Oder man prüft die E-Mail-Adressen seiner Bekannten.immi hat geschrieben:Dazu muss man natürlich Troy Hunt und seiner Expertise vertrauen.
[gelöst] Online Banking unter Linux
Re: Online Banking unter Linux
Re: Online Banking unter Linux
Ich habe mir als kleines Sicherheitszusatzfeature angewöhnt, für das Onlinebanking einen eigenen Browser zu verwenden, mit dem ich nirgendwo anders hinsurfe. Ist eine Alternative zu einer vollständigen VM, weil der Browser ja doch das größere Einfalltor ist.
Re: Online Banking unter Linux
Das finde ich schon mal gut. Du solltest dich mal mit firejail auseinandersetzen. Das wäre dann aus meiner Sicht die nächste Stufe, die die Sicherheit erhöht. Schnell eingerichtet und sehr einfach zu handhaben.Ozelot hat geschrieben:01.11.2017 20:53:34ich habe mir als kleines Sicherheitszusatzfeature angewöhnt, für das Onlinebanking einen eigenen Browser zu verwenden, mit dem ich nirgendwo anders hinsurfe. Ist eine Alternative zu einer vollständigen VM, weil der Browser ja doch das größere Einfalltor ist.
Kurze Anleitung, speziell für Firefox:
https://firejail.wordpress.com/document ... fox-guide/
-
- Beiträge: 3020
- Registriert: 03.11.2009 13:45:23
- Lizenz eigener Beiträge: Artistic Lizenz
-
Kontaktdaten:
Re: Online Banking unter Linux
Seh ich auch so.
Ein Firefox mit Firejail der jedesmal ein neues, jungfräuliches Profil bekommt, sollte da schon einen enormen Sicherheitsgewinn bringen.
Firejail kann den sogar in einem eigenen X-Server starten (Xnest), damit auch keylogger aus anderen Programmen keine Chance haben.
Alles darüber hinaus ist dann für echte Paranoika...
Lg scientific
Ein Firefox mit Firejail der jedesmal ein neues, jungfräuliches Profil bekommt, sollte da schon einen enormen Sicherheitsgewinn bringen.
Firejail kann den sogar in einem eigenen X-Server starten (Xnest), damit auch keylogger aus anderen Programmen keine Chance haben.
Alles darüber hinaus ist dann für echte Paranoika...
Lg scientific
dann putze ich hier mal nur...
Eine Auswahl meiner Skripte und systemd-units.
https://github.com/xundeenergie
auch als Debian-Repo für Testing einbindbar:
deb http://debian.xundeenergie.at/xundeenergie testing main
Eine Auswahl meiner Skripte und systemd-units.
https://github.com/xundeenergie
auch als Debian-Repo für Testing einbindbar:
deb http://debian.xundeenergie.at/xundeenergie testing main
Re: Online Banking unter Linux
Guten Morgen an alle,
ich danke euch nochmals für eure bisherigen Antworten, Vorschläge, Tipps und Informationen.
Ich habe gestern ein wenig mit meinem Kumpel telefoniert und er hatte sich diesen Beitrag auch bereits selber durchgelesen. Er sagte mir, dass er es auf jedenfall einmal mit Debian als System versuchen möchte. Seinem Bruder wird er die Tage dann einmal davon erzählen und ich gehe davon aus, dass dieser dann auch zu Debian wechseln wird. Mal sehen was draus wird.
Ich würde nun nochmal die Frage an Ozelot und scientific stellen, welche Alternative als Browser zum einen benutzt wird und ob Firejail ein Addon für den Firefox ist?
ich danke euch nochmals für eure bisherigen Antworten, Vorschläge, Tipps und Informationen.
Ich habe gestern ein wenig mit meinem Kumpel telefoniert und er hatte sich diesen Beitrag auch bereits selber durchgelesen. Er sagte mir, dass er es auf jedenfall einmal mit Debian als System versuchen möchte. Seinem Bruder wird er die Tage dann einmal davon erzählen und ich gehe davon aus, dass dieser dann auch zu Debian wechseln wird. Mal sehen was draus wird.
Ich würde nun nochmal die Frage an Ozelot und scientific stellen, welche Alternative als Browser zum einen benutzt wird und ob Firejail ein Addon für den Firefox ist?
