Zumindest bei Firefox und Chrome/Chromium ist das jetzt schon eine ganze Weile nicht einfach nur eine Wegklick-Warnung, sondern ein Multi-Klick-„Ich weiß wirklich, was ich tue“-Vorgang.
Benutzern, die das bei Online-Banking machen, ist wirklich nicht mehr zu helfen.
BTW: Mods, die Diskussion, die sich aus @Enrique’s Frage https://forum.freifunk.net/t/vfn-nrw-trojaner-box/3767/88 ergeben hat, ist nun wirklich mal ein heißer Kandidat für Auslagerung in einen eigenen Thread „Risiken von Root-Zugang zu (Freifunk-)Routern“, oder? (Kaum Überschneidungen mit dem Rest dieses unerfreulichen Threads, könnte auch gerne für Referenz wieder ins offene Forum geschoben werden, falls alle einverstanden sind (???), trifft auch unabhängig vom aktuellen Fall zu, …)
Das liegt unter anderem daran, dass viele keine Zertifikate für *.firma.de wollen. Und da dann jeder Eintrag im Zertifikat kostet, gibts diese Effekte.
Aus meiner Beobachtung ist es völlig egal wie krass die Klickorgie ist, die User machen das ohne zu überlegen. Solange sowas andauernd passiert, bleibt das auch so.
ein vernünftig aufgesetzter Webserver sollte enthalten:
The server supports „HTTP Strict Transport Security“ with long duration
The server is not vulnerable to the „Heartbleed attack“
The server is not vulnerable to the „OpenSSL CCS vulnerability“ (CVE-2014-0224).
Email tansport via SSL/TSL is encryptend with „Perfect Forward Secrecy (PFS)“.
The server supports DNS-based Authentication of Named Entities (DANE)
The server does not support SSL v3
Langsam nervt es, daß du wegen jeder Banalität son Fass aufmachst!
Warum sollte der Karnickel-Züchter Verein XY soviel Wert auf Sicherheit legen?
Weil jemand das Datum der kommenden Jahreshauptversammlung via Man-in-the-middle-attack manipulieren könnte?
Man, Alter!
5-10€ sind für manche einfach immer noch nen Haufen Kohle, und ob man sich die mit schöner Regelmässigket monatlich ans Bein binden will, muß man doch jedem selbst überlassen!
Schön, wenn jemand nen gültiges Cert für seine Seite hat!
…aber wenn ich wissen will, wann und wo ich Freifunker in meiner Nähe treffen kann, ist das sowas von scheiss-egal!
Sorry für die harten Worte, aber diese kleinkarierte Kinderkacke die @Pinky hier in einer Tour absondert geht mir inzwischen sowas von…
(ja, ich weiß, daß das hart an der Grenze ist, aber das ist keine pers. Beleidigung, sondern einer pers. Wertung dessen was @Pinky hier kontinuierlich absondert.)
Reden wir hier eigentlich noch über die VfN-NRW Box oder über Security Allgemein?
Wenn letzteres kann ich nur einwerfen das SSL IMHO sowieso broken by design ist.
Ausserdem sind ziemlich sicher alle Bezugsuellen für Zerts von den Geheimdiensten kompromitiert also kann man das ganze direkt in die Tonne kloppen.
Was ich damit sagen will ist das in der Post-Snowden Ära leider alle Sicherheitsmechanismen hinterfragt werden müssen. Bei dem OT ging aber um direkten Zugriff auf die Box. Das ist ein komplett anderes Paar Schuhe.
@Mods kann man diese „Allgemeine Sicherheit“ Debatte nicht abtrennen
Ausgelöst wurde das ganze eh nur durch die Fragestellung „Wie schlimm kanns schon sein?“ welche ja jetzt ausreichend beantwortet worden sien sollte.
Die sind ja geil @HeptaSean …die liefern ja komplett Falscher Zertifikate aus
Schon blöd wenn man nicht weiß wie man bei Virtuellen Servern auf der gleichen IP die passenden Zertifikate für die Domains ausliefern kann
Es gibt keine https Version von librefunk.net. Wenn dann ein Fehler kommt ist das in dem Fall normal.
Wenn man viel Zeit hat könnte man SNI implementieren und nen allgemeineren Fehler kommen lassen, statt dann eine andere Seite auszuliefern. Das funktioniert dann aber auch nur bei neueren Browsern.
