Fisching Attacken kennt, zumindest vom Wort her, eigentlich fast jeder Deutsche. Manchmal auch als „Fisting Attacken“ in den alten Medien genannt ;), haben mittlerweile eine Relevanz für mehr und mehr Deutsche.
Als gut empfinde ich, dass moderne Browser wie Firefox 3.5, Safari 4.x oder der Internet Explorer 8 hier Mechanismen eingebaut haben, die einem helfen sollen.
Dumm ist nur, wenn es Ausnahmen gibt, wo solche Funktionen einen unwissenden User eher verunsichern. Folgender Screenshot stammt aus Firefox.
Wenn man sich das anschaut und durchliest dann hat man in der Magengegend ein leicht komisches Gefühl. Das Polizistenpiktogramm tut sein übriges.
Nur was war eigentlich passiert?
Ich wollte die Seite www.ph-ludwigsburg.de/typo3 aufrufen, das Backend für das CMS. Hier aktualisiere ich die Seiten der Abteilung Sport.
Momentmal, da geht doch keine Gefahr von deren Seite aus. Sind die gehakt worden? Fragen über Fragen. Also mal das Zertifikat genauer angeschaut und recherchiert.
Das Zertifikat sieht gut aus und auch der Herausgeber ist in Ordnung, immerhin das Rechenzentrum der Ph’en in Baden-Württemberg.
Das Problem ist ein ganz banales, das Zertifikat ist selber ausgestellt worden und nicht von einem Unternehmen wie Tharwte. Solche Firmen oder andere nehem Geld dafür und erstellen einem dann ein Zertifikat von einer begrenzten Dauer, mit dem Unterschied, dass deren Zertifikate von einem Root Zertifikatserver signiert sind. Genau das bemängelt Firefox hier.
Auswirkungen hat das keine, denn meine Verbindung wird per SSL verschlüsselt, dies ist nur der Hinweis, dass etwas mit dem Zertifikat nicht stimmen könnte und man aufpassen sollte.
Wirklich praktikabel für den durchschnittlichen User ist so ein Vorgehen nicht. Da wird durch ein „tolles“ Sicherheitsfeature der User nur noch zusätzlich versunsichert.
zu 2:
Das Disqus System habe ich wieder deaktiviert. Dachte das wäre mit der Twitventsversteigerung eine tolle Sache.
zu 1:
Das Problem ist aber genau das der Standarduser sich nicht durchliest was da steht. Der kriegt eher Panik und ruft seinen Kumpel etc. an.
Und dann hat man das Problem an der Backe.
Es stimmt schon und ich muss dir eigentlich recht geben, dass das Verhalten viel besser ist als es früher war und wenn man so viele Mühen hat man es sich nicht so leicht macht.
Nur das Polizistenpiktogramm schnürrt andere Erwartungen. Ob man dann noch genau schaut was das Problem ist…
Wahrscheinlich nervt mich dies aber selber nur sehr, weil es einige Seiten gibt, die zum Glück SSL einsetzen, sich aber kein teueres Zertifikat von Anbieter X leisten können.
Hey Michi,
ich sehe das anders. Der Firefox macht an der Stelle vieles richtig was Browsergenerationen vor ihm falsch gemacht haben. Wenn du einen Browser benutzt, dann hast du ein konkretes Ziel vor Augen und um das zu erreichen versuchst du jede Hürde, die sich dir stell schnell und effektiv zu umgehen. Das Userinterface einer sicheren Software bietet dem Benutzer den sicheren Pfad zu seinem Ziel auch als den bequemsten an. Andererseits muss die Hürde etwas Unsicheres zu tun so umständlich sein (so viel „Schmerzen“ verursachen) dass der Benutzer diesen Weg am liebsten meidet.
Trifft ein Benutzer beispielsweise beim Internetshopping auf einen solchen Zertifikatsfehler, sollte der unsichere Weg das Zertifikat dennoch (und den Risiken bewusst) zu akzeptieren höher sein als sich einfach zum Konkurrenten zu klicken. Nur so bekommt man den faulen User zum guten zu erzogen
Dazu kommt, dass Firefox hier ziemlich genau und auch für den Laien verständlich schreibt, was das Problem ist und was er eventuell für Folgen befürchten muss.
Das Meilenstein gegenüber den älteren IE’s mit ihren Meldungen wie „Es gab ein Fehler mit dem Zertifikat – wollen sie fortfahren: Ja / Nein“
Apropos Weg des geringster Widerstand: Dein Kommentarmodul hat gerade drei Anläufe und mehrer Minuten des „Just a moment“s gebraucht um meinen Kommentar abzusetzen …. (WTF)