SSLv3 Sicherheits Lücke wie kann ich SSL im Firefox/Thunderbird abstellen ?

[gloss]

ich finde im Web. leider keine infos wie man bei Firefox das SSLv3 abstellen kann ?
mein 2. Problem wie stelle ich SSL 3 beim Thunderbird ab ?

beim IE 8 ist es reich einfach

Hintergrund ist diese Test Seite wo der Freifox als gefährlich u.u. eingestuft wird

bin z.z wieder mit den IE 8 Online da war das abstellen sehr einfach und der B Browser wird nicht als gefährdet erkannt
(bitte keine IE 9 bis 12 Diskussionen diese IE 9 bis 12 funktioniert hier nicht u.a. nutze ich auch Linux )

 

[baizon]

AW: SSLv3 Sicherheits Lücke wie kann ich SSL im Firefox abstellen ?

security.tls.version.min 1

Quelle: http://kb.mozillazine.org/Security.tls.version.*

 

[Tom_123]

Anbei noch die benötigten Startparameter für den Chrome Browser: –ssl-version-min=tls1

 

[gloss]

Danke für die sehr schnelle Antwort "baizon"

funktioniert beim Firtefox der Pudel wird nun nicht mehr angezeigt

beim Thunderbird geht es leider nicht

ps u.u das Problem- das manche Web. Seiten dann gar nicht mehr verschlüsseln wenn man SSL abstellt ?

 

[GTrash81]

Es gibt seit 2000~ TLS, das ersetzt SSL.

 

[DeusoftheWired]

Für Thunderbird unter Windows: Extras → Einstellungen → Erweitert → Allgemein → Konfiguration bearbeiten → (Ich werde vorsichtig sein, versprochen!) → security.tls.version.min auf den Wert 1 setzen

 

[wesch2000]

anbei noch die benötigten startparameter für den chrome browser: –ssl-version-min=tls1

danke für die info!

 

[gloss]

denke mal das thema hier ist heute wichtig genug weil es u.u alle betrifft viele auch online was machen
mit shops und banken ..
tips wie man sich optimal schützen kann PC bis smartphone sind sehr erwünscht in meinem thema
um einen evtl. schaden bei einem selber zu vermeiden !
es könnte ja mal den ein oder anderen passieren wenn man nicht aufpasst ?
so lange man heute nicht 100 % mehr sicher sein kann und man fast überall heute aufgefordert wird
persönliche daten über das internet einzugeben.
bin mir nicht sicher ab man nicht so was hacken kann grade über das mobil netz mit smartphone
nicht zu vergessen diese ganzen apps die im hintergrund daten übertragen ist der PC vielleicht
sicherer wenn man das ein oder andere einfacher umstellen kann ?

schön dass das thema heir ernst genommen wird so sollte es auch bleiben .
------

Für Thunderbird unter Windows: Extras → Einstellungen → Erweitert → Allgemein → Konfiguration bearbeiten → (Ich werde vorsichtig sein, versprochen!) → security.tls.version.min auf den Wert 1 setzen

Ergänzung (17. Oktober 2014)

app SSL verschlüsselung ich finde das sehr fahrlässig von den herstellern das es überhaupt kein SSL update gibt grade ich bin sehr gefährdet weil eine IP adresse für alle ist also alle teilnehmer im gleichem UMTS daten netz die gleiche IP adresse haben , das ist ungeheuerlich
smartphone und tabel ist auch betroffen die meinsten App browser da kann man SSL nicht mal abstellen geht offenbar nur beim opera classic offenbar? ,
email app G+ kann man gar nichts einstellen oder umstellen .


den eintrag gibt es leider nicht

edit dafür einen anderen bild 2 ich habe TB 3.1.20
fragen an die die ahnung davon haben ?

hilft es was wenn man nur SSL3 abgestellt und dafür SSL2 an schaltet als alternative ?
in den news ist ja nur zu lesen das es SSL 3 betrifft, von SSL2 ist nie die rede
lt dem test ist es mit SSL2 offenbar sicher als wenn SSL3 an geschaltet ist

 

[wesch2000]

@gloss
also bei mir gibt es den eintrag

 

[gloss]

bei mir nicht ,

ich teste grade IE 8 so habe ich eingestellt not lösung ist doch richtig nicht verwendbar ?
darauf weise ich hin aber habe nicht viel ahnung davon teste nur böld rum nach einer not lösung .

edit meine bisherigen ergebnisse PC sachen kann man u.a. umstellen meine TB nicht,
mobile geräte wird es schwer bis fast unmöglich der android browser ist gefährdet und lässt sich nicht umstellen ,
Opera classic über die erw. einstellungen menü punkt unter "security prefs" lässt sich um stellen und ist dann sicherer.

IE8 habe ich so eingestellt

 

[DeusoftheWired]

dafür einen anderen bild 2 ich habe TB 3.1.20
fragen an die die ahnung davon haben ?

Wenn dir Sicherheit wirklich am Herzen läge, würdest du keine dreieinhalb Jahre alte Thunderbird-Version benutzen. Das erklärt auch, weshalb es den Eintrag in deiner about:config nicht gibt.

€dit: Oder war das ein Tippfehler und du meinst die 31.2.0?

 

[Daaron]

ps u.u das Problem- das manche Web. Seiten dann gar nicht mehr verschlüsseln wenn man SSL abstellt ?