Du anscheinend nicht wie ein Webserver und SNI funktioniert, wenn www.bla.de als virtuelle Domain zusammen mit www.blub.de auf einem Server liegt, und bei bla.de dann das blub.de Zertifikat ausgeliefert wird hat jemand eine verkorkste Virtualhost Konfiguration
Ich kann dir per PM gerne zeigen wie das geht, habe selber etliche Server auf denen das Problemlos geht.
Gruß
PS: Das eine ist eine Weiterleitung, wenn auf dem Ziel Webserver der Virtuelle Host „ffforum.priv.de“ nicht existiert wird auch kein entsprechndes Zertifikat ausgeliefert.
Du wolltest zeigen, dass $Dumme-Menschen immer noch Ausnahmen zulassen, ohne zu wissen, was sie tun.
Nun, wenn $Jemand Sparkasse oder Volksbanken sucht, wird er in ca. 80% der Fälle über Google gehen: Google und Google
In weiteren 20% gibt er „sparkasse.de“ oder „vr.de“ im Browser ein, der dann ein „http://“ davor rät (kein „https://“): http://sparkasse.de/ und http://vr.de/
Das sind Weiterleitungen auf die richtigen Seiten.
In all diesen Fällen landet der Benutzer auf den korrekt konfigurierten Seiten: https://www.sparkasse.de/ und https://www.vr.de/
Die sind korrekt konfiguriert, keine Beschwerde vom Browser, gar nix.
Um bei Deinem „Mimimi, das ist kein Wildcard-Zertifikat, ich muss eine Ausnahme anlegen“-Beispiel zu landen, muss man schon mutwillig die falsche URL komplett genau so eingeben.
Ich bleibe dabei:
Dass die Browser-Hersteller die Warnung zu einer „Hier passiert gerade etwas ganz, ganz seltsames, bitte dreimal bestätigen“-Meldung gemacht haben, hat dafür gesorgt, dass Website-Betreiber aller Klassen da verstärkt drauf achten und falsche Zertifikate eine echte Seltenheit geworden sind. (Ausnahme: Seiten, die aus Prinzip CACert oder so einsetzen.)
Wer so eine Ausnahme beim Online-Banking zulässt, dem gehört der Computer-Führerschein entzogen.
Und das macht eben, um zum Thema zurück zu kommen, Man-in-the-Middle-Attacken auf HTTPS-Verbindungen doch ein ganzes Stückchen schwerer.
Das kannst Du schon so sehen, allerdings deckt sich das nicht mit meiner Beobachtung wie Benutzer vorgehen. Fehlermeldugen aller Art werden einfach so weggeklickt. An meiner Hotline bekomme ich ja noch nichtmal den Meldungstext, den die Leute wegklicken, wenn irgend ein Fehler auftritt. Meine Beobachtung ist dass, nicht alle aber doch die große Mehrheit, auch beim Onlinebanking so vorgeht: Hauptsache man kommt durch. Und ärgern sich sogar eher noch dass man so viele Klicks machen musste. Und einen Sicherheitsdialog, der vom Benutzer von einer Fehlermeldung unterschieden wird, habe ich noch nicht gesehen, auch nicht im aktuellen Firefox oder Chrome.
Und ja, CACert, Domains mit selbstsigniertem oder abgelaufenem Zertikfikat sowie jede Seite die nicht alle verlinkten(!) oder in Kurzschreibweise eingegebbaren Domains abdecken, wenn sie denn https machen, führen dieses Prozedere auch als „normale“ Vorgehensweise bei den Benutzer weiter ein, so dass man es dem Benutzer gar nicht vorwerfen kann wenn er so vorgeht. Und das sind verammt viele da draußen!
Korrekt, die Seiten sind in der Tat falsch konfiguriert. Best practice wäre beim prefix handling, dass example.org und www.example.org jeweils auf den selben Host auflösen. Sonst geht nämlich meines Wissens auch HSTS kaputt.
Man kann heutzutage von keinem User mehr verlangen die www-Domain und die Domain ohne Präfix zu unterscheiden. Wir sind ja nicht mehr in den Nineties („Besuchen Sie unsere Website unter ha te te peh doppelpunkt doppelslash weh weh weh punkt…“) und auch ein techie gibt doch wohl nur noch google.de ein statt www.google.de…
(Man sollte übrigens nicht Banken als gutes Beispiel darstellen. Die sind lustigerweise bei Sicherheit nachlässiger als alle anderen. Ist ja nicht deren Geld hust)
