Neue Sicherheitslücke namens Logjam entdeckt
Re: Neue Sicherheitslücke namens Logjam entdeckt
mist, eine Frage habe ich doch noch. Sobald da https steht im Browser kann ich immer von einer verschlüsselten Seite ausgehen, oder? Also wenn der nur die anfälligen Verschlüsselungen könnte, dann müßte da http stehen nach dem login. Korrekt?
-
- Moderator
- Beiträge: 7383
- Registriert: So 24. Aug 2014, 15:02
- Betriebssystem: Windows 8.1
- Virenscanner: GData
- Wohnort: Pinneberg
Re: Neue Sicherheitslücke namens Logjam entdeckt
Ja. Und mit einem Klick auf das Schloss kannst Du Dir auch Details zum SSL-Zertifikat und der verwendeten Verschluesselung anzeigen lassen.
Dir auch ein schoenes Wochenende!
Dir auch ein schoenes Wochenende!
We have bugs the likes of which even God has never seen!
Re: Neue Sicherheitslücke namens Logjam entdeckt
mal ne Frage. In Firefox 39 ist ja angeblich die Logjam Lücke gefixt. Soll man die beiden Einträge jetzt wieder auf true stellen? Probleme gabs bisher allerdings keine mit den jetztigen Einstellungen, daher frage ich.
-
- Moderator
- Beiträge: 7383
- Registriert: So 24. Aug 2014, 15:02
- Betriebssystem: Windows 8.1
- Virenscanner: GData
- Wohnort: Pinneberg
Re: Neue Sicherheitslücke namens Logjam entdeckt
Der Fix ist doch, dass die entfernt wurden?!?
We have bugs the likes of which even God has never seen!
Re: Neue Sicherheitslücke namens Logjam entdeckt
security.ssl3.dhe_rsa_aes_128_sha
security.ssl3.dhe_rsa_aes_256_sha
beide stehen noch unter about:config
status: von Benutzer festgelegt
Typ: Boolean
Wert: false
Version: 39
auf einem zweitrechner bei einem Kollegen dasselbe, allerdings waren die da noch auf true gesetzt. Aber auch Firefox 39 drauf.
security.ssl3.dhe_rsa_aes_256_sha
beide stehen noch unter about:config
status: von Benutzer festgelegt
Typ: Boolean
Wert: false
Version: 39
auf einem zweitrechner bei einem Kollegen dasselbe, allerdings waren die da noch auf true gesetzt. Aber auch Firefox 39 drauf.
Re: Neue Sicherheitslücke namens Logjam entdeckt
sieht aber so aus, als ob wenn man die auf true stellt man auch geschützt ist laut Test dieser Seite: https://weakdh.org/" onclick="window.open(this.href);return false;
btw. auch auf einem windows 10 preview mit einem neu installierten firefox sind die einträge da und auf true.
btw. auch auf einem windows 10 preview mit einem neu installierten firefox sind die einträge da und auf true.
-
- Moderator
- Beiträge: 7383
- Registriert: So 24. Aug 2014, 15:02
- Betriebssystem: Windows 8.1
- Virenscanner: GData
- Wohnort: Pinneberg
Re: Neue Sicherheitslücke namens Logjam entdeckt
Also wird die Einstellung intern ignoriert und die sind dann dauerhaft deaktiviert.
Erscheint mir zwar ein wenig nach "von hinten durch die Brust ins Auge", aber Hauptsache ist ja erstmal die Wirkung.
Erscheint mir zwar ein wenig nach "von hinten durch die Brust ins Auge", aber Hauptsache ist ja erstmal die Wirkung.
We have bugs the likes of which even God has never seen!
Re: Neue Sicherheitslücke namens Logjam entdeckt
ja scheint so zu sein als ob es jetzt egal ist, ob sie auf true oder false stehen... Zumindest zeigt die Seite das an... Du hast ja keinen firefox mehr, oder?
http://www.heise.de/newsticker/meldung/ ... 34444.html
hier steht irgendwie nix zum logjam oder ist das die sslv3?
http://www.heise.de/newsticker/meldung/ ... 34444.html
hier steht irgendwie nix zum logjam oder ist das die sslv3?
