Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Banking-App: Comdirect empfiehlt…

DAS Problem

  1. Thema

Neues Thema Ansicht wechseln


  1. DAS Problem

    Autor: quark2017 28.11.18 - 09:38

    Das Problem besteht im Grunde darin, dass der (normale, nicht sonderlich IT-sicherheits-affine) Nutzer gar nicht beurteilen kann, zu welcher Verbindung die Zertifikatswarnung gehört.

    Die App baut also mindestens zwei Verbindungen zu unterschiedlichen Domains mit unterschiedlichen Zertifikaten auf (allein das weiß der Nutzer normalerweise ja gar nicht).
    (A) unwichtige Verbindung zu outbank, um News abzurufen
    (B) kritische Verbindung zu comdirekt, um Bankgeschäfte abzuwickeln

    ComDirekt hat technisch gesehen zwar Recht, dass die Verbindung (B) weiterhin sicher ist.

    ABER:
    das gilt nur, wenn der App-Nutzer beurteilen kann, ob das angezeigte Ziel eine kritische Verbindung ist.
    Ich behaupte mal, dass 99% der App-Nutzer gar nicht wissen, ob die Verbindung zu "outbank.io" oder "comdirekt.de" kritisch einzustufen sind, oder nicht.
    Zumal es der überwiegenden Mehrheit dieser 99% gar nicht auffallen würde, welche URL dort in der Zertifikatswarnung aufgeführt ist.
    Daher sollte die Empfehlung für 99% der Nutzer lauten:
    Bei jeglichen Zertifikatswarnungen, Finger weg von der App Nutzung, bis der Fehler behoben ist.

    Das fatale ist nun, dass comDirekt einfach ihren Nutzern empfiehlt:
    Ach, Zertifikatswarnungen(!) könnt ihr gerade ignorieren - das Problem ist bekannt.

    Der unbedarfte Nutzer wird nun also - wenn gerade eine MiM-Attacke gegen ihn läuft - sämtliche Zertifikatswarnungen wegklicken und die App weiter nutzen.

    Und genau DAS ist fatal!
    Ganz davon abgesehen, dass nun viele Nutzer bei künftigen Zertifikatswarnungen (sei es aufgrund eines technischen Fehlers, oder aufgrund eines Angriffs) einfach denken werden:
    Ach, ist ja nicht so schlimm - kenn ich ja - muss ich nur wegklicken.



    3 mal bearbeitet, zuletzt am 28.11.18 09:43 durch quark2017.

  2. Re: DAS Problem

    Autor: LinuxMcBook 28.11.18 - 12:15

    quark2017 schrieb:
    --------------------------------------------------------------------------------
    > Der unbedarfte Nutzer wird nun also - wenn gerade eine MiM-Attacke gegen
    > ihn läuft - sämtliche Zertifikatswarnungen wegklicken und die App weiter
    > nutzen.
    >
    > Und genau DAS ist fatal!
    Nein, weil die App bei Problemen mit den Zertifikaten die entsprechende Verbindung gar nicht mehr nutzen soll, auch wenn der User die Warnung weg geklickt hat. Also, kein Problem bei der Comdirect App.

    > Ganz davon abgesehen, dass nun viele Nutzer bei künftigen
    > Zertifikatswarnungen (sei es aufgrund eines technischen Fehlers, oder
    > aufgrund eines Angriffs) einfach denken werden:
    > Ach, ist ja nicht so schlimm - kenn ich ja - muss ich nur wegklicken.
    Wenn die User Aufgrund des Hinweises von der Bank explizit zur App auch in anderen Anwendungen wie dem Browser Zertifikatswarnungen ignorieren, dann wird es fatal. Ja.

    Aber das Problem betrifft dann wieder nur andere Anwendungen und nicht die App der Comdirect.

  3. Re: DAS Problem

    Autor: chefin 28.11.18 - 15:57

    Wenn dir irgendjemand sagt, das du ruhig von der Brücke hüpfen kannst, das ist ungefährlich (weil die Brücke nur über einen 50cm tiefen Entwässerungsgraben geht, wirst du nicht von der Golden Gate Bridge deswegen hüpfen. Warum? Weil du sehen kannst.

