it-swarm.com.de

Sicherheit - DiscoverCard.com

Ich habe eine SSL-Sicherheitsfrage zu http://discovercard.com/

Wenn Sie zum ersten Mal zur Homepage von Discover Card gehen, können Sie Ihren Benutzernamen und Ihr Kennwort eingeben, ohne dass die Website durch SSL geschützt ist. Wenn Sie auf Login klicken, werden die Informationen über SSL übertragen, aber die Homepage verwendet kein SSL.

Warum macht Discover das Ihrer Meinung nach? Ist das in Ordnung zu tun? Gibt es dabei Sicherheitsrisiken?

Jede andere Bank- oder Kreditkarten-Website, auf die ich zugegriffen habe, verfügt über SSL, wo immer Sie den Benutzernamen und das Passwort eingeben.

Danke für die Kommentare!

2
Jeff

Die meisten Websites tun dies nicht, da theoretisch ein Man-in-the-Middle-Angriff verwendet werden könnte, um die Nicht-HTTPS-Anmeldeseite zu fälschen, sodass die Anmeldeinformationen abgefangen werden können.

In der Praxis ist ein MitM-Angriff jedoch ein sehr seltener und ausgefeilter Angriff. Wenn Sie sich nicht in einem ungesicherten Netzwerk befinden, besteht fast keine Chance, dass dies geschieht. Und wenn Sie Opfer einer MitM-Attacke werden, bin ich mir nicht sicher, ob die Verwendung einer HTTPS-Anmeldeseite hilfreich ist. (Es wurden Berichte unerwünschte CA-Zertifikate erstellt, indem die Verwendung des veralteten MD5-Algorithmus durch Stamm-CAs ausgenutzt wurde, sowie Geschichten Wildcard-Zertifikate, die generiert werden können wird auf jedem FQDN verwendet.)

Das heißt, wenn SSL sicher ist (hoffentlich wurden diese Exploits behoben), sollte der Kunde vor MITM-Angriffen geschützt sein, wenn er ein Upgrade verwendet Browser-to-date und achten Sie auf Browser-Warnungen (eine Art großes "Wenn", wenn man bedenkt, dass viele große Websites nicht einmal die Mühe machen, richtige SSL-Zertifikate zu verwenden). Und Benutzer fühlen sich sicherer, wenn sie das kleine Schlosssymbol in ihrem Browser sehen. Dies ist möglicherweise ein guter Grund, es zu verwenden, da die Verwendung von HTTPS auf der Anmeldeseite nur wenige Nachteile hat. Die Verlangsamung sollte vernachlässigbar sein, da der Aufwand für die SSL-Verschlüsselung bei den meisten Anwendungen im Vergleich zum Aufwand für Datenbanken oder Skripte gering ist.

2
Lèse majesté