Tschuldigung.
Dann machs doch. Sowas ist doch allerorten im Netz für den Webserver Deiner Wahl beschrieben.
-
Tschuldigung: https mit User und Pass in der URL, als Lesezeichen, oder bei Tante Hilde eben eingetippt.
User und Pass kann ich mir merken, das Zertifikat nicht...
Gesendet von unterwegsEinen Kommentar schreiben:
-
Das reicht nicht, da Du dann noch Authentifizierung brauchst. Und da gehts dann halt weiter.
Login/Pw will man nicht immer eintippen. Ggf. kann man es "speichern". Also will man ein Clientzertifikat, damm man Login/Pw spart. Und das müsste man nun auch bei Tante Hilde importieren... Es muss korrekt erzeugt werden und und und.Einen Kommentar schreiben:
-
Hallo,
httpsZitat von makki Beitrag anzeigen
Da haben wir den Salat: Wir haben unterschiedliche Sicherheitsanforderungen. Ich sage mir: Der Bank reicht https. Für Schäden, die entstehen haften die Banken ja i.d.R. Ganz ehrlich ist mir da -außer pishing- aber nix bekannt.Also meine sind da doch etwas höher als beim Zugriff auf den Lichtschalter, deswegen findet das ausschliesslich per HBCI mit Smartcard und Klasse3 Leser statt.
Den PIN/TAN bullsh** kann man ja auch machen, als Kunde "mutig", als Bank IMHO grob fahrlässig
Und für meine Lichtschalter reicht mir dann HTTPs auch.
Ist mir bekannt. Oben war die Rede von "vom Stick booten". Daher.OpenVPN geht unter Windows, Mac (Tunnelblick), Linux, Andriod >=4 aus der Box, iOS nur mit Jailbreak, kann ich nix für, da die Alternative PPTP..
Ist m.M. nicht anwenderfreundlich, da ein Programm auf dem Client benötigt wird. Gerade das wird bei der CV ja -zu Recht- als Vorteil propagiert.Der Punkt ist: man kann Anwendern/Laien nicht mit 5 Sätzen alles erklären, was da wichtig ist (die Authentisierung viel mehr als die verschlüsselung!) also gbt es eine fertige, unter gegebenen Umständen möglichst sichere Lösung: das VPN.
Was spricht also dagegen (ggf. zusätzlich) https vorzukonfigurieren?
Gruß,
HendrikEinen Kommentar schreiben:
-
Tja, das ist die Frage! Wie sind Deine Sicherheitsanforderungen an Homebanking?Zitat von henfri Beitrag anzeigen
Also meine sind da doch etwas höher als beim Zugriff auf den Lichtschalter, deswegen findet das ausschliesslich per HBCI mit Smartcard und Klasse3 Leser statt.
Den PIN/TAN bullsh** kann man ja auch machen, als Kunde "mutig", als Bank IMHO grob fahrlässig
OpenVPN geht unter Windows, Mac (Tunnelblick), Linux, Andriod >=4 aus der Box, iOS nur mit Jailbreak, kann ich nix für, da die Alternative PPTP..Ein anderes OS booten, um zu gucken, ob das Licht aus ist?
Der Punkt ist: man kann Anwendern/Laien nicht mit 5 Sätzen alles erklären, was da wichtig ist (die Authentisierung viel mehr als die verschlüsselung!) also gbt es eine fertige, unter gegebenen Umständen möglichst sichere Lösung: das VPN.
Es führen auch 100 andere Wege nach Rom, wenn man sich sicher ist, das man weiss was man da tut
Um zum Homebanking zurückzukommen, da haben die Banken in den letzten 10J 20x nachkorrigiert obwohl klar war das es bullsh** ist.
Ich empfehle daher lieber, es gleich richtig zu machen
MakkiEinen Kommentar schreiben:
-
ok, mal andersrum:
Warum geht Homebankibg ohne VPN?
Sind die Sicherhwitsanforderungen geringer?
Ein anderes OS booten, um zu gucken, ob das Licht aus ist?
Nein!Einen Kommentar schreiben:
-
Das hab ich ja auch nicht angezweifelt bzw. ist der Life-USB-Stick mit OpenVPN sogar eine extrem gute Lösung, weil man auch nicht die 27 Backdoors und Trojaner von Tante hilde mit ins Heimnetzwerk bringt
Worum es mir ging: ohne VPN ist (mal abgesehen von wirklich extrem komplexen Lösungen) einfach nichts, also warum wehrt man sich dagegen und versucht das Rad neu zu erfinden..
