nicht angemeldet
(shopping allgemein) Sicherheit im Web. Alles nur "beschiss" ?
0 jein...
0
(shopping allgemein) Sicherheit im Web. Alles nur "beschiss" ?
Hi
da ich derzeit nen onlineshop aufbau bin ich ja derzeit grad am planen... also die sicher SSL 40 BIT verschlüsselung hab ich mittlerweile ... doch
HALT !
ich denk mich tritt ein pferd !
ich weiß das die meisten onlineshops sich ihre bestellung per E-Mail zuschicken lassen ! ... was soll denn das dann ? Ist das alles nur ein riesengroßer betrug ? ... erst wird dem kunden suggeriert, seine daten seine geschützt und dann können sie von einem otto-normalwebmaster einfach auf der durchreise abgefangen werden ?
ich mein, wer kann sich denn wirklih sicher sein das SEINE DATEN auch nach dem zuschicken an den Host des shops noch sicher sind und nicht nur einfach als email im web rumeieren ?
wie seht ihr das ?
grüße Korbinian
PS: ich werde es folgendermasen machen: daten per 40BIT Verschlüsselung zum host übertragen lassen, dort in ne datenbank eintragen lassen und diese dann einfach einmal täglich mit https:// abrufen ... is zwar arbeit und sollte sicher sein da ich alles mit PHP3 mahce.. und php3 seiten lassen nicht die eisicht des quellcodes zu oder ?
-
Hi Korbinian
da ich derzeit nen onlineshop aufbau bin ich ja derzeit grad am planen... also die sicher SSL 40 BIT verschlüsselung hab ich mittlerweile ... doch
Ich möchte höflichst,aber bestimmt darauf hinweisen, das 40 BIT NICHT sicher sind. Die derzeit im Handel erhältliche "obere Mittelklasse" schafft es innerhalb von Stunden den Code zu knacken !! Wenn das Passwort auch noch unsicher ist ( reguläre Wörter) innerhalb einiger Sekunden. Außerdem hat die amerikanische Regierung mittlerweile 128 BIT zum Export freigegeben, d.h.: die können ihn innerhalb annehmbarer Zeit knacken.
Zum Thema E- Mail: Es ist, richtig angewandt, die beste Möglichkeit, da mittels PGP eine sehr hohe Sicherheit gegeben ist. Das Automatisieren der Verschlüsselung mit dem public-key sollte mittels CGI kein großes Problem darstellen, sodas der gemeine User keinen Ärger damit hat (Bequemlichkeit erhöht den Umsatz ;-)Fazit, ab 128 BIT verschlüsseln und sichere Passwörter nehmen (selbst PGP versagt bei einem regulären Wort als Passwort, das parsen eine 162 MB großen Bibliothek mit allen Wörten aus 6 europäischen Sprachen inclusive einiger Spezialausdrücke dauert knapp 9 min auf einem P 200 !!!)
Viele Grüße
Christoph
-
Hi Korbinian
»»
da ich derzeit nen onlineshop aufbau bin ich ja derzeit grad am planen... also die sicher SSL 40 BIT verschlüsselung hab ich mittlerweile ... doch
Ich möchte höflichst,aber bestimmt darauf hinweisen, das 40 BIT NICHT sicher sind. Die derzeit im Handel erhältliche "obere Mittelklasse" schafft es innerhalb von Stunden den Code zu knacken !! Wenn das Passwort auch noch unsicher ist ( reguläre Wörter) innerhalb einiger Sekunden. Außerdem hat die amerikanische Regierung mittlerweile 128 BIT zum Export freigegeben, d.h.: die können ihn innerhalb annehmbarer Zeit knacken.
