Webbrowser Sicherheitsprobleme Clientseitige Sicherheit alleine unzureichend
herbert.katzlinger.uni-linz, 4. Oktober 2011, 06:55
A) Kurzdarstellung der Problematik:
Besonders die webbrowserbasierte Abwicklung von finanziellen Transaktionen ist mit besonderen Problemen behaftet, denn
1) Clientseitige Sicherheit allein nicht ausreichend (bezogen auf primärem Fokus der Verschlüsselung HTTP-Datentransfers)
2) Verschlüsselung alleine gewährt noch keinen entsprechenden Schutz , eine umfassendere Sichtweise und Behandlung des Themas IT-Sicherheit allgemein und im speziellen Datenschutz und Datensicherheit ist notwendig: (siehe dazu: Integrität, Authentifikation, Autorisierung und Zugriffskontrolle, Verschlüsselung):
Vertraut der Webbrowser beispielsweise einem gefälschten Zertifikat, ist damit die Verschlüsselung der Daten funktionslos.
3) Gefälschte Domainzertifikate, die nicht bzw. nur relativ schwer vom Browser erkannt werden können (siehe dazu: CRL, OCSP, Black- und Whitelist usw..)
4) Auf dem Clientrechner gibt es verschiedene, häufig relativ einfache Möglichkeiten, das System zu korrumpieren (wie biespielsweise Einschleusen von Keylogger, Root-Kits usw..)
5) Ein verteiles System ist nur so sicher wie sein schwächstes Glied und lässt sich nur unter Betrachtung des Gesamtsystems und Einbeziehung all seiner Teilsysteme bewerkstelligen.
B) Empfehlen und Vorschläge:
Die aktuellen Sicherheitsstandards vor allem bezogen auf E-Banking legen den Einsatz von dedizierter clientseitiger Software in Verbindung mit dem Einsatz von Chipkarten und entsprechenden Lesegeräten nahe unter Verwendung von digitalen Zertifikaten nahe.
Betreffend Detailinformationen über Risiken und Gefahren aber auch empfohlene, nach dem aktuellen Stand der Technik als relativ sicher geltende Verfahren sind in den nachstehenden Links zu finden:
C) Literaturquellen:
a) Überblick über Online-Banking:
http://preview.tinyurl.com/6egbvur
b) Gefahren und Risiken des Online-Banking:
0 comments :: Kommentieren