MakkiEinen Kommentar schreiben:
-
Der Anwendungsfall war aber Tante Hildes PC... Und da ist OpenVPN gar nicht die schlechteste Idee. Ggf. auch live gebootet vom USB Stick.Einen Kommentar schreiben:
-
Nun, wir machen eben nicht "Tante Hilde", wir sind eine security-Firma..
Es geht in richtig, das ist aus der Box drauf. Es geht mit PPTP, ebenfalls hier beschrieben und recht einfach - und sicherer als von Laien eingerichtetes SSL/HTTP-Auth. Es geht via Reverse-SSL, ebenfalls hier beschrieben, da muss man schon eher wissen was man tut.. Also viele Möglichkeiten..
Wer meint es besser zu können kann das ja ganz frei machen aber wie sagt man so schön: "your milage may vary"
MakkiEinen Kommentar schreiben:
-
SMART-phone und dann bei Tante Hilde vergessen haben?
Hoffentlich hilft smart-home, falls das smart-phone bei "Bewohner-Abwesend" noch anwesend ist und verhindert, dass der SMART startet.
Oder einfach warten bis die Kleidung mit Telefonfunktion auf den Markt kommt, die vor ca 15 Jahren auf der Cebit vorgestellt wurde.
sorry-spass muss sein.
Grüße,
LioEinen Kommentar schreiben:
-
oder putty am usb stickZitat von greentux Beitrag anzeigen
Einen Kommentar schreiben:
-
Ja, zumindestens in der Fragestellung: Man sieht Klartext nur ein CONNECT <RESOURCE>:443 und dann kommt der TLS/SSL handshake und danach erst der GET auf die URL.Zitat von henfri Beitrag anzeigen
Weitere Variante (ich glaube dafür wollte Makki auch mal nen kleines How-to schreiben, ist aber wirklich recht komplex) ist die Nutzung von Client-Zertikaten im zusammenspiel mit HTTPS. Ist speziell nicht so trivial das auf mobile Endgeräte aufzubringen, fürs INet Cafe sowieso nicht, aber dafür läßt es sich (bei richtiger Handhabung!) auch nicht so leicht wie ein Passwort klauen...Einen Kommentar schreiben:
-
Von Tante Hildes PC könnte aber OpenVPN fast problemlos funktionieren. Oder auch ein einfaches ssh mit Portforwarding.Einen Kommentar schreiben:
-
Hallo,
ich danke euch für eure Tipps.
VPN: Klar, das wäre eine Möglichkeit. Allerdings funktioniert das dann vom Smartphone aus. Nicht aber vom Arbeitsplatz, oder von Tante Hildes PC ("mal eben")
Die SSL-Variante klingt da schon vernünftig.
Kann das jemand bestätigen?AFAIK wird durch das HTTPS bereits die URL verschlüsselt, folglich kann niemand in der Mitte User und Pass mitlesen (so man HTTPS diesbezüglich traut).
Naja, den Admin vom Server kenn ich ja ganz gut ;-) Der Client ist halt der PC aufm Job, Tante Hildes, oder der eines Freundes. Das ist vertretbar.Aber sowohl der Client (inkl. History) also auch Server (inkl. Log, so aktiviert) können das dann im Klartext lesen.
Ob das bei Dir relevant ist musst Du wissen.
Internetcafe o.ä: Da geht ja die VPN Lösung auch net (außer mit nem Java-VPN-Client, vielleicht. Das gibt's m.W. ja auch.)
Gruß,
HendrikEinen Kommentar schreiben:
-
Ja, das WG auch, noob-tauglich per Webif einstellbarZitat von fanta2k Beitrag anzeigen
Im Ernst: für "ich verstehs nicht" ist die beste Lösung das integrierte, hochsichere VPN.
Das gibts beim CommunityGate nicht, weil das ist "nur":
- die richtige config
- das erstellen der Keys mit einem HW-RNG - beim Endkunden
- die richtige Benutzung, die auf o.g. basiert..
Dazwischen gibt es bis zum durchschalten von HTTP ohne Auth viele Wege, bei denen man aber wissen muss, was man tut, damit man sich nicht 100.000 Script-Kiddies dazu ins Smarthome unwissentlich mit einlädt
Als Alternativen gibts noch PPTP, Reverse-SSL mit Zertifikaten (hab ich schonmal beschrieben hier) oder sogar mit Time-based OTP-Token; wenn man mit ner Freeradius-config klarkommt und nen Server dafür hat, auch gerne..
In Zeiten wo man selbstverständlich alle 2 Minuten seinen GPS-Standort auf Facebook postet klingt das natürlich total über-spiessig, aber wir habens eben immernoch gerne sicher und privat..
MakkiEinen Kommentar schreiben:
Einen Kommentar schreiben: