http://www.heise.de/newsticker/Black-Hat-Neue-Angriffsmethoden-auf-SSL-vorgestellt--/meldung/133167 - o -
Hast du das mal gelesen? Der Angriff ziehlt aber nicht direkt auf das Knacken einer SSL-Verbindung ab, sondern macht sich zunutze, dass Anwender in der Regel nie eine Seite mit einem vorangestellten https:// aufrufen. Vielmehr rufen sie zunächst die unverschlüsselte Seite auf und klicken dann einen Button, der etwa zur (vermeintlich verschlüsselten) Log-in-Seite führt. [...] Zwar zeigt der Browser dann auch nicht an, dass die Verbindung geschützt sei, und in der Adresszeile steht auch nur http://. Mit der Anzeige eines Schloßsymbols als Favicon sollen sich aber viele Anwender zufriedengeben und keinen Verdacht schöpfen, dass etwas nicht stimme. SUPER Angriff.!
LOL These: Der Angriff ist gut. Beweis: Es fallen genug Leute drauf rein. QED. Technisch gesehen ists natürlich ein Lacher ;-)
> das einzige was sicher ist, ist das nichts mehr sicher ist.
So ist das Leben. Mit einem gesunden (!) Mass an Vorsicht und Misstrauen
geht's aber ganz ordentlich.
Wenn man https angezeigt bekommt, dann werden die Daten wenigstens verschlüsselt zum phishing Betrüger übertragen.
Stefan Helmert wrote: > Wenn man https angezeigt bekommt, dann werden die Daten wenigstens > verschlüsselt zum phishing Betrüger übertragen. Äh - nein. Wenn es echtes HTTPS wäre, ginge der Angriff eben nicht mehr. Der besteht daraus, dass du ein schönes Favicon nimmst, während du umleitest.
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.