23
Was nützt HTTPS, wenn es auch von Phishing Web-Seiten genutzt wird
HTTPS richtig einschätzen
Ob man eine Webseite via HTTPS aufruft, zeigt ein Schloss neben der Adresse im Webbrowser an. Doch mit diesem Symbol verbinden viele Menschen offenbar mehr Sicherheit, als dieses Schloss zu leisten imstande ist.
Ganz und gar nicht sicher: Immer mehr Phishing-Webseiten setzen auf HTTPS
Gruss Penny
Ob man eine Webseite via HTTPS aufruft, zeigt ein Schloss neben der Adresse im Webbrowser an. Doch mit diesem Symbol verbinden viele Menschen offenbar mehr Sicherheit, als dieses Schloss zu leisten imstande ist.
Ganz und gar nicht sicher: Immer mehr Phishing-Webseiten setzen auf HTTPS
Gruss Penny
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 357537
Url: https://administrator.de/contentid/357537
Printed on: April 25, 2024 at 05:04 o'clock
23 Comments
Latest comment
Hallo Penny,
das liegt an der Misswirtschaft von lauten unwissenden "Beratern" bzw eben sog. self-called "Admins", die es als "HTTPS ist sicher" verkaufen, aber nicht erwähnen, dass das nur heißt, dass die Verbindung verschlüsselt ist.
VG
das liegt an der Misswirtschaft von lauten unwissenden "Beratern" bzw eben sog. self-called "Admins", die es als "HTTPS ist sicher" verkaufen, aber nicht erwähnen, dass das nur heißt, dass die Verbindung verschlüsselt ist.
VG
Moin,
Weil keiner ja auch nachschaut, welches Zertifikat da als "korrekt" angezeigt wird. Das A und O der https-Sicherheit hängt an einem korrekten Zertifikat. Selsbt, wenn es ein selbstsigniertes ist.
Versucht mal bei einer Bank anzurufen und versuchen zu verifizieren, ob das https-Zertifikat für das Online-Banking auch wirklich ihres ist. Die meisten Bankmitarbeiter wissen nicht mal, was man von ihnen will und versuchen den Fingerprint des Zertifikates vorzulesen, daß Sie selbst über Ihren Browser aufrufen statt in der IT-Abteilung nachzufragen,
lks
Weil keiner ja auch nachschaut, welches Zertifikat da als "korrekt" angezeigt wird. Das A und O der https-Sicherheit hängt an einem korrekten Zertifikat. Selsbt, wenn es ein selbstsigniertes ist.
Versucht mal bei einer Bank anzurufen und versuchen zu verifizieren, ob das https-Zertifikat für das Online-Banking auch wirklich ihres ist. Die meisten Bankmitarbeiter wissen nicht mal, was man von ihnen will und versuchen den Fingerprint des Zertifikates vorzulesen, daß Sie selbst über Ihren Browser aufrufen statt in der IT-Abteilung nachzufragen,
lks
1
Moin,
gilt das auch für die Sparkassen, Sparda, u. ä. weil bei denen steht nicht Bank.
Gruss Penny
gilt das auch für die Sparkassen, Sparda, u. ä. weil bei denen steht nicht Bank.
Gruss Penny
Zitat von @Penny.Cilin:
gilt das auch für die Sparkassen, Sparda, u. ä. weil bei denen steht nicht Bank.
gilt das auch für die Sparkassen, Sparda, u. ä. weil bei denen steht nicht Bank.
Dannn solltest Du aufpassen, ob die nicht nur so tun, als ob sie eine Bank wären.
lks
Zitat von @Lochkartenstanzer:
Dannn solltest Du aufpassen, ob die nicht nur so tun, als ob sie eine Bank wären.
Hm, nicht umsonst nennt man die Spasskassen. Zitat von @Penny.Cilin:
gilt das auch für die Sparkassen, Sparda, u. ä. weil bei denen steht nicht Bank.
gilt das auch für die Sparkassen, Sparda, u. ä. weil bei denen steht nicht Bank.
