Trainmaster

Hallo zusammen,

ich bin gerade über folgenden Link gestolpert: http://janschejbal.wordpress.com/201...lung-unsicher/. Nun bin ich mir nicht ganz im Klaren, ob das alles so korrekt ist, was dort beschrieben wird. Denn wenn ich recht überlege, ist dieses Szenario allgegenwärtig. Bestes Beispiel dafür sind zahlreiche E-Commerce Websites. Die Websites werden oftmals über http besucht und in aller Regel erfolgt die Weiterleitung auf https, sobald es zur Bestellabwicklung übergeht.

Was haltet ihr von dem Artikel?

Mister Ad

mepeisen

Ohne dass das ganze online einsehbar ist, bereits auf Sicherheitsprobleme zu schließen, ist total unseriös. Auch sind die Angaben total unseriös. 90% der möglichen Szenarien implizieren, dass der Angreifer als Man-in-the-middle auftritt. Ob das Formular nur auf https weitereitet oder früher schon weitergeleitet wird, ist irrelevant, solange irgendwann https, spätestens beim Abschicken zum Einsatz kommt.
SSL verhindert lediglich, dass man die abgesendeten Daten des Browsers ohne weiteres direkt einsehen kann. Es verhindert nicht das Manipulieren. Ist ein Angreifer bereits so weit, sich direkt ins Netzwerk reingehackt zu haben (beim Provider oder sonstwo), ist er im kompletten Datenstrom eingebunden. Dann nützt auch kein SSL mehr was, denn dann wird der Datenstrom pauschal so manipuliert, dass das Original-Zertifikat nicht mehr zum Einsatz kommt, sondern ein gefälschtes. Insofern ist das mit SSL Humbug.
Das, was SSL verhindert ist zweierlei:
1. Die Kommunikation kann ohne Umbiegen des Datenstroms nicht mehr so ohne weiteres gefälscht werden.
2. Es müssen gefälschte Zertifikate zum Einsatz kommen und diese wiederum "fallen auf". In dem Sinne, dass Browser in den meisten Fällen Probleme mit den Zertifikaten melden.

Bist du auf dem Rechner/ Handy desjenigen, der das Formular bedient, bereits eingebrochen, ist alles egal, dann kannst du alles verfälschen. Bist du auf dem Server eingebrochen, hilft SSL ebensowenig. Bist du im Netzwerk eingebrochen, ist zwar die Wahrscheinlichkeit als User höher, Ungereimtheiten beim Zertifikat zu sehen, dennoch ist auch hier ein manipulierender Eingriff möglich.

Merke: Das Zertifikat, das der Server geheim auf der Festplatte hat und das, was der User kriegt, müssen zusammenpassen. Es gibt außer Sicherheitschecks des Zertifikats keinerlei Chancen für den Browser zu erkennen, ob der Datenstrom umgeleitet und verfälscht wurde. Definitiv nicht. Der Client muss das lesen können, was der Server sendet und umgekehrt. Ein man-in-the-middle simuliert einen Browser gegenüber dem Webserver und simuliert einen Webserver gegenüber dem Client. Und schon kannst du mit verfälschtem Zertifikat ohne große Mühe alles verfälschen an den verschickten Daten.

__________________
www.php-maven.org PHP und Maven vereint: Build/Deploy/Produktion/Konfiguration, Projekt Management, CI, PHPUnit, zahlreiche Frameworks
Twitter @ https://twitter.com/#!/mepeisen und Facebook @ http://t.co/DZnKSUih

eagle275

das wichtigste habt ihr beide übersehen ...

wenn jemand den Brief zur Befragung bekommt, dann MUSS er auch ausgefüllt und beantwortet werden - das steht im Gesetz zur Volkszählung drin - Zuwiderhandlung kann mit Ordnungsgeldern bis hin zur Beugehaft "bestraft" werden

__________________
"Irren ist männlich", sprach der Igel und stieg von der Drahtbürste

mepeisen

Und das hat mit Sicherheit was genau zu tun, eagle?

__________________
www.php-maven.org PHP und Maven vereint: Build/Deploy/Produktion/Konfiguration, Projekt Management, CI, PHPUnit, zahlreiche Frameworks
Twitter @ https://twitter.com/#!/mepeisen und Facebook @ http://t.co/DZnKSUih

eagle275

hat nichts mit Sicherheit - sie macht aber die Diskussion darüber irgendwie "obsolet"

zumal ich es interessant finde, warum die Leute genau in diesen Momenten an Datenschutz denken, wenn der Staat mal etwas über die Anzahl seiner Bürger erfahren will .. Dabei verraten die meisten doch inzwischen über Facebook / Twitter und Co WESENTLICH mehr Daten sehr bereitwillig ... bis hin zu solchen Extremen wie "gehe jetzt Einkaufen bei XYZ" - das interessiert doch wirklich nen Gasmann

