Zitat:

Zitat von Shadow

Sehe ich nicht so, der Browser ist doch eher wie ein Betriebssystem für die Webseiten (siehe auch Chrome OS), das Frontend des Webbankingprogramms wird dort angezeigt, der Browser ist es aber nicht.

Nunja, im Prinzip unterscheiden die sich nur in der Darstellung der Daten. Und das wars auch schon. Der Browser kann halt noch jede Menge andere Sachen, die aber für diesen Zweck irrelevant sind.

Zitat:

Zitat von Shadow

Das ist deine Domäne, aber was wird denn wirklich im Browser geändert?

Jede Menge, je nach Browser werden unterschiedlich viele Hooks gesetzt. Bei FF sinds 3 bei IE sogar 8 oder mehr. Und für jeden dieser Hooks muss zusätzlich eine Menge von Code injiziert werden. Kannst pro Hook ca. mit 300-800 Zeilen Code rechnen. Je nachdem wie "gut" der Trojaner ist.

Zitat:

Zitat von Shadow

Ja und? ChipTAN-optik sollte doch da schützen.

Ja sollte es, aber dann muss es dich genau so im Browser schützen.

Zitat:

Zitat von Shadow

Habe zumindest ich nicht gesagt. Meine Aussage war soweit ich mich erinnere:
ChipTAN optik mit gewissenhafter Prüfung - und dabei sollte es keine rolle Spielen ob Browser oder Bankingsoftware.
Zusätzlich: Per Browser ist es aber leichter einem Nutzer falsche Ziele unterzuschieben und falsche Informationen vorzugauckeln (wie Testüberweisung), wobei ich durchaus auch weiß (womit ich diese letzte Aussage zumindest etwas einschränken möchte), dass es Bankingprogramme gibt, die (Eigen-)Werbung und (Pseudo-)Informationen einblendet (IIRC z.B. Starmoney) oder bankinterne "Kunden-Informationen" einblendet (IIRC VR-Networld zum Beispiel). Wenn es gelingt diese Einblendungen zu kapern, dann dürfte eine "Testüberweisung" noch mehr Zuspruch finden.

Ja das klang bei mir ein wenig auf dich bezogen, sorry. Ich hab das generell gemeint. Generell zu sagen Bankingprogramme wären das Ultimative...

Zitat:

Zitat von SecureBanking

Ja sollte es, aber dann muss es dich genau so im Browser schützen.

Habe ich wie oft geschrieben?

Ja man muss aber fairerweise sagen, dass das SMS Tan genau so "sicher" ist wie das ChipTan Verfahren, WENN man sorgfältig die Kontonummer + Betrag in der SMS überprüft. Ein virenfreies Telefon ist natürlich Vorraussetzung.

Und noch zur Frage wegen der Betriebssystemabhängigkeit:
Generell funktionieren die meisten dieser Trojaner nur auf Windows Rechnern.
Dort werden auch nur großteils die gängigsten Browser unterstützt, wie zum Beispiel Firefox, Chrome, Internet Explorer oder Safari. Opera ist auch schon eine Seltenheit.
Der nächste Punkt ist, dass der Großteil der Trojaner auch nur 32-Bit Browser unterstützen.

Verwendest du also ein Linux mit einem exotischen 64-bit Browser und dem SMS Tan Verfahren sowie etwas Hirn, solltest du auf der sicheren Seite sein.

Zitat:

Zitat von SecureBanking

Ja man muss aber fairerweise sagen, dass das SMS Tan genau so "sicher" ist wie das ChipTan Verfahren, WENN man sorgfältig die Kontonummer + Betrag in der SMS überprüft. Ein virenfreies Telefon ist natürlich Vorraussetzung.

Ja, ist aber eine Voraussetzung mehr.

Zitat:

Zitat von SecureBanking

Der nächste Punkt ist, dass der Großteil der Trojaner auch nur 32-Bit Browser unterstützen.

