[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: Anonymitaet im Internet

To: debate@lists.fitug.de
Subject: Re: Anonymitaet im Internet
From: Jan Luehr <jluehr@gmx.net>
Date: Fri, 14 Apr 2006 22:28:30 +0200
Delivered-to: mailing list debate@lists.fitug.de
In-reply-to: <87wtds81x6.fsf@mid.deneb.enyo.de>
List-help: <mailto:debate-help@lists.fitug.de>
List-id: <debate.lists.fitug.de>
List-post: <mailto:debate@lists.fitug.de>
List-subscribe: <mailto:debate-subscribe@lists.fitug.de>
List-unsubscribe: <mailto:debate-unsubscribe@lists.fitug.de>
Mailing-list: contact debate-help@lists.fitug.de; run by ezmlm
References: <20060410205238.GA29630@greenie.muc.de> <200604141953.33559.jluehr@gmx.net> <87wtds81x6.fsf@mid.deneb.enyo.de>
User-agent: KMail/1.9.1

ja hallo erstmal,...

Am Freitag, 14. April 2006 20:09 schrieben Sie:
> * Jan Luehr:
> > Wenn wir eine Kompromittierung der Clients miteinbeziehen, dann hat der
> > User sich sein OTP gefälligst pers. abzuholen.

> Das OTP hilft ihm dann auch nicht mehr. Wenn dem so wäre, wäre
> z.B. auch Internet-Banking mit Einmalpaßwörtern sicher.

Natürlich hat man auchbei OTP Designprobleme und natürlich erfüllen hier die 
Banken (die hauptsächlich OTP anwenden) ihre Aufgabe teilweise eher schlecht.
Btw. es wäre natürlich denkbar, OTP Systeme zu entwickeln die so komplex sind, 
dass sie nur noch schwer zu überlisten wären, praktisch wäre dies aber sehr 
schwer umzusetzen.
Generell haben OTP-Systeme aber immer noch den Vorteil, dass sie nur schwer im 
Nachhinein geknackt werden können.

> > Wenn wir aber - was ich für eine realistische Annahme halte - davon
> > ausgehen, dass der Client eben nicht kompromittiert ist, sehe ich
> > nicht wie das Kennwort dort verloren gehen könnte.
>
> Ich kenne die Argumentation: Wenn der Client kompromittiert ist, haben
> wir sowieso verloren. Das heißt aber in Wirklichkeit nur: Dann ist
> mein Produkt wertlos bzw. mein Steckenpferd sinnlos. Das tut natürlich
> weh, weswegen es niemand so recht wahrhaben will.

Bedingt. Natürlich ist ein nicht komprommitierter Client ein Element in einer 
Sicherungskette. Maßnahmen, die verhindern sollen, dass sich kompromittierte 
Clients in einem Netzwerk anmelden werden zur Zeit von Cisco, M$, etc. 
entwickelt. (Ob sie was taugen, wage ich zur Zeit nicht zu sagen).
Ich denke aber, dass es in vielen Fällen zu viel des Guten wäre, bei einer 
Webanwendung Maßnahmen zur Sicherstellung in diesem Gebiet zu ergreifen.
(Homebanking wäre hier imho ein Grenzfall) 

> Das ändert aber nichts daran, daß sich die Leute so etwas trotzdem
> einfangen und man ihnen als Diensteanbieter u.U. die Schäden ersetzen
> muß und ggf. gezwungen ist, über den Tellerrand präventiver Maßnahmen
> wie Zugriffskontrolle hinauszuschauen.

Klar. Lassen wir aber mal die Kirche aber im Dorf. Dass es böse ist, 
Kennwörter per Mail (im Klartext) zu verschicken, bestreitest du doch nicht, 
oder?

Keep smiling
yanosz

--
To unsubscribe, e-mail: debate-unsubscribe@lists.fitug.de
For additional commands, e-mail: debate-help@lists.fitug.de

References:
- Anonymitaet im Internet
  - From: Gert Doering <gert@greenie.muc.de>
- Re: Anonymitaet im Internet
  - From: Jan Luehr <jluehr@gmx.net>
- Re: Anonymitaet im Internet
  - From: Florian Weimer <fw@deneb.enyo.de>

Prev by Date: Re: Anonymitaet im Internet
Next by Date: OLG Stuttgart: Linkverfahren Revision
Previous by thread: Re: Anonymitaet im Internet
Next by thread: Re: Anonymitaet im Internet
Index(es):
- Date
- Thread