daily.out

2012-11-23 CCC Website trainiert User auf unsicher

Heute kam auf Twitter vom Chaos Computer Club ein Link rum bezüglich des 29C3. Beim Öffnen wunderte ich mich über das ungültige Zertifikat und schrieb ihnen das auch. Dabei stieß ich jedoch auf keinerlei Verständnis, sondern auf ablehnende Argumentation.

Ich wies anschließend darauf hin, daß einige Flashback-Varianten ungültige Zertifikate verwendeten und die User-Geräte infiziert wurden, weil diese invaliden Zertifikate vom User akzeptiert wurden. Und die Rechner wären nicht befallen worden, wenn die Benutzer das ungültige Zertifikat abgelehnt hätten. Daraufhin wurden sie etwas patzig. Ferner sagte ich ihnen, es wäre unverantwortlich, die Besucher der CCC-Seite darauf zu trainieren, ungültige Zertifikate abzunicken. Auf meine Frage, ob sie den Leuten raten würden, Online-Banking zu machen oder bei Amazon einzukaufen, wenn ein invalides Zertifikat angezeigt wird, verneinten sie zum Glück. Allerdings bestehen sie weiterhin darauf, es wäre eine gute Idee, die User an ungültige Zertifikate zu gewöhnen.

Natürlich kam es auch schon vor, daß ein Root-Zertifikat gefälscht war, und damit dessen abhängige Zertifikate wertlos wurden, aber das ist nicht der Normalfall. Wenn man die User aber von vornherein daran gewöhnt, invalide Zertifikate abzunicken, dann kann man sich die Zertifikate gleich ganz sparen, denn damit bereitet man Phishing-Versuchen den Boden.

Gerade beim CCC, der sonst bei Sicherheitsthemen so furchtbar sensibel ist, kann ich nicht nachvollziehen, warum sie hier am falschen Ende sparen und die Besucher ihrer Webseite zu unvernünftigem Verhalten erziehen.

---