Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Banking-App: Comdirect empfiehlt…

DAS Problem

  1. Thema

Neues Thema Ansicht wechseln


  1. DAS Problem

    Autor: quark2017 28.11.18 - 09:38

    Das Problem besteht im Grunde darin, dass der (normale, nicht sonderlich IT-sicherheits-affine) Nutzer gar nicht beurteilen kann, zu welcher Verbindung die Zertifikatswarnung gehört.

    Die App baut also mindestens zwei Verbindungen zu unterschiedlichen Domains mit unterschiedlichen Zertifikaten auf (allein das weiß der Nutzer normalerweise ja gar nicht).
    (A) unwichtige Verbindung zu outbank, um News abzurufen
    (B) kritische Verbindung zu comdirekt, um Bankgeschäfte abzuwickeln

    ComDirekt hat technisch gesehen zwar Recht, dass die Verbindung (B) weiterhin sicher ist.

    ABER:
    das gilt nur, wenn der App-Nutzer beurteilen kann, ob das angezeigte Ziel eine kritische Verbindung ist.
    Ich behaupte mal, dass 99% der App-Nutzer gar nicht wissen, ob die Verbindung zu "outbank.io" oder "comdirekt.de" kritisch einzustufen sind, oder nicht.
    Zumal es der überwiegenden Mehrheit dieser 99% gar nicht auffallen würde, welche URL dort in der Zertifikatswarnung aufgeführt ist.
    Daher sollte die Empfehlung für 99% der Nutzer lauten:
    Bei jeglichen Zertifikatswarnungen, Finger weg von der App Nutzung, bis der Fehler behoben ist.

    Das fatale ist nun, dass comDirekt einfach ihren Nutzern empfiehlt:
    Ach, Zertifikatswarnungen(!) könnt ihr gerade ignorieren - das Problem ist bekannt.

    Der unbedarfte Nutzer wird nun also - wenn gerade eine MiM-Attacke gegen ihn läuft - sämtliche Zertifikatswarnungen wegklicken und die App weiter nutzen.

    Und genau DAS ist fatal!
    Ganz davon abgesehen, dass nun viele Nutzer bei künftigen Zertifikatswarnungen (sei es aufgrund eines technischen Fehlers, oder aufgrund eines Angriffs) einfach denken werden:
    Ach, ist ja nicht so schlimm - kenn ich ja - muss ich nur wegklicken.



    3 mal bearbeitet, zuletzt am 28.11.18 09:43 durch quark2017.

  2. Re: DAS Problem

    Autor: LinuxMcBook 28.11.18 - 12:15

    quark2017 schrieb:
    --------------------------------------------------------------------------------
    > Der unbedarfte Nutzer wird nun also - wenn gerade eine MiM-Attacke gegen
    > ihn läuft - sämtliche Zertifikatswarnungen wegklicken und die App weiter
    > nutzen.
    >
    > Und genau DAS ist fatal!
    Nein, weil die App bei Problemen mit den Zertifikaten die entsprechende Verbindung gar nicht mehr nutzen soll, auch wenn der User die Warnung weg geklickt hat. Also, kein Problem bei der Comdirect App.

    > Ganz davon abgesehen, dass nun viele Nutzer bei künftigen
    > Zertifikatswarnungen (sei es aufgrund eines technischen Fehlers, oder
    > aufgrund eines Angriffs) einfach denken werden:
    > Ach, ist ja nicht so schlimm - kenn ich ja - muss ich nur wegklicken.
    Wenn die User Aufgrund des Hinweises von der Bank explizit zur App auch in anderen Anwendungen wie dem Browser Zertifikatswarnungen ignorieren, dann wird es fatal. Ja.

    Aber das Problem betrifft dann wieder nur andere Anwendungen und nicht die App der Comdirect.

  3. Re: DAS Problem

    Autor: chefin 28.11.18 - 15:57

    Wenn dir irgendjemand sagt, das du ruhig von der Brücke hüpfen kannst, das ist ungefährlich (weil die Brücke nur über einen 50cm tiefen Entwässerungsgraben geht, wirst du nicht von der Golden Gate Bridge deswegen hüpfen. Warum? Weil du sehen kannst.