Eine kinderleicht knackbare Verschlüsselung ist schlimmer als gar keine. Wenn du keine Verschlüsselung aufbauen kannst, dann bist du hoffentlich vorsichtig mit deinen Daten...

bin mir nicht sicher ab man nicht so was hacken kann grade über das mobil netz mit smartphone

Du hast das Problem vollkommen falsch erfasst. Da gibt es nichts zu "hacken". Eine SSLv3-verschlüsselte Verbindung kannst du verhältnismäßig leicht ENTschlüsseln, wenn du den Datenstrom zwischen Client und Server abhörst. Da muss nichts gehackt werden

app SSL verschlüsselung ich finde das sehr fahrlässig von den herstellern das es überhaupt kein SSL update gibt grade ich bin sehr gefährdet weil eine IP adresse für alle ist also alle teilnehmer im gleichem UMTS daten netz die gleiche IP adresse haben , das ist ungeheuerlich

Was hat die IP oder die Zugangsart damit zu tun? Genau: Nix.

hilft es was wenn man nur SSL3 abgestellt und dafür SSL2 an schaltet als alternative ?

SSLv2 kannst du mit nem leistungsstarken Taschenrechner dekodieren. Um SSLv2 zu knacken musst du dich nur als MITM in den initialen Handshake einklinken und das wars.

SSLv2 ist deutlich schwächer als SSLv3, und das ist schon lächerlich verwundbar... Zum Glück gibt es kaum noch Server, die SSLv2 anbieten.

ich teste grade IE 8 so habe ich eingestellt not lösung ist doch richtig nicht verwendbar ?

Der IE8 ist so oder so verwundbar. Offen wie ein Scheunentor, trifft es eher. Dieser Browser ist Holzklasse Deluxe, ein wahres Sammelsurium an Sicherheitslücken.
Und du machst dir Sorgen um die Verschlüsselung? Schmeiß den IE8 von der Platte, wechsle auf IE11.

 

[gloss]

ok also SSL2 lieber abstellen habe ich verstanden ,
bitte keine großartigen IE diskussionen das artet zu sehr aus es gibt u.a linux so wie mac OS
es soll hier nur um das thema sichere verschlüsselung gehen und um die SSLv3 sicherheitslücke.
zu deinem letzten satz und mehr möchte ich darüber auch nicht diskutieren IE 11 funktioniert nicht mit meiner internet verbindung (ich habe UMTS HSDPA USB Web Stick )
auf meinem PC unter windows so linux nutze ich u.a. firefox 3.1.20 ESR
ps man sollte mal langsam SSL4 erfinden ?

app sicherheit wichtige sachen mache ich per fax und SMS per handy es geht um die
verschlüsselung der logins username/passwort inhalte der seite u.a foren oder bei meinem provider smartphone kunden konten aufladen über das internet mit pin

 

[Daaron]

auf meinem PC unter windows so linux nutze ich u.a. firefox 3.1.20 ESR

Wenn, dann heißt die Version 31.2.0... Du musst schon mal lernen, die Versionspunkte korrekt zu setzen. Oder schreibst du deine Schecks und Überweisungen auch so? Werden bei dir aus 19,99€ mal eben 199,9€?

ps man sollte mal langsam SSL4 erfinden ?

Wozu? Was, glaubst du, sollte mit TLS erreicht werden?

Mir ist schon klar, wieso du Verschlüsselung willst, aber was hat das mit UMTS zu tun?
Es spielt übrigens (längerfristig) keine Rolle, ob Apps jetzt eine Möglichkeit bieten, SSLv2 & 3 abzuschalten. Ein leidlich fähiger Hoster schaltet diese Ciphers direkt am Server ab. Bei uns reagiert z.B. nichts mehr auf SSLv3. Entweder der Besucher kann TLS, oder er kriegt keine Verschlüsselung. Verwundbare Pseudo-Encryption braucht niemand.

 

[wesch2000]

ab tls1 und höher ist alles sicher (bis jetzt). ein link zur info:

https://de.wikipedia.org/wiki/Transport_Layer_Security

 

[gloss]

meine bank überweisungen sind eigene vordrucke damit habe ich keine probleme die gehen immer per post raus über das internet mache ich so was grundgesetzlich nicht .
beim fox steige ich eh nicht mehr durch es ist richtig es ist die 31.2.0 ESR.
es gab doch erst am 14.10 patchday und firefox updates warum wurde das nichts berücksichtigt dieses SSLv3 sicherheit leck ist ja schon länger bekannt ,
die sache ist es gbit viele ältere meschen die internet/PC nutzten und bekommen das gar nicht mit das man was umstellen sollte im browser und geben fleißig weiter ihre daten über das internet ein .

 

[DeusoftheWired]

es gab doch erst am 14.10 patchday und firefox updates warum wurde das nichts berücksichtigt dieses SSLv3 sicherheit leck ist ja schon länger bekannt .

Ist bekannt und wird mit Version 34 der Nicht-ESR-Version von Firefox behoben. Das Update, das SSL3v3 für die ESR-Version deaktivieren wird, wird wohl 31.3.0 oder 31.4.0 werden. Die Termine und Versionen sind für diese Geschichte aber unerheblich, da man mit dem kleinen Eingriff in die about:config das ganze ja jetzt schon ändern kann.

Welche Version von Thunderbird benutzt du nun eigentlich?

Du solltest dich mit den Grundlagen von Netzwerk-, Sicherheitsheits- und Verschlüsselungstechnik befassen, bevor du hier so einen Aufriß