Zum Thema E- Mail: Es ist, richtig angewandt, die beste Möglichkeit, da mittels PGP eine sehr hohe Sicherheit gegeben ist. Das Automatisieren der Verschlüsselung mit dem public-key sollte mittels CGI kein großes Problem darstellen, sodas der gemeine User keinen Ärger damit hat (Bequemlichkeit erhöht den Umsatz ;-)Fazit, ab 128 BIT verschlüsseln und sichere Passwörter nehmen (selbst PGP versagt bei einem regulären Wort als Passwort, das parsen eine 162 MB großen Bibliothek mit allen Wörten aus 6 europäischen Sprachen inclusive einiger Spezialausdrücke dauert knapp 9 min auf einem P 200 !!!)
Viele Grüße
Christoph
Hmm... kannst du / Sie mir einen Webspaceprovider nenen / oder eine andere möglichkeit wie ich 128 Bittig cerschlüsseln kann ?
meines wissens werden die 40 bit im web leider standardmäßig genutzt und das mit den 128 Bit muss (meinen infos nach) erst noch durch den US-Senat durch...
BTW: selbst die Banken benutzen größteils 40 Bit, 128 Bit ist eher die ausnahme...
-
Hi Korbinian
Hmm... kannst du / Sie
Meines Wissens gilt hier als Anrede das Du (Außerdem fühl ich alter Sack mich dann wieder etwas jünger ;-)
mir einen Webspaceprovider nenen / oder eine andere möglichkeit wie ich 128 Bittig cerschlüsseln kann ?
Das Problem liegt weniger auf der Serverseite als auf der Clientseite. Der Browser muß die Verschlüsselungsroutine ausführen (bei SSL), denn schließlich soll der Kram ja schon auf dem Wege gesichert werden. Für den deutschen Netscape z.B. gibt es eine Erweiterung auf 128 BIT, allerdings hat die nicht jeder. Schon Sch... ! Bleibt noch PGP. Die Verschlüsselungsroutine sollte eigentlich auch mit Javascript funktionieren. Wäre was für die JS Begeisterten hier.
meines wissens werden die 40 bit im web leider standardmäßig genutzt
Schlimm genug :-(((
und das mit den 128 Bit muss (meinen infos nach) erst noch durch den US-Senat durch...
Laut NY-Times... Aber jetzt hast Du mich verunsichert
BTW: selbst die Banken benutzen größteils 40 Bit, 128 Bit ist eher die ausnahme...
Bei den Banken läuft die Sache etwas komplizierter, so mit Einmal-Pins und so.
Aber Kryptographie ist ein weites Feld und hochmathematisch und würde hier zu weit führen (ich lasse mich aber gern des Besseren belehren ;-)
Wenn Dich das Thema näher interessiert mail mir, es gibt dann eine Literaturliste, die aber lang und unförmig ist, leider.Gruß
Christoph
-
meines wissens werden die 40 bit im web leider standardmäßig genutzt und das mit den 128 Bit muss (meinen infos nach) erst noch durch den US-Senat durch...
BTW: selbst die Banken benutzen größteils 40 Bit, 128 Bit ist eher die ausnahme...
Mein Wissensstand ist auch nicht 100%, aber folgendes dürfte in etwa den Stand der Dinge wiedergeben:
1. 128 Bit Verschlüsselung darf nicht *allgemein* Exportiert werden. Für jede Exportlizenz muß genau angegeben werden, auf welchen Server, mit welcher IP, etc. die Verschlüsselung eingesetzt wird.
2. Das heißt, daß eigentlich nur Banken und *große* Internet-Versandhäuser diese Lizenz bekommen .. nach einigem bürokratischem Aufwand.
3. Diese Regelung würde gegenüber .us in erster Linie von den Banken durchgesetzt.
4. Daß bei "normalen" Webspaceprovidern in absehbarer Zeit 128Bit Verschlüsselung für die Allgemeinheit verfügbar sein wird ist daher *sehr* unwarscheinlich.
Bleibt letztendlich das Warten auf SET (secure electronic transaction) .. aber das ist dann wiederum so teuer + aufwendig, daß sich das ein kleiner Shop / ein Startup kaum leisten kann.