-
- Moderator
- Beiträge: 7383
- Registriert: So 24. Aug 2014, 15:02
- Betriebssystem: Windows 8.1
- Virenscanner: GData
- Wohnort: Pinneberg
Re: Neue Sicherheitslücke namens Logjam entdeckt
Naja, ich kann's nachher mal an einem anderen Rechner testen.
Ja, genau!
Ja, genau!
We have bugs the likes of which even God has never seen!
Re: Neue Sicherheitslücke namens Logjam entdeckt
hab in den release Notes folgendes gefunden. Verstehe das aber nur teilweise: https://www.mozilla.org/en-US/security/ ... sa2015-70/
Kling für mich so als ob dhe weiterhin nutzbar ist, aber nicht mehr auf 512 bit verschlüsselung gezwungen werden kann. Würde bedeuten. Ruhig wieder auf true setzen.
Kling für mich so als ob dhe weiterhin nutzbar ist, aber nicht mehr auf 512 bit verschlüsselung gezwungen werden kann. Würde bedeuten. Ruhig wieder auf true setzen.
-
- Moderator
- Beiträge: 7383
- Registriert: So 24. Aug 2014, 15:02
- Betriebssystem: Windows 8.1
- Virenscanner: GData
- Wohnort: Pinneberg
Re: Neue Sicherheitslücke namens Logjam entdeckt
Wobei die Forscher, die das entdeckt haben, ja schon zuversichtlich waren, das auch fuer 768bit hinzubekommen. Und da ist mir der Abstand zu 1024 dann irgendwie auch noch ein wenig zu gering.
We have bugs the likes of which even God has never seen!
Re: Neue Sicherheitslücke namens Logjam entdeckt
hehe, also wenn ich dich richtig verstehe wäre es sicherer vorerst die Einstellungen weiter auf false zu lassen solange es keine Probleme gibt?
-
- Moderator
- Beiträge: 7383
- Registriert: So 24. Aug 2014, 15:02
- Betriebssystem: Windows 8.1
- Virenscanner: GData
- Wohnort: Pinneberg
Re: Neue Sicherheitslücke namens Logjam entdeckt
Ich werd's jedenfalls tun. Warum ein moegliches Problem zulassen, wenn es ohne ebenso gut geht?
We have bugs the likes of which even God has never seen!
Re: Neue Sicherheitslücke namens Logjam entdeckt
ok, sehe ich auch so... Aktuell hatte ich auch noch keine Probleme und ich vermute mal, dass es auch nicht viele Seiten gibt die ausschließlich dhe Verschlüsselung zulassen, zumindest bei den paar Logins die ich unbedingt benötige.
btw. wo wir gerade bei Verschlüsselung sind Wenn man auf einer Webseite Daten eingibt, also mal angenommen Name und e-Mail Adresse oder wie hier im Forum Benutzername und Passwort und die Seite nicht verschlüsselt ist. Wie hoch dürfte aus praktischer Sicht das Risiko sein, dass diese Daten sofort abgegriffen werden und gegebenfalls weitervewendet werden für Spam, etc.?
Ich hab aktuell eine Seite wo ich meine Dauerkarte für weiter Spiele freischalten kann. Dafür muß ich ein paar Daten eingeben (keine Zahlungsdaten). Diese Seite ist aber unverschlüsselt...
btw. wo wir gerade bei Verschlüsselung sind Wenn man auf einer Webseite Daten eingibt, also mal angenommen Name und e-Mail Adresse oder wie hier im Forum Benutzername und Passwort und die Seite nicht verschlüsselt ist. Wie hoch dürfte aus praktischer Sicht das Risiko sein, dass diese Daten sofort abgegriffen werden und gegebenfalls weitervewendet werden für Spam, etc.?
Ich hab aktuell eine Seite wo ich meine Dauerkarte für weiter Spiele freischalten kann. Dafür muß ich ein paar Daten eingeben (keine Zahlungsdaten). Diese Seite ist aber unverschlüsselt...
