Roland Olbricht wrote on 26.03.2015 19:24: > Ich denke, das Image der SSL-Zertifkate ist, dass sie irgendwie sicher > sind, während Seiten ohne Verschlüsselung irgendwie unsicher sind. Ich > würde das gerne detaillieren.
Seiten mit Warnungen sind schlecht fürs Internet, da sie Usern (die keine Ahnung haben) beibringen immer auf OK zu klicken. > Man kann einwenden, dass ein Angreifer mehr tun muss: er muss den > Datenverkehr zwischen Browser und dem Webserver, auf dem die Overpass > API liegt, abfangen. Das muss er allerdings für eine unverschlüsselte > Verbindung ebenfalls. Ohne große Mühen können das z.B. Programme auf dem > eigenen Rechner (macht der Notebook-Hersteller Lenovo [1]), Dein > Zugangsprovider [2] oder im Falle eines WLANs in der Regel jeder andere > Teilnehmer im WLAN, mein Zugangsprovider oder Hosting-Anbieter oder auch > Lauscher an großen Umschlagpunkten [3]. In allen diesen Fällen haben die > Mitlauscher es geschafft, sich auch ein gültiges Zertifikat zu > verschaffen. Zwischen der Sicherheit verschlüsselter und > unverschlüsselter Verbindungen hat es also exakt keinen Unterschied gegeben. > > Unberechtigte Zertifikate zu ehalten ist aber nicht nur für > Geheimdienste [2] und Anbieter suspekter Software [1] möglich, sondern > auch für Einzelpersonen [4]. Um ein Zertifkat für eine Website zu > bekommen, muss man nur in der Lage sein, eine eMail an eine Adresse wir > [email protected] zu einem selbstgewählten Zeitpunkt lesen zu > können. Praktischerweise passiert das auf dem gleichen Kanal wie die > spätere Verbindung zur Overpass API per HTTPS; diesen muss man für einen > Angriff ohnehin kontrollieren können. Dazu kommen alle außerplanmäßigen Das ist nicht ganz korrekt. Die Bestätigungsmail kommt über den Weg: Zert-Anbieter -- overpass-api.de Mailserver Wobei das wohl Glasfaserleitungen und sonstige feste Verbindungen zwischen großen Rechenzentren sind. Die spätere Nutzung geht über overpass-api.de Webserver --2-- Nutzer Was beliebiges unverschlüsseltes WLAN oder verwundbare Privat-Router sein kann. Ersterer Einbruch ist wesendlich schwieriger, als der andere. -- Grüße Holger Jeromin _______________________________________________ Talk-de mailing list [email protected] https://lists.openstreetmap.org/listinfo/talk-de
