OT: Die ELSTER wird diebisch

To: debian-user-german@lists.debian.org
Cc: mail@ccc.de
Subject: OT: Die ELSTER wird diebisch
From: Matthias Houdek <linux@houdek.de>
Date: Thu, 17 May 2007 11:55:14 +0200
Message-id: <[🔎] 200705171155.15033.linux@houdek.de>
Reply-to: maxx@houdek.de

Moin.

Das haut dem Fass den Boden aus - oder hat einer für das Folgende eine 
andere Erklärung als das, was wohl so ziehmlich jedem dazu einfällt:

Ich hab mich dazu durchgerungen, meine Steuererklärung 2006 via ELSTER 
abzugeben. Dazu kann ich ein Verschlüsselungszertifikat beantragen, die 
Initialisierungs-Codes erhält man dann zweigeteilt per E-Mail und 
Brief. Diese beiden Codes muss man dann in ein JAVA-Applet von der 
ELSTER-Seite eintragen, um das Verschlüsselungszertifikat zu 
generieren.

Jetzt kommt es:
Dieses JAVA-Applet verlangt einen Schreib-Lese-Zugriff auf alle(!) 
System-Permissions meines Rechners (java.util.PropertyPermission * 
read,write). Dazu gehört IIRC (ich bin kein JAVA-Könner) auch das 
Homeverzeichnis des Users. Das bedeutet doch, dass danach dieses und 
jedes weitere mit diesem Zertifikat versehene JAVA-Applet auf mein 
Home-Verzeichnis uneingeschränkt zugreifen darf?

Noch schärfer dann allerdings die Anforderung bei der ersten Anmeldung: 

java.io.FilePermission /home/matthias read

Das ist ja nun wohl mehr als eindeutig. *grmpfl*

OK, man könnte es damit erklären, dass mit dem ersten Applet das 
Zertifikat automatisch ohne Nachfragen im Home-Verzeichnis abgelegt 
wird und das zweite Applet dieses dann ja auch lesen muss.

Aber dafür gleich das ganze Home-Verzeichnis öffnen? 
Und das erstellte Zertifikat könnte IMHO auch manuell durch den User 
gespeichert werden, dafür brauch das Applet dann keine Schreibrechte.

Interessant übrigens auch der Unterzeichner des Zertifikats für das 
Bayerische Landesamt für Steuern: ein Zertifizierer in Südafrika:
---------------------
C=ZA
ST=Western Cape
L=Cape Town
O=Thawte Consulting cc
OU=Certification Services Division
CN=Thawte Premium Server CA
---------------------
Hatte man Angst, ein deutscher Zertifizierer hätte dabei Bauchschmerzen?


Der Aprilscherz des CCC 
(http://www.ccc.de/updates/2007/bundestrojaner-elster) war also 
offensichtlich gar nicht so weit von der Realität entfernt. 

-- 
Gruß
                MaxX

Bitte beachten: Diese Mailadresse nimmt nur Listenmails entgegen.
Für PM bitte den Empfänger gegen den Namen in der Sig tauschen.

Reply to:

Follow-Ups:
- Re: OT: Die ELSTER wird diebisch
  - From: Wolfgang Lasch <laschw@googlemail.com>

Prev by Date: Re: [solved] Re: Evtl. Einbruchversuch? was tun?
Next by Date: Re: OT: Die ELSTER wird diebisch
Previous by thread: Re: Kein DVB-T mit Kaffeine - Gibt es ein GEZ-Modul?
Next by thread: Re: OT: Die ELSTER wird diebisch
Index(es):
- Date
- Thread