Kim Camerons Antwort auf den angeblichen Cardspace-Hack

Mitte der Woche veröffentlichte die Ruhr-Uni-Bochum eine Mitteilung, dass einige ihrer Studenten eine Möglichkeit gefunden hätten, das Cardspace-System von Microsoft zu cracken, um die übermittelten Tokens abzufangen. Die Methode erfordert ein Ändern der auf dem Client-System verwendeten DNS-Server und die Installation eines Root-Zertifikates, um den Token-Verkehr auf einen manipulierten Server umzuleiten.

Kim Cameron hat als Antwort auf seinem Blog ein Video veröffentlicht, in dem er die notwendigen Änderungen auf einem Windows Vista-System erklärt. Da der Hack zur Zeit sehr viel Userinteraktion voraussetzt, bezweifle ich auch eine ernste Gefährdung des Cardspace-Systems. Es ist ein Unterschied, ob ein DAU lediglich auf den Link in einer E-Mail klicken muss, um auf eine Phishingseite zu gelangen, auf der er seine Passwörter preisgibt. Oder ob er vorher seine DNS-Einstellungen ändern und zusätzlich ein Root-Zertifikat installieren muss.