Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Banking-App: Comdirect empfiehlt…

DAS Problem

  1. Thema

Neues Thema Ansicht wechseln


  1. DAS Problem

    Autor: quark2017 28.11.18 - 09:38

    Das Problem besteht im Grunde darin, dass der (normale, nicht sonderlich IT-sicherheits-affine) Nutzer gar nicht beurteilen kann, zu welcher Verbindung die Zertifikatswarnung gehört.

    Die App baut also mindestens zwei Verbindungen zu unterschiedlichen Domains mit unterschiedlichen Zertifikaten auf (allein das weiß der Nutzer normalerweise ja gar nicht).
    (A) unwichtige Verbindung zu outbank, um News abzurufen
    (B) kritische Verbindung zu comdirekt, um Bankgeschäfte abzuwickeln

    ComDirekt hat technisch gesehen zwar Recht, dass die Verbindung (B) weiterhin sicher ist.

    ABER:
    das gilt nur, wenn der App-Nutzer beurteilen kann, ob das angezeigte Ziel eine kritische Verbindung ist.
    Ich behaupte mal, dass 99% der App-Nutzer gar nicht wissen, ob die Verbindung zu "outbank.io" oder "comdirekt.de" kritisch einzustufen sind, oder nicht.
    Zumal es der überwiegenden Mehrheit dieser 99% gar nicht auffallen würde, welche URL dort in der Zertifikatswarnung aufgeführt ist.
    Daher sollte die Empfehlung für 99% der Nutzer lauten:
    Bei jeglichen Zertifikatswarnungen, Finger weg von der App Nutzung, bis der Fehler behoben ist.

    Das fatale ist nun, dass comDirekt einfach ihren Nutzern empfiehlt:
    Ach, Zertifikatswarnungen(!) könnt ihr gerade ignorieren - das Problem ist bekannt.

    Der unbedarfte Nutzer wird nun also - wenn gerade eine MiM-Attacke gegen ihn läuft - sämtliche Zertifikatswarnungen wegklicken und die App weiter nutzen.

    Und genau DAS ist fatal!
    Ganz davon abgesehen, dass nun viele Nutzer bei künftigen Zertifikatswarnungen (sei es aufgrund eines technischen Fehlers, oder aufgrund eines Angriffs) einfach denken werden:
    Ach, ist ja nicht so schlimm - kenn ich ja - muss ich nur wegklicken.



    3 mal bearbeitet, zuletzt am 28.11.18 09:43 durch quark2017.

  2. Re: DAS Problem

    Autor: LinuxMcBook 28.11.18 - 12:15

    quark2017 schrieb:
    --------------------------------------------------------------------------------
    > Der unbedarfte Nutzer wird nun also - wenn gerade eine MiM-Attacke gegen
    > ihn läuft - sämtliche Zertifikatswarnungen wegklicken und die App weiter
    > nutzen.
    >
    > Und genau DAS ist fatal!
    Nein, weil die App bei Problemen mit den Zertifikaten die entsprechende Verbindung gar nicht mehr nutzen soll, auch wenn der User die Warnung weg geklickt hat. Also, kein Problem bei der Comdirect App.

    > Ganz davon abgesehen, dass nun viele Nutzer bei künftigen
    > Zertifikatswarnungen (sei es aufgrund eines technischen Fehlers, oder
    > aufgrund eines Angriffs) einfach denken werden:
    > Ach, ist ja nicht so schlimm - kenn ich ja - muss ich nur wegklicken.
    Wenn die User Aufgrund des Hinweises von der Bank explizit zur App auch in anderen Anwendungen wie dem Browser Zertifikatswarnungen ignorieren, dann wird es fatal. Ja.

    Aber das Problem betrifft dann wieder nur andere Anwendungen und nicht die App der Comdirect.

  3. Re: DAS Problem

    Autor: chefin 28.11.18 - 15:57

    Wenn dir irgendjemand sagt, das du ruhig von der Brücke hüpfen kannst, das ist ungefährlich (weil die Brücke nur über einen 50cm tiefen Entwässerungsgraben geht, wirst du nicht von der Golden Gate Bridge deswegen hüpfen. Warum? Weil du sehen kannst.