Zuletzt geändert von Houbey am 10.03.2020 19:57:50, insgesamt 1-mal geändert.
Viele Grüße
Houbey
------------------------------
Debian GNU/Linux 11.9 Bullseye, Xfce 4.16, als 64-Bit und bis jetzt noch glücklich damit.
Houbey
------------------------------
Debian GNU/Linux 11.9 Bullseye, Xfce 4.16, als 64-Bit und bis jetzt noch glücklich damit.
Re: Online Banking unter Linux
firejail ist kein addon sondern ein eigenständiges Programm, das du aus den Repos installierst.
Firejail hat für (hab grad mal nachgesehen) für 359 Programme ein Profil gespeichert in dem erst mal grundlegend geregelt ist, was das Programm noch darf und was nicht.
Diese Profile sind in /etc/firejail gespeichert.
Du rufst nach der Installation
deinen Firefox (oder was auch immer für eine Browser) einfach mit dem Befehl
auf. Da ist erst mal alles. Das kannst du entweder mit einem neuen Starter machen
oder den existierenden editieren.
Weitere "turnübungen" mit firejail kannst du dir mal bei den oben verlinkten Adressen anschauen.
Die nächste Stufe wäre dann, den Browser samt Profile in ein eigenes Verzeichnis zu sperren.
Dazu legst du in deinem /home ein Verzeichnis an : ich mache es mal einfach, wie ich es bei mir habe, da ich alle Browser da "eingesperrt" habe:
also z.B. wenn du dich in deinem /home befindest:.
Das Verzeichnis kannst du natürlich bennen, wie du willst .Als nächstes rufst du firefox mit folgendem Befehl auf:
Erklärung: das /opt/firefox/firefox ist der Tatsache geschuldet, das ich FF -- direkt von Mozilla beziehe, und der eben bei mir in /opt/firefox zu Hause ist.
Der Rest geht dann quasi automatisch und wird von firejail selbst erledigt, in dem die Programmdateien von FF sowie ein eigenes Profil in dieses Verzeichnis kopiert werden. Firefox sieht von da ab nur dieses Verzeichnis.
Der nächste Schritt wäre dann ihm eine eigene IP sowie einen halbwegs Manipulations- sicheren DNS-Server zu verpassen die Befehlszeile, mit der du dann in Zukunft deinen Firefox aufrufst: dazu wäre dann z.B.
Der Zusatz no-remote bewirkt, dass du FF - neben dem normalen FF eben 2x parallele starten kannst.
Viel Spass beim probieren
Firejail hat für (hab grad mal nachgesehen) für 359 Programme ein Profil gespeichert in dem erst mal grundlegend geregelt ist, was das Programm noch darf und was nicht.
Diese Profile sind in /etc/firejail gespeichert.
Du rufst nach der Installation
Code: Alles auswählen
apt install firejail firejail-profiles
Code: Alles auswählen
firejail firefox
oder den existierenden editieren.
Weitere "turnübungen" mit firejail kannst du dir mal bei den oben verlinkten Adressen anschauen.
Die nächste Stufe wäre dann, den Browser samt Profile in ein eigenes Verzeichnis zu sperren.
Dazu legst du in deinem /home ein Verzeichnis an : ich mache es mal einfach, wie ich es bei mir habe, da ich alle Browser da "eingesperrt" habe:
also z.B. wenn du dich in deinem /home befindest:.
Code: Alles auswählen
~$ mkdir .privat-browser/firefox
Code: Alles auswählen
firejail --private=~/.privat-browser/firefox/ /opt/firefox/firefox -no-remote
Der Rest geht dann quasi automatisch und wird von firejail selbst erledigt, in dem die Programmdateien von FF sowie ein eigenes Profil in dieses Verzeichnis kopiert werden. Firefox sieht von da ab nur dieses Verzeichnis.
Der nächste Schritt wäre dann ihm eine eigene IP sowie einen halbwegs Manipulations- sicheren DNS-Server zu verpassen die Befehlszeile, mit der du dann in Zukunft deinen Firefox aufrufst: dazu wäre dann z.B.
