Da werde ich wohl mich aufraffen müssen und mich persönlich dorthin begeben.
brunadi stellte Folgendes dar:
[...]Das Problem mit dem Zurückbutton habe ich eben meiner Bank mitgeteilt.
Mit Opera und IE gibt es das nicht.
Sicher? Ist es nicht eine "Einstellungssache". Werden bezüglich Deiner Browser-Konfiguration vielleicht vertrauenswürdige Formulardaten automatisch erneut übertragen? Hattest Du die Default-Konfigurationen Deiner jeweilig eingesetzten Browser (Opera, IE, etc.) einmal genau überprüft? Bei mir funktioniert das sog. SSL-Reverse-Caching solcher vertrauenswürdigen Seiten unter Opera hervorragend, sofern keine Formulardaten und Passwörter automatisch gespeichert und somit erneut in solche vertrauenswürdigen HTTPS-Formulare eingespeist werden können. Was soll Dir so eine Bank denn auf Deine Anfrage hin antworten?
brunadi erklärte daraufhin noch Folgendes:
[...]Nach Drücken der Zurücktaste bin ich zwar auf der vorigen (eingeloggten Seite) bin aber nicht eingeloggt und kann dort auch nichts tätigen.
Womit Du Deine obige Aussage bereits selber ausser Kraft gesetzt hattest.
Es wird - in Bezug auf Online-Banking - u.A. auch stets eine "aktive" Teilnahme (bzw. ein gewisser Kenntnisstand) von Dir selber erwartet. Was die mögliche Verantwortung solcher anonymen und finanziellen Transaktionen angeht, so kannst Du - meiner Ansicht nach - nicht immer auf Vermögen oder Unvermögen Deines Online-Institutes "abstellen", sondern Du selber bist gefordert, notwendige Sicherheitsmassnahmen auf Deinem Endgerät bereit zu stellen.
Oliver
http://www.bankenverband.de/index.asp?channel=161010
http://www.techbanger.de/2008/08/18/bsi…internetnutzer/
hac004 stellte Folgendes dar:
[...]Jeder der an einen z.Z. noch geöffneten FF geht, kann bei einigen Banken vorher bearbeitete Daten auslesen.[...]
Was für eine naive Darstellung.
Deiner Argumentation nach folgend, müsste dann ja Dein obig genannter Umstand somit auch für andere Browser genausogut gelten müssen. Also Browser, welche sich in einem noch sog. aktuellen session-active - Zustand befinden. Nur - was hat Dein obiges Argument dabei mit dem FF im Speziellen zu tun?
Sofern Du bezüglich solcher finanzieller Online-Transaktionen mit grösseren Geld-Beträgen in der Verantwortung stehen solltest, greife besser auf eine lokale Online-Banking-Software zurück, wie z.B. das frei verfügbare Hibiscus 1.6 - System (auf Java 1.4 fussend) oder alternativ dazu, auf Star-Money. Bei solchen Online-Banking-Programmen werden finanzielle Transaktionen bereits schon systemnah verschlüsselt (wichtig!!!). Desweiteren werden über solche Banking-Programme zeitgerichtete Timeouts (Zeitverfügungen) der Transaktionen selber ermöglicht. Darüberhinaus untersteht der vertrauliche Zahlungsverkehr einer relative Laufzeitumgebung, welche den Einsatz auf verschiedenen Systemen, unter Berücksichtigung von Sicherheitsmassnahmen (z.B. über verschlüsselte USB-Sticks) erst ermöglicht. Desweiteren existiert im kommerziellen Online-Zahlungsverkehr durch solche OB-Programme eine proprietäre (eigene) Schnittstellenspezifikation zur vertraulichen Datenfernübertragung (EBICS) (und zwar unabhängig vom HTTP-Protokoll) zwischen Kunde und dem entsprechenden Kreditinstitut.
Das alles hat bloss mit dem jeweilig eingesetzten Browser nichts mehr zu tun, sondern geht weit darüber hinaus...
hac004 protestierte in Folge:
[...]dass sich Leute bemüssigt fühlen irgendwelche überflüssige Ausreden und Schuldzuweisungen zu erfinden, sowie Banking-User für unfähig darzustellen. Wenn jeder alles richtig machte gäbe es keine Probleme...[...]