__________________
"Irren ist männlich", sprach der Igel und stieg von der Drahtbürste

mepeisen

Es gibt Leute, die verraten sowas nicht via Twitter
Davon abgesehen: Gerade weil es Pflicht ist, sollte man auch über die Sicherheit zumindest mal Gedanken machen

__________________
www.php-maven.org PHP und Maven vereint: Build/Deploy/Produktion/Konfiguration, Projekt Management, CI, PHPUnit, zahlreiche Frameworks
Twitter @ https://twitter.com/#!/mepeisen und Facebook @ http://t.co/DZnKSUih

Manko10

Wenn es denn wenigstens bei der Anzahl bliebe. Besonders die armen 10%, die direkt befragt werden sollen, müssen Auskunft über Dinge geben, die den Staat überhaupt nichts angehen und die zur Erhebung der Einwohnerzahlen überhaupt nicht notwendig sind. Begründet wird dies dann mit Verbesserung der Integration und schieß mich tot. Was da verbessert werden muss (und das ist eine ganze Menge) kann ich denen aber auch ohne Zensus sagen.
Und überhaupt gehöre ich z.B. zu denen, die versuchen, ihren Datenstriptease möglichst gering zu halten. Nur weil geschätzt 47% der Deutschen bei Facebook sind, heißt das a) nicht, dass alle dort sämtliches über sich preisgeben und b) nicht, dass deshalb 100% der Bevölkerung genötigt werden könnten, Auskunft über persönliche Dinge zu erteilen. Nur weil mein Nachbar sich im Vorgarten umzieht, heißt das doch nicht, dass irgendjemand berechtigte Ansprüche hätte, mir dasselbe vorzuschreiben. Ich bin z.B. nicht bei Facebook und bin auch nie bei MySpace, SchülerVZ, StudiVZ, MeinVZ, Stayfriends oder weiß der Geier was gewesen. Darf ich also den Zensusbeauftragen deshalb die Auskunft verweigern?

__________________
Refining Linux Advent Calendar series “24 Outstanding ZSH Gems”

Trainmaster

@ Manko10

Beim Zensus geht es nicht nur um Einwohnerzahlen, sondern auch um sozioökonomische Daten der deutschen Bevölkerung. Ich persönlich halte diese statistische Erhebung für eine sinnvolle Notwendigkeit. Zudem ist keiner der Interviewten dazu gezwungen, ein Interview zu führen, sondern kann den Fragebogen auch online ausfüllen. Die Fragen selbst sehe ich unkritisch. Außerdem geht es nicht primär darum, zu erfahren, was zu verbessern ist, sondern um die strukturelle Erfassung der Bevölkerung. Ein gute Sache, wie ich finde.

Manko10

Ich weiß. Für viele dieser Fragen ist ein Zensus mit Auskunftspflicht aber nicht verhältnismäßig.
Ob online oder nicht, ändert an der Sache nichts.

Die Fragen, die du bisher bekommen hast, sind lediglich diejenigen, die an alle Wohnungs- und Hauseigentümer gesandt werden. Dort werden dann alberne Fragen gestellt wie "Ist in der Wohnung ein WC vorhanden?" oder "Wie viele Personen haben bei Ihnen am X. Mai gewohnt?" Ich habe hier selbst so ein Ding auf dem Tisch liegen.
Was ich meine, sind vor allem die Fragebögen, die an etwa 10% der Bevölkerung rausgehen. Diese sind bedeutend länger und mit Fragen gespickt, die über eine notwendige Datenerhebung weit hinausgehen. Abgesehen von der Frage nach der Religion sind alle wahrheitsgemäß zu beantworten. Die Religionsfrage ist auch nur optional, weil die Datenschutzbeauftragten sich dafür eingesetzt haben. Ansonsten wäre selbst das eine Pflichtfrage geworden.
Im Übrigen ist die Datenerhebung alles andere als anonym. Die Daten werden mit Identifikationsnummern versehen. Mit einigem Aufwand lassen diese sich zu realen Personen zurückverfolgen. Dass sämtliche Daten also vollkommen anonym gespeichert werden, ist eine dreiste Lüge.

__________________
Refining Linux Advent Calendar series “24 Outstanding ZSH Gems”

Trainmaster

Ich sehe die Fragen trotzdem unkritisch. Und bedeutend länger ist der Fragebogen auch nicht, siehe: http://cdn.zensus2011.de/live/filead..._20101007a.pdf

An welcher Stelle wird mit einer anonymen Datenerhebung geworben? Bitte um Quellenangabe. Meines Wissens nach werden die Daten im Verlauf der Weiterverarbeitung anonymisiert.