Vorschläge einblenden
Mit der automatischen Vorschlagsfunktion können Sie Ihre Suchergebnisse eingrenzen, da während der Eingabe mögliche Treffer angezeigt werden.
Suchergebnisse werden angezeigt für
- Wissen
- :
- Informationen zu Enrico-C
Informationen zu Enrico-C
seit
08.02.2015
19.06.2024
Enrico-C
Gelegentlicher Autor
7
Beiträge
2
Likes
0
Lösungen
@immermalanders Das Problem ist, dass DNSSEC nur halb umgesetzt wurde. Denn dazu gehört eben auch der TLSA Eintrag, der das Zertifikat identifizieren kann. Dann sind so halbgare "Lösungen" wie EV nämlich überflüssig, die auf die Vertrauenswürdgikeit oder eben nicht vorhandene Vertrauenswürdigkeit von CAs aufbauen.
... Mehr anzeigen
24.03.2017
22:17
Gerade ist mir aufgefallen, dass vor der URL der Consorsbank nicht mehr "BNP PARIBAS SA (FR)" im Chrome Browser steht. Bei anderen Banken, die auch ein EV Zertifikat von Symantec einsetzen, steht jedoch sehr wohl immer noch der Bankname aus der "Extended Validation" vor der URL. Wird meine Kommunikation also abgehört? Ich kann es nicht feststellen. Denn löblicherweise hat die Consorsbank zwar inzwischen ihre Domäne mit DNSSEC abgesichert, jedoch fehlt immer noch der TLSA Eintrag, der es meinem Browser ermöglichen würde zu entscheiden, ob ich es wirklich mit der Consorsbank zu tun habe, oder einem "Man-in-the-middle" Angriff aufgesessen bin. Zudem hat sich die Consorsbank mit Symantec für einen Partner bei der Zertifikatauswahl entschieden, der sich inzwischen als höchst unzuverlässig erwiesen hat, weil er es "Hinz und Kunz" ermöglicht, Zertifikate in seinem Namen und auf beliebige Domains auszustellen, auch auf die Domäne der Consorsbank. Solche Zertifikate werden von Chrome daher in Zukunft als gar nicht mehr als vertrauenswürdig eingestuft werden: https://www.heise.de/newsticker/meldung/Chrome-soll-ab-sofort-Zertifikate-von-Symantec-herabstufen-3663517.html Also: Die Consorsbank muss tätig werden, um Sicherheit wiederherzustellen. Am besten und einfachsten geht das mit einem TLSA DNS Record, dann kann die Consorsbank sogar weiterhin ein unsicheres Zertifkat von Symantec verwenden, weil dann die Consorsbank GENAU DIESES EINE Zertifkat als gültig ausweisen kann.
... Mehr anzeigen
Hallo, das Sicherheitsversprechen greift nur, wenn ALLE Voraussetzungen erfüllt sind. Das lässt reichlich Raum, damit sich Consors im Zweifelsfall rausreden kann und ich Probleme kriege. Das ist keine Lösung. Aber ich hoffe, dass die Umsetzung von DNSSEC bald fertig ist. Und gucken Sie sich um Himmels Willen mal Ihre Mailserver an! Sowas würde das Landesamt für Datenschutzkontrolle auf jeden Fall anmeckern. Mit freundlichen Grüßen @immermalanders : Bitte mal bei der Volkshochschule gucken. Ich bin kein Lehrer und auch nicht dafür da, vollständig unbegründete Ängste vor neuer Technik auszuräumen.
... Mehr anzeigen
Bereits einmal hatte ich darauf hingewiesen, dass die Website der Consorsbank nicht dem Stand der Technik entsprechend abgesichert ist. Das TLS-Zertifikat von Symantec bietet keinen hinreichenden Schutz, denn gerade auch die Firma Symantec ist erneut in Verruf geraten, weil sie wiederholt unberechtigterweise für fremde Websites Zertifikate ausgestellt hat. (http://www.golem.de/news/tls-zertifikate-symantec-verpeilt-es-schon-wieder-1701-125726.html) Wenn es einem Angreifer gelingt, wie im Artikel beschrieben ein Zertifikat für www.consorsbank.de ausstellen zu lassen, genügt eine einfache DNS Spoofing Attacke, um mich auf eine Kopie der Consorsbank Homepage umzuleiten und Überweisungen als MITM abzufangen und auf ein anderes Konto umzuleiten. Sollte dies passieren, sehe ich schon die Antwort von Consors: "Das ist doch nicht möglich." Den Ärger oder den finanziellen Verlust werde ich haben. Oder jeeder andere, dem so etwas passiert. Dabei wäre es so leicht, Attacken dieser Art zu verhindern: Mit DNSSEC, über das meinem Browser (dem TLSA Pluging, das ich selbstverständlich installiert habe wie jeder andere sicherheitsbewusste Nutzer) mitgeteilt wird, welches Zertifikat für diese Website ausschließlich gültig ist. So eine Absicherung, wie es auch Konkurrenten der Consorsbank durchführen, kostet fast gar nichts, erhöht aber die Sicherheit signifikant. Insbesonere ermöglicht es auch, den Mailverkehr mit DANE abzusichern, was derzeit auch nicht möglich ist. Aber auch sonst hat die Mailkonfiguration der Consorsbank katastrophale Sicherheitslücken, wie jeder hier sehen kann: https://de.ssl-tools.net/mailservers/consorsbank.de Wenigstens ein Minimum an Sicherheits- Knowhow sollte man von einer Bank wie Consors erwarten können, oder nicht?
