SSL ist imho der mit Abstand beste Phishing Schutz. Wie knalli schon schreibt - fast jeder hat in den letzten Monaten schon etwas von den Merkmalen einer SSL Verbindung gehoert. Im Firefox steht die echte verifizierte URL sogar unten rechts in der Statusleiste, vor Tricks wie Faking der URL mit www.galaxynews.de@ip_addr_im_dec_format wird zudem per Popup Menue gewarnt.
Im Firefox ist nix mit Zertifikat mal eben akzeptieren... es kommt eine Fehlermeldung bei einem fehlerhaften / nicht eingebundenen Zertifikat, bei der der Durchschnittsuser schon mehr als abgeschreckt ist.. dann muss man eine "Ausnahme" hinzufuegen, das Zertifikat herunterladen und dann nochmal bestaetigen. Wer das fuer eine Phishing Seite tut, der ist eben auch selbst schuld. Ka ob der IE 7/8 da auch endlich mal voran kommt.
Klar kompromittieren Luecken in SSL und DNS auch dieses System, aber sobald dergleichen grossflaechig genutzt wird, wird es auch bekannt und wird gefixt und bis zu dem Punkt ist galaxy-news wohl weniger primaere Angriffsflaeche als Banken/Paypal/Ebay, dazu gibt es hier einfach zu wenig zu holen. ;)
Original von Klaus
Ich weiß nicht, wann die Theorie, dass diese Lösung SSL ersetzen soll, entstanden ist. Es ist einfach nur die "poor mans"-Lösung und sicher ist man auch nicht mit SSL und ohne Javascript. Phishing klappt doch auch ohne JS und bei MIM leite ich einfach auf einen Login ohne SSL. Welcher normale Nutzer achtet schon darauf wenn er es nicht mal bei seiner Bank gebacken kriegt?
Na, wenn es nicht SSL ersetzen soll, wieso nimmt man dann nicht einfach SSL? Denn wenn man das tut, braucht man auch das Javascript nicht mehr. Wenn es die "poor mans" Loesung sein soll, dann soll es ja sehr wohl SSL ersetzen. ;)
Ich denke die meisten User sind mittlerweile weit mehr fuer dergleichen sensibilisiert, als man meint. Dazu war das Thema einfach viel zu oft in der Presse.
Gerade bei OpenID finde ich es aber immens wichtig, dass SSL vorhanden ist und vor allem als Provider ist man imho in der Pflicht seine User bereits bei der Registrierung _ausdruecklich_ darauf hinzuweisen, dass sie immer das Vorhandensein von gueltigen SSL Zertifikaten beim Login ueberpruefen sollen. Genau dasselbe macht man bei Paypal ja auch - aus gutem Grund.
Auch wenn es etwas kostet, OpenID Provider ohne SSL spielen zu wollen, ist einfach absolut verantwortungslos. Und ohne OpenID ist es ja "ganz nett" um einfaches Sniffing zu vermeiden, aber wie gesagt, ich faende es eher als Ansporn.. wenn ich in nem Netz haenge und Passwoerter und Session IDs raussniffe, dann interessieren mich irgendwelche Gaming Webportale herzlich wenig. Wenn die aber mit Pseudo Sicherheitsmassnahmen anfangen, ist das eine Motivation sich reinzuknien. ;)