Code: Alles auswählen
firejail --private=~/.privat-browser/firefox/ --net=eth0 --ip=192.168.0.75 --dns=8.8.8.8 /opt/firefox/firefox -no-remote
Viel Spass beim probieren
Re: Online Banking unter Linux
Aufgrund Deines Ratschlags habe ich auch eine Zeitlang firejail getestet. Ich habs mittlerweile wieder entsorgt, weil ich denke, dass es speziell für dieses Anwendungssbeispiel schlichtweg untauglich ist.
Meiner Meinung nach entfaltet Firejail seine Stärken, wenn ich auf Seiten surfe, wo ich mit Attacken unter Verwendung des Browsers rechnen muss. Da ist das richtig klasse, weil der Browser in einer Sandbox läuft und die Attacken nicht durschlagen. Aber solche Eigenschaften findet man auf Bankseiten wohl eher nicht. Ein dafür reserviertes und deshalb intaktes Browserprofil ist da genau so sicher... und das erreicht man auch mit einem Browser-Profil, welches für nichts anderes außer dem Banking genutzt wird. Firejail verbirgt auch nicht die Topografie oder Telemetriedaten meines Rechners, also ist es auch untauglich gegen Tracking.... es sei denn ich konfiguriere die ganze Platte über Blacklists, dass nix gelesen werden darf. Aber das wäre mir jedenfalls zu aufwendig.
Für Banking halte ich Ozelots Ansatz für deutlich effektiver und ich machs mittlerweile auch so. Zudem habe ich den Browser noch in einer VM gekapselt, in der auf 'ne Anmeldung verzichtet wird. Das geht heute wegen der SSD fast verzögerungsfrei... ich klick das FF-Icon auf dem Desktop an, die VM mit D9 wird gestartet und nach wenigen Sekunden sehe ich die Startseite der Bank. Für mich und meine Surgewohnheiten sehe ich momenten jedenfalls keine sinnvolle Einsatzmöglichkeit für firejail. Ich vergleiche heute die suggerierte Sicherheit in etwa mit der einer üblichen Desktop-Firewall, wenn der typische Anfänger-User nach der Installation glaubt "jetzt ist alles sicher!".... das isses m.M.n aber nicht. Fürs Banking schließt firejail ne Lücke, die gar nicht existiert und schafft eine Sicherheit, die imho nicht in Gefahr war.
Re: Online Banking unter Linux
Ich denke mal, das eine VM undTomL hat geschrieben:02.11.2017 10:40:57Zudem habe ich den Browser noch in einer VM gekapselt, in der auf 'ne Anmeldung verzichtet wird.
Code: Alles auswählen
firejail --private
Re: Online Banking unter Linux
Ja, richtig, bezogen auf attackierende Seiten. Nur kann man wohl davon ausgehen, dass Bankseiten eher weniger meinen Browser mit Schadensabsicht attackieren. Außerdem hat eine VM zusätzlich noch völlig andere Telemetriedaten. Und das wiederum empfinde ich hinsichtlich dem obligatorischen Tracking über einen System-Fingerprint als deutlichen Vorteil.geier22 hat geschrieben:02.11.2017 11:06:55Ich denke mal, das eine VM undso fast das gleiche bewirken.Code: Alles auswählen
firejail --private
Re: Online Banking unter Linux
Der Browser läuft mit einer ganz anderen IP im LAN bei mir mit den Daten aus der Fritz!Box:TomL hat geschrieben:02.11.2017 11:10:47Ja, richtig, bezogen auf attackierende Seiten. Nur kann man wohl davon ausgehen, dass Bankseiten eher weniger meinen Browser mit Schadensabsicht attackieren. Außerdem hat eine VM zusätzlich noch völlig andere Telemetriedaten.
Wobei sich die MAC-Adresse bei jedem Start des Browsers ändert und:IPv4-Adresse 192.168.0.75 Geräteinformation B2:92:B4:7E:4F:FF
Code: Alles auswählen
ifconfig -a
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 192.168.0.40 netmask 255.255.255.0 broadcast 192.168.0.255
inet6 fd00::270a:23e5:2608:d075 prefixlen 64 scopeid 0x0<global>
inet6 fe80::5680:2019:2ea0:4954 prefixlen 64 scopeid 0x20<link>
ether d0:50:99:71:41:8f txqueuelen 1000 (Ethernet)
RX packets 57172 bytes 58062502 (55.3 MiB)
RX errors 0 dropped 280 overruns 0 frame 0
TX packets 44428 bytes 4693372 (4.4 MiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
- Lord_Carlos
- Beiträge: 5578
- Registriert: 30.04.2006 17:58:52
- Lizenz eigener Beiträge: GNU Free Documentation License
- Wohnort: Dänemark
Re: Online Banking unter Linux
Was hilft es wenn man beim Online Banking eine andere MAC und intern IP hat als beim "normalen" surfen?
