Ich will ja nicht nerven, aber woher weiß ich, daß das Zertifikat von Heise Echt ist? Solange ich alles nur über das Internet habe, Stimmt nicht, wenn du die Fingerprint Info (oder den Public key)
Am Dienstag, 11. Juni 2002 20:50 schrieb Bernd Brodesser: per https:// vom richtigen http Server und der Inhalt des SSL-Zertifikats dem erwarteten Wert entspricht, ist extrem schwierig, da jemand deinen Browser manipulieren müßte. Aber im Prinzip hast du natürlich Recht. Paranoia kann man etwas weit treiben: -) Anrufen: Kann man wenn man "mächtig" genug ist ja auch abfangen. Woher weißt du das der Richtige auf der anderen Seite sitzt? -) Anrufen: Woher weißt, das nicht jemand einfach die Stimme am anderen Ende fälscht? -) Persönliches Treffen: Woher weißt du das du nicht mit einem Zwilling redest? (Ich bin mit einem Zwilling verheiratet, man kann sie auseinander halten wenn man sie kennt, aber für jemand der sie nicht kennt, ist es kaum möglich.) -) Persönliches Treffen: Woher weißt du das der Ausweis wirklich zur Person gehört und nicht nur einfach das Foto ähnlich ist? -) Alter Freund: Woher weißt du das Peter wirklich Peter ist, und nicht Tommy, der Al Kaida Schläfer der sich für Peter ausgibt?
bringt es das nicht. Und Anrufe kann man sich auch sparen, wenn man den Angerufenen nicht kennt, und somit auch nicht seine Stimme. Siehe oben, die Paranoia kann locker soweit treiben, daß man ohne Probleme auf die Psychatrie kommt.
Wie immer im Bereich der "Sicherheit" haben wir es halt mit Wahrscheinlichkeitsrechnung zu tun. Wenn man die Parameter der Situation kennt, kann man abschätzen wie wahrscheinlich ein Angriff ist und wieviel Resourcen er brauchen täte. Andreas -- Andreas Kostyrka +43 676 4091256 andreas@kostyrka.priv.at andreas@mtg.co.at