Easy - wir versuchen hier bloss zu helfen. Auch Dir. Hier gibt es einige verdammt fähige Leute. Die "Ansprache" kann dabei schon mal etwas "ruppig" werden. Auch von Dir wird dabei etwas "gefordert".
Was Deine obig genannten "Schuldzuweisungen" angehen: Der FF, sowie andere Browser auch, stehen - meiner Ansicht nach - und zwar in Bezug ihres HTTP-Protokolls in keiner Relation zur der Verantwortung des abzusichernden Online-Zahlungsverkehrs, welchen Du ja unter allen möglichen Sicherheitsaspekten für Dich erwirken möchtest. Dafür benötigst Du - nach meiner Meinung - separate (teilweise kostenlose) Programme.
Sofern Du Deine vertraulichen Online-Transaktionen innerhalb so eines Web-Interfaces (Online-Auftritts) Deiner Bank selber abwickelst, gilt - nach meinen bisherigen Informationen - bezüglich des Übermittlungswegs ein Haftungsausschluss seitens der Online-Institute. Das Übermittlungs- und Verlustrisiko trägt bei Daten, welche auf dem Übermittlungsweg durch dem System innewohnende Störungen verloren gehen oder verfälscht werden, daher grundsätzlich der Anwender. (Ausser Du bist vielleicht diesbezüglich vorversichert ;)).
Oliver
http://de.wikipedia.org/wiki/Electroni…cation_Standard
http://www.bsi.de/literat/forumkes/kes0307.pdf
http://www.presseanzeiger.de/meldungen/it-c…rnet/260925.php
http://www.reiner-sct.com/aus_fuer_hacke…ienkampagne.pdf
Zitat von hac004Hallo Postbank-User,
nach endlos langer Zeit ( fast ein Jahr) und vielem Wenn und Aber hat es die Postbank doch noch geschafft den Sicherheits-Fehler zu beseitigen.
Wäre schön, wenn du eine oder mehrere Quellen dafür angeben könntest!
Danke für deine Erläuterung, das wird die Betroffenen freuen. 
Boersenfeger schrieb:
Danke für deine Erläuterung, das wird die Betroffenen freuen.
Ich schliesse mich dem Gesagten an. 
hac004 erklärte (über die Postbank-Darstellung) verkürzt das Folgende:
Bei der Anmeldung im Postbank Online-Banking werden vom Rechner der Postbank sogenannte (volatile) "Session-IDs" vergeben.
Na bitte. Damit "hinkt" die Postbank - meiner Ansicht nach - dennoch der mittlerweile zur Verfügung stehenden Technik hinterher.
Online-Banken stehen - nach meinem Wissen - dabei i.d.R. vor dem sog. Zielkonflikt, möglichst viele "naive" Kunden über die offenen Übertragungswege (also die unterschiedlichen Browser) unkompliziert und dennoch sicher an ihre persönlichen Online-Konten heranzuführen, was nicht immer gelingt.
Sogenannte Cross-Site Request Forgeries (CSRF) (Session-Ridings), wären gemäss obigen Verfahrens der PB (auch durch einmalige RAM-Session-Cookies) - meiner Ansicht nach - dennoch in der Lage, über ein eingeschleustes: "GET-Request" (als scriptgeführter Formular-Angriff) in solche vertrauenswürde Online-Sitzungen einzugreifen.
- SSL
- IPsec
- Sequenznummern (Session-ID´s)
können eigentlich bloss einzelne Daten-Pakete selber authentisieren. Nicht jedoch eine geschlossene Transaktion in ihrer Gesamtheit absichern.
Ich verstehe daher nicht, warum die Postbank ihren Kunden nicht den Einsatz einer Online-Banking-Software nahelegt, welche lokal bereits die Defizite des Übertragungsprotokolls ausgleichen könnte.
Oliver
Hallo hac004
Es freut mich, daß du ruhig und sachlich das Problem lösen konntest. Das Firefox-Browser-Forum ist bekannt dafür, daß Leute schnell persönlich angegriffen werden. Auch bei dir hieß es sofort, du seist dumm. Letztendlich hat dein Nachhaken aber geholfen, die Sicherheit aller zu verbessern.
hac004: Was mich an dieser Diskussion so verwundert, ist, dass sich Leute bemüssigt fühlen irgendwelche überflüssige Ausreden und Schuldzuweisungen zu erfinden, sowie Banking-User für unfähig darzustellen.