Code: Alles auswählen
╔═╗┬ ┬┌─┐┌┬┐┌─┐┌┬┐╔╦╗
╚═╗└┬┘└─┐ │ ├┤ │││ ║║
╚═╝ ┴ └─┘ ┴ └─┘┴ ┴═╩╝ rockt das Forum!
Re: Online Banking unter Linux
von Hier:Lord_Carlos hat geschrieben:02.11.2017 11:43:25Was hilft es wenn man beim Online Banking eine andere MAC und intern IP hat als beim "normalen" surfen?
https://firejail.wordpress.com/document ... fox-guide/
und:By default, if a network namespace is requested, Firejail installs a network filter customized for regular Internet browsing. It is a regular iptable filter. This is a setup example, where no access to the local network is allowed
Überstzt:
Wenn ein Netzwerk-Namespace angefordert wird, installiert Firejail standardmäßig einen Netzwerkfilter, der für das normale Surfen im Internet angepasst ist. Es ist ein regulärer iptable Filter. Dies ist ein Setup-Beispiel, bei dem kein Zugriff auf das lokale Netzwerk erlaubt ist:
The two DNS servers above belong to Google, and at least one national security agency has access to logging information. Don’t use them for anything else than banking. We also add -no-remote so we don’t end up by mistake in an already running “entertainment” browser.
Übersetzt:
Die beiden oben genannten DNS-Server gehören zu Google, und mindestens eine nationale Sicherheitsbehörde hat Zugriff auf die Protokollierungsinformationen. Verwenden Sie sie nicht für etwas anderes als Bankgeschäfte. Wir fügen auch -no-remote hinzu, damit wir nicht versehentlich in einem bereits laufenden "Entertainment" -Browser landen.
-
- Beiträge: 5529
- Registriert: 30.12.2004 15:31:07
- Wohnort: Wegberg
Re: Online Banking unter Linux
Hallo
Und was bringt das jetzt, wenn die Bankseite gefakt, bzw. ein MITM-Atack stattfindet ?
Das ist m.M. das eigentliche Risiko, das von den Seiten aktiv dein System, Browser attakeirt wird, ist doch eher sehr unwahrscheinlich.
mfg
schwedenmann
Und was bringt das jetzt, wenn die Bankseite gefakt, bzw. ein MITM-Atack stattfindet ?
Das ist m.M. das eigentliche Risiko, das von den Seiten aktiv dein System, Browser attakeirt wird, ist doch eher sehr unwahrscheinlich.
mfg
schwedenmann
Re: Online Banking unter Linux
Darum benutze ich dem Browser maximal für eine Abfrage des Kontostandes.
Alles andere (Überweisungen und halt sonstige Bankgeschäfte sind bei mir in einer VM mit Banking Programm / HBCI und Photo -Tan zu erledigen)
Vielleicht paranoid aber dafür sehr komfortabel.
Edit:
Und außerdem müsste der für das Banking gedachte Browser, der ja keinen Zugriff auf das lokale LAN hat und auch nicht an die /etc/hosts kommt und auch noch einen dedizierten DNS - Server benutzen muss sich ganz schön verbiegen
um das zustande zu bringen. Aber ausschließen will ich das nicht.
Alles andere (Überweisungen und halt sonstige Bankgeschäfte sind bei mir in einer VM mit Banking Programm / HBCI und Photo -Tan zu erledigen)
Vielleicht paranoid aber dafür sehr komfortabel.
Edit:
Und außerdem müsste der für das Banking gedachte Browser, der ja keinen Zugriff auf das lokale LAN hat und auch nicht an die /etc/hosts kommt und auch noch einen dedizierten DNS - Server benutzen muss sich ganz schön verbiegen
um das zustande zu bringen. Aber ausschließen will ich das nicht.
