c't-SSL-Wächter schützt beim Online-Bezahlen

    Zitat heise.de:

    Noch immer verwenden viele Web-Seiten unsichere SSL-Zertifikate unter anderem für Bezahlvorgänge im Internet. Und selbst wenn diese, wie letzte Woche bei T-Pay geschehen, entfernt und widerrufen werden, lassen sie sich noch missbrauchen.
    [FONT=Helvetica, Arial, Verdana, sans-serif][SIZE=-1] Eine Vorabversion des c't-SSL-Wächters warnt vor dem unsicheren T-Pay-Zertifikat.[/SIZE][/FONT]
    Die Telekom hat nach einem Hinweis von heise Security letzte Woche – also rund anderthalb Monate nach dem Bekanntwerden des Debian-Debakels – zwei Zertifikate widerrufen, die der hauseigene Bezahldienst T-Pay zur Absicherung des Bezahlens (http://www.sicherbezahlen.t-pay.de) und Registrierens mit Bank- und Kreditkartendaten eingesetzt hatte. Trotzdem gelang es heise Security auch nach dem Widerruf, mit Hilfe des schwachen Zertifikats einen verschlüsslten Registrierungsversuch bei T-Pay von einem zweiten Rechner aus zu belauschen, ohne dass der Anwender dies etwa an einer Warnung hätte erkennen können.
    Das liegt daran, dass Windows XP in der Standardeinstellung die Widerrufsinformationen nicht prüft und deshalb der Internet Explorer auch für das widerrufene Zertifikat das Schloss für eine angeblich sichere Verbindung einblendet. Das gleiche gilt für Firefox 2. Internet Explorer 7 auf Vista und Firefox 3 warnen zwar vor widerrufenen Zertifikaten, aber noch immer werden regelmäßig neue Sites entdeckt, die schwache Zertifikate einsetzen und keine Warnung erzeugen.

    In der seit heute erhältlichen c't-Ausgabe stellt heise Security deshalb den c't SSL-Wächter vor. Der warnt den Nutzer, wenn er eine vermeintlich sichere Webseite ansurft, die mit einem schwachen Zertifikat ausgestattet ist. Er bietet dabei die Möglichkeit, die Übertragung eventuell bereits abgeschickter kritischer Daten zu unterbinden. Der c't-SSL-Wächter funktioniert auf Windows 2000, XP und Vista und stellt sich automatisch auf Deutsch und Englisch ein. Er beschützt alle Anwendungen, die die Windows-Krypto-Schnittstelle benutzen, also insbesondere Internet Explorer und Outlook Express beziehungsweise Windows Mail. Firefox-Anwender können sich mit Márton Ankas Erweiterung SSL Blacklist behelfen, die ebenfalls schwache Zertifikate erkennt – aber leider erst nachdem die fragliche Web-Seite abgerufen wurde.
    Siehe dazu auch:

    (ju@ct.heise.de/c't)

    ^^Quelle: http://www.heise.de/newsticker/c-t…/meldung/110504

    signatur_tie-fighter.jpg
        
    "Ich bin unschuldig, ich bin Amerikaner"

    Zitat:

    Baphomet's Fluch 1

    Echt sowas geht schon.
    Übers Internet bezahlen.
    Man man damals, da musste man noch zum Schalter hinlaufen und per Hand eine Überweisungswisch ausfüllen.
    Ah ja daaaaaaaaaaaaaamals.
    *lach*
    Naja für Telekom Verhältnis ist doch ein Monat extrem schnell.
    Hut ab Telekom :D

    ich bezahl mein laptop mit echten cash scheinen so nen batzen direkt auf die thecke aber vorher 3x zählen :_D

    wobei der ssl vorfall wirklich ein skandal ist ,, alles was mir einfällt was ich "sicher gemacht habe" steht jetzt in frage

    Tja, so ist das mit dem Bankgeschäft. Diebe und Sicherheitslücken wird es wohl immer geben. Früher musste man in eine Bank einbrechen, den Tresorraum knacken und dann sehen, daß man unbehelligt mit der Beute davonziehen konnte.

    Heute werden Transaktionen abgefangen und einfach die Geldströme umgeleitet.

    So hat jede Zeit ihre Verbrechen - und jedes Schloss, ob nun real oder in digitaler Form, wird irgendwann einmal geknackt. So wird es wohl immer sein.

    signatur_tie-fighter.jpg
        
    "Ich bin unschuldig, ich bin Amerikaner"

    Zitat:

    Baphomet's Fluch 1

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!

Benutzerkonto erstellen Anmelden