Dannn solltest Du aufpassen, ob die nicht nur so tun, als ob sie eine Bank wären.
lks
Gruss Penny
Ist halt eine Kasse und keine Bank.
Kasse = Geld, Bank = Pleite
Mal drauf achten wenn man mal wieder spontan ohne Vorankündigung 10000€ holen will. Die Bankangestellten kommen da oft in Erklärungsnot.
Hm, ist das nicht allgemein so, daß bei Beträgen mehr als 2 000,-€ dieses vorher angekündigt werden soll / muss?
Hallo,
meine Oma kennt findet die netten Polizeibeamten, die an ihrer Tür klingeln um zu prüfen ob ihr Schmuck sicher versteckt ist, alleine schon anhand der schicken Uniform vertrauenswürdig.
Und da ich meiner Oma vertraue, vertraue ich auch den Kumpels von genau diesen netten Polizeibeamten...
Nicht!
Wer Absenderidentitäten anhand der Zertifikate überprüft und nicht einmal weiß, welche Stammzertifikate er in seinem Betriebssystem installiert hat, der kann sich die Identitätsprüfung auch gleich schenken.
Gruß,
Jörg
meine Oma kennt findet die netten Polizeibeamten, die an ihrer Tür klingeln um zu prüfen ob ihr Schmuck sicher versteckt ist, alleine schon anhand der schicken Uniform vertrauenswürdig.
Und da ich meiner Oma vertraue, vertraue ich auch den Kumpels von genau diesen netten Polizeibeamten...
Nicht!
Wer Absenderidentitäten anhand der Zertifikate überprüft und nicht einmal weiß, welche Stammzertifikate er in seinem Betriebssystem installiert hat, der kann sich die Identitätsprüfung auch gleich schenken.
Gruß,
Jörg
Hallo,
Wenn es eine Sparkasse ist, dann machen die das sicher (gegen entsprechende Gebühr). Da bezahlst Du ja schon "Mauszeigerbewegungsgebühren", wenn Du den Mauszeiger über ein Symbol auf deren Homepage bewegst
Gruß,
Jörg
Versucht mal bei einer Bank anzurufen und versuchen zu verifizieren, ob das https-Zertifikat für das Online-Banking auch wirklich ihres ist.
Wenn es eine Sparkasse ist, dann machen die das sicher (gegen entsprechende Gebühr). Da bezahlst Du ja schon "Mauszeigerbewegungsgebühren", wenn Du den Mauszeiger über ein Symbol auf deren Homepage bewegst
Gruß,
Jörg
ich bekam das vor kurzen auch vom DAU zu hören:
Ich hab ne komische Mail von Amazon bekommen.
Ich habe draufgeklickt, aber Chrome hat gesagt, da ist das Schloss doch grün. Dann muss das sicher sein.
Ich wünsche mir die Zeit, als nur Leute den Computer nutzten, die auch wussten, was sie da tun.
Ich hab ne komische Mail von Amazon bekommen.
Ich habe draufgeklickt, aber Chrome hat gesagt, da ist das Schloss doch grün. Dann muss das sicher sein.
Ich wünsche mir die Zeit, als nur Leute den Computer nutzten, die auch wussten, was sie da tun.
Moin,
das hat etwas mit dem "Verfall" der Preise und der Überprüfung zu tun.
Heute braucht es eigentlich ein ELV-Zertifikat um das auszudrücken was es eigentlich ausdrücken soll. Sicherheit der Übertragung und Identität.
Ein einfaches Zertifikat kostet quasi gar nichts mehr und es gibt auch keine sinnvolle Überprüfung.
Meine Bank hat gerade Ihre Domäne geändert in https://www.spkhb.de.
Warum sollte es Jemanden auffallen, wenn eine Phising-Mail nun https://www.sparkassehb.de verwendet?
Sieht doch normal aus.
Die Browser sollten die Anzeige dementsprechend anpassen.
Kein Zertifikat = Warnung
Einfaches Zertifikat ohne Identität = Normale (z.B: graues Schloss)
ELV = grünes Schloss
Stefan
das hat etwas mit dem "Verfall" der Preise und der Überprüfung zu tun.
