Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Banking-App: Comdirect empfiehlt…

DAS Problem

  1. Beitrag
  1. Thema

DAS Problem

Autor: quark2017 28.11.18 - 09:38

Das Problem besteht im Grunde darin, dass der (normale, nicht sonderlich IT-sicherheits-affine) Nutzer gar nicht beurteilen kann, zu welcher Verbindung die Zertifikatswarnung gehört.

Die App baut also mindestens zwei Verbindungen zu unterschiedlichen Domains mit unterschiedlichen Zertifikaten auf (allein das weiß der Nutzer normalerweise ja gar nicht).
(A) unwichtige Verbindung zu outbank, um News abzurufen
(B) kritische Verbindung zu comdirekt, um Bankgeschäfte abzuwickeln

ComDirekt hat technisch gesehen zwar Recht, dass die Verbindung (B) weiterhin sicher ist.

ABER:
das gilt nur, wenn der App-Nutzer beurteilen kann, ob das angezeigte Ziel eine kritische Verbindung ist.
Ich behaupte mal, dass 99% der App-Nutzer gar nicht wissen, ob die Verbindung zu "outbank.io" oder "comdirekt.de" kritisch einzustufen sind, oder nicht.
Zumal es der überwiegenden Mehrheit dieser 99% gar nicht auffallen würde, welche URL dort in der Zertifikatswarnung aufgeführt ist.
Daher sollte die Empfehlung für 99% der Nutzer lauten:
Bei jeglichen Zertifikatswarnungen, Finger weg von der App Nutzung, bis der Fehler behoben ist.

Das fatale ist nun, dass comDirekt einfach ihren Nutzern empfiehlt:
Ach, Zertifikatswarnungen(!) könnt ihr gerade ignorieren - das Problem ist bekannt.

Der unbedarfte Nutzer wird nun also - wenn gerade eine MiM-Attacke gegen ihn läuft - sämtliche Zertifikatswarnungen wegklicken und die App weiter nutzen.

Und genau DAS ist fatal!
Ganz davon abgesehen, dass nun viele Nutzer bei künftigen Zertifikatswarnungen (sei es aufgrund eines technischen Fehlers, oder aufgrund eines Angriffs) einfach denken werden:
Ach, ist ja nicht so schlimm - kenn ich ja - muss ich nur wegklicken.



3 mal bearbeitet, zuletzt am 28.11.18 09:43 durch quark2017.


Neues Thema Ansicht wechseln


Thema
 

DAS Problem

quark2017 | 28.11.18 - 09:38
 

Re: DAS Problem

LinuxMcBook | 28.11.18 - 12:15
 

Re: DAS Problem

chefin | 28.11.18 - 15:57

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Dataport, Bremen, Hamburg, Altenholz bei Kiel
  2. we.CONECT Global Leaders GmbH, Berlin
  3. Hays AG, München
  4. Gesellschaft für Öltechnik mbH, Waghäusel

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. 289€
  3. 239,00€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Minecraft Dungeons angespielt: Fehlt nur noch ein Klötzchen-Diablo in der Tiefe
Minecraft Dungeons angespielt
Fehlt nur noch ein Klötzchen-Diablo in der Tiefe

E3 2019 Von der Steuerung bis zu den Schatzkisten: Minecraft Dungeons hat uns beim Anspielen bis auf die Klötzchengrafik verblüffend stark an Diablo erinnert - und könnte gerade deshalb teuflisch spaßig werden!

  1. Augmented Reality Minecraft Earth erlaubt Klötzchenbauen in aller Welt
  2. Microsoft Augmented-Reality-Minecraft kommt zum zehnten Jubiläum
  3. Jubiläum ohne Notch Microsoft feiert Minecraft ohne Markus Persson

Projektmanagement: An der falschen Stelle automatisiert
Projektmanagement
An der falschen Stelle automatisiert

Kommunikationstools und künstliche Intelligenz sollen dabei helfen, dass IT-Projekte besser und schneller fertig werden. Demnächst sollen sie sogar Posten wie den des Projektmanagers überflüssig machen. Doch das wird voraussichtlich nicht passieren.
Ein Erfahrungsbericht von Marvin Engel


    WD Blue SN500 ausprobiert: Die flotte günstige Blaue
    WD Blue SN500 ausprobiert
    Die flotte günstige Blaue

    Mit der WD Blue SN500 bietet Western Digital eine spannende NVMe-SSD an: Das M.2-Kärtchen basiert auf einem selbst entwickelten Controller und eigenem Flash-Speicher. Das Resultat ist ein schnelles, vor allem aber günstiges Modell als bessere Alternative zu Sata-SSDs.
    Von Marc Sauter

    1. WD Black SN750 ausprobiert Direkt hinter Samsungs SSDs
    2. WD Black SN750 Leicht optimierte NVMe-SSD mit 2 TByte
    3. Ultrastar DC ME200 Western Digital baut PCIe-Arbeitsspeicher mit 4 TByte

    1. AT&T: Testnutzer in 5G-Netzwerk misst 1,7 GBit/s
      AT&T
      Testnutzer in 5G-Netzwerk misst 1,7 GBit/s

      Das Branchenevent AT&T Shape sollte die Filmindustrie für 5G begeistern. Oft wurden auf dem Gelände von Warner Bros. in Los Angeles bis 1,7 GBit/s gemessen.

    2. Netzausbau: Städtebund-Chef will 5G-Antennen auf Kindergärten
      Netzausbau
      Städtebund-Chef will 5G-Antennen auf Kindergärten

      Der Deutschen Städte- und Gemeindebund spricht ein Tabuthema an: 5G-Antennen auf Schulen und Kindergärten. Der Mast strahle nicht auf das Gebäude, auf dem er steht.

    3. Ladesäulenbetreiber Allego: Einmal vollladen für 50 Euro
      Ladesäulenbetreiber Allego
      Einmal vollladen für 50 Euro

      Nach und nach stellen die Ladesäulenbetreiber auf verbrauchsgenaue Abrechnungen bei Elektroautos um. Doch eichrechtskonform sind die Lösungen teilweise immer noch nicht. Dafür aber bei Anbietern wie Allego recht teuer.


    1. 19:45

    2. 19:10

    3. 18:40

    4. 18:00

    5. 17:25

    6. 16:18

    7. 15:24

    8. 15:00