Diskussionsforum
Menü

"Sicherheit" ohne Angriffsszenario ist bedeutungslos


08.12.2017 23:49 - Gestartet von gs33Z5JOQRCtwMfPGcp2
Aussagen der Form "X ist sicher" sind einfach unsinnig. Man kann nur sicher gegen bestimmte Arten von Angriffen sein, eine unbestimmte Behauptung von "Sicherheit" ist einfach Unfug, und meistens Marketing-Unfug. Als solches hat natürlich auch nie jemand mit Ahnung von der Materie behauptet, https wäre ein Zeichen "für eine sichere Seite", sondern allerhöchstens, dass das Fehlen von https ein Zeichen für eine unsichere Seite ist, soweit es ibs. die Eingabe personenbezogener Daten betrifft.

Allerdings ist es auch deutlich zu kurz gegriffen, zu behaupten, TLS (und nicht SSL, SSL ist seit mehr als zehn Jahren veraltet) wäre nur eine Transportverschlüsselung, denn gerade die Zertifikate sorgen ja für Authentisierung, sodass man auch sicher sein kann, dass man mit dem richtigen Server redet und nicht ein Angreifer die übertragenen Daten manipuliert z.B. Wenn die URI im Browser https://www.teltarif.de/ ist, dann kann man sich in der Tat ziemlich sicher sein, dass man ohne Mitlauscher und ohne Manipulation mit www.teltarif.de zu tun hat.

Die Vorstellung, dass das irgendetwas über die Qualität der Webseite aussagt, oder auch nur, ob es tatsächlich die Webseite ist, die man besuchen wollte, ist aber natürlich absurd. Die Rolle des Zertifikats ist zu vergleichen mit einem Ausweis - der Ausweis bestätigt die Identität des Gegenübers, aber macht natürlich keine Aussage darüber, ob das Gegenüber vertrauenswürdig is.
Menü
[1] Negecy antwortet auf gs33Z5JOQRCtwMfPGcp2
14.12.2017 12:29
Das Problem ist und das ist das größte und die Arroganz von Google hier vielsagend: Da steht seit kurzem eben in grün ganz klar neben dem Schloss "Sicher", es wird dem unbedarften User also vorgegaukelt, es sei sicher, was es eben nicht ist.

Authentifizierung war mal ein Thema, mit dem ganzen domainvalidierten Mist, der mit Let's Encrypt nun zur Standardmasse zählt, ist sie aber den Namen nicht wert. Jede weitere Verantwortlichkeiten weißt Let's Encrypt ja bewusst von sich.