    Im IT Sektor sind 99% der User blind. Sie wissen nicht, wie hoch etwas ist und wo die Unterschiede sind. Du weist das, daher tust du dir schwer zu begreifen, welches Problem die anderen Menschen haben. Aber ignorier mal dieses Wissen, dann merkst du schnell, wie gefährlich solche Hinweise werden können.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Dataport, verschiedene Standorte
  2. wenglor sensoric GmbH, Tettnang am Bodensee
  3. STRABAG BRVZ GMBH & CO.KG, Stuttgart
  4. FREICON GmbH & Co. KG, Freiburg

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 23,99€
  2. 349,00€ (inkl. Call of Duty: Black Ops 4 & Fortnite Counterattack Set)


Haben wir etwas übersehen?

E-Mail an news@golem.de


IT-Jobporträt Spieleprogrammierer: Ich habe mehr Code gelöscht als geschrieben
IT-Jobporträt Spieleprogrammierer
"Ich habe mehr Code gelöscht als geschrieben"

Wenn man im Game durch die weite Steppe reitet, auf Renaissance-Hausdächern kämpft oder stundenlang Rätsel löst, fragt man sich manchmal, wer das alles in Code geschrieben hat. Ein Spieleprogrammierer von Ubisoft sagt: Wer in dem Traumjob arbeiten will, braucht vor allem Geduld.
Von Maja Hoock

  1. Recruiting Wenn die KI passende Mitarbeiter findet
  2. Softwareentwicklung Agiles Arbeiten - ein Fallbeispiel
  3. IT-Jobs Ein Jahr als Freelancer

Karma-Spyware: Wie US-Auftragsspione beliebige iPhones hackten
Karma-Spyware
Wie US-Auftragsspione beliebige iPhones hackten

Eine Spionageabteilung im Auftrag der Vereinigten Arabischen Emirate soll die iPhones von Aktivisten, Diplomaten und ausländischen Regierungschefs gehackt haben. Das Tool sei wie Weihnachten gewesen, sagte eine frühere NSA-Mitarbeiterin und Ex-Kollegin von Edward Snowden.
Ein Bericht von Friedhelm Greis

  1. Update O2-Nutzer berichten über eSIM-Ausfälle beim iPhone
  2. Apple iPhone 11 soll Trio-Kamerasystem erhalten
  3. iPhone mit eSIM im Test Endlich Dual-SIM auf dem iPhone

Enterprise Resource Planning: Drei Gründe für das Scheitern von SAP-Projekten
Enterprise Resource Planning
Drei Gründe für das Scheitern von SAP-Projekten

Projekte mit der Software von SAP? Da verdrehen viele IT-Experten die Augen. Prominente Beispiele von Lidl und Haribo aus dem vergangenen Jahr scheinen diese These zu bestätigen: Gerade SAP-Projekte laufen selten in time, in budget und in quality. Dafür gibt es Gründe - und Gegenmaßnahmen.
Von Markus Kammermeier


    1. Datenschutz: 18.000 Android-Apps spionieren Nutzer unzulässig aus
      Datenschutz
      18.000 Android-Apps spionieren Nutzer unzulässig aus

      Selbst populäre Apps mit Hunderten Millionen Nutzern verstoßen gegen die Werberichtlinien von Google. Das Unternehmen reagierte monatelang nicht auf die Vorwürfe.

    2. Erneuerbare Energien: Shell übernimmt Heimakku-Hersteller Sonnen
      Erneuerbare Energien
      Shell übernimmt Heimakku-Hersteller Sonnen

      Der Erdölkonzern Shell setzt sein Engagement im Bereich erneuerbare Energien fort. Nun kauft das Unternehmen einen Konkurrenten für Teslas Powerwalls aus dem Allgäu.

    3. Wochenrückblick: Kein Download vom Mars, kein Upload ins Netz
      Wochenrückblick
      Kein Download vom Mars, kein Upload ins Netz

      Golem.de-Wochenrückblick EU-Unterhändler bürokratisieren mit Leistungsschutzrecht und Uploadfilter das Internet. Am Mars geht Opportunity in Rente. Zurück auf der Erde fühlen wir uns eingeschnürt.


    1. 13:16

    2. 11:39

    3. 09:02

    4. 19:17

    5. 18:18

    6. 17:45

    7. 16:20

    8. 15:42