[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: OT: Das Deselektieren von Kernel 2.6 Modulen

On 28.03.06 16:41:39, Richard Mittendorfer wrote:
> Also sprach Andreas Pakulat <apaku@gmx.de> (Tue, 28 Mar 2006 15:08:57
> +0200):
> > On 28.03.06 14:50:48, Richard Mittendorfer wrote:
> > > Also sprach Andreas Pakulat <apaku@gmx.de> (Mon, 27 Mar 2006 21:25:25
> > > +0200):
> > > > Nee, mit Sicherheit meint er paranoia. Es geht ja um die installierbaren
> > > > Extensions. Das sind Programme und die duerfen demzufolge alles was sie
> > > > wollen, inkl. die Tastendruecke die du innerhalb von FF machst
> > > > "aufschreiben" und irgendwohin schicken. Eventuell haben die sogar
> > > > Zugriff auf X11, dann koennen sie _alle_ Tastatureingaben mitloggen.
> > > 
> > > Fragt sich nur, ob das im Onlinebanking mit den fuer eine Sitzung
> > > geltenden Codes ein hohes Risiko darstellt.
> > 
> > Du gibst im Normalfall dein Passwort ein! Wenn das jemand mitliest kommt
> > er zumindestens schon an allerlei Informationen. 
> 
> Klar, aber er kann IMHO keine Ueberweisungen damit machen. Die TAN
> (oder wie immer das heisst) ist IMHO nur fuer eine Transaktion oder
> Sitzung gueltig?

Die TAN entspricht deiner Unterschrift auf einem "analogen"
Ueberweisungstraeger. Und ja, die TAN ist nach einmaligem Gebrauch
ungueltig.

> > Webprogrammierung hat damit eigentlich wenig zu tun. Wenn eine
> > FF-Extension alle Key-Eingaben mitloggt dann ist das schon ausreichend. 
> 
> Irgendwie muss doch die Kommunkation laufen. Daher der Term
> "Webprogrammierung", mir faellt nunmal kein besserer Begriff ein: 

Webprogrammierung ist das IMHO falsch. Kommunikation mit Banken in Dtl.
laeuft i.A. entweder ueber ein https-Verschluesseltes Webinterface,
Java-Applet oder besser mit einem Client der HBCI kann. Allen 3en gemein
ist das sie HTTP als Protokoll verwendenen.

> Aber da ist eine generelles "Problem" mit dem Protokoll im
> Web(browser). Ein fuer Onlinebanking eigenes Tool halte ich da fuer
> sinnvoller, da es weniger Angriffspunkte bietet. 

Wer ein Webfrontend ohne Verschluesselung nutzt ist selbst schuld.
Ansonsten laeuft auch die Kommunikation beim "eigenen Tool" meistens
ueber HBCI und damit ueber HTTP ab. Egal ob nun Pin/Tan oder ein Keycard
genutzt wird.

> Natuerlich ist hier der Anbieter (die Bank) gefragt, und fuer diese
> wieder ist eine nicht-mainstream Plattform wie Linux (in _diesem_
> Bereich) scheinbar wenig interessant. Zumindest hier in AT bieten
> Banken sowas fuer das Evil OS[tm] an, ob es auch fuer Linux sowas 
> gibt weiss ich als Barzahler nicht.

Also soweit ich die Architektur von aqbanking (rein
Verzeichnistechnisch) verstehe gibts da mehr als nur Unterstuetzung
fuers HBCI Protokoll. Unter anderem lese ich hier sowas wie OFX,
YellowNet und DTAUS...

> Ein keylogger spielt zweifellos in einer Dimension darueber. Egal, ob
> er nun als Extension des FF agiert, als Kernelmodul eingebunden wurde
> oder sonstwie im System klebt. Wirklichen Schaden kann er erst
> anrichten, wenn seine Ergebnisse einsehbar sind. Lokal oder uebers
> Netz.

Wobei eine FF Extension ja wohl recht leicht Daten uebers Netz
transferieren kann...

Andreas

-- 
Good day to let down old friends who need help.
Reply to: