veers hat geschrieben:Lunar hat geschrieben:Vielleicht, weil das nun mal so ist?
Dann erzähl mir mal welche zusätzlichen Attacken auf eine nicht authentifizierte verschlüsselte Verbindung möglich sind - aber nicht auf eine Plaintext Verbindung möglich sind.
[ ] Du hast mein Posting gelesen
Ich habe nicht gesagt, es wären andere Angriffe möglich, ich habe gesagt, die Auswirkungen eines Angriffs auf SSL-Verbindungen wären gravierender als die eines Angriffs auf eine HTTP-Verbindung, weil SSL-Verbindungen in der Regel sensible Daten schützen.
Anders gesagt: Ich gehe nicht daran unter, wenn mein Python-Forum-Passwort gepisht wird, aber es wäre ziemlich beschissen für mich, wenn man meine Bankdaten oder meinen Amazonaccount brechen würde.
Lunar hat geschrieben:Möglich ... ich persönlich finde diese Warnung gut. Sie verlangt explizit, eine _Ausnahme_ für eine unsichere Seite hinzuzufügen. Der alte Warndialog wurde ja immer nur einfach weggeklickt.
Dann müsstest du ja für jede HTTP Seite eine vergleichbare Warnung anzeigen.[/quote]
So? Und warum glaubst du dann, erscheint die Adressleiste bei FF gelb, wenn die Seite verschlüsselt ist?
Warum eine richtige Warnung da unsinnig ist, aber ich dir jetzt schon zweimal versucht zu erklären.
lunar hat geschrieben:So generell stimmt das auch wieder nicht. Zertifikate haben genau wie GPG Schlüssel einen Fingerprint, den man auch auf ähnlichen Wege überprüfen kann.
Ja, das ist mal das eine. Aber in vielen fällen ist es mir relativ egal wenn da ein Angreifer mit hört. Ich will bloss eine Seite aufrufen und Informationen von dieser beziehen.
Es gibt für mich gena
lunar hat geschrieben:Oder eben ne eigene firmen-intere Root-CA aufbauen, wenn es um Intranet-Sites geht.
Mhhh, wenn ich überlege, gehen bei mir über die meisten SSl-Verbindungen Daten, die ich ungern in fremden Händen sehen würde.