Menü
Avatar von Smilingboy
  • Smilingboy

mehr als 1000 Beiträge seit 28.03.2003

Re: Die Liste ist fehlerhaft

2xtreme4u schrieb am 15. Oktober 2014 14:23

> Sollte ich etwas übersehen haben, warum die Bank Anwender "zwingt",
> wie Du geschrieben hast, einen unsicheren Browser zu verwenden, wäre
> ich für eine info dankbar - das sehe ich nämlich genau nicht.

Seit heute ist ein Browser nur sicher, wenn SSLv3 ausgeschaltet ist,
da die meisten Server SSLv3 noch angeschaltet haben, um Besuchern mit
XP+IE6 überhaupt eine Verschlüsselung anbieten zu können.  Mit POODLE
können jetzt aber auch moderne Browser dazu gebracht werden, SSLv3 zu
verwenden, und gleichzeitig besteht noch eine Attacke auf die
verschlüsselten Daten, z.B. Session-Cookies.

Wenn ich mit einem Browser, auf dem SSLv3 abgeschaltet ist, versuche,
https://www.citibank.com/ aufzurufen, bekomme ich eine
SSL-Fehlermeldung und die Seite wird nicht aufgerufen.

Klar, wenn ich schon weiß, dass ich eigentlich auf
https://online.citibank.com/ gehen sollte, ist das kein Problem. 
Würde ich aber nicht unbedingt wissen, selbst wenn ich Kunde wäre.

Daher habe ich zwei Möglichkeiten, wenn ich online.citibank.com nicht
kenne:

- eine unsichere Browserkonfiguration verwenden; oder
- die nicht verschlüsselte Seite http://www.citibank.com/ aufrufen,
wo ich dann bei einer MitM-Attacke auf eine andere Seite
weitergeleitet werden kann.

Es gibt keine Entschuldigung: Das ist ein richtiger Fuck-up und
peinlich für eine Finanzinstitution, die bei Verschlüsselung
eigentlich immer den aktuellen Stand der Technik anwenden sollten.


Bewerten
- +
Anzeige