Liest eigentlich jemand die News...

Dieses Thema im Forum "WHL Direkt" wurde erstellt von darkstar, 7. April 2015.

  1. darkstar

    darkstar Erfahrener Benutzer

    Registriert seit:
    24. Januar 2001
    Beiträge:
    1.105
    Hallo WHL-Team,

    liest eigentlich jemand die News bevor sie veroeffentlicht werden?

    Beispiele:
    - Rechtschreibung: Lautet der korrekte Firmenname in der Ueberschrift Paralells oder Parallels? Der weitere Text laesst eine Entwicklung zum Besseren vermuten ;-)
    - Inhalt: PSW Group zum Thema "Falsche Google-Zertifikate signiert"
    Das hat primaer nichts mit Google zu tun sondern richtigerweise mit allen SSL-verschluesselten Seiten, auf die ueber den Proxy zugegriffen wurde. Es handelt sich um einen Man-in-the-middle-Angriff wie unter 3) im Thread http://forum.webhostlist.de/security/132253-https-loesung-oder-problem.html#post770991 beschrieben, diesmal allerdings mit einem offiziellen Zwischenzertifikat. Da kann auch der Webseitenbetreiber (Server) nichts dran tun - auch nicht mit EV-Zertifikaten. Der werbliche Anteil laeuft damit ins Leere. Der Client muesste schlieszlich erstmal wissen, dass da kein gruener Balken mehr ist, wo zuvor einer war. Im weiteren wird (richtigerweise) auch nur beschrieben, was der Client tun koennte, um das SSL-System fuer sich sicherer zu gestalten bzw. zu fixen.

    Das nur mal als Denkanstosz in Richtung fachlich korrekter Meldungen.

    MfG
    darkstar
     
  2. cheutger

    cheutger New Member

    Registriert seit:
    18. Januar 2015
    Beiträge:
    12
    AW: Liest eigentlich jemand die News...

    Das ist nicht ganz richtig, denn seit Anfang des Jahres nutzen EV-Zertifikate Certificate Transparency und kann damit eine Ausstellung durch eine andere CA clientseitig erkannt und entsprechend davor gewarnt werden, CT wird insbesondere von Google gepushed. Weiterhin könnte sich der Websitebetreiber mittels Certificate Pinnning schützen. Letztendlich ist aber genau das (ein EV erkennen und erwarten) notwendige Awarenessschaffung, denn nur so kann man sicher sein, tatsächlich sich auf der korrekten Website zu befinden und mit wem man seine Informationen austauscht. DV ist hier absolut unzureichend.
     

Diese Seite empfehlen