Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Banking-App: Comdirect empfiehlt…

Und was ist daran so schlimm?

  1. Thema

Neues Thema Ansicht wechseln


  1. Und was ist daran so schlimm?

    Autor: Gandalf2210 27.11.18 - 11:35

    Wenn man weiß wo das Problem liegt, die schwere abschätzen kann und dem User guten Gewissens rät diese zu ignorieren?

  2. Re: Und was ist daran so schlimm?

    Autor: Aluz 27.11.18 - 11:38

    Gandalf2210 schrieb:
    --------------------------------------------------------------------------------
    > Wenn man weiß wo das Problem liegt, die schwere abschätzen kann und dem
    > User guten Gewissens rät diese zu ignorieren?

    Weil man den unwissenden Nutzer darauf konditioniert einfach Fehlermeldungen zu ignorieren. Mach das 3 mal in 3 verschiedenen Apps und beim 4. mal denkt sich der Nutzer nichts mehr dabei und klickt ohne nachzudenken die Fehlermeldung weg. "Ist ja eh nix wichtiges"

    Und von einem Nutzer kann man nicht erwarten, dass er noch auf Sicherheitswarnungen achtet wenn ihm staendig gesagt wird "Ach, ist nicht schlimm!"

    Es ist also eine Frage der Usererziehung und der damit einhergehenden Verantwortung.



    1 mal bearbeitet, zuletzt am 27.11.18 11:39 durch Aluz.

  3. Re: Und was ist daran so schlimm?

    Autor: Gandalf2210 27.11.18 - 11:41

    Jetzt bin ich als Bank auch noch für die Erziehung meiner Internet untauglichen Kunden verantwortlich?

  4. Re: Und was ist daran so schlimm?

    Autor: Klausens 27.11.18 - 11:44

    Untauglich find ich eher über irgendwelche nicht zertifizierten Kanäle die Kunden darüber zu informieren Sicherheitsmeldungen zu ignorieren.
    Das geht schon mal damit los, dass sich jeder Arsch auf Twitter Comdirect nennen kann.



    1 mal bearbeitet, zuletzt am 27.11.18 11:45 durch Klausens.

  5. Re: Und was ist daran so schlimm?

    Autor: Aluz 27.11.18 - 11:49

    Gandalf2210 schrieb:
    --------------------------------------------------------------------------------
    > Jetzt bin ich als Bank auch noch für die Erziehung meiner Internet
    > untauglichen Kunden verantwortlich?

    Du bist dafuer Veantwortlich dich als die Auoritaet (Herausgeber der App) verantwortungsbewusst zu verhalten, ja.
    Das liegt in der Tat in deiner Verantwortung und somit hast du auch nicht den Usern zu sagen "Ja klick weg, is nicht schlimm" sondern du musst den Fehler beheben.

    Und wer macht die Kunden wohl internet untauglich. Genau die Leute, die denen staendig sagen "ist nicht schlimm, klick weg!"
    Ist die Bank selbst Schuld an der Internet-Untauglichkeit der Kunden dann ist sie auch dafuer Verantwortlich ihren eigenen Mist wieder wegzumachen, ganz klar!

    Also sorry aber manchmal frage ich mich wie hier manche nicht weiter als bis zur eigenen Tischkante denken koennen.



    1 mal bearbeitet, zuletzt am 27.11.18 11:56 durch Aluz.

  6. Re: Und was ist daran so schlimm?

    Autor: schachbr3tt 27.11.18 - 11:49

    Gandalf2210 schrieb:
    --------------------------------------------------------------------------------
    > Jetzt bin ich als Bank auch noch für die Erziehung meiner Internet
    > untauglichen Kunden verantwortlich?

    Untauglich ist es eher, dass die App eine Weiternutzung ermöglicht, wenn die App schon feststellt und dem Nutzer mitteilt, dass eine gesicherte Verbindung fehlschlägt.

    Siehe auch: https://twitter.com/mr_gamy/status/1067020774907760640



    1 mal bearbeitet, zuletzt am 27.11.18 11:53 durch schachbr3tt.

