nicht angemeldet
Moin!
[...] "Phishing" [...]
Ein technischer Schutz gegen derartige Machenschaften ist absolut unmöglich.dafuer ist doch SSL und das Zertifikatswesen vorgesehen. Reicht das Dnicht aus, wenn der Nutzer das Konzept verstanden hat?
Klicken, sich vorstellen, die SSL-Meldung käme nicht, weil ein von einer teureren SSL-Signierstelle signiertes Zertifikat benutzt wurde (ist ja kein Thema), und sich vorstellen, die Seiten sähen so aus, wie das Linkziel eigentlich suggeriert.
Wo ist da jetzt ein Schutz durch SSL? SSL schützt davor, dass man sich mit einem Server verbindet, der mit dem falschen Zertifikat durch DNS-Manipulation unter der richtigen Domain meldet.
SSL schützt nicht davor, dass man sich (was in der Adresszeile nachlesbar ist oder zumindest wäre) mit der falschen Domain verbindet.
Wenn du also alle deine Benutzer darauf hinweist, dass sie bitte immer drauf achten sollen, sich nur über deine Startseite einzuloggen und nicht irgendwelche Links in Mails anzuklicken, dann hast du alles Menschenmögliche getan, um derartige Angriffe zu verhindern.
(Zurzeit) keine UTF-8 Namen verwenden vielleicht noch ...
Was hindert das Fremde, genau das zu tun?
- Sven Rautenberg