Security by Obscurity macht hier doch auch keinen Sinn!

> "Wir haben eine Lösung gefunden, um alle gefälschten Zertifikate sperren zu können.
Probleme: Diese zu identifizieren. nicht alle werden so offensichtlich fake sein.
übergangenes Problem: Die weitere ausstellung gefälschter Zertifikate wird hier nicht erwähnt. Das wäre aber das Primäre Problem.
> Ich bitte aber um Verständnis, dass wir die Details des Sperrverfahrens nicht öffentlich kommunizieren können
Das ist als wenn man nach der Flut keine neuen Schutzmaßnahmen gegen die Flut erarbeitet.
Gleichzeitig wäre es für die diversen App Entwickler sicherlich interessant wie dies umgesetzt wird um dies zu implementieren.

Security by Obscurity kann unter bestimmten Umständen eine Lösung sein. Es ist keine gute Lösung aber es ist eine Lösung.
Aber dieser Funke an Berechtigung verpufft doch in dem Moment wo die Sicherheit des Systems geknackt wurde. Jedes verschweigen heißt das die Leute die das System geknackt haben weiter agieren können - aber die andere Seite sich so nicht austauscht um Verbesserungen anzustreben.

Salzbretzel schrieb:
--------------------------------------------------------------------------------
> Security by Obscurity kann unter bestimmten Umständen eine Lösung sein. Es
> ist keine gute Lösung aber es ist eine Lösung.
Erstens bedeutet "Security by Obscurity" normalerweise dass man keine Sicherheit hat und es so nur nicht zugeben muss, aber Leute fälschlicherweise annehmen, dass eine gewise Sicherheit besteht: quasi legale Täuschung/Betrug.

Zweitens ziehen gerade solche "Security by Obscurity"-Schwurbeleien Angreifer an, denn üblicherweise ist es einfach auszuhebeln, sonst müsste man ja nichts geheim halten.