@cofi Eben, Indizien. Keine Beweise. Um die Indizien richtig deuten zu können, benötigt man Kontext zum Zertifikatswechsel. Ein Wechsel des Zertifikats kann legitim sein, und kaum eine Firma posaunt Zertifikatswechsel in die Welt hinaus. Mitunter hat man also gar keine Chance, an den nötigen Kontext zu gelangen, als Experte nicht, als normaler Nutzer erst recht nicht.
Eine Lösung, die den Benutzer mit einbindet, ist ziemlich zwangsläufig eine ziemlich schlechte Lösung. Ich glaube nicht, dass ein einzelner Nutzer MITM gegen HTTPS wirklich unterbinden kann, selbst wenn er solche Addons verwendet. Zertifizierungspfade sind im Allgemeinen viel zu kompliziert, als dass man legitime von illegitimen unterscheiden könnte.
@Sirius3 Man kann Middleboxes für MITM-Angriffe gegen HTTPS kaufen. Im Prinzip ist daran auch nichts verwerfliches, denn es kann durchaus legitime Gründe geben, HTTPS-Verkehr zu überwachen, z.B. in einer Firma, die mit Industriespionage zu kämpfen hat.
@DasIch Nun ja, bezüglich X.509 wissen wir es besser. Wir wissen, dass X.509 diverse, inhärente Probleme hat (e.g. die unglaublich hohe Komplexität, die strikt vertikalen Trustbeziehungen, keine DNS Begrenzung, etc), und wir wissen zumindest in der Theorie, dass es bessere Systeme gibt, v.a. SPKI.
Mit dem Nutzer hat das wenig zu tun. Selbst unter der Annahme, dass jeder Nutzer versteht, was er tut, ist X.509 eine ziemlich schlechte PKI.
"Sicherer" Webseiten Login
Und dann der hier noch: http://xkcd.com/936/DasIch hat geschrieben:XKCD erklärt das Problem recht eindrücklich.
Ich freue mich immer über Meldungen, dass ein gewähltes Passwort nicht sicher wäre, da es kein Sonderzeichen enthalte.
Mal etwas ab vom Thema... alles was Internet, neue Medien und die ganze Sparte Technik anbelangt, werde wir als moderne Menschen zukünftig gezwungen sein mehr mit zu beschäftigen, wenn wir unsere Privatsphäre sichern wollen. Leider herrscht heutzutage (unabhängig vom Alter) ziemliches Desinteresse, was fast an narzistische Ignoranz gleicht, der Glaube alles sei gut und man müsse sich um nichts kümmern und "alles sei doch gar nicht so tragisch".
Um das Thema "Sicherheit" richtig zu bearbeiten, ist es nötig dass Serviceersteller und -nutzer sich mit dem Thema auseinandersetzen.
(Um nicht falsch verstanden zu werden: http://de.wikipedia.org/wiki/Narzissmus)
Um das Thema "Sicherheit" richtig zu bearbeiten, ist es nötig dass Serviceersteller und -nutzer sich mit dem Thema auseinandersetzen.
(Um nicht falsch verstanden zu werden: http://de.wikipedia.org/wiki/Narzissmus)
Oh ich hab hier ja was verpasst da ist man einmal nicht da
@ Blackjack Danke für die Hilfe...hast mir echt weiter geholfen...manchmal hat man auch tomaten auf den Augen.
@Ts
Ja ich bin ein kompletter neuling, hab keinen Plan und mach halt das was ich hin bekomme...leider nicht immer der schnellste einfachste und vor allem "schönste" Weg aber ich bemühe mich und ich erstelle auch irgendwie meine DB gerne selbst . Eigentlich bräuchte ich mal jemanden der sich meinen Code anschaut und komplett überarbeitet, mit einem Roten Marker anstreicht und sagt SO NICHT -> BESSER SO ...
@ Blackjack Danke für die Hilfe...hast mir echt weiter geholfen...manchmal hat man auch tomaten auf den Augen.
@Ts
Ja ich bin ein kompletter neuling, hab keinen Plan und mach halt das was ich hin bekomme...leider nicht immer der schnellste einfachste und vor allem "schönste" Weg aber ich bemühe mich und ich erstelle auch irgendwie meine DB gerne selbst . Eigentlich bräuchte ich mal jemanden der sich meinen Code anschaut und komplett überarbeitet, mit einem Roten Marker anstreicht und sagt SO NICHT -> BESSER SO ...
- jens
- Python-Forum Veteran
- Beiträge: 8502
- Registriert: Dienstag 10. August 2004, 09:40
- Wohnort: duisburg
- Kontaktdaten:
Meine Gedanken zum Thema Sicherer Login: http://www.pylucid.org/permalink/42/sic ... ohne-https
Dabei gilt: Wenn man auf deinem Server https hat, kann und sollte man es mit dem JS-SHA1 Login kombinieren!
Dabei gilt: Wenn man auf deinem Server https hat, kann und sollte man es mit dem JS-SHA1 Login kombinieren!
In welchem Paper kann ich den genauen Algorithmus und eine Analyse nachlesen und wieviele und welche Kryptographen haben es schon analysiert?jens hat geschrieben:Meine Gedanken zum Thema Sicherer Login: http://www.pylucid.org/permalink/42/sic ... ohne-https
Dabei gilt: Wenn man auf deinem Server https hat, kann und sollte man es mit dem JS-SHA1 Login kombinieren!
Mal abgesehen davon dass es ziemlich egal ist wie sicher der Login selbst ist, zumindest für die allermeisten Angriffe.
-
- Python-Forum Veteran
- Beiträge: 16025
- Registriert: Freitag 20. Juni 2003, 16:30
- Kontaktdaten:
Und das bringt dann was? Wenn man HTTPS hat, was bringt einem JS-SHA1 dann noch? Außer Leute mit NoScript auszugrenzen?jens hat geschrieben:Dabei gilt: Wenn man auf deinem Server https hat, kann und sollte man es mit dem JS-SHA1 Login kombinieren!
My god, it's full of CARs! | Leonidasvoice vs (former) Modvoice