Olli ist bekannt in der Szene. Wenn einer sich von Olli&Co beleidigt fühlen sollte, stellt euch einfach vor, er wäre Pressesprecher von Mercedes Benz und würde da seine Sprüche klopfen: Wir brauchen keine Airbags - stattdessen Brain.exe einschalten. Es ist noch nie ein Baum gegen ein Auto gefahren, immer umgekehrt.
Stellt euch vor, die Bank hätte so reagiert wie Olli. Die Kunden würden weglaufen.
Das Firefox-Browser-Forum ist bekannt dafür, daß Leute schnell persönlich angegriffen werden.
Trollig... mehr hat dieser Kommentar nicht verdient.
Wer von uns beiden rolliger ist, sollten wir vielleicht nicht in der Öffentlichkeit diskutieren.
***
Übrigens würde ich bei OnlineBanking am fremden PC grundsätzlich einen FirefoxPortable verwenden und diesen vom USB aus starten. Dies verhindert, daß Dritte den eigenen Browser verwenden.
***
Gab es diese Lücke mit den Zurück-Pfeilen nicht auch mal bei StudiVZ?
Wer von uns beiden trolliger ist, sollten wir vielleicht nicht in der Öffentlichkeit diskutieren.
Doch gerne, aber nicht hier und dann auch in einer sachlichen Diskussion. Alles andere macht keinen Sinn. Insofern kann man das Thema an der Stelle sein lassen.
9 Posts, seit einer Woche angemeldet und kennt die Leute schon in- und auswendig. Respekt.
Entschuldigung für den Tippfehler.
Zum Thema StudiVZ gab es ein ähnliches Sicherheitsproblem 2006 http://blogbar.de/archiv/2006/12…au-bei-studivz/
Ein Argument mehr für einen FirefoxPortable.
Zum Thema StudiVZ gab es ein ähnliches Sicherheitsproblem 2006 http://blogbar.de/archiv/2006/12…au-bei-studivz/
Nett, nur stellt sich, wie auch beim Online-Banking die Frage, wie es sein kann, dass jemand das selbe Fx-Profil/OS-Nutzerkonto verwenden kann? Da ist schon im Grundkonzept des Systems ein großer Bock geschossen.
Wer sich trotz solcher grober Schnitzer ein Fx-Profil mit anderen teilt, sollte natürlich beim Beenden der Sitzung sämtliche privaten Daten löschen. U.a. dafür ist dieses Feature auch implementiert. Dann erübrigen sich solche Trivial-Angriffe.
Zudem darf man noch unterscheiden zwischen http (studiVZ) und https (Online-Banking). Die Daten bei http können (ohne zusätzliche Verschlüsselung) bei jeder Zwischenstation mitgelesen werden. Zudem sind Browser im Caching-Verhalten wenig restriktiv.
Du sagst es. Schönen Tag noch euch allen
Edit: boardraider
Aber wird dieses Problem nicht unschädlich gemacht, wenn man den Firefox nach Beenden der Online-Banking-Sitzung schließt und dieser zweitens so eingestellt ist, daß private Daten beim Beenden gelöscht werden?
Wäre es zum Beispiel generell - also auch in anderen Anwendungsfeldern - nicht eine Erhöhung der Sicherheit, wenn man 2 Firefox-Portable hätte, einen für offizielle Aktivitäten wie Onlinebanking und einen zum privaten Surfen?
Die Anwendung sähe dann so aus, das man den offiziellen Fox nach Beenden der finanziellen Transaktion schließt und anschließend den privaten Firefox startet. Beim Benutzen am fremden PC bleibt der Firefox auf dem USB, und den nimmt man wieder mit. Der Benutzer, der nach einem an den PC kommt, startet den installierten IE, aber den hat man selbst ja nicht benutzt.
Ein einfaches Konzept, das in der Praxis leicht umzusetzen ist.
Mike Tyson Das Problem dass du hier herbeiführst entsteht nur dadurch dass einige User nicht in der Lage sind ihr Betriebssystem zu bedienen. Das kann man einer Anwendung nicht vorwerfen.
