de.phhsnews.com


de.phhsnews.com / Wie Browser Website-Identitäten verifizieren und vor Betrügern schützen

Wie Browser Website-Identitäten verifizieren und vor Betrügern schützen


Ist Ihnen schon mal aufgefallen, dass Ihr Browser manchmal den Namen einer Website auf einer verschlüsselten Website anzeigt? Dies ist ein Zeichen, dass die Website ein erweitertes Validierungszertifikat hat, das anzeigt, dass die Identität der Website verifiziert wurde.

EV-Zertifikate bieten keine zusätzliche Verschlüsselungsstärke - stattdessen weist ein EV-Zertifikat auf eine umfassende Überprüfung der Identität der Website hin geschehen. Standard-SSL-Zertifikate bieten nur eine sehr geringe Überprüfung der Identität einer Website.

Wie Browser Extended Validation Certificates anzeigen

Auf einer verschlüsselten Website, die kein erweitertes Validierungszertifikat verwendet, sagt Firefox, dass die Website "von (unbekannt) ausgeführt wird. . "

Chrome zeigt nichts anderes an und gibt an, dass die Identität der Website von der Zertifizierungsstelle bestätigt wurde, die das Zertifikat der Website ausgestellt hat.

Wenn Sie mit einer Website verbunden sind, die ein erweitertes Validierungszertifikat verwendet, teilt Firefox dies mit Sie werden von einer bestimmten Organisation betrieben. Laut diesem Dialog hat VeriSign bestätigt, dass wir mit der echten PayPal-Website verbunden sind, die von PayPal, Inc. betrieben wird.

Wenn Sie mit einer Website verbunden sind, die ein EV-Zertifikat in Chrome verwendet, wird der Name der Organisation angezeigt in Ihrer Adressleiste. Der Informationsdialog zeigt an, dass die Identität von PayPal von VeriSign mit einem erweiterten Validierungszertifikat verifiziert wurde.

Das Problem mit SSL-Zertifikaten

Vor einigen Jahren wurde die Identität einer Website vor der Ausstellung eines Zertifikats von Zertifizierungsstellen überprüft. Die Zertifizierungsstelle überprüft, ob das Unternehmen, das das Zertifikat angefordert hat, registriert wurde, ruft die Telefonnummer an und überprüft, ob es sich bei dem Unternehmen um einen legitimen Vorgang handelt, der der Website entspricht.

Schließlich haben Zertifizierungsstellen damit begonnen, "Nur-Domänen" -Zertifikate anzubieten. Diese waren billiger, da es für die Zertifizierungsstelle weniger aufwändig war, schnell zu überprüfen, ob der Anforderer eine bestimmte Domäne (Website) besaß.

Phisher begannen schließlich, davon Gebrauch zu machen. Ein Phisher könnte die Domain paypall.com registrieren und ein Domain-only-Zertifikat erwerben. Wenn ein Benutzer mit paypall.com verbunden ist, zeigt der Browser des Benutzers das Standardsperrsymbol an, was ein falsches Sicherheitsgefühl vermittelt. Browser zeigten keinen Unterschied zwischen einem Domain-only-Zertifikat und einem Zertifikat, das eine umfassendere Überprüfung der Identität der Website beinhaltete.

Vertrauen der Öffentlichkeit in Zertifizierungsstellen zur Überprüfung von Websites - dies ist nur ein Beispiel für fehlgeschlagene Zertifizierungsstellen tun ihre gebührende Sorgfalt. Im Jahr 2011 stellte die Electronic Frontier Foundation fest, dass die Zertifizierungsstellen mehr als 2000 Zertifikate für "localhost" ausgestellt hatten - ein Name, der sich immer auf Ihren aktuellen Computer bezieht. (Quelle) In den falschen Händen könnte ein solches Zertifikat Man-in-the-Middle-Angriffe erleichtern.

Unterschiedliche Validierungszertifikate

Ein EV-Zertifikat gibt an, dass eine Zertifizierungsstelle die Ausführung der Website überprüft hat von einer bestimmten Organisation. Wenn beispielsweise ein Phisher versucht, ein EV-Zertifikat für paypall.com zu erhalten, wird die Anfrage abgelehnt.

Im Gegensatz zu Standard-SSL-Zertifikaten dürfen nur Zertifizierungsstellen, die eine unabhängige Prüfung bestehen, EV-Zertifikate ausstellen. Das Zertifizierungsstellen- / Browserforum (CA / Browser Forum), eine freiwillige Organisation von Zertifizierungsstellen und Browseranbietern wie Mozilla, Google, Apple und Microsoft, gibt strenge Richtlinien vor, denen alle Zertifizierungsstellen, die erweiterte Validierungszertifikate ausstellen, folgen müssen. Dies verhindert idealerweise, dass die Zertifizierungsstellen einen anderen "Wettlauf nach unten" durchführen, wo sie laxe Verifizierungspraktiken verwenden, um billigere Zertifikate anzubieten.

Kurz gesagt fordern die Richtlinien, dass Zertifizierungsstellen überprüfen, ob die Organisation, die das Zertifikat anfordert, offiziell registriert ist. dass es die betreffende Domain besitzt und dass die Person, die das Zertifikat anfordert, im Auftrag der Organisation handelt. Dies beinhaltet das Überprüfen von Regierungsdatensätzen, Kontaktaufnahme mit dem Eigentümer der Domäne und Kontaktaufnahme mit der Organisation, um zu verifizieren, dass die Person, die das Zertifikat anfordert, für die Organisation arbeitet.

Im Gegensatz dazu kann eine Domain-only-Zertifikatsverifizierung nur einen Blick auf die Whois-Datensätze der Domäne beinhalten, um zu verifizieren, dass der Registrant dieselben Informationen verwendet. Das Ausstellen von Zertifikaten für Domains wie "localhost" impliziert, dass einige Zertifizierungsstellen nicht einmal so viel verifizieren. EV-Zertifikate sind grundsätzlich ein Versuch, das öffentliche Vertrauen in Zertifizierungsstellen wiederherzustellen und ihre Rolle als Gatekeeper gegen Betrüger wiederherzustellen.


So verwenden Sie Siri zum Suchen Ihrer Fotos nach Datum oder Ort

So verwenden Sie Siri zum Suchen Ihrer Fotos nach Datum oder Ort

Apples Fotos App ist ein ziemlich solides Angebot, aber wenn Sie viele Fotos mit Ihrem iPhone machen, wissen Sie, dass es möglich ist Sie müssen alle Bilder scrollen, um Fotos zu finden, die Sie an einem bestimmten Ort oder zu einem bestimmten Datum aufgenommen haben. Unter all den anderen nützlichen Dingen, mit denen Siri Ihnen helfen kann, kann sie auch dazu beitragen, das Finden von Fotos zu erleichtern.

(how-to)

Was sind die Unterschiede zwischen MP3, FLAC und anderen Audioformaten?

Was sind die Unterschiede zwischen MP3, FLAC und anderen Audioformaten?

Digitales Audio ist schon sehr lange verfügbar, daher wird es eine Fülle von Audioformaten geben. Hier sind einige der gebräuchlicheren, was sie unterscheidet und wofür sie verwendet werden. Bevor wir über alltägliche Audioformate sprechen, ist es wichtig, dass Sie die Grundlagen verstehen, und das bedeutet, PCM zu verstehen.

(how-to)