Heute braucht es eigentlich ein ELV-Zertifikat um das auszudrücken was es eigentlich ausdrücken soll. Sicherheit der Übertragung und Identität.
Ein einfaches Zertifikat kostet quasi gar nichts mehr und es gibt auch keine sinnvolle Überprüfung.
Meine Bank hat gerade Ihre Domäne geändert in https://www.spkhb.de.
Warum sollte es Jemanden auffallen, wenn eine Phising-Mail nun https://www.sparkassehb.de verwendet?
Sieht doch normal aus.
Die Browser sollten die Anzeige dementsprechend anpassen.
Kein Zertifikat = Warnung
Einfaches Zertifikat ohne Identität = Normale (z.B: graues Schloss)
ELV = grünes Schloss
Stefan
Denen würde ich höchstens ein gelbes geben. Selbst ELV-Zertifikate sind wertlos solange die ausgebende CA für Geld alles tut. Man muß das davon abhängig machen, daß man die voreingestellten CAs erst als Benutzer verifizieren muß oder zumindest das Server-/Client-Zertifikat mit dem Kommunikationspartner verifiziert.
lks
Also wie PGP, aber wie soll ein normaler DAU so etwas entscheiden?
Zitat von @Penny.Cilin:
Hm, ist das nicht allgemein so, daß bei Beträgen mehr als 2 000,-€ dieses vorher angekündigt werden soll / muss?
Musste ich bisher, zumindest bei der Sparkasse nicht. Zum Kundenberater, Karte hinlegen, Betrag nennen, Freigabe durch eine weitere Person abwarten, Zettel nehmen, in OG tiefer und auszahlen lassen. Da ist es egal, ob 2000€ oder 20000€, nach zehn Minuten war ich fertig. Vielleicht ist es bei Zweigstellen nötig, aber an der Hauptkasse kein Problem.Hm, ist das nicht allgemein so, daß bei Beträgen mehr als 2 000,-€ dieses vorher angekündigt werden soll / muss?
Hallo,
eigentlich müsste man Zertifikate verbindlich namentlich an Verantwortliche binden.
Jede hingekrakelte Kuli-Unterschrift ist mehr wert als so ein Zertifikat.
Gruß,
Jörg
eigentlich müsste man Zertifikate verbindlich namentlich an Verantwortliche binden.
Jede hingekrakelte Kuli-Unterschrift ist mehr wert als so ein Zertifikat.
Gruß,
Jörg
Warum? Das Zertifikat sagt doch selbst in dem Fall nur zwei Dinge:
a) Verbindung zwischen zwei Punkten ist sicher
b) irgendwer hat irgendwie verifiziert, dass die andere Seite von irgendwem als Inhaber akzeptiert wurde.
Wo am Ende die Daten liegen ist dank immer größer werdendem Cloudbereich sowieso unsicher, dank immer günstiger eingekaufter Hilfs/aushilfs etc Admins weiss man auch nicht, wer am Ende alles potentiell Zugriff auf die Daten hatte. Darüber hat die SSL-Geschichte bzw Zertifikate allerdings noch nie Rechenschaft abgelegt.
Von daher setzt man hier mit dem falschen Ansatz an. Klar muss sein: Setzt man auf einfache Lösungen, erhält man auch höchstwahrscheinlich nur einfache Sicherheit - oder eben nur eine Fadenscheinige Verschlüsselung im Übertrag - irgendwohin. Das scheint aber akzeptiert zu werden.
a) Verbindung zwischen zwei Punkten ist sicher
b) irgendwer hat irgendwie verifiziert, dass die andere Seite von irgendwem als Inhaber akzeptiert wurde.
Wo am Ende die Daten liegen ist dank immer größer werdendem Cloudbereich sowieso unsicher, dank immer günstiger eingekaufter Hilfs/aushilfs etc Admins weiss man auch nicht, wer am Ende alles potentiell Zugriff auf die Daten hatte. Darüber hat die SSL-Geschichte bzw Zertifikate allerdings noch nie Rechenschaft abgelegt.
Von daher setzt man hier mit dem falschen Ansatz an. Klar muss sein: Setzt man auf einfache Lösungen, erhält man auch höchstwahrscheinlich nur einfache Sicherheit - oder eben nur eine Fadenscheinige Verschlüsselung im Übertrag - irgendwohin. Das scheint aber akzeptiert zu werden.
Zitat von @tikayevent:
Zitat von @Penny.Cilin:
Hm, ist das nicht allgemein so, daß bei Beträgen mehr als 2 000,-€ dieses vorher angekündigt werden soll / muss?
Musste ich bisher, zumindest bei der Sparkasse nicht. Zum Kundenberater, Karte hinlegen, Betrag nennen, Freigabe durch eine weitere Person abwarten, Zettel nehmen, in OG tiefer und auszahlen lassen. Da ist es egal, ob 2000€ oder 20000€, nach zehn Minuten war ich fertig. Vielleicht ist es bei Zweigstellen nötig, aber an der Hauptkasse kein Problem.Hm, ist das nicht allgemein so, daß bei Beträgen mehr als 2 000,-€ dieses vorher angekündigt werden soll / muss?
Genau so hier auch. Problemlos machbar bei 15000€ vor kurzem erst bei unserer Sparkasse auf dem Dorf.
Da will man mal schnell 2000€ holen und muss das anmelden? 2000€ sind ja eigentlich nichts sollte man meinen.
Zitat von @Lochkartenstanzer:
Denen würde ich höchstens ein gelbes geben. Selbst ELV-Zertifikate sind wertlos solange die ausgebende CA für Geld alles tut. Man muß das davon abhängig machen, daß man die voreingestellten CAs erst als Benutzer verifizieren muß oder zumindest das Server-/Client-Zertifikat mit dem Kommunikationspartner verifiziert.
lks
Denen würde ich höchstens ein gelbes geben. Selbst ELV-Zertifikate sind wertlos solange die ausgebende CA für Geld alles tut. Man muß das davon abhängig machen, daß man die voreingestellten CAs erst als Benutzer verifizieren muß oder zumindest das Server-/Client-Zertifikat mit dem Kommunikationspartner verifiziert.
lks
Kennt ihr da Beispiele? Ich musste bisher zumindest immer einen Handelsregisterauszug angeben, wenn ich ein Zertifikat bestellen wollte.
Ob das Zertifikat grün ist oder nicht hängt ja nur davon ab, ob ich persönlich die Stammzertifizierungsstelle als trusted einstufe oder nicht.
Zu mehr war das Zertifizierungssystem ja nie gedacht. Und ein Self-Signed wird niemals grün wenn ich die Stammzertifizierungsstelle nicht in meine Trusteds importiere.
Hallo,
Äh - Let's encrypt?!?
Wie gesagt - Zertifikate sind zur Verschlüsselung gedacht, nicht zur Identifizierung...
Gruß,
Jörg
Äh - Let's encrypt?!?
Wie gesagt - Zertifikate sind zur Verschlüsselung gedacht, nicht zur Identifizierung...
Gruß,
Jörg
Zitat von @rzlbrnft:
Kennt ihr da Beispiele? Ich musste bisher zumindest immer einen Handelsregisterauszug angeben, wenn ich ein Zertifikat bestellen wollte.
Kennt ihr da Beispiele? Ich musste bisher zumindest immer einen Handelsregisterauszug angeben, wenn ich ein Zertifikat bestellen wollte.
z.B. symantec (oder auch andere CAs) haben munter eigene Zertifikate ausgestellt, um ihren MITM mit Ihrem Schlangenöl zu machen (andere machen das übrigens auch). Da nützt es gar nichts daß manche CAs das ernst nehmen,, wenn andere CAs das ganze unterlaufen. Und solange man nicht explizit selbst die CAs im Browser verifiziert hat, denen man vertrauen will, ist das ganze wertlos.
