Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Banking-App: Comdirect empfiehlt…

DAS Problem

  1. Thema

Neues Thema Ansicht wechseln


  1. DAS Problem

    Autor: quark2017 28.11.18 - 09:38

    Das Problem besteht im Grunde darin, dass der (normale, nicht sonderlich IT-sicherheits-affine) Nutzer gar nicht beurteilen kann, zu welcher Verbindung die Zertifikatswarnung gehört.

    Die App baut also mindestens zwei Verbindungen zu unterschiedlichen Domains mit unterschiedlichen Zertifikaten auf (allein das weiß der Nutzer normalerweise ja gar nicht).
    (A) unwichtige Verbindung zu outbank, um News abzurufen
    (B) kritische Verbindung zu comdirekt, um Bankgeschäfte abzuwickeln

    ComDirekt hat technisch gesehen zwar Recht, dass die Verbindung (B) weiterhin sicher ist.

    ABER:
    das gilt nur, wenn der App-Nutzer beurteilen kann, ob das angezeigte Ziel eine kritische Verbindung ist.
    Ich behaupte mal, dass 99% der App-Nutzer gar nicht wissen, ob die Verbindung zu "outbank.io" oder "comdirekt.de" kritisch einzustufen sind, oder nicht.
    Zumal es der überwiegenden Mehrheit dieser 99% gar nicht auffallen würde, welche URL dort in der Zertifikatswarnung aufgeführt ist.
    Daher sollte die Empfehlung für 99% der Nutzer lauten:
    Bei jeglichen Zertifikatswarnungen, Finger weg von der App Nutzung, bis der Fehler behoben ist.

    Das fatale ist nun, dass comDirekt einfach ihren Nutzern empfiehlt:
    Ach, Zertifikatswarnungen(!) könnt ihr gerade ignorieren - das Problem ist bekannt.

    Der unbedarfte Nutzer wird nun also - wenn gerade eine MiM-Attacke gegen ihn läuft - sämtliche Zertifikatswarnungen wegklicken und die App weiter nutzen.

    Und genau DAS ist fatal!
    Ganz davon abgesehen, dass nun viele Nutzer bei künftigen Zertifikatswarnungen (sei es aufgrund eines technischen Fehlers, oder aufgrund eines Angriffs) einfach denken werden:
    Ach, ist ja nicht so schlimm - kenn ich ja - muss ich nur wegklicken.



    3 mal bearbeitet, zuletzt am 28.11.18 09:43 durch quark2017.

  2. Re: DAS Problem

    Autor: LinuxMcBook 28.11.18 - 12:15

    quark2017 schrieb:
    --------------------------------------------------------------------------------
    > Der unbedarfte Nutzer wird nun also - wenn gerade eine MiM-Attacke gegen
    > ihn läuft - sämtliche Zertifikatswarnungen wegklicken und die App weiter
    > nutzen.
    >
    > Und genau DAS ist fatal!
    Nein, weil die App bei Problemen mit den Zertifikaten die entsprechende Verbindung gar nicht mehr nutzen soll, auch wenn der User die Warnung weg geklickt hat. Also, kein Problem bei der Comdirect App.

    > Ganz davon abgesehen, dass nun viele Nutzer bei künftigen
    > Zertifikatswarnungen (sei es aufgrund eines technischen Fehlers, oder
    > aufgrund eines Angriffs) einfach denken werden:
    > Ach, ist ja nicht so schlimm - kenn ich ja - muss ich nur wegklicken.
    Wenn die User Aufgrund des Hinweises von der Bank explizit zur App auch in anderen Anwendungen wie dem Browser Zertifikatswarnungen ignorieren, dann wird es fatal. Ja.

    Aber das Problem betrifft dann wieder nur andere Anwendungen und nicht die App der Comdirect.

  3. Re: DAS Problem

    Autor: chefin 28.11.18 - 15:57

    Wenn dir irgendjemand sagt, das du ruhig von der Brücke hüpfen kannst, das ist ungefährlich (weil die Brücke nur über einen 50cm tiefen Entwässerungsgraben geht, wirst du nicht von der Golden Gate Bridge deswegen hüpfen. Warum? Weil du sehen kannst.

