Moin,

Genau die meine ich. Klicken bei jedem Scheiß ihr OK an, nur wenn es wirklich mal etwas gibt, bei dem sie das dürfen, machen die das unter keinen Umständen.

Stimmt auch wieder.

und es im Falle extremer Paranoia wesentlich geeignetere Wege gibt, ein Zertifikat zu überprüfen.

Es gibt keine. Irgendwo fängt das "Vertrauen" an. Es gibt für den Zweck keine Möglichkeit, das ohne "Vertrauensvorschuß" zu machen.

Das mag sein. Aber in vielen Fällen in denen die Verbindung sicher sein muss, gibt es eine andere Möglichkeit mit dem Anbieter in Kontakt zu treten. Dann schnappt man sich halt das Telefon und fragt den anderen freundlich nach dem Fingerprint. (Mehr Wege sind denkbar. Die c't veröffentlicht den Fingerprint ihres CA-Schlüssels zum Beispiel in jeder Ausgabe. Wenn man mehrere verschiedene Ausgaben hat (natürlich bei verschiedenen Händlern gekauft ;) und die Abdrücke alle übereinstimmen, ist die Wahrscheinlichkeit, dass einem ein falscher Schlüssel untergejubelt wird, sehr, sehr gering.)

Zweites Problem: wie stellst Du sicher, das der Fingerprint auch korrekt ist? Wieder mit einem Zertifikat? Dafür dann wieder eine Fingerprint? Ad infinitum?

Ich sagte doch: Wenn sie ihr Passwort und die Benutzerkennung erhalten, kriegen sie ausserdem einen Zettel mit dem Fingerprint. Je nach Anwendung müssen die Anwender eh geschult werden. (Das kann jetzt nur Kati klären, indem sie mehr über ihre Anwendung verrät.)

--
Henryk Plötz
Grüße aus Berlin