[Born-IT] Phisher lieben https

Google und Konsorten haben uns gezwungen, unsere Webseiten auf https-Verschlüsselung beim Abruf umzustellen. Begründung: Das soll alles sicherer werden. Die Botschaft ist angekommen – zumindest bei den Phishing Site-Betreibern. Mehr als die Hälfte von denen verwendet für Phishing-Kampagnen Hosts, die

You do not have permission to view link please Anmelden or Registrieren

You do not have permission to view link please Anmelden or Registrieren

Autor: Günter Born

 

[alter_Bekannter]

Es verringert trotzdem faktisch die Anzahl der Angriffsvektoren. Sobald ich im sleben Netz bin kann ich quasi uneingeschränkt mich als jemand anders ausgeben, wenn alles SSL nutzt habe ich einen erheblichen Mehraufwand. Um die Täuschung auf dem selben Level aufrecht zu erhalten müsste ich beim Angriffsziel Root Zertifikate installieren.

Ohne SSL kann ich mir ziemlich viel Zirkus sparen und einfach als transparenter Proxy rausfiltern und ändern was ich will.

Das IP protokoll hat nunmal keine Sicherheitsmechanismen also muss man die auf dene Ebenen darüber nachrüsten.