Mastodawn

IT-Security-Weisheit am Abend 🌙

Sicherheitszertifikate - das grüne Schloss im Browser - bedeuten nur, dass die Verbindung verschlüsselt ist, nicht dass die Gegenseite vertrauenswürdig ist. Auch Phishing-Seiten haben heute gültige Zertifikate. Wer beim Online-Banking auf das Schloss schaut und sich dann sicher fühlt, hat die falsche Frage gestellt. Die richtige lautet: Bin ich wirklich auf der richtigen Seite?

#ITSecurity #Cybersecurity #Sicherheit

Show thread

DasMammut 2d ago

@kuketzblog Und dabei gibt es fiese Tricks: So werden in URLs lateinische Buchstaben durch sehr ähnlich aussehende kyrillische ersetzt, was kaum auffällt. Der Link führt dann aber zu einem anderen Server als gedacht (https://de.wikipedia.org/wiki/Homographischer_Angriff).

Homographischer Angriff – Wikipedia

Show thread

Hammerwell 1d ago

@rkbw @kuketzblog Imre Kristoffer Eilertsens Liste für uBlock hilft ein wenig. https://raw.githubusercontent.com/DandelionSprout/adfilt/master/Special%20security%20lists/IDNHomographProtectionTotal.txt

Show thread

Diethelm Schlegel 2d ago

@kuketzblog Was ich beunruhigend finde, ist die Tatsache, dass Anbieter wie #Tink oder #Verimi exakt durch Einbetten der Seite und Abhören des Datenverkehrs arbeiten. Als ich das Deutschland-Ticket kaufen wollte (bei Bahn.de), sollte ich dazu genötigt werden… habe dann aber den Kauf abgebrochen, weil das für mich ein NoGo ist.

Show thread

Django 2d ago

@kuketzblog Tja, Verschlüsselung ist das eine, Vertrauen in die Kommunikation und Partner das andere.
Daher Obacht bei Verbindungen via cloudflare & Co. und Zertifikaten der Phishing CA aus Übersee.

Show thread

Markus Gerstel 2d ago

@kuketzblog welcher Browser zeigt heute noch ein grünes Schloss? Diese Symbolik wurde doch schon seit Jahren abgelegt?

Show thread

Benedikt Wi 2d ago

@markus @kuketzblog Stimmt, Firefox hat nur noch ein schwarzes Schloss, Chromium gar keins mehr. Ich fand die grüne Adresszeile ja sehr praktisch, leider 2019 abgeschafft: https://de.wikipedia.org/wiki/Extended-Validation-Zertifikat#Geschichte

Extended-Validation-Zertifikat – Wikipedia

Show thread

jomo 1d ago

@kuketzblog darüber habe ich auf https://paypal.gift geschrieben.

About Domain Validation and Padlocks

The padlock does not mean that the website is safe to use

paypal.gift

Show thread

Django 1d ago

@jomo @kuketzblog FULLACK, that's the jumping point 'bout CAs and certs!

Show thread

stepano stingray 1d ago

@kuketzblog Das ist ein wichtiger Hinweis. Gültige Zertifikate für TLS-Server kann man sich einfach und kostenlos über LetsEncrypt beschaffen. Um sicher zu sein sollte man das Zertifikat vom Browser öffnen und sich die Beschreibung genauer ansehen. Beim Onlinebanking wurde zum Glück die Zweifaktoren-Authentifizierung vorgeschrieben. Spätestens hier endet der Angriff. Dafür haben die Gangster schon die Userkennung und das Passwort abgegriffen. Das verwenden von Smartphones verbietet sich ohnehin.