    Im IT Sektor sind 99% der User blind. Sie wissen nicht, wie hoch etwas ist und wo die Unterschiede sind. Du weist das, daher tust du dir schwer zu begreifen, welches Problem die anderen Menschen haben. Aber ignorier mal dieses Wissen, dann merkst du schnell, wie gefährlich solche Hinweise werden können.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Universität Potsdam, Potsdam
  2. Hays AG, Wiesbaden (Home-Office möglich)
  3. AKDB, Regensburg
  4. UDG United Digital Group, Mainz, Herrenberg, Karlsruhe, Ludwigsburg, Hamburg

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. (u. a. Grafikkarten, Monitore, Mainboards)
  3. 259€ + Versand oder kostenlose Marktabholung (aktuell günstigste GTX 1070 Mini)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Zulassung autonomer Autos: Der Mensch fährt besser als gedacht
Zulassung autonomer Autos
Der Mensch fährt besser als gedacht

Mehrere Jahre haben Wissenschaftler und Autokonzerne an Testverfahren für einen Autobahnpiloten geforscht. Die Ergebnisse sprechen für den umfangreichen Einsatz von Simulation. Und gegen den schnellen Einsatz der Technik.
Von Friedhelm Greis

  1. Autonomes Fahren US-Post testet Überlandfahrten ohne Fahrer
  2. Mercedes-Sicherheitsstudie Wenn das Warndreieck autonom aus dem Auto fährt
  3. Einride T-Pod Autonomer Lkw fährt in Schweden Waren aus

Kontist, N26, Holvi: Neue Banking-Apps machen gute Angebote für Freelancer
Kontist, N26, Holvi
Neue Banking-Apps machen gute Angebote für Freelancer

Ein mobiles und dazu noch kostenloses Geschäftskonto für Freiberufler versprechen Startups wie Kontist, N26 oder Holvi. Doch sind die Newcomer eine Alternative zu den Freelancer-Konten der großen Filialbanken? Ja, sind sie - mit einer kleinen Einschränkung.
Von Björn König


    Strom-Boje Mittelrhein: Schwimmende Kraftwerke liefern Strom aus dem Rhein
    Strom-Boje Mittelrhein
    Schwimmende Kraftwerke liefern Strom aus dem Rhein

    Ein Unternehmen aus Bingen will die Strömung des Rheins nutzen, um elektrischen Strom zu gewinnen. Es installiert 16 schwimmende Kraftwerke in der Nähe des bekannten Loreley-Felsens.

    1. Speicherung von Überschussstrom Wasserstoff soll bei Engpässen helfen
    2. Energiewende DLR-Forscher bauen Kohlekraftwerke zu Stromspeichern um
    3. Erneuerbare Energien Wellenkraft als Konzentrat

    1. Core i9-9900KS: Intel legt mit vollen 5 GHz für acht CPU-Kerne vor
      Core i9-9900KS
      Intel legt mit vollen 5 GHz für acht CPU-Kerne vor

      Computex 2019 Nur wenige Stunden vor AMDs Präsentation hat Intel den Core i9-9900KS angekündigt: Der Octacore läuft mit 5 GHz, die dafür nötige Leistungsaufnahme aber verschweigt der Hersteller.

    2. Europawahlen: Schwere Verluste für Union und SPD, hohe Gewinne für Grüne
      Europawahlen
      Schwere Verluste für Union und SPD, hohe Gewinne für Grüne

      Bei der Europawahl 2019 haben die Regierungsparteien Union und SPD historisch schlecht abgeschnitten. Besonders profitieren konnten die Grünen. Während die Piraten viele Stimmen verloren, legte eine andere Kleinstpartei besonders stark zu.

    3. Briefe und Pakete: Bundesregierung will Rechte von Postkunden stärken
      Briefe und Pakete
      Bundesregierung will Rechte von Postkunden stärken

      Aufgrund gestiegener Beschwerden über Mängel bei der Post- und Paketzustellung will das Bundeswirtschaftsministerium die Rechte von Postkunden stärken. Dabei geht es auch um die Frage von Sanktionsmöglichkeiten.


    1. 03:45

    2. 20:12

    3. 11:31

    4. 11:17

    5. 10:57

    6. 13:20

    7. 12:11

    8. 11:40