Re: Online Banking unter Linux
Dazu müsste doch aber entweder die VM oder der Browser gehackt sein.... was bei einer reinen Banking-VM mit einem Browser ausschließlich für die Bank doch gar nicht passieren kann. In meiner VM ist dem Browser darüberhinaus via ublock origin quasi sowieso alles verboten, ausser der Bank für den Flickerkram.schwedenmann hat geschrieben:02.11.2017 12:08:39Und was bringt das jetzt, wenn die Bankseite gefakt, bzw. ein MITM-Atack stattfindet ?
* * 1p-script block
* * 3p block
* * 3p-frame block
* * 3p-script block
* * image block
* * inline-script block
Mit dem Browser irgendwas anzusurfen ist sowas von nervig, weil wirklich außer der Bank gar nix ordentlich funktioniert. MITM könnte also nur noch durch meinen DSL-Provider passieren... aber dagegen ist eh nix mehr zu machen.
Re: Online Banking unter Linux
Wäre mal interessant zu erfahren ob der "man in the middle" auch bei dem HBCI- Verfahren etabliert werden kann, Gehört oder gelesen hab ich jedenfalls davon noch nichts.
Re: Online Banking unter Linux
Selbst beim webbasierten Internet-Banking gibt es keinen "man in the middle" mehr. Liegt weniger an TLS/SSL als an den heutigen Banking-Verfahren, die diesen gar nicht mehr ermöglichen.geier22 hat geschrieben:ob der "man in the middle" auch
https://de.wikipedia.org/wiki/Man-in-the-Browser
Re: Online Banking unter Linux
Auch von:
https://de.wikipedia.org/wiki/Man-in-the-Browser
und von hier:
https://de.wikipedia.org/wiki/Man-in-th ... 3.9Fnahmen
Bzw. nur über die Kombination Browser Plugin + Secoder
https://de.wikipedia.org/wiki/Man-in-the-Browser
Warum soll es z.B. in öffentlichen WLAN Netzen keinen MitM-Angriff mehr geben können? Ist doch das, was heute die Smartphone Jünger ausgiebig nutzen. O.k. hat mit dem hier Besprochenen weniger zu tunDer Man-in-the-Browser-Angriff ist eine Sonderform des Man-in-the-middle-Angriffs.[1]
und von hier:
https://de.wikipedia.org/wiki/Man-in-th ... 3.9Fnahmen
Wenn ich das richtig verstehe, schützt nur HBCI vor solchen Angriffen. HBCI ist aber im Browser nicht vorhanden?Sonst kann z. B. ein Angreifer bei einer verschlüsselten Verbindung beiden Opfern falsche Schlüssel vortäuschen und somit auch den Datenverkehr mitlesen. Dem Grundsatz dieser Form der Geheimhaltung entspricht in jedem Fall dem HBCI-Standard.
Bzw. nur über die Kombination Browser Plugin + Secoder
Re: Online Banking unter Linux
Beim Internet-Banking sind MitM-Angriffe z.B. im WLAN unmöglich. Erst mal ist die Verbindung TLS/SSL verschlüsselt. Und selbst wenn mitgelesen oder manipuliert hast nur du als Anwender das Werkzeug um eine gültige TAN zu ermitteln. Es ist nur wichtig das Banking-Verfahren zu verstehen und korrekt anzuwenden. Windows oder Linux, Verschlüsselung, Internetcafe usw. ist egal.
- Lord_Carlos
- Beiträge: 5578
- Registriert: 30.04.2006 17:58:52
- Lizenz eigener Beiträge: GNU Free Documentation License
- Wohnort: Dänemark
Re: Online Banking unter Linux
Dein erstes Zitat erklaert was --netfilter macht.geier22 hat geschrieben:02.11.2017 11:51:25von Hier:Lord_Carlos hat geschrieben:02.11.2017 11:43:25Was hilft es wenn man beim Online Banking eine andere MAC und intern IP hat als beim "normalen" surfen?
https://firejail.wordpress.com/document ... fox-guide/
Dein zweites Zitat erklaert wem 8.8.8.8 gehoert.
Ich wollte eigentlich wissen inwieweit es einem hilft wenn man nun eine andere MAC oder interne IP hat. Wie oder wer das implementiert ist mir erstmal egal.
Code: Alles auswählen
╔═╗┬ ┬┌─┐┌┬┐┌─┐┌┬┐╔╦╗
╚═╗└┬┘└─┐ │ ├┤ │││ ║║
╚═╝ ┴ └─┘ ┴ └─┘┴ ┴═╩╝ rockt das Forum!
