--On Donnerstag, 14. August 2003 00:05 +0200 Jochen Friedrich <[EMAIL PROTECTED]> wrote:
M�cht wissen, was die Bank dazu sagt, wenn sowas mal passiert ist...wir haben mal in der Firma nachgedacht, ohne Client-Cert ist es wohl unm�glich, serverseitig rauszubekommen, ob der Client das wahre Ende ist. Javascript hat keine M�glichkeit, an die DN des Server-Certs zu kommen. W�rde also nur noch ein Java-Applet helfen...
Die DN reicht ja nicht mal, man m��te schon s�mtliche DNs bis zur Root-CA und am besten auch noch die Fingerprints �berpr�fen.
Recht haste...ich hatte eigentlich auch die DN der CA gemeint, die das Cert ausgestellt hat. Wenn die (und der Fingerprint des Certs) dann zur�ck an den Server �bermittelt werden w�rden, k�nnte ein erster Check geschehen - geht aber nicht, da ja nicht unterst�tzt :-(
Auf einem Firmen-PC kann man nie sicher sein, was dort alles installiert ist und speziell beim Internet Explorer kann man doch einfach per LOGIN-Skript neue Root-CA Zertifikate installieren. Mit denen kann man dann jeden beliebigen DN mit einer jetzt als g�ltig erkannten Root-CA signieren und der Internet Explorer ist absolut happy.
Das ist auch Voraussetzung, da� den Webwasher-SSL-Filter keiner so einfach bemerkt ;-)
Also in der Firma immer sch�n bei jeder SSL-Seite das Cert inspizieren, wer es denn ausgestellt hat ;-)
Meineserachtens ist dieses Feature in Deutschland sowieso vom Datenschutzstandpunkt nicht zul�ssig...aber das scheint Webwasher wenig zu interessieren...und wer wei�, ob der Datenschutzbeauftragte in der Firma davon wei�...
Peter -- Dr. Peter Bieringer http://www.bieringer.de/pb/ GPG/PGP Key 0x958F422D mailto: pb at bieringer dot de Deep Space 6 Co-Founder and Core Member http://www.deepspace6.net/ _______________________________________________ ipv6 mailing list [EMAIL PROTECTED] http://listserv.uni-muenster.de/mailman/listinfo/ipv6