    Im IT Sektor sind 99% der User blind. Sie wissen nicht, wie hoch etwas ist und wo die Unterschiede sind. Du weist das, daher tust du dir schwer zu begreifen, welches Problem die anderen Menschen haben. Aber ignorier mal dieses Wissen, dann merkst du schnell, wie gefährlich solche Hinweise werden können.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. igefa IT-Service GmbH & Co. KG, Ahrensfelde bei Berlin, Dresden
  2. mobilcom-debitel GmbH, Büdelsdorf
  3. Heinrich-Heine-Universität, Düsseldorf
  4. Auswärtiges Amt, Berlin

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. 49,70€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Astronomie: K2-18b ist weder eine zweite Erde noch super
Astronomie
K2-18b ist weder eine zweite Erde noch super

Die Realität sieht anders aus, als manche Überschrift vermuten lässt. Die neue Entdeckung von Wasser auf einem Exoplaneten deutet nicht auf Leben hin, dafür aber auf Probleme im Wissenschaftsbetrieb.
Von Frank Wunderlich-Pfeiffer

  1. Interview Heino Falcke "Wir machen Wettermodelle für schwarze Löcher"

Hue Sync: Hue-Effektbeleuchtung dank HDMI-Splitter einfacher nutzbar
Hue Sync
Hue-Effektbeleuchtung dank HDMI-Splitter einfacher nutzbar

Mit Hue Sync können Philips-Hue-Nutzer ihre Lampen passend zu Filmen oder Musik aufleuchten lassen - bisher aber nur recht umständlich über einen PC. Die neue Play HDMI Sync Box ist ein Splitter mit eingebautem Hue-Sync-Controller, an den einfach Konsolen oder Blu-ray-Player angeschlossen werden können.
Ein Hands on von Tobias Költzsch

  1. Signify Kleiner Schalter und Steckdose für Philips Hue
  2. Smart Home Philips-Hue-Leuchtmittel mit Bluetooth
  3. Smart Home Philips Hue mit Außenbewegungsmelder und neuen Außenlampen

Ryzen 7 3800X im Test: Der schluckt zu viel
Ryzen 7 3800X im Test
"Der schluckt zu viel"

Minimal mehr Takt, vor allem aber ein höheres Power-Budget für gestiegene Frequenzen unter Last: Das war unsere Vorstellung vor dem Test des Ryzen 7 3800X. Doch die Achtkern-CPU überrascht negativ, weil AMD es beim günstigeren 3700X bereits ziemlich gut meinte.
Ein Test von Marc Sauter

  1. Agesa 1003abba Microcode-Update taktet Ryzen 3000 um 50 MHz höher
  2. Agesa 1003abb Viele ältere Platinen erhalten aktuelles UEFI für Ryzen 3000
  3. Ryzen 5 3400G und Ryzen 3 3200G im Test Picasso passt

  1. 16-Kern-CPU: Ryzen 9 3950X erscheint mit Threadripper v3 im November
    16-Kern-CPU
    Ryzen 9 3950X erscheint mit Threadripper v3 im November

    AMD verschiebt den Start des Ryzen 9 3950X von September 2019 auf November, dann sollen auch die Threadripper v3 erhältlich sein. Man wolle erst die Verfügbarkeit der kleineren Ryzen-Modelle sicherstellen.

  2. IT-Konsolidierung des Bundes: Beschaffter Hardware droht vollständige Abgeschreibung
    IT-Konsolidierung des Bundes
    Beschaffter Hardware droht vollständige Abgeschreibung

    Im Projekt IT-Konsolidierung der Bundesregierung droht jetzt eine teure Klage und die Abschreibung von bereits beschaffter Hardware. Der Streit läuft zwischen dem staatlichen Systemhaus BWI und dem Bundesinnenministerium.

  3. 1 bis 4 MBit/s: Bürgerinitiative bringt Deutsche Glasfaser zum Ausbau
    1 bis 4 MBit/s
    Bürgerinitiative bringt Deutsche Glasfaser zum Ausbau

    Einige Dörfer in Niedersachsen machen es ähnlich wie früher Google Fiberhoods. Sie schließen sich zusammen, um eine bessere Versorgung durchzusetzen: Von 1 MBit/s auf 1 GBit/s, nur mit der Deutschen Glasfaser.


  1. 19:00

  2. 18:30

  3. 17:55

  4. 16:56

  5. 16:50

  6. 16:00

  7. 15:46

  8. 14:58