31.01.2007 | Autor / Redakteur: Detlef Borchers / Peter Schmitz
Mit dem Start von Windows Vista wollen Microsoft und Verisign eine höhere Sicherheitsstufe erklimmen. Künftig liegt das SSL-Schloss im Internet Explorer auf Augenhöhe des Users. Außerdem ändert sich die Farbe der Adressleiste des Browsers in Abhängigkeit von der potenziellen Gefahr.
Die leichter erkennbaren Signale sollen die Anwender künftig empfänglicher für Warnmeldungen machen. So wird die Adresszeile im Internet Explorer 7 grün hinterlegt, wenn ein erweitertes Sicherheitszertifikat vorliegt. Hingegen leuchtet die Leiste gelb, wenn die Sicherheitsinformationen ungenügend sind, im Falle eines Betrugsverdachts färbt sie sich rot.
Im herkömmlichen Weiß bleibt die Leiste nur, wenn überhaupt keine Informationen über die Website „auf der anderen Seite“ vorliegen. Last but not least wird die tatsächliche Adresse einer Website angezeigt, die Phisher bisher ausblenden konnten.
Das System funktioniert allerdings nicht nur unter Vista, sondern auch auf älteren Rechnern, auf denen der Internet Explorer 7 oder Opera 9.10 installiert sind. Mit diesem Browser bringt die norwegische Software das Verfahren in die Linux-Welt, der quelloffene Firefox soll die Gefahren-Bewertung ab Version 3.0 unterstützen.
Ziemlich genau zehn Jahre ist es her, dass in den Web-Browsern ein kleines Schloss auftauchte. Ist es geschlossen signalisiert es, dass eine sichere Verbindung mit einem zertifizierten Server besteht und etwa Daten einer Kreditkarte übermittelt werden können.
Allerdings hatte das Konzept der Secure Sockets Layer (SSL) von Anfang an einen Konstruktionsfehler. Neben dem Aufbau einer gesicherten verschlüsselten Verbindung beruhte es auf vertrauensvollen Servern, zu denen die sichere Verbindung hergestellt wurde.
Dabei war es jeder Zertifikationsstelle überlassen, mit welchen Kriterien sie ihre Zertifikate verband. „Billigeimer“ verkauften SSL-Zertifikate nach einer schlichten Whois-Domainabfrage und öffneten damit die Pforten der Phisher-Hölle.
Aus diesem Grund starteten die beiden Unternehmen Microsoft und Verisign vor dreieinhalb Jahren ihre Extended-Evaluation-Initiative für erweiterte SSL-Zertifikate, der sich später fünf weitere internationale Trustcenter anschlossen.
Ziel der Initiative war und ist die Schaffung eines erweiterten einheitlichen Standards, der einen vertrauenswürdigen Webserver und eine strenge Überprüfung der beteiligten Firmen definiert. Mit Windows Vista wird nun weltweit das Extended Validation Secure Sockets Layer (EV-SSL) freigeschaltet.
Umstritten ist, ob der Farbwechsel in der Adressleiste und die volle URL-Adresse wirklich die Anwender alarmiert, so dass sie die Browser-Session wirklich schließen – denn an dieser Stelle muss der Internet-Surfer selbst entscheiden.
Eine von Microsoft geförderte wissenschaftliche Untersuchung lieferte eher niederschmetternde Resultate. Viele User klicken beim Laden einer Webseite auf „Fortfahren“, selbst wenn sie gewarnt werden, dass sie damit die Büchse der Pandora öffnen.
Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2002091)
