Hi,
ich wollte mal auf eine Gefahr bei der Commerzbank hinweisen.
Die normale Bankseite ist prima über https zu erreichen
https://www.commerzbank.de/
Jetzt kommt der Hammer:
klickt man dort auf Privatkunden und dann unter Online Services auf "Online Banking" erscheint als Link http://www.commerzbanking.de/
Diese Seite ist auch nicht manuell via https erreichbar!
Via Metarefresh wird folgendes aufgerufen:
http://www.commerzbanking.de/cgi-bin/RotateURL.cgi
Diese Seite wiederum leitet zufällig auf:
https://portal01.commerzbankin…html?Tab=3
bis
https://portal05.commerzbankin…html?Tab=3
um.
Folgendes pur funktioniert nicht:
https://portal01.commerzbanking.de/
da erhält man nur eine Fehlermeldung, daß man sich wieder über http://www.commerzbanking.de wieder anmelden soll.
Man kann sich eine sichere URL als Mensch also praktisch nicht merken.
Wenn ein Angreifer also die Verbindung via MITM kontrollieren kann hilft das Bookmarken von https://www.commerzbank.de/ überhaupt nichts.
Man kann ja problemlos auf eine böse Seite mit gültigem Zertifikat umgeleitet werden, z.B. http://portal01.commerzbancking.de , https://portal01.commerzbank-privat.de/ , https://portal01.meine-commerzbank.de/ , etc.
Mein Fazit:
Es ist total bescheuert das Loadbalancing ohne https zu machen.
Es ist total bescheuert, daß die Commerzbank mehrere Second-Level-Domains verwendet. Woher soll ich als Kunde wissen welche Kunstwörter sich ein Marketingfuzzi grade wieder ausgedacht hat.
Bitte beschwert euch bei der Commerzbank, schreibt Leserbriefe an IT-Magazine, etc. Meine Beschwerde hat nichts gebracht.
Gruß
Carsten
ich wollte mal auf eine Gefahr bei der Commerzbank hinweisen.
Die normale Bankseite ist prima über https zu erreichen
https://www.commerzbank.de/
Jetzt kommt der Hammer:
klickt man dort auf Privatkunden und dann unter Online Services auf "Online Banking" erscheint als Link http://www.commerzbanking.de/
Diese Seite ist auch nicht manuell via https erreichbar!
Via Metarefresh wird folgendes aufgerufen:
http://www.commerzbanking.de/cgi-bin/RotateURL.cgi
Diese Seite wiederum leitet zufällig auf:
https://portal01.commerzbankin…html?Tab=3
bis
https://portal05.commerzbankin…html?Tab=3
um.
Folgendes pur funktioniert nicht:
https://portal01.commerzbanking.de/
da erhält man nur eine Fehlermeldung, daß man sich wieder über http://www.commerzbanking.de wieder anmelden soll.
Man kann sich eine sichere URL als Mensch also praktisch nicht merken.
Wenn ein Angreifer also die Verbindung via MITM kontrollieren kann hilft das Bookmarken von https://www.commerzbank.de/ überhaupt nichts.
Man kann ja problemlos auf eine böse Seite mit gültigem Zertifikat umgeleitet werden, z.B. http://portal01.commerzbancking.de , https://portal01.commerzbank-privat.de/ , https://portal01.meine-commerzbank.de/ , etc.
Mein Fazit:
Es ist total bescheuert das Loadbalancing ohne https zu machen.
Es ist total bescheuert, daß die Commerzbank mehrere Second-Level-Domains verwendet. Woher soll ich als Kunde wissen welche Kunstwörter sich ein Marketingfuzzi grade wieder ausgedacht hat.
Bitte beschwert euch bei der Commerzbank, schreibt Leserbriefe an IT-Magazine, etc. Meine Beschwerde hat nichts gebracht.
Gruß
Carsten