-
- Moderator
- Beiträge: 7383
- Registriert: So 24. Aug 2014, 15:02
- Betriebssystem: Windows 8.1
- Virenscanner: GData
- Wohnort: Pinneberg
Re: Neue Sicherheitslücke namens Logjam entdeckt
Und wenn es eine solche Website geben sollte, koennte man sich ja schon fragen, warum nur exakt diese Verschluesselungsmethoden aktiv sind...
We have bugs the likes of which even God has never seen!
Re: Neue Sicherheitslücke namens Logjam entdeckt
das ist korrekt Bleibt leider noch meine andere Frage
-
- Moderator
- Beiträge: 7383
- Registriert: So 24. Aug 2014, 15:02
- Betriebssystem: Windows 8.1
- Virenscanner: GData
- Wohnort: Pinneberg
Re: Neue Sicherheitslücke namens Logjam entdeckt
Wie riskant das ist haengt am Ende davon ab, wie interessant die Daten sind und was sich damit anfangen laesst. Und natuerlich, wie haeufig die da ueber's Netz gehen. Pauschal laesst sich das schlecht sagen.
Dass das hier unverschluesselt ist, macht mich auch nicht wirklich gluecklich, wird auch sicher nicht auf ewig so bleiben, ist aber derzeit technisch nicht anders machbar. Und ich hoffe ja mal, dass die hier genutzten Kennworte nicht noch woanders genutzt werden!
Dass das hier unverschluesselt ist, macht mich auch nicht wirklich gluecklich, wird auch sicher nicht auf ewig so bleiben, ist aber derzeit technisch nicht anders machbar. Und ich hoffe ja mal, dass die hier genutzten Kennworte nicht noch woanders genutzt werden!
We have bugs the likes of which even God has never seen!
Re: Neue Sicherheitslücke namens Logjam entdeckt
nein keine Angst, dass Kenwort und sogar der Benutzername sind einmalig. Ich habe nirgendwo das gleiche Passwort zweimal verwendet.
Also ist so eine Angabe von ausschließlich Namen und einer Nummer für eine einmalige Sache wahrscheinlich nicht ganz so problematisch, da sich jemand dafür die Mühe einer Man In the Middle Attacke machen müßte?
Also ist so eine Angabe von ausschließlich Namen und einer Nummer für eine einmalige Sache wahrscheinlich nicht ganz so problematisch, da sich jemand dafür die Mühe einer Man In the Middle Attacke machen müßte?
-
- Moderator
- Beiträge: 7383
- Registriert: So 24. Aug 2014, 15:02
- Betriebssystem: Windows 8.1
- Virenscanner: GData
- Wohnort: Pinneberg
Re: Neue Sicherheitslücke namens Logjam entdeckt
Genau bei unverschluesselten Verbindungen braucht es ja keinen MitM-Angriff, da reicht das Mitlesen.
Aber stell Dir vor, Du waerst ein geuebter Einbrecher mit reichhaltiger Erfahrung im Lockpicking. Du kannst Dich entscheiden zwischen dem Gartenhaus mit dem einfachen Vorhaengeschloss, von dem Du weisst, dass Du drinnen nur einen alten Besen finden wirst und der gut gesicherten Villa nebenan. Wie entscheidest Du Dich?
Aber stell Dir vor, Du waerst ein geuebter Einbrecher mit reichhaltiger Erfahrung im Lockpicking. Du kannst Dich entscheiden zwischen dem Gartenhaus mit dem einfachen Vorhaengeschloss, von dem Du weisst, dass Du drinnen nur einen alten Besen finden wirst und der gut gesicherten Villa nebenan. Wie entscheidest Du Dich?
We have bugs the likes of which even God has never seen!
Re: Neue Sicherheitslücke namens Logjam entdeckt
hehe das mal ein guter Vergleich werd ich mir merken. Danke mal wieder für die ganze Unterstützung. Jetzt weiß ich wieder etwas mehr...
wenn du mal archäologischen Rat brauchst, kannste auch gern fragen
wenn du mal archäologischen Rat brauchst, kannste auch gern fragen