    Im IT Sektor sind 99% der User blind. Sie wissen nicht, wie hoch etwas ist und wo die Unterschiede sind. Du weist das, daher tust du dir schwer zu begreifen, welches Problem die anderen Menschen haben. Aber ignorier mal dieses Wissen, dann merkst du schnell, wie gefährlich solche Hinweise werden können.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Fraunhofer-Institut für Produktionstechnik und Automatisierung IPA, Mannheim
  2. Atlas Copco - Synatec GmbH, Stuttgart
  3. Hays AG, Frankfurt am Main
  4. Hays AG, Raum Ludwigsburg

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. Sigma, Nikon- und Tamron-Objektive)
  2. 499,99€
  3. (u. a. 16 GB DDR4-2666 von HyperX für 109,90€)
  4. (u. a. Acer und HP-Notebooks ab 519€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Gaming-Tastaturen im Test: Neue Switches für Gamer und Tipper
Gaming-Tastaturen im Test
Neue Switches für Gamer und Tipper

Corsair und Roccat haben neue Gaming-Tastaturen auf den Markt gebracht, die sich vor allem durch ihre Switches auszeichnen. Im Test zeigt sich, dass Roccats Titan Switch besser zum normalen Tippen geeignet ist, aber nicht an die Geschwindigkeit des Corsair-exklusiven Cherry-Switches herankommt.
Ein Test von Tobias Költzsch

  1. Azio RCK Retrotastatur wechselt zwischen Mac und Windows-Layout
  2. OLKB Planck im Test Winzig, gerade, programmierbar - gut!
  3. Alte gegen neue Model M Wenn die Knickfedern wohlig klackern

Drahtlos-Headsets im Test: Ohne Kabel spielt sich's angenehmer
Drahtlos-Headsets im Test
Ohne Kabel spielt sich's angenehmer

Sie nerven und verdrehen sich in den Rollen unseres Stuhls: Kabel sind gerade bei Headsets eine Plage. Doch gibt es so viele Produkte, die darauf verzichten können. Wir testen das Alienware AW988, das Audeze Mobius, das Hyperx Cloud Flight und das Razer Nari Ultimate - und haben einen Favoriten.
Ein Test von Oliver Nickel

  1. Sieben Bluetooth-Ohrstöpsel im Test Jabra zeigt Apple, was den Airpods fehlt
  2. Ticpods Free Airpods-Konkurrenten mit Touchbedienung kosten 80 Euro
  3. Bluetooth-Ohrstöpsel im Vergleichstest Apples Airpods lassen hören und staunen

Need for Speed 3 Hot Pursuit (1998): El Nino, Polizeifunk und Lichtgewitter in Rot-Blau
Need for Speed 3 Hot Pursuit (1998)
El Nino, Polizeifunk und Lichtgewitter in Rot-Blau

Golem retro_ Electronic Arts ist berühmt und berüchtigt für jährliche Updates und Neuveröffentlichungen. Was der Publisher aber 1998 für digitale Raser auffuhr, ist in puncto Dramatik bei Verfolgungsjagden bis heute unerreicht.
Von Michael Wieczorek

  1. Playstation Classic im Test Sony schlampt, aber Rettung naht

  1. Ice Lake: Intels nächste GPU doppelt so schnell und auf Wunsch ungenau
    Ice Lake
    Intels nächste GPU doppelt so schnell und auf Wunsch ungenau

    Mit Ice Lake kommt auch Intels 11. Generation der integrierten GPUs. Sie soll viele moderne Titel zumindest spielbar machen und ermöglicht auch Adaptive Sync. Eine andere Funktion dürfte jedoch bald umstritten sein.

  2. Prozessoren: Intels 3D-Chip Foveros stapelt Dies mit 10 und 22 Nanometern
    Prozessoren
    Intels 3D-Chip Foveros stapelt Dies mit 10 und 22 Nanometern

    Auch bei Intel setzen sich die Multichip-Module durch. Die Dies werden aber mit erweiterter EMIB-Technik gestapelt - vom Notebook bis zum Server und mit speziellen Chiplets für x86-Kerne, Grafik und I/O.

  3. CPU-Architektur: Ice Lake bekommt Sunny Cove, um AMD auf Abstand zu halten
    CPU-Architektur
    Ice Lake bekommt Sunny Cove, um AMD auf Abstand zu halten

    Die bisher als Ice Lake bekannten Prozessoren für Desktop, Notebook und Server bekommen eine neue Architektur. Die gibt es - wie bei AMD - auch als Chiplets, aber laut Intel mit deutlich höherer Leistung pro Takt.


  1. 15:50

  2. 15:00

  3. 15:00

  4. 14:45

  5. 14:00

  6. 13:22

  7. 12:30

  8. 12:12