  7. Re: Und was ist daran so schlimm?

    Autor: Mett 27.11.18 - 11:57

    Nein, keine Sorge. Du bist nur verantwortlich dafür, deinen verdammten Job ordentlich zu machen. Als Bank hast du da also nicht wirklich viel Verantwortung.

  8. Re: Und was ist daran so schlimm?

    Autor: gpkvt42 27.11.18 - 11:58

    Mal abgesehen von dem falschen Signal an die User. Die Bank kann nicht wissen, ob meine Verbindung gerade sicher ist oder sich jemand dazwischen geklinkt hat. Deswegen setzt sie das Zertifikat ja ein. Die Bank weiß von einem generellen Problem mit dem Zertifikat. Über meine Verbindung weiß sie nichts. Daher ist die einzig sinnvolle Reaktion der App auf ein Problem mit dem Zertifikat, die Nutzung der Verbindung zu verhindern.

    Wenn das dazu führt, dass die App nicht nutzbar ist, dann ist das so. Eventuell achtet man dann als Anbieter in Zukunft auch darauf, dass einem das Zertifikat nicht abläuft.

  9. Re: Und was ist daran so schlimm?

    Autor: bccc1 27.11.18 - 12:27

    schachbr3tt schrieb:
    --------------------------------------------------------------------------------
    > Untauglich ist es eher, dass die App eine Weiternutzung ermöglicht, wenn
    > die App schon feststellt und dem Nutzer mitteilt, dass eine gesicherte
    > Verbindung fehlschlägt.

    Hast du den Artikel überhaupt gelesen?
    "Das Wegklicken der Fehlermeldung führt anders als beispielsweise in Browsern nicht dazu, dass eine ungesicherte Verbindung aufgemacht wird. Vielmehr funktioniert die entsprechende Funktionalität in dem Fall einfach nicht."

    Es gab kein Sicherheitsrisiko, es konnten einfach bestimmte Nachrichten nicht geladen werden.

  10. Re: Und was ist daran so schlimm?

    Autor: schachbr3tt 27.11.18 - 12:53

    bccc1 schrieb:
    --------------------------------------------------------------------------------

    > Hast du den Artikel überhaupt gelesen?
    > "Das Wegklicken der Fehlermeldung führt anders als beispielsweise in
    > Browsern nicht dazu, dass eine ungesicherte Verbindung aufgemacht wird.
    > Vielmehr funktioniert die entsprechende Funktionalität in dem Fall einfach
    > nicht."
    >
    > Es gab kein Sicherheitsrisiko, es konnten einfach bestimmte Nachrichten
    > nicht geladen werden.

    Das steht jetzt im Artikel. Hast du den Tweet der Comdirectbank (also die Primärquelle) überhaupt mal gelesen:

    "Keine Sorge! Hierbei handelt es sich um einen bekannten Fehler. In Kürze werden wir ein Update bereitstellen. Übrigens: Trotz Fehlermeldung kannst du die banking App wie gewohnt nutzen. /MU"

    Wie soll denn letzteres gehen, wenn man die App dann plötzlich doch - wie gewohnt - nutzen kann. Kann man dann ja nicht.

    Du lenkst aber auch gut vom eigentlichen Thema ab. Es geht darum, dass eine Fehlermeldung kommt, und die Bank gibt über Twitter an: Klicks weg, und nutzt die App wie gewohnt. Dabei kann die Bank gar nicht sicherstellen, dass die Fehlermeldung daher rührt, weil das bekannte Zertifikat abgelaufen ist, oder aber weil sich jemand im bspw. Hotel-WLAN in die Verbindung schaltet.

    Aber klar, vertrauen wir der Comdirect-Bank mal, die PR-Stelle weiß es eh besser.

