Verschlüsselung einer Webseite ohne HTTPS

zimon · Beitrag von **zimon** » 17.07.2006 11:39:49

Hallo zusammen!

Ich hab grad ein neues Konto bei einer Bank eröffnet und hab nun die Zugangsdaten fürs Online-Banking bekommen. Zu meinem Erstaunen war die Seite keine HTTPS - geschützte Seite. Also hab ich für eine Session mal den Traffic mitgeschnitten und analysiert - da war aber nichts im plaintext übertragen worden (gott sei dank).

Kennt ihr solche Verfahren? Bis jetzt kannte ich nur die Verschlüsselung mittels HTTPS.

Was für Vorteile (Sicherheit) bietet ein solches Verfahren ohne HTTPS gegenüber einem mit HTTPS?

Vielen Dank für eure Hilfe,
Simon

_mh_ · Beitrag von **_mh_** » 17.07.2006 12:33:23

Hallo,

Hmm, soweit ich mich entsinne war das bei der Postbank und noch irgendner anderen Bank so. Das ist auch ssl, nur die Uebertragen meines Wissens nur die wirklichen Bankdaten in SSL, so kriegst du das hoechstwahrscheinlich nicht mit dass das eine SSL verbindung ist. Kann meines wissens dann auch ueber port 80 laufen.

Ziemlich tricky irgendwie

finupsen · Beitrag von **finupsen** » 17.07.2006 13:57:01

ja ne , das glaub ich nicht das eine seriöse bank nicht komplett über https geht.
Es ist zum beispiel so, daß wenn ein frame mit http und einanders mit https arbeitet, eine
fette warnung an den user ausgegeben wird (ob nun mit oder ohne trusted-cert).
Das kann es also auch nicht sein....
Also dieses kleine schloß unten rechts sollte immer erscheinen (vom login bis zum logout).
Ist das nicht der fall würde ich bei der bank kündigen und woanders mein konto einrichten ...

zimon · Beitrag von **zimon** » 17.07.2006 16:09:04

habs jetzt rausgefunden: Das online-Banking ist komplett über HTTPS, allerdings ist nur der Mainframe so. Alles drum rum läuft normal als http, weil das halt das Standartportal ist. Hab jetzt aber einen Link gefunden, wo ich mein Online-Banking direkt ansteuern kann ohne Portal - da ist dann alles SSL-veschlüsselt.

Komische Sache ists aber trotzdem irgendwie - wieso denn nicht gleich alles SSL-verschlüsseln.... hmmmmmmmmm

hupfdule · Beitrag von **hupfdule** » 18.07.2006 14:35:14

zimon hat geschrieben: Komische Sache ists aber trotzdem irgendwie - wieso denn nicht gleich alles SSL-verschlüsseln

Weil SSL den Datendurchsatz gewaltig drückt. Wozu etwas verschlüsseln, das nicht verschlüsselt werden muss?

peschmae · Beitrag von **peschmae** » 18.07.2006 18:26:46

Nun, gerade bei einer Bank sollte das imo schon alles verschlüsselt sein. Du siehst ja nicht was jetzt verschlüsselt war und was nicht, oder? Und die Daten hätte ich dann doch lieber verschlüsselt...

MfG Peschmä

S_O · Beitrag von **S_O** » 18.07.2006 19:25:07

Bei meiner Bank ist das komplette Frameset verschlüsselt. Zumal ja mittels javascript auf die anderen Frames zugegriffen werden kann (AFAIK früher immer, jetzt nur noch von der gleichen domain) halte ich das für sehr problematisch. Selbst wenn in den unverschlüsselten Frames der Bank nichts wichiges drinsteht, sollten die verschlüsselt werden, damit da niemand z.B. javascript-code einschleusen kann.
Ich habe aber schon mal richtige Verschlüsselung ohne Zusatzprogramm und ohne HTTPS gesehen (allerdings nicht bei einer bank): Mit javascript: Da war tatsächlich AES komplett als javascript implementiert.

Joghurt · Beitrag von **Joghurt** » 18.07.2006 21:15:10

hupfdule hat geschrieben:Wozu etwas verschlüsseln, das nicht verschlüsselt werden muss?

Damit niemand unwichtiges von wichtigem Unterscheiden kann.