Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Banking-App: Comdirect empfiehlt…

DAS Problem

  1. Thema

Neues Thema Ansicht wechseln


  1. DAS Problem

    Autor: quark2017 28.11.18 - 09:38

    Das Problem besteht im Grunde darin, dass der (normale, nicht sonderlich IT-sicherheits-affine) Nutzer gar nicht beurteilen kann, zu welcher Verbindung die Zertifikatswarnung gehört.

    Die App baut also mindestens zwei Verbindungen zu unterschiedlichen Domains mit unterschiedlichen Zertifikaten auf (allein das weiß der Nutzer normalerweise ja gar nicht).
    (A) unwichtige Verbindung zu outbank, um News abzurufen
    (B) kritische Verbindung zu comdirekt, um Bankgeschäfte abzuwickeln

    ComDirekt hat technisch gesehen zwar Recht, dass die Verbindung (B) weiterhin sicher ist.

    ABER:
    das gilt nur, wenn der App-Nutzer beurteilen kann, ob das angezeigte Ziel eine kritische Verbindung ist.
    Ich behaupte mal, dass 99% der App-Nutzer gar nicht wissen, ob die Verbindung zu "outbank.io" oder "comdirekt.de" kritisch einzustufen sind, oder nicht.
    Zumal es der überwiegenden Mehrheit dieser 99% gar nicht auffallen würde, welche URL dort in der Zertifikatswarnung aufgeführt ist.
    Daher sollte die Empfehlung für 99% der Nutzer lauten:
    Bei jeglichen Zertifikatswarnungen, Finger weg von der App Nutzung, bis der Fehler behoben ist.

    Das fatale ist nun, dass comDirekt einfach ihren Nutzern empfiehlt:
    Ach, Zertifikatswarnungen(!) könnt ihr gerade ignorieren - das Problem ist bekannt.

    Der unbedarfte Nutzer wird nun also - wenn gerade eine MiM-Attacke gegen ihn läuft - sämtliche Zertifikatswarnungen wegklicken und die App weiter nutzen.

    Und genau DAS ist fatal!
    Ganz davon abgesehen, dass nun viele Nutzer bei künftigen Zertifikatswarnungen (sei es aufgrund eines technischen Fehlers, oder aufgrund eines Angriffs) einfach denken werden:
    Ach, ist ja nicht so schlimm - kenn ich ja - muss ich nur wegklicken.



    3 mal bearbeitet, zuletzt am 28.11.18 09:43 durch quark2017.

  2. Re: DAS Problem

    Autor: LinuxMcBook 28.11.18 - 12:15

    quark2017 schrieb:
    --------------------------------------------------------------------------------
    > Der unbedarfte Nutzer wird nun also - wenn gerade eine MiM-Attacke gegen
    > ihn läuft - sämtliche Zertifikatswarnungen wegklicken und die App weiter
    > nutzen.
    >
    > Und genau DAS ist fatal!
    Nein, weil die App bei Problemen mit den Zertifikaten die entsprechende Verbindung gar nicht mehr nutzen soll, auch wenn der User die Warnung weg geklickt hat. Also, kein Problem bei der Comdirect App.

    > Ganz davon abgesehen, dass nun viele Nutzer bei künftigen
    > Zertifikatswarnungen (sei es aufgrund eines technischen Fehlers, oder
    > aufgrund eines Angriffs) einfach denken werden:
    > Ach, ist ja nicht so schlimm - kenn ich ja - muss ich nur wegklicken.
    Wenn die User Aufgrund des Hinweises von der Bank explizit zur App auch in anderen Anwendungen wie dem Browser Zertifikatswarnungen ignorieren, dann wird es fatal. Ja.

    Aber das Problem betrifft dann wieder nur andere Anwendungen und nicht die App der Comdirect.

  3. Re: DAS Problem

    Autor: chefin 28.11.18 - 15:57

    Wenn dir irgendjemand sagt, das du ruhig von der Brücke hüpfen kannst, das ist ungefährlich (weil die Brücke nur über einen 50cm tiefen Entwässerungsgraben geht, wirst du nicht von der Golden Gate Bridge deswegen hüpfen. Warum? Weil du sehen kannst.

