Achtung technisch!
Die Diskussion über Phishing ist spannend. Eines der Angriff-Szenarien — sowohl durch ein Phising E-Mail initiiert wie auch durch Zugriff auf das Netzwerk — ist ein Man-in-the-Middle Angriff. Beispielsweise mit einem (Secure) Proxy der bis zum Login durchlässt und dann die Session dem Angreifer gibt. Allerseits bekannt: Davor schützt auch eine mit SSL oder TLS verschlüsselte Verbindung nicht.
Anbei das (versprochene) Schweizer Paper von Rolf Oppliger, Ralf Hauser und David Basin mit einem einfachen Vorschlag SSL/TLS Session-Aware zu machen mit em Ziel Man-in-the-Middle Angriff zu verunmöglichen. Elegant.
[pdf, 181KB] SSL/TLS Session-Aware User Authentication Revisited.