  11. Re: Und was ist daran so schlimm?

    Autor: LinuxMcBook 27.11.18 - 12:54

    Klausens schrieb:
    --------------------------------------------------------------------------------
    > Untauglich find ich eher über irgendwelche nicht zertifizierten Kanäle die
    > Kunden darüber zu informieren Sicherheitsmeldungen zu ignorieren.
    > Das geht schon mal damit los, dass sich jeder Arsch auf Twitter Comdirect
    > nennen kann.

    https://help.twitter.com/de/managing-your-account/about-twitter-verified-accounts

  12. Re: Und was ist daran so schlimm?

    Autor: LinuxMcBook 27.11.18 - 12:57

    gpkvt42 schrieb:
    --------------------------------------------------------------------------------
    > Mal abgesehen von dem falschen Signal an die User. Die Bank kann nicht
    > wissen, ob meine Verbindung gerade sicher ist oder sich jemand dazwischen
    > geklinkt hat. Deswegen setzt sie das Zertifikat ja ein. Die Bank weiß von
    > einem generellen Problem mit dem Zertifikat. Über meine Verbindung weiß sie
    > nichts. Daher ist die einzig sinnvolle Reaktion der App auf ein Problem mit
    > dem Zertifikat, die Nutzung der Verbindung zu verhindern.

    Genau das macht die App doch auch.
    Nur die Nachrichten funktionieren eben nicht mehr, der Rest schon.
    Es ist sicher auch ganz sinnvoll, nicht fürs eigentliche Banking die gleichen Sicherheitsmechanismen zu nutzen, wie für die Kommunikation der Berater mit dem Kunden.

  13. Re: Und was ist daran so schlimm?

    Autor: schachbr3tt 27.11.18 - 12:58

    LinuxMcBook schrieb:
    --------------------------------------------------------------------------------

    > > Untauglich find ich eher über irgendwelche nicht zertifizierten Kanäle
    > die
    > > Kunden darüber zu informieren Sicherheitsmeldungen zu ignorieren.
    > > Das geht schon mal damit los, dass sich jeder Arsch auf Twitter
    > Comdirect
    > > nennen kann.
    >
    > help.twitter.com

    Hilft nicht darüber hinweg, dass sich jeder dort melden kann, wenn er einen öffentlichen Ausdruck vorlegen als Berechtigung kann. Merke: Die Bezeichnung als AG oder so, gibt es nicht nur in Deutschland und in anderen Ländern kann man AG als Firmenname mitunter frei nutzen.

    Gründe eine 1 Pfund-Ltd, nenne dich "comdirect AG Ltd." und melde dich als "comdirect AG" an. Wenn die echte "comdirect"-Bank da nicht interveniert, dann geht das durch; oder du nimmst eine Schweizer AG, mit einem Treuhänder kostet das dann so ca. CHF 2.000. Je nachdem, was du vorhast, recht wenig Geld.

  14. Re: Und was ist daran so schlimm?

    Autor: schachbr3tt 27.11.18 - 13:00

    LinuxMcBook schrieb:
    --------------------------------------------------------------------------------

    > Genau das macht die App doch auch.
    > Nur die Nachrichten funktionieren eben nicht mehr, der Rest schon.
    > Es ist sicher auch ganz sinnvoll, nicht fürs eigentliche Banking die
    > gleichen Sicherheitsmechanismen zu nutzen, wie für die Kommunikation der
    > Berater mit dem Kunden.

    Nur zeigt die App das gar nicht an. Es kommt ein allgemeiner Fehler und die Bank rät: Klicks weg. Dabei weiß die Bank gar nicht, woher der Fehler tatsächlich kommt, obs an dem ihr bekannten Fehler liegt, oder an einem MITM bspw. beim Hotel-WLAN.

  15. Re: Und was ist daran so schlimm?

    Autor: LinuxMcBook 27.11.18 - 13:17

    schachbr3tt schrieb:
    --------------------------------------------------------------------------------
    > LinuxMcBook schrieb:
    > ---------------------------------------------------------------------------
    > -----
    >
    > > Genau das macht die App doch auch.
    > > Nur die Nachrichten funktionieren eben nicht mehr, der Rest schon.
    > > Es ist sicher auch ganz sinnvoll, nicht fürs eigentliche Banking die
    > > gleichen Sicherheitsmechanismen zu nutzen, wie für die Kommunikation der
    > > Berater mit dem Kunden.
    >
    > Nur zeigt die App das gar nicht an. Es kommt ein allgemeiner Fehler und die
    > Bank rät: Klicks weg. Dabei weiß die Bank gar nicht, woher der Fehler
    > tatsächlich kommt, obs an dem ihr bekannten Fehler liegt, oder an einem
    > MITM bspw. beim Hotel-WLAN.

