzen, ist ja alles gefährlich
b) Gleichgültigkeit. "Wird schon klappen. "
b) geht so lange gut, bis die ersten 1000 EUR weg sind und dann geht
das Gejaule los...
Die Regel "Gib deine Daten nur bei deiner Bankseite ein" ist relativ
einfach und immer noch schwer genug für Leute, die sich nicht so
auskennen (SSL Cert prfüfen? Die meinsten klicken eh alle Warnungen
mit "OK, passt schon" weg. URL auf www.bankname.de und nicht
bankname.phishingseite.ru prüfen? "Da steht ja der Name -> "passt")
Kreditkarten sind in DE leider nicht sehr verbreitet, das
Sicherheitssystem funktioniert da nämlich relativ gut, wenn man genau
weiß, wo der Knackpunkt liegt. Es geht nämlich nur in begrenzten
Rahmen darum, zu verhindern zu prüfen, ob die Transaktion selbst
authorisiert ist, wenn sie ausgeführt wird. Vielmehr muss der Kunde
bei seiner Abrechnung prüfen, ob alles ok war. Wenn nicht, beschwert
man sich und bekommt sein Geld zurück. Man akzeptiert quasi erst
durch anerkennen der Abrechnung die Transaktionen. Ich weiß nicht ob
das offiziell so kommuniziert wird, aber im Grunde läuft das so ab
(habs selbst schon mal erlebt). Das System funktioniert auch
erstaunlich gut...
Wenn hingegen eine PIN/TAN Transaktion abgelaufen ist, ist es
deutlich schwerer das rückgängig zu machen. (Oder hat jemand da
andere Erfahrungen gemacht?)
Soviel zum Thema Geldtransaktionen von mir.... ist schon OT
irgendwie, aber andererseits muss das Geld ja auch irgendie bewegt
werden - mit Rails natürlich.
Gruß,
Hendrik
_______________________________________________
rubyonrails-ug mailing list
[email protected]
http://mailman.headflash.com/mailman/listinfo/rubyonrails-ug
