Re: "Neue" Angriffslücke auf SSL gefunden
Posted: 2009-02-19 13:55
Na ja, ich würde das eher unter Social Engineering ablegen, nutzt diese Angriffsmethode doch die Blödheit des durchschnittlichen Internet-Users, nicht zu bemerken, dass er gar nicht über eine SSL-Verbindung surft. Wichtige Login-Seiten einfach mit der HTTPS-Adresse bookmarken, und schon kann einem zumindest das hier nicht mehr passieren...
Server-Seitig kann man sich nur eingeschränkt bis gar nicht dagegen wehren, wenn der User zu unbedarft ist (selbst wenn der erste Request schon per Redirect auf eine SSL-Verbindung umgeleitet wird - wenn ein Proxy dazwischen hängt, hat der Angreifer gewonnen). Nachbesserungsbedarf sehe ich vor allem auf Seiten der Clients (Surf-Safer-Button o. ä., der die Übermittlung von POST-Daten verweigert, wenn keine HTTPS-Verbindung genutzt wird o. ä.)
Server-Seitig kann man sich nur eingeschränkt bis gar nicht dagegen wehren, wenn der User zu unbedarft ist (selbst wenn der erste Request schon per Redirect auf eine SSL-Verbindung umgeleitet wird - wenn ein Proxy dazwischen hängt, hat der Angreifer gewonnen). Nachbesserungsbedarf sehe ich vor allem auf Seiten der Clients (Surf-Safer-Button o. ä., der die Übermittlung von POST-Daten verweigert, wenn keine HTTPS-Verbindung genutzt wird o. ä.)