Naja, da ist die Malware nicht ganz alleine. Mal sehen was sich schneller ändert
(Nebenbemerkung: Schließlich hat auch Microsoft Office 2010 64-Bit auch noch seien Haken, die Installation ist deshalb auf den DVDs nur versteckt. )

Zitat:

Zitat von SecureBanking

Verwendest du also ein Linux mit einem exotischen 64-bit Browser und dem SMS Tan Verfahren sowie etwas Hirn, solltest du auf der sicheren Seite sein.

"Kein Smartphone" hast du da vergessen. Oder Mac OS 9 statt Linux, braucht auch keinen 64-Bit-Browser, der IE for Mac tut es auch.
(Ob die Bankingseiten noch funktionieren ist allerdings zweifelhaft.)

Zitat:

Zitat von SecureBanking

[...]Und noch zur Frage wegen der Betriebssystemabhängigkeit:
Generell funktionieren die meisten dieser Trojaner nur auf Windows Rechnern.
Dort werden auch nur großteils die gängigsten Browser unterstützt, wie zum Beispiel Firefox, Chrome, Internet Explorer oder Safari. Opera ist auch schon eine Seltenheit.
Der nächste Punkt ist, dass der Großteil der Trojaner auch nur 32-Bit Browser unterstützen.[...]

Kann man das so verstehen, dass der Browser nur die "Eintrittspforte" ist, das Betriebssystem aber auch infiziert wird?

Zitat:

Zitat von harlud

Kann man das so verstehen, dass der Browser nur die "Eintrittspforte" ist, das Betriebssystem aber auch infiziert wird?

Je nach Schwere der Lücke kann beliebiger Code ausgeführt werden oder auch nicht. Kommt noch privilege escalation ins Spiel ist das OS im worst case "matsch"

Wenn im Browser in Version x.y für zB Windows eine Lücke gefunden wird, hat es im Prinzip die gleichen (ok, kommt auf den Einzelfall wohl auch an ) Lücken auch in den unixoiden Varianten oder nicht?

Wie dann dieser Fehler plattformspezifisch versucht wird auszunutzen ist eine andere Frage....

Zitat:

Zitat von cosinus

[...]
Wenn im Browser in Version x.y für zB Windows eine Lücke gefunden wird, hat es im Prinzip die gleichen (ok, kommt auf den Einzelfall wohl auch an ) Lücken auch in den unixoiden Varianten oder nicht?
Wie dann dieser Fehler plattformspezifisch versucht wird auszunutzen ist eine andere Frage....

Das beantwortet meine Frage zum Teil. Kann also prinzipiell der "man in the browser" meinen Browser auch bei einem Linuxsystem befallen und mein Onlinebanking unsicher machen, ohne dafür das z.B. Linux zu verwenden? Ist so etwas auch schon mal beobachtet worden?

Zitat:

Zitat von harlud

Kann also prinzipiell der "man in the browser" meinen Browser auch bei einem Linuxsystem befallen und mein Onlinebanking unsicher machen, ohne dafür das z.B. Linux zu verwenden? Ist so etwas auch schon mal beobachtet worden?

Den Satz versteh ich nicht ganz, ein Trojaner soll ein Linuxsystem befallen, ohne Linux zu verwenden?

Ein MitB Angriff kann prinzipiell auf allen OS-Plattformen durchgeführt werden.

Zitat:

Zitat von SecureBanking

Den Satz versteh ich nicht ganz, ein Trojaner soll ein Linuxsystem befallen, ohne Linux zu verwenden?

Hab ich nicht gefragt.

Zitat:

Ein MitB Angriff kann prinzipiell auf allen OS-Plattformen durchgeführt werden.

Nochmal zu meiner Frage:

Zitat:

Zitat von harlud

[...] Kann also prinzipiell der "man in the browser" meinen Browser auch bei einem Linuxsystem befallen und mein Onlinebanking unsicher machen, ohne dafür das z.B. Linux zu verwenden?

Ist ja durch Deinen Nachsatz schon beantwortet: ja, kann er.
weiter:

Zitat:

Ist so etwas auch schon mal beobachtet worden?