[Berlin-wireless] Re2: W-Lan Catcher

elektra onelektra
Mo Dez 10 19:48:28 CET 2007


Schöne Analyse ;-)


> Daniel Nitzpon wrote:
> > du meinst das "das zertifikat ist ausgestellt für phishing.bka.de, nicht
> > für terminplanung.al-quaida.org" mit aufflackern? denn das sollte sich
> > doch bemerkbar machen, oder?
> > imho fällt das den meisten deutlich mehr auf, als ob eine verbindung
> > verschlüsselt ist oder nicht.
>
> Nicht unbedingt. Ist dasselbe Problem, weshalb das
> Vista-Sicherheitskonzept als Fehlerhaft angesehen wird: Zertifikate und
> https-Verbindungen rufen erstmal beim (unbedarften Standard-"DAU"-)User
> ein erhöhtes Sicherheitsgefühl hervor, was er gerne mit dem "wegklicken"
> von ein paar Browser-Popupmeldungen zu bezahlen bereit ist. Aber wie
> viele von den Leuten schauen sich bei der "Zertifikat"-Meldung, und der
> Frage ob man das Zertifikat akzeptieren will, auch schon das Zertifikat
> genau an? Dazu müsste man ja noch zwei, dreimal rumklicken - und das
> hält einen davon ab, was man eigentlich wollte: Nämlich den Inhalt der
> Seite ansehen! Also, einfach schnell 2-3mal Okay klicken, husch-husch,
> hauptsache man bekommt was man will, lesen der Meldung nicht notwendig
> ("steht ja eh immer fast dasselbe drin!" Sowas habe ich schon Leute
> sagen hören! ;-))
> Das geht dann schon *fast* in Richtung "Security by Obscurity", bzw. der
> selbstgewählten Form dieses Prinzips, indem die Bequemlichkeit des
> Anwenders seine Angst/Sicherheitsbedürfnis idR überspielt.
>
> Also: Alles zweischneidig! Je häufiger Zertifikate und https bei Seiten,
> die nichts mit Homebanking oder anderen Übertragungen sensibler
> persönlicher Daten zu tun haben, angewandt wird, desto niedriger wird
> das anwenderseitige Toleranzlevel gegenüber diesen Technologien. Mal
> ehrlich: Wenn ich z.B. in einem Weblog *lesen* will (nicht: Daten z.B.
> in Form von Kommentaren an dieses übertragen will) - wozu brauche ich
> dann eine https-Verbindung und ein Zertifikat? Ich meine, als
> Normalanwender, der sicherheitstechnisch "unbedarft" ist. Darauf lässt
> sich seitens der Überwacher natürlich gut bauen, außer vielleicht bei
> Terroristen, die sich einfach die notwendigen Kenntnisse aneignen, um
> durch die Maschen des Überwachungsnetzes hindurchzugleiten (aber das war
> ja sowieso nie das Ziel der Überwachungsgesetze)...
>
>
> Viele Grüße,
>
> Norm at n
> _______________________________________________
> Berlin mailing list
> Berlin at berlin.freifunk.net
> http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin






Mehr Informationen über die Mailingliste Berlin