Benutzer Kai Petzke schrieb:
Benutzer techie schrieb:
Ich habe gerade nochmal überlegt (sollte man öfters tun... ich weiß!) und dabei fiel mir auf, daß der Artikel doch mit seinen Empfehlungen recht gefährlich sein kann für den unbedarften User.
Das sehe ich anders. Begründung folgt.
Nun kommt [der User] auf eine Phishing Site, die aber iframes benutzt und sich damit (in einem Frame) die Originalseiten von z.B. einer Bank holt und der Benutzer sieht seine gewohnten Bankseiten.
Das wäre dann so.
Aufgrund des Artikels würde man nun auf den korrekten Bankseiten (aber in einem Frame) eine Fehleingabe provizieren und die Bank quittiert dies korrekterweise mit einer Fehlermeldung.
Richtig.
Otto-Normal User denkt nun, "Ahh, Teltarif hat mir gesagt, wenn da eine Fehlermeldung kommt, bin ich auf der richtigen Seite", vertraut der angezeigten Seiten und gibt nun seine korrekten Daten ein.
Im Artikel wird nur behauptet: "Erscheint [nach der Eingabe von Fantasiedaten] keine Fehlermeldung [...], ist etwas faul". Der
Umkehrschluss steht nicht im Artikel.
Was Otto-Normal User nicht merkt: Ein Skript fängt die eingegebenen Daten ab und schickt sie zu einem Phishing-Server,
bevor sie an die Eingabemaske der Bank gegeben werden.
Dieses Skript würde aber von einer anderen Site geladen, als der "überwachte" Frameinhalt, und damit müssten eigentlich die aktuellen Browser Events des eingebetten Frames vom umgebenden Fenster verstecken. Der von Dir spezifizierte Angriff wird ja unter dem Oberbegriff "Cross-Site-Scripting" allgemein diskutiert, und die Browser-Programmierer versuchen, dieses zu unterbinden.
Statt der embedded-Frame-Variante gibt es aber immer auch den "man-in-the-middle"-Angriff, bei dem die Daten vom einem zwischengeschalteten Server mitgeschnitten werden.
laßt bitte solche Empfehlungen
Das sehe ich persönlich anders. Praktisch jede Sicherheitsempfehlung, die man in den Medien liest, ist unter gewissen Umständen kontraproduktiv. Oft wird empfohlen, "alternative Browser wie Firefox zu verwenden". Sicherlich richtig. Nur was ist, wenn man eine kompromittierte virenverseuchte Version des Browsers erwischt, weil man die falsche Download-Site wählt? Also müsste der Hinweis lauten: "Laden und installieren Sie alternative Browser wie den Firefox von einer vertrauenswürdigen Site herunter." Bleibt dann wieder die Frage, welche Site vertrauenswürdig ist. Dank DNS-Spoofing, Provider-Chaos oder Hacking der Original-Site kann auch auf der Original-Domain kompromittierte Software liegen. Selbst google.de war jüngst ja unfreiwillig umgezogen. Also müsste der Hinweis lauten: "Laden Sie Firefox Version X.Y.Z von a.b.c herunter, und prüfen sie anschließend, ob die SHA1-Prüfsumme dem hier abgedruckten Wert entspricht". Es folgen dann noch etliche Absätze darüber, was SHA1 ist, welche Programme diese Prüfsumme ermitteln können, und dass man nach dem Download den Firefox sich dann auch noch gleich selber updaten lassen soll (wo er dann die Prüfsumme des Updates automatisch prüft).
In dieser "Langversion" beachten dann aber noch genau 0 Leser die Sicherheitsempfehlung. Es ist somit oft besser, die weniger genaue Empfehlung zu geben, mit dem Ergebnis, dass mehr Leser sie beachten, und dadurch insgesamt die Sicherheit zunimmt, selbst dann, wenn in der "Kurzversion" ein paar wesentliche Sonderfälle nicht abgedeckt sind.
Ich werde den Artikel am Anfang dahingehend optimiert, dass klarer wird, dass nicht alle Betrugsseiten mit diesem Trick entlarvt werden.
Kai
Selbst das fände ich nicht wirklich nötig :), schließlich sind wir hier nicht in Amerika, wo man für jede Eventualität und Ausnahme einen extra Satz abdrucken muss, oder? Wie Du schön aufzeigst, gerät man ansonsten schnell in eine fatale Kette aus gegenseitigen Bedingungen oder davon wiederum abhängigen Zusatzinfos, an deren Ende niemand mehr Lust hat, dem Kern - der eigentlich eben doch in 95% der Fälle hilft - zu folgen.
MfG
Telconium