nicht angemeldet
Hi josh,
Also bei dieser Anwendung wird eine Art Proxy auf dem Rechner des Kunden installiert, der von localhost HTTP-Requests annimmt und dann diese mit eigener Verschlüsselung ausliefert und das Ergebnis empfängt?
Zunächst einmal kann sich der Proxy bemerkbar machen, dass er aktiv ist (Windows-Tray, evtl. Browser-Erweiterung*). Dies in Verbindung mit der Adresse, die der Kunde in seinem Browser eingibt (nämlich localhost plus einen bestimmten Port) sollte als "Nachweis" der sicheren Verbindung genügen.
Ja, leider nur als Nachweis für einen technisch versierten Benutzer, aber unser Klientel achtet auf Dinge, wie "Schloss in der Statuszeile".
Vor Keyloggern etc. ist das ganze natürlich nicht geschützt.
Das verstehe ich nicht, in welchem Zusammenhang?
Darf ich fragen, warum du ein spezielles Verschlüsselungssystem einsetzst?
Ja, es ist ein Elektronic Banking Programm, welches Schlüsselmedien[1] einsetzt. Das Schlüsselmedium ist aber nicht über die Webseite ansprechbar (außer vielleicht über ActiveX oder ähnlichem Schmodder), deswegen die Komunikation über den Dienst. Das Browserfenster ist quasi "nur" die Oberfläche.
ciao
romy
[1] Smartcards, USB-Token, etc. je nach Sicherheitsstufe.