... Mehr anzeigen
21.11.2016
18:49
Umwissen oder Halbwissen ist kein guter Ratgeber beim Thema Sicherheit.
Das 2005 definierte und seit 2011 für .de Domains verfügbare DNSSEC Protokoll wird selbstverständlich von deutschen Banken benutzt.
Da offenbar ein wenig Nachhilfe notwendig ist: DNSSEC dient NICHT dazu, DNS Anfragen zu verschlüsseln. Das passiert genauos wenig wie beim normalen DNS. Es dient aber dazu, die INTEGRITÄT der gelieferten DNS Informationen zu sichern.
Jeder, der den weit verbreiteten Google DNS Dienst nutzt, nutzt implizit auch DNSSEC, weil Google DNS die DNSSEC Informationen prüft.
Eigentlich kann ich mir nur einen Grund vorstellen, DNSSEC nicht zu nutzen: wenn einem die Sicherheit seiner Kunden egal ist.
... Mehr anzeigen
20.11.2016
02:37
Hallo, mein Browser zeigt an, dass die Website www.consorsbank.de unsicher wäre, weil sie weder durch DNSSEC abgesichert ist, noch einen TLSA Eintrag besitzt, der für DANE nötig ist. Legt denn die Consorsbank keinen Wert darauf, die Website entsprechend aktueller Technik abzusichern? Vor einigen Monaten wurde bekannt, dass Symantec, der Lieferant des Sicherheitszertifikats der Consorsbank Website, Zertifikate für Zwischenzertifizierungsstellen an Unbekannte herausgegeben hat, die es diesen Unbekannten ermöglichen, für jede Domäne gültige Zertifikate auszustellen. Auch solche mit Extendes Validation, welche die Consorsbank einsetzt. Ich kann mir also bei der Anmeldung auf der Website nie sicher sein, ob mir irgend jemand anderes eine gefälschte Website präsentiert und versucht, mein Geld zu stehlen. Das ist kein befriedigender Zustand für die Website einer Bank, finde ich. Wann wird das verbessert?
... Mehr anzeigen
Glück hat keine Ursache. Und die ist auch nicht nötig. Die erste Umfrage der UN, in welchem Land der Erde die glücklichsten Menschen leben, wurde von einigen der ärmsten Länder Mittelamerikas angeführt. Die nachfolenden Umfragen wurden dann "objektiviert", man könnte auch sagen manipuliert. Weil Menschen ohne Geld nicht glücklich sein durften, wurde Geld als Glückkriterium in die Umfrage mit aufgenommen. Dabei gibt es Mönche, die zu den gücklichsten Menschen der Erde gehören, aber nicht einen einzigen Cent besitzen. Auch keinen andern materiellen Besitz außer ihrem Gewand und Ihrer Bettlerschale. Glück hat keine Ursache, aber es kann zerstört werden. Durch die Sorge, wie nächsten Monat die Miete bezahlt werden soll, durch die Sorge, dass das eigene Depot nächsten Monat weniger wert sein könnte oder durch generelle Unzufriedenheit. Wem Geld nicht so wichtig ist, der kann glücklich sein. Das ist eine andere Interpretation als die der Wissenschaftler, die leider durch deren eigene, emotionale Sichtweise geprägt ist. Deren Schlussfolgerungen sind daher wertlos und irreführend. Wer wissen will, wie Glück errreicht werden kann, sollte keinen Wissenschaftler fragen, sondern jemanden, der aus eigener Erfahrung weiß, wovon er spricht.
... Mehr anzeigen
