Hallo ubuntuusers,
eine Suche hier im Forum hat mir zu Logjam Attack nichts angezeigt ... ist das Problem hier schon bekannt? (Deutscher Artikel z.B. heute auf SPON.)
Logjam Attack auf HTTPS/TLS/SSL - hier schon bekannt?
Anmeldungsdatum: Beiträge: 583 |
|
Anmeldungsdatum: Beiträge: 12084 |
Meinst Du bekannt auf Seiten des Webteams oder der Benutzer? Mir war es nicht bekannt und ich frage mich, wann dahingehend ein Update für Firefox kommt (derzeit bei Trusty mit Version 38.0+build3-0ubuntu0.14.04.1 laut des Tests auf weakdh.org noch nicht). |
|
Anmeldungsdatum: Beiträge: 173 |
Hier hat jemand einen Workaround für Firefox gepostet http://www.heise.de/forum/heise-Security/News-Kommentare/Logjam-Attacke-Verschluesselung-von-zehntausenden-Servern-gefaehrdet/Workaround-fuer-Firefox/posting-7799685/show/ |
|
(Themenstarter)
Anmeldungsdatum: Beiträge: 583 |
Hauptsächlich dachte ich an "uns normale Benutzer". Beim webteam gehe ich davon aus, daß (noch) stärker auf neue Sicherheitslücken geschaut wird, als wir das tun.
Auch der browser unter Ubuntu Touch ist verwundbar, mein Chrome unter Android auch ... aber von da aus mache ich eh nichts sensibles im Netz. 😉 Hoffen wir also auf einen baldigen FF-Fix. ☺
In den Kommentaren zum o.g. Artikel auf SPON hat auch jemand about:config-Einstellungen beschrieben, die helfen sollen. [EDIT: Sehe gerade, das posting auf Heise verweist ebenfalls auf den SPON-Kommentar. 😉] |
Anmeldungsdatum: Beiträge: 6244 |
Ich habe es gerade mal probiert: Mit aktivem "noscript"-Addon ist man nicht angreifbar. |
Anmeldungsdatum: Beiträge: 340 |
? Oder meinst Du mit aktivem "noscript"-Addon kann weakdh.org keine Aussage treffen? |
|
Anmeldungsdatum: Beiträge: 6244 |
Nope, ich habe weakdh.org iń Noscript freigegeben, und erhalte dann die Aussage, mein Browser sei nicht verwundbar. |
|
Anmeldungsdatum: Beiträge: 13293 |
Es gibt dort keinen Hinweis, wie der Browser konfiguriert sein soll/muss, damit weakdh.org eine Aussage treffen kann. Mit Chromium z. B., bekomme ich auch keine Aussage. |
|
(Themenstarter)
Anmeldungsdatum: Beiträge: 583 |
Noscript allein kann es leider nicht sein. ☹ Ich verwende ebenfalls noscript und bekomme von weakhd.org zunächst die Meldung, daß ich bitte Javascript für drei benannte domains freigeben möge, damit der Test durchgeführt werden kann. Tue ich das in noscript, wird die Seite neu geladen und mein FF als verwundbar gemeldet. Setze ich die drei FF-Optionen (bzw. nur zwei, denn security.ssl3.dhe_dss_aes_128_sha gibt es bei mir gar nicht) und lade die Seite erneut, bekomme ich die Anzeige, daß mein browser geschützt sei. Es hilft also wohl nur, es individuell auszuprobieren. |
|
Anmeldungsdatum: Beiträge: 6244 |
Ich habe mal zwei Bildschirmschüsse gemacht, einmal mit Skripten verboten, dann mit nur https://weakdh.org/ erlaubt. Ich erlaube ja grundsätzlich nur temporär, bis auf ganz wenige Seiten, selbst google und co. bekommen bei mir keine dauerhafte Skripterlaubnis. |
|
Anmeldungsdatum: Beiträge: 340 |
Paßt das auch bei Dir? |
|
Anmeldungsdatum: Beiträge: 6244 |
|
|
Anmeldungsdatum: Beiträge: 10220 |
Wir haben das workarround auch auf dem
Realisieren können! |
|
Anmeldungsdatum: Beiträge: 12084 |
Danke, das klappt, aber ich mache ungern Modifikationen, die ich nicht verstehe. Kann vielleicht ein Wissender kurz erklären, was das genau macht und ob es bedeutsame Nachteile hat? |
|
Anmeldungsdatum: Beiträge: 643 |
Anders als https://weakdh.org/ weist allerdings die Testseite https://www.ssllabs.com:10445/ Firefox auch nach Anwendung des Workarounds als angreifbar aus. |