    Solange die Bank aber weiß, dass bei einem Zertifikatsfehler der entsprechende Kanal dann durch die App _gar nicht mehr genutzt wird_, ist es auch gar nicht notwendig, dass die Bank tatsächlich weiß, was die Ursache ist.

    Die einzige Kritik, die wirklich angemessen ist, ist die, dass die Bank mit solchen Hinweisen den Kunden evtl. dazu bringt Sicherheitswarnungen in anderen Fälle auch zu ignorieren.

  16. Re: Und was ist daran so schlimm?

    Autor: schachbr3tt 27.11.18 - 13:31

    LinuxMcBook schrieb:
    --------------------------------------------------------------------------------

    > Solange die Bank aber weiß, dass bei einem Zertifikatsfehler der
    > entsprechende Kanal dann durch die App _gar nicht mehr genutzt wird_, ist
    > es auch gar nicht notwendig, dass die Bank tatsächlich weiß, was die
    > Ursache ist.

    Wollen wir hoffen, dass die Bank das weiß, obschon sie ja alles outsourced. Sie wusste ja bspw. nicht, dass das Zertifikat sich zeitlich dem Ende neigte und verlängert werden musste. Aber super, wenn man einfache Dinge nicht weiß, sicherheitsrelevantere schon. Insbesondere, wenn man die Funktion outsourced.

  17. Re: Und was ist daran so schlimm?

    Autor: bccc1 27.11.18 - 13:56

    Mein Verständnis:
    Die App verbindet sich zu verschiedenen Servern. Bei einer dieser Verbindungen gab es ein Zertifikatsproblem. Diese Verbindung wurde daher NICHT aufgebaut und alle damit zusammenhängenden Funktionen in der App wurden deaktiviert. Da die App trotzdem wie gewohnt funktionierte, war es wohl keine wichtige Verbindung.
    So lese ich die Meldung hier auf golem. Auf Twitter kann ich gerade nicht nachsehen, das wird vom Proxy geblockt.

    Das comdirect einfach so sagt ignoriert den Fehler finde ich auch nicht gut. Ich wollte nur klarstellen, das es kein Sicherheitsrisiko gab.

  18. Re: Und was ist daran so schlimm?

    Autor: quark2017 28.11.18 - 09:19

    bccc1 schrieb:
    --------------------------------------------------------------------------------
    > Das comdirect einfach so sagt ignoriert den Fehler finde ich auch nicht
    > gut. Ich wollte nur klarstellen, das es kein Sicherheitsrisiko gab.

    Und du macht den selben Denkfehler wie die ComDirekt-Clowns.

    1. Weiß der Nutzer gar nicht, zu wie vielen unterschiedlichen Domains eine Verbindung aufgebaut wird.
    2. Kann der Nutzer anhand der Meldung NICHT sehen, welches der Verbindungen/Zertifikate betroffen ist.

    Wenn nun ein MiM einen Angriff auf die Datenverbindung zur Bank ausführt.
    Dann sieht der Nutzer die Zertifikats-Warnung. Weil er aber in der App nicht sehen kann, ob dies nun das Zertifikat für die unwichtigen Outbank-News oder das kritische Zertifikat von comDirekt betrifft, kann der Nutzer somit NICHT erkennen, dass ein MiM-Angriff stattfindet.

    DAS ist ein massives Sicherheitsproblem.

  19. Re: Und was ist daran so schlimm?

    Autor: LinuxMcBook 28.11.18 - 12:10

    quark2017 schrieb:
    --------------------------------------------------------------------------------
    > DAS ist ein massives Sicherheitsproblem.

    Nein, eben nicht.
    Nochmal: Es bestand nie die Gefahr für einen MITM-Angriff.
    Es ist doch erst einmal völlig egal. was der Nutzer sieht, solange die App das verhindert.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. über experteer GmbH, Nürnberg
  2. CPA Software Consult GmbH, Langenfeld
  3. über experteer GmbH, Köln, Düsseldorf, Hannover, Frankfurt, München
  4. über experteer GmbH, Raum Heidelberg / Rhein-Neckar

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 219,00€
  2. (z. B. Core i5 9600K + Gigabyte Z390 Aorus Master für 468,00€, Core i7 900K + MSI MPG Z390...
  3. GRATIS


Haben wir etwas übersehen?