Re: Online Banking unter Linux
Wozu soll das gut sein? Mehr als ein bißchen Anonymisierung bringt das nicht. Schadsoftware hält das jedenfalls nicht davon ab, ihr Werk zu tun. Und wer Schadsoftware auf dem Bankingrechner bzw. der BankingVM hat, hat ganz andere Probleme als Anonymisierung.Lord_Carlos hat geschrieben:02.11.2017 14:01:49Ich wollte eigentlich wissen inwieweit es einem hilft wenn man nun eine andere MAC oder interne IP hat.
Beim Onlinebanking muß man sich gegenüber der Bank namentlich anmelden, man ist also alles andere als anonym. MAC und IP zu anonymisieren, ist also sinnlos.
- Lord_Carlos
- Beiträge: 5578
- Registriert: 30.04.2006 17:58:52
- Lizenz eigener Beiträge: GNU Free Documentation License
- Wohnort: Dänemark
Re: Online Banking unter Linux
Ich glaube ich habe mich bei Geiers Beitrag verlesen. Also meine Frage einfach ignorieren bitte.
Danke
Danke
Code: Alles auswählen
╔═╗┬ ┬┌─┐┌┬┐┌─┐┌┬┐╔╦╗
╚═╗└┬┘└─┐ │ ├┤ │││ ║║
╚═╝ ┴ └─┘ ┴ └─┘┴ ┴═╩╝ rockt das Forum!
Re: Online Banking unter Linux
Ob sich eine Firefox-Sandbox lohnt? Internet-Banking-Trojaner werden doch sowieso nur für Windows geschrieben
Re: Online Banking unter Linux
Ich mache zugegebenermaßen wenig online-banking - eigentlich nichts als Überweisungen tätigen. Nach allem, was mir bisher bekannt geworden ist, ist es bisher nicht möglich, das TAN-Verfahren via separatem TAN-Generator zu knacken. Vorausgesetzt, der Nutzer prüft seine Beträge und die Empfänger-IBAN bevor er "Geld ausgibt". Sollte ich da gut informiert sein: Warum wird das hier nicht erwähnt?
Grüße, Günther
Grüße, Günther
Re: Online Banking unter Linux
Soweit ich deine Frage verstehe: Es bring meiner Ansicht nach mehr Sicherheit:
Zur IP:
DNS Server:
Der Google DNS-Server gilt als relativ Manipulations - sicher:
Aus: https://www.golem.de/news/dns-ueber-tls ... 30827.html
Zur IP:
Dies ist ein Setup-Beispiel, bei dem kein Zugriff auf das lokale Netzwerk erlaubt ist:
DNS Server:
Der Google DNS-Server gilt als relativ Manipulations - sicher:
Aus: https://www.golem.de/news/dns-ueber-tls ... 30827.html
DNS-über-TLS ist bereits von der IETF in einem RFC (7858) beschrieben und versieht entsprechende Anfragen mit einer TLS-Transportverschlüsselung. Das bringt Nutzern den Vorteil, dass auch der Internetserviceprovider (ISP) keine Detailinformationen zu der Anfrage mehr bekommt, sondern lediglich sieht, dass ein Nutzer etwa Googles DNS-Server 8.8.8.8 anfragt. Eine vollständige Anonymisierung ist damit natürlich nicht verbunden.
Anfragen werden über Port 853 verschlüsselt abgewickelt
Im RFC wird beschrieben, dass DNS-Anfragen in einem solchen Fall über TCP-Port 853 gesichert übertragen werden. Bislang existieren wenige funktionierende Implementierungen des Standards. Ausnahmen sind der DNS-Privacy-Daemon Stubby und Googles eigene DNS-Resolver.
Die Abwicklung von DNS-Anfragen über TLS hat nicht nur Auswirkungen auf den Datenschutz. So kann auch eine Manipulation der Anfragen über einen Man-In-The-Middle-Angriff ausgeschlossen oder zumindest erschwert werden. Vorherige Versuche, DNS-Abfragen gegen Manipulationen abzusichern, wie etwa DNSSEC, werden seit Jahren kritisiert. Systemd-Entwickler Lennart Poettering hatte das Protokoll als "Scheiße" bezeichnet.