Skip to content

Wer braucht schon SSL?

Netcraft schreibt in einem Artikel, dass verschiedene US-Banken ihre Loginformulare auf nicht-SSL-basierten Seiten anbieten. Zu den Instituten gehören Bank of America, Wells Fargo, Wachovia und Chase sowie auch American Express. Aufgrund der höheren Serverlast führen SSL-Seiten zu längeren Wartezeiten. Dies scheint den Kunden der Institute zuviel zu sein. So hat man die Praxis geändert. Gerade in Zeiten von Phishing und diversen Angriffen solch eine Praxis einzuführen, halte ich für äusserst gefährlich. Und das das dann noch von den großen Banken gemacht wird, ist noch schlimmer. Ich bin gespannt, wie lange es dauern wird, bis man hier mit einem MitM-Angriff loszieht. :-(

Trackbacks

Qbi's Weblog on : Kaputtes HTTPS gesucht

Show preview
Vor vielen Jahren berichtete ich über Banken, die sicheres Login (SSL) abschalten. Sebastian twitterte über Truecrypt, die den Aufruf von https://truecrypt.org auf die HTTP-Seite umleiten. Gerade TrueCrypt als Anbieter von Sicherheitslösungen (Verschl

Comments

Display comments as Linear | Threaded

tom on :

nun, der durscnittsuser kann bei einer ssl-verbindung die korrektheit des zertifikats des gegenüber nicht feststellen (weil er gar niocht weiss, was zertifikat und ssl und ev. Fehlermeldungen bzw. Warnungen bedeuten), darum kann ein mitm sich surchaus in eine SSL-Verbindung einlinken.

Add Comment

Enclosing asterisks marks text as bold (*word*), underscore are made via _word_.
Standard emoticons like :-) and ;-) are converted to images.
BBCode format allowed
E-Mail addresses will not be displayed and will only be used for E-Mail notifications.

To prevent automated Bots from commentspamming, please enter the string you see in the image below in the appropriate input box. Your comment will only be submitted if the strings match. Please ensure that your browser supports and accepts cookies, or your comment cannot be verified correctly.
CAPTCHA

Form options
tweetbackcheck