Herzlich
K@rl -
Hmm... kannst du / Sie mir einen Webspaceprovider nenen / oder eine andere möglichkeit wie ich 128 Bittig cerschlüsseln kann ?
Hallo!
Probiers doch mal bei ein paar amerikanischen anjbietern
Mfg Thomas
-
hye
Hmm... kannst du / Sie mir einen Webspaceprovider nenen / oder eine andere möglichkeit wie ich 128 Bittig cerschlüsseln kann ?
ich hab nicht viel ahnung von SSL. ich weiss nur das mein provider http://www.communitech.net SSL im paket inkludiert hat. 128-Bit verschlüsselung. Muss garnicht erst eingerichtet werden. auruf der page via https://domain reicht
zb.: https://www.predl.commfg
Bogus
-
-
-
Hallo!
Ich nehme an, bei einer Online-Bestellung gilt es vor allem die Kreditkartennummer sicher zu uebertragen. Ich besitze keine Kreditkarte und kenne mich damit nicht besonders aus, haette aber eine Frage, die mich schon länger beschaeftigt.
Die Nummer ist doch auf der Kreditkarte ersichtlich. Wenn ich also regen Gebrauch davon mache, sehen diese Nummer unzaehlige Menschen. Warum wird man davor gewarnt diese ohne Verschluesselung anzugeben? Was ist daran so geheim?
Es waere nett, wenn mich da mal jemand aufklaeren koennte.
Viele Gruesse
Harald-
Hallo Harald,
die Verschluesselung einer Kreditkartennummer ist deswegen sinnvoll, weil es unbefugten Personen moeglich ist sie quasi "abzufangen" und sie, wenn sie nicht verschluesselt ist, auf Deine Kosten Artikel aus dem Internet einkaufen koennten.
Gruesse aus Spanien
Florian Bender-
Hallo Florian!
die Verschluesselung einer Kreditkartennummer ist deswegen sinnvoll, weil es unbefugten Personen moeglich ist sie quasi "abzufangen" und sie, wenn sie nicht verschluesselt ist, auf Deine Kosten Artikel aus dem Internet einkaufen koennten.
Im Prinzip ist mir das schon klar. Ich setze mal voraus, das die Kreditkartennummer auf der Karte steht und keine Geheimzahl (wie bei Bankmat) ist. Stimmt das so? Das Risiko, dass z. B. ein Verkaeufer diese Nummer weitergibt ist doch genauso gegeben. Allein wenn Du im Restaurant bezahlst koennen ein Dutzend Menschen - angefangen von den Kellnern bis zur Buchhaltung - diese Nummer sehen.
Gruesse aus Spanien
Schoenen Urlaub ;-)
Viele Gruesse
Harald
-
-
Hi Harald,
du brauchst fürs Online-Shopping in der Tat nur die Nummer und das Ablaufdatum von der Kreditkarte, und die steht auf jeder Karte vorne drauf. Deshalb kann ich die allgemeine Hysterie auch nicht so verstehen, die meisten kleineren Läden werfen ihre Kreditkartenbelege nach einer Weile in den normalen "Hausmüll", wo sie sich ja eigentlich auch jeder rausholen kann...
Viele Grüsse,Nicolas Muehlen
-
Hallo Nicolas!
du brauchst fürs Online-Shopping in der Tat nur die Nummer und das Ablaufdatum von der Kreditkarte, und die steht auf jeder Karte vorne drauf.
Danke fuer deine Antwort. Sowas hatte ich schon vermutet. Wegen dem ganzen Theater in diversen TV-Sendungen war ich mir aber nicht sicher. Da diskutieren sie immer ganz gross über die Sicherheit im Netz, dass ein Missbrauch aber auch ohne Uebertragung der Kartennummer im Internet jederzeit problemlos moeglich ist, wird nicht mal ansatzweise erwaehnt. Seltsam!
Viele Gruesse
Harald
-
-