[Berlin-wireless] Re2: W-Lan Catcher

Norm@nSteinbach norm
Mo Dez 10 17:50:06 CET 2007 

Daniel Nitzpon wrote:
> du meinst das "das zertifikat ist ausgestellt für phishing.bka.de, nicht 
> für terminplanung.al-quaida.org" mit aufflackern? denn das sollte sich 
> doch bemerkbar machen, oder?
> imho fällt das den meisten deutlich mehr auf, als ob eine verbindung 
> verschlüsselt ist oder nicht.

Nicht unbedingt. Ist dasselbe Problem, weshalb das 
Vista-Sicherheitskonzept als Fehlerhaft angesehen wird: Zertifikate und 
https-Verbindungen rufen erstmal beim (unbedarften Standard-"DAU"-)User 
ein erhöhtes Sicherheitsgefühl hervor, was er gerne mit dem "wegklicken" 
von ein paar Browser-Popupmeldungen zu bezahlen bereit ist. Aber wie 
viele von den Leuten schauen sich bei der "Zertifikat"-Meldung, und der 
Frage ob man das Zertifikat akzeptieren will, auch schon das Zertifikat 
genau an? Dazu müsste man ja noch zwei, dreimal rumklicken - und das 
hält einen davon ab, was man eigentlich wollte: Nämlich den Inhalt der 
Seite ansehen! Also, einfach schnell 2-3mal Okay klicken, husch-husch, 
hauptsache man bekommt was man will, lesen der Meldung nicht notwendig 
("steht ja eh immer fast dasselbe drin!" Sowas habe ich schon Leute 
sagen hören! ;-))
Das geht dann schon *fast* in Richtung "Security by Obscurity", bzw. der 
selbstgewählten Form dieses Prinzips, indem die Bequemlichkeit des 
Anwenders seine Angst/Sicherheitsbedürfnis idR überspielt.

Also: Alles zweischneidig! Je häufiger Zertifikate und https bei Seiten, 
die nichts mit Homebanking oder anderen Übertragungen sensibler 
persönlicher Daten zu tun haben, angewandt wird, desto niedriger wird 
das anwenderseitige Toleranzlevel gegenüber diesen Technologien. Mal 
ehrlich: Wenn ich z.B. in einem Weblog *lesen* will (nicht: Daten z.B. 
in Form von Kommentaren an dieses übertragen will) - wozu brauche ich 
dann eine https-Verbindung und ein Zertifikat? Ich meine, als 
Normalanwender, der sicherheitstechnisch "unbedarft" ist. Darauf lässt 
sich seitens der Überwacher natürlich gut bauen, außer vielleicht bei 
Terroristen, die sich einfach die notwendigen Kenntnisse aneignen, um 
durch die Maschen des Überwachungsnetzes hindurchzugleiten (aber das war 
ja sowieso nie das Ziel der Überwachungsgesetze)...


Viele Grüße,

Norm at n

Mehr Informationen über die Mailingliste Berlin