Lieber Herr Reitenspiess, ich fände es sehr gut, wenn dieses Thema mal auf den Tisch käme. Der Meinung von Herrn Weicker kann ich mich nur anschliessen. Obwohl ich selbst normalerweise andere Browser benutze, zwingen mich diverse Webseiten dazu, trotzdem immer einen IE in Reserve zu haben, weil sie sonst schlichtweg nicht funktionieren. Am Ende steht man dann vor dem Gewissenskonflikt, entweder seine Sicherheitsprinzipien über Bord zu werfen oder aber auf die Nutzung des entsprechenden Dienstes zu verzichten. Wenn es sich dabei nur um eine Kinoreservierung handelt, fällt das vielleicht noch leicht, aber wenn es sich um den dänischen ISO-Dokument-Mirror oder um die Sicherheitsdownloads (!) von Sony Ericsson handelt, dann kann man es sich typischerweise nicht leisten, auf Prinzipien rumzureiten. Und wenn wir schon dabei sind: Unsere Mailinglistenseiten (z.B. unter https://mail.gi-fb-sicherheit.de/mailman/admindb/krypto) benutzen Zertifikate, die wir lediglich selbst signiert haben und die daher zumindest von meinen Browsern angemahnt werden. Als Begründung hat mir vor einigen Jahren der Admin der GI mitgeteilt, dass man sich eben keine "richtigen" Zertifikate leisten könne. Und dementsprechend hat sich auch bis heute nichts geändert. Die GI als Vorbild in Sachen sicherer Computernutzung? Davon sind wir in der Tat meilenweit entfernt. Allerdings stehen wir damit nicht alleine. So verfügt beispielsweise die überwältigende Mehrheit der in der Forschung tätigen Kryptologen entweder gar nicht über einen PGP-Schlüssel, oder aber man benutzt ihn nicht. Do as I say, don't do as I do... Wie gesagt - ich fände es spannend, andere Meinungen zu diesem Thema zu hören. Viele Grüsse Erik Zenner -- Dr. Erik Zenner Phone: +45 39 17 96 06 Cryptico A/S Cryptographer Mobile: +45 60 77 95 41 Fruebjergvej 3 ez@cryptico.com www.cryptico.com DK 2100 Copenhagen This e-mail may contain confidential information which is intended for the addressee(s) only and which may not be reproduced or disclosed to any other person. If you receive this e-mail by mistake, please contact Cryptico immediately and destroy the e-mail. Thank you. As e-mail can be changed electronically, Cryptico assumes no responsibility for the message or any attachments. Nor will Cryptico be responsible for any intrusion upon this e-mail or its attachments.

-----Original Message----- From: fb-lg-bounces@gi-fb-sicherheit.de [mailto:fb-lg-bounces@gi-fb-sicherheit.de] On Behalf Of Reitenspieß Manfred Sent: 2. december 2005 21:03 To: Leitungsgremium des GI-Fachbereiches Sicherheit Subject: [FB-LG] Zur Information. Manfred R.

Ich dachte, die beiliegende Mail ist gerade im Sicherheits-FB interessant. Auch unter dem Gesichtspunkt einer GI-Sicherheitsrichtlinie sollte die Reaktion zum Nachdenken Anlass geben.

Viele Grüße, Reitenspiess

Dr. Manfred Reitenspiess Director Business Development SAFE 4 Continuous Services Fujitsu Siemens Computers - We Make Sure Otto-Hahn-Ring 6 D-81739 Muenchen Germany

Telephone +49 171 7636290 Email manfred.reitenspiess@fujitsu-siemens.com Internet www.fujitsu-siemens.com, www.safe4cs.com

Member of Board Service Availability (TM) Forum - www.saforum.org --- Open Specifications for Service Availability(TM) --- Speaker GI Computer Society Security and Safety Division - www.gi-fb-sicherheit.de Private mail: manfred@reitenspiess.de - www.reitenspiess.de

...

-----Original Message----- From: Reinhold Weicker [mailto:reinhold.weicker@t-online.de] Sent: Friday, December 02, 2005 14:42 To: GI Mitglieder Info Cc: reinhold.weicker@t-online.de; fettke@isym.bwl.uni-mainz.de; manfred@reitenspiess.de Subject: Re: Bitte um Teilnahme an Studie

Sehr geehrte Verantwortliche fuer die GI-Mitglieder-Info,

Eben bekam ich von Ihnen eine Mail, in der es hiess

GI Mitglieder Info wrote:

...

...

http://www.surveymonkey.com/s.asp?u=253151570034 Bei evtl. Darstellungsproblemen aktivieren Sie bitte in Ihrem Browser unter Extras/Internetoptionen/Sicherheit/Internet/Stufe anpassen Javascript, Cookies und Active Scripting.

Ja sind Sie denn von allen guten Geistern verlassen? Von der GI als einem Informatik-Fachverband haette ich erwartet, dass er von dem Ratschlag der Internet-Sicherheitsexperten weiss, aus Sicherheitsgruenden Active Scripting zu deaktivieren bzw. nur in speziellen Fallen auf Anforderung zu aktivieren. Immer wieder lese ich von Malware (Wuermer, Viren), die Sicherheitsluecken bei Javascript ausnutzen. Aus Datenschutzgruenden lasse ich auch Cookies nur unter strengen eingeschraenkten Bedingungen zu.

Ausserdem: "... in Ihrem Browser ..." Die folgende Liste der Schritte zeigt: Automatisch wird angenommen, dass jeder Empfaenger Microsoft Internet Explorer verwendet. Es gibt aber auch GI-Mitglieder, die andere als den Microsoft Browser verwenden, ebenfalls aus Sicherheitsgruenden.

Dass ich ausgerechnet von der GI eine solche Einladung/Aufforderung erhalte, verwundert mich schon.

Mit freundlichen Gruessen - Reinhold Weicker, Paderborn, GI-Mitglied

_______________________________________________ FB-LG mailing list FB-LG@gi-fb-sicherheit.de http://mail.gi-fb-sicherheit.de/mailman/listinfo/fb-lg