Nicht umsonst ist google dazu übergegeangen vermehrt zertificate pinning zu machen.
lks
Zitat von @117471:
Wie gesagt - Zertifikate sind zur Verschlüsselung gedacht, nicht zur Identifizierung...
Wie gesagt - Zertifikate sind zur Verschlüsselung gedacht, nicht zur Identifizierung...
Die Verschlüsselung ist i.d.R. wertlos, solange man den kommunikationspartner auch authentifiziert. Haben wir damals in dern 80ern als Fingerübung in Kryptograqfie nachgewiesen. Müßte mal nachschauen, ob ich die Unterlagen wiederfinden.
Hallo,
Jetzt wird es interessant
Die Authentifizierung erfolgt in dem Fall aber nicht über das Zertifikat, sondern an die Ressource (z.B. einen DNS-Hostnamen), an den dieses Zertifikat gebunden ist.
D.h., die Zertifizierungsstelle steht in der Verantwortung, die Beziehung zwischen Zertifikat und den involvierten Ressourcen sicherzustellen - mehr nicht! Siehe z.B. Let's Encrypt.
Ob die Ressource aber wirklich zum vermuteten bzw. gewünschten Kommunikationspartner gehört, wird nicht einheitlich geprüft. Der eine verlang einen Handelsregisterauszug, beim Anderen reicht es, die Hoheit über den Hostnamen zu demonstrieren (z.B. indem man darüber eine Datei via http erreichbar macht).
Insofern ist eine Identifizierung anhand dieser Beziehung nicht möblich bzw. nur dann möglich, wenn man seine Stammzertifikate auf die Butzen reduziert, deren Prozesse man detailliert kennt.
Gruß,
Jörg
Die Verschlüsselung ist i.d.R. wertlos, solange man den kommunikationspartner auch authentifiziert.
Jetzt wird es interessant
Die Authentifizierung erfolgt in dem Fall aber nicht über das Zertifikat, sondern an die Ressource (z.B. einen DNS-Hostnamen), an den dieses Zertifikat gebunden ist.
D.h., die Zertifizierungsstelle steht in der Verantwortung, die Beziehung zwischen Zertifikat und den involvierten Ressourcen sicherzustellen - mehr nicht! Siehe z.B. Let's Encrypt.
Ob die Ressource aber wirklich zum vermuteten bzw. gewünschten Kommunikationspartner gehört, wird nicht einheitlich geprüft. Der eine verlang einen Handelsregisterauszug, beim Anderen reicht es, die Hoheit über den Hostnamen zu demonstrieren (z.B. indem man darüber eine Datei via http erreichbar macht).
Insofern ist eine Identifizierung anhand dieser Beziehung nicht möblich bzw. nur dann möglich, wenn man seine Stammzertifikate auf die Butzen reduziert, deren Prozesse man detailliert kennt.
Gruß,
Jörg
1
SSL ist durch das unberechtigte Ausstellen von Master-Zertifikaten von Symantec an nicht vertrauenswürdige Zertifizierungsstellen kompromittiert worden. Und eine davon ist gehackt worden und hat später den Betrieb eingestellt. Das ist auch schon ein paar Jahre her - nciht Kaspersky ist böse sondern Symantec bzw. eine mittelrweile geschlossene CA in Holland bei der sich monatelang Hacker und Geheimdienste bedient haben. Von dort stammen auch Fake-Zertifikate für einige bekannte Domains, die dann ein Man-In-The-Middle-Attacke ermöglichen, insofern der Man in the Middle die Seite reparst und das neue Zertifikat unterjubelt. Auf diese Art und Weise sind schon Bürgerrechtler ausgeforscht worden und in der Ukraine war noch ein ähnlicher Vorfall mit Updates für eine Finanzsoftware, die dann ein Ransomware-verseuchtes Update von einem MITM-Server gesogen hat.
Ferner vertraut Google der Symantec Root-CA ab nächstes Jahr nicht mehr... woran das wohl liegt.
Ferner vertraut Google der Symantec Root-CA ab nächstes Jahr nicht mehr... woran das wohl liegt.