    Im IT Sektor sind 99% der User blind. Sie wissen nicht, wie hoch etwas ist und wo die Unterschiede sind. Du weist das, daher tust du dir schwer zu begreifen, welches Problem die anderen Menschen haben. Aber ignorier mal dieses Wissen, dann merkst du schnell, wie gefährlich solche Hinweise werden können.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. JOB AG Industrial Service GmbH, Anklam (Home-Office)
  2. BWI GmbH, München, Meckenheim
  3. Deutsche Welle, Bonn
  4. thyssenkrupp Digital Projects, Essen

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 149,90€
  2. (u. a. Tales of Vesperia: Definitive Edition für 21,99€, Tropico 5: Complete Collection für 6...
  3. (u. a. Hitman 2 - Gold Edition, The Elder Scrolls V: Skyrim - Special Edition, Battlefield 1)
  4. (u. a. Grimm - die komplette Serie, Atomic Blonde, Die Mumie, Jurassic World)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Watch Dogs Legion angespielt: Eine Seniorin als Ein-Frau-Armee
Watch Dogs Legion angespielt
Eine Seniorin als Ein-Frau-Armee

E3 2019 Elitesoldaten brauchen wir nicht - in Watch Dogs Legion hacken und schießen wir auch als Pensionistin für den Widerstand. Beim Anspielen haben wir sehr über die ebenso klapprige wie kampflustige Oma Gwendoline gelacht.


    Doom Eternal angespielt: Die nächste Ballerorgie von id macht uns fix und fertig
    Doom Eternal angespielt
    Die nächste Ballerorgie von id macht uns fix und fertig

    E3 2019 Extrem schnelle Action plus taktische Entscheidungen, dazu geniale Grafik und eine düstere Atmosphäre: Doom Eternal hat gegenüber dem erstklassigen Vorgänger zumindest beim Anspielen noch deutlich zugelegt.

    1. Sigil John Romero setzt Doom fort

    Ada und Spark: Mehr Sicherheit durch bessere Programmiersprachen
    Ada und Spark
    Mehr Sicherheit durch bessere Programmiersprachen

    Viele Sicherheitslücken in Software sind auf Programmierfehler zurückzuführen. Diese Fehler lassen sich aber vermeiden - und zwar unter anderem durch die Wahl einer guten Programmiersprache. Ada und Spark gehören dazu, leider sind sie immer noch wenig bekannt.
    Von Johannes Kanig

    1. Das andere How-to Deutsch lernen für Programmierer
    2. Programmiersprachen, Pakete, IDEs So steigen Entwickler in Machine Learning ein

    1. Apple: Öffentliche Beta von iOS 13 und iPadOS erschienen
      Apple
      Öffentliche Beta von iOS 13 und iPadOS erschienen

      Apple hat nach der zweiten Entwickler-Beta nun auch die erste Beta von iOS 13 und iPadOS für interessierte Anwender bereitgestellt.

    2. Apple: Öffentliche Beta von MacOS Catalina ist da
      Apple
      Öffentliche Beta von MacOS Catalina ist da

      Apple hat mit der ersten öffentlichen Betaversion von MacOS 10.15 die erste Vorabversion seines künftigen Desktop-Betriebssystems veröffentlicht. Die wichtigste Neuerung sind iPad-Apps, die auf dem Mac laufen, eine Dreiteilung von iTunes und vieles mehr.

    3. Refarming: Das wird nicht "das 5G, was sich viele erträumen"
      Refarming
      Das wird nicht "das 5G, was sich viele erträumen"

      5G muss in den richtigen Frequenzbereichen angeboten werden, um die volle Leistung zu bieten. Huawei spricht hier von 5G-Hype.


    1. 23:55

    2. 23:24

    3. 18:53

    4. 18:15

    5. 17:35

    6. 17:18

    7. 17:03

    8. 16:28