Neue Sicherheitslücke namens Logjam entdeckt

[Konto 393 gelöscht]

mist, eine Frage habe ich doch noch. Sobald da https steht im Browser kann ich immer von einer verschlüsselten Seite ausgehen, oder? Also wenn der nur die anfälligen Verschlüsselungen könnte, dann müßte da http stehen nach dem login. Korrekt?

[NoG]

Ja. Und mit einem Klick auf das Schloss kannst Du Dir auch Details zum SSL-Zertifikat und der verwendeten Verschluesselung anzeigen lassen.

Dir auch ein schoenes Wochenende!

[Konto 393 gelöscht]

mal ne Frage. In Firefox 39 ist ja angeblich die Logjam Lücke gefixt. Soll man die beiden Einträge jetzt wieder auf true stellen? Probleme gabs bisher allerdings keine mit den jetztigen Einstellungen, daher frage ich.

[NoG]

Der Fix ist doch, dass die entfernt wurden?!?

[Konto 393 gelöscht]

security.ssl3.dhe_rsa_aes_128_sha
security.ssl3.dhe_rsa_aes_256_sha

beide stehen noch unter about:config

status: von Benutzer festgelegt

Typ: Boolean

Wert: false

Version: 39

auf einem zweitrechner bei einem Kollegen dasselbe, allerdings waren die da noch auf true gesetzt. Aber auch Firefox 39 drauf.

[Konto 393 gelöscht]

sieht aber so aus, als ob wenn man die auf true stellt man auch geschützt ist laut Test dieser Seite: https://weakdh.org/" onclick="window.open(this.href);return false;

btw. auch auf einem windows 10 preview mit einem neu installierten firefox sind die einträge da und auf true.

[NoG]

Also wird die Einstellung intern ignoriert und die sind dann dauerhaft deaktiviert.

Erscheint mir zwar ein wenig nach "von hinten durch die Brust ins Auge", aber Hauptsache ist ja erstmal die Wirkung.

[Konto 393 gelöscht]

ja scheint so zu sein als ob es jetzt egal ist, ob sie auf true oder false stehen... Zumindest zeigt die Seite das an... Du hast ja keinen firefox mehr, oder?

http://www.heise.de/newsticker/meldung/ ... 34444.html

hier steht irgendwie nix zum logjam oder ist das die sslv3?

[NoG]

Naja, ich kann's nachher mal an einem anderen Rechner testen.

Ja, genau!

[Konto 393 gelöscht]

hab in den release Notes folgendes gefunden. Verstehe das aber nur teilweise: https://www.mozilla.org/en-US/security/ ... sa2015-70/

Kling für mich so als ob dhe weiterhin nutzbar ist, aber nicht mehr auf 512 bit verschlüsselung gezwungen werden kann. Würde bedeuten. Ruhig wieder auf true setzen.

[NoG]

Wobei die Forscher, die das entdeckt haben, ja schon zuversichtlich waren, das auch fuer 768bit hinzubekommen. Und da ist mir der Abstand zu 1024 dann irgendwie auch noch ein wenig zu gering.

[Konto 393 gelöscht]

hehe, also wenn ich dich richtig verstehe wäre es sicherer vorerst die Einstellungen weiter auf false zu lassen solange es keine Probleme gibt?

[NoG]

Ich werd's jedenfalls tun. Warum ein moegliches Problem zulassen, wenn es ohne ebenso gut geht?

[Konto 393 gelöscht]

ok, sehe ich auch so... Aktuell hatte ich auch noch keine Probleme und ich vermute mal, dass es auch nicht viele Seiten gibt die ausschließlich dhe Verschlüsselung zulassen, zumindest bei den paar Logins die ich unbedingt benötige.

btw. wo wir gerade bei Verschlüsselung sind Wenn man auf einer Webseite Daten eingibt, also mal angenommen Name und e-Mail Adresse oder wie hier im Forum Benutzername und Passwort und die Seite nicht verschlüsselt ist. Wie hoch dürfte aus praktischer Sicht das Risiko sein, dass diese Daten sofort abgegriffen werden und gegebenfalls weitervewendet werden für Spam, etc.?

Ich hab aktuell eine Seite wo ich meine Dauerkarte für weiter Spiele freischalten kann. Dafür muß ich ein paar Daten eingeben (keine Zahlungsdaten). Diese Seite ist aber unverschlüsselt...

[NoG]

Und wenn es eine solche Website geben sollte, koennte man sich ja schon fragen, warum nur exakt diese Verschluesselungsmethoden aktiv sind...

[Konto 393 gelöscht]

das ist korrekt Bleibt leider noch meine andere Frage

[NoG]

Wie riskant das ist haengt am Ende davon ab, wie interessant die Daten sind und was sich damit anfangen laesst. Und natuerlich, wie haeufig die da ueber's Netz gehen. Pauschal laesst sich das schlecht sagen.

Dass das hier unverschluesselt ist, macht mich auch nicht wirklich gluecklich, wird auch sicher nicht auf ewig so bleiben, ist aber derzeit technisch nicht anders machbar. Und ich hoffe ja mal, dass die hier genutzten Kennworte nicht noch woanders genutzt werden!

[Konto 393 gelöscht]

nein keine Angst, dass Kenwort und sogar der Benutzername sind einmalig. Ich habe nirgendwo das gleiche Passwort zweimal verwendet.

Also ist so eine Angabe von ausschließlich Namen und einer Nummer für eine einmalige Sache wahrscheinlich nicht ganz so problematisch, da sich jemand dafür die Mühe einer Man In the Middle Attacke machen müßte?

[NoG]

Genau bei unverschluesselten Verbindungen braucht es ja keinen MitM-Angriff, da reicht das Mitlesen.

Aber stell Dir vor, Du waerst ein geuebter Einbrecher mit reichhaltiger Erfahrung im Lockpicking. Du kannst Dich entscheiden zwischen dem Gartenhaus mit dem einfachen Vorhaengeschloss, von dem Du weisst, dass Du drinnen nur einen alten Besen finden wirst und der gut gesicherten Villa nebenan. Wie entscheidest Du Dich?

[Konto 393 gelöscht]

hehe das mal ein guter Vergleich werd ich mir merken. Danke mal wieder für die ganze Unterstützung. Jetzt weiß ich wieder etwas mehr...

wenn du mal archäologischen Rat brauchst, kannste auch gern fragen