E-Mail an news@golem.de


Programmiersprache: Java 13 bringt mehrzeilige Strings mit Textblöcken
Programmiersprache
Java 13 bringt mehrzeilige Strings mit Textblöcken

Die Sprache Java steht im Ruf, eher umständlich zu sein. Die Entwickler versuchen aber, viel daran zu ändern. Mit der nun verfügbaren Version Java 13 gibt es etwa Textblöcke, mit denen sich endlich angenehm und ohne unnötige Umstände mehrzeilige Strings definieren lassen.
Von Nicolai Parlog

  1. Java Offenes Enterprise-Java Jakarta EE 8 erschienen
  2. Microsoft SQL-Server 2019 bringt kostenlosen Java-Support
  3. Paketmanagement Java-Dependencies über unsichere HTTP-Downloads

Geothermie: Wer auf dem Vulkan wohnt, muss nicht so tief bohren
Geothermie
Wer auf dem Vulkan wohnt, muss nicht so tief bohren

Die hohen Erwartungen haben Geothermie-Kraftwerke bisher nicht erfüllt. Weltweit setzen trotzdem immer mehr Länder auf die Wärme aus der Tiefe - nicht alle haben es dabei leicht.
Ein Bericht von Jan Oliver Löfken

  1. Nachhaltigkeit Jute im Plastik
  2. Nachhaltigkeit Bauen fürs Klima
  3. Autos Elektro, Brennstoffzelle oder Diesel?

Ryzen 7 3800X im Test: Der schluckt zu viel
Ryzen 7 3800X im Test
"Der schluckt zu viel"

Minimal mehr Takt, vor allem aber ein höheres Power-Budget für gestiegene Frequenzen unter Last: Das war unsere Vorstellung vor dem Test des Ryzen 7 3800X. Doch die Achtkern-CPU überrascht negativ, weil AMD es beim günstigeren 3700X bereits ziemlich gut meinte.
Ein Test von Marc Sauter

  1. Agesa 1003abba Microcode-Update taktet Ryzen 3000 um 50 MHz höher
  2. Agesa 1003abb Viele ältere Platinen erhalten aktuelles UEFI für Ryzen 3000
  3. Ryzen 5 3400G und Ryzen 3 3200G im Test Picasso passt

  1. 16-Kern-CPU: Ryzen 9 3950X erscheint mit Threadripper v3 im November
    16-Kern-CPU
    Ryzen 9 3950X erscheint mit Threadripper v3 im November

    AMD verschiebt den Start des Ryzen 9 3950X von September 2019 auf November, dann sollen auch die Threadripper v3 erhältlich sein. Man wolle erst die Verfügbarkeit der kleineren Ryzen-Modelle sicherstellen.

  2. IT-Konsolidierung des Bundes: Beschaffter Hardware droht vollständige Abgeschreibung
    IT-Konsolidierung des Bundes
    Beschaffter Hardware droht vollständige Abgeschreibung

    Im Projekt IT-Konsolidierung der Bundesregierung droht jetzt eine teure Klage und die Abschreibung von bereits beschaffter Hardware. Der Streit läuft zwischen dem staatlichen Systemhaus BWI und dem Bundesinnenministerium.

  3. 1 bis 4 MBit/s: Bürgerinitiative bringt Deutsche Glasfaser zum Ausbau
    1 bis 4 MBit/s
    Bürgerinitiative bringt Deutsche Glasfaser zum Ausbau

    Einige Dörfer in Niedersachsen machen es ähnlich wie früher Google Fiberhoods. Sie schließen sich zusammen, um eine bessere Versorgung durchzusetzen: Von 1 MBit/s auf 1 GBit/s, nur mit der Deutschen Glasfaser.


  1. 19:00

  2. 18:30

  3. 17:55

  4. 16:56

  5. 16:50

  6. 16:00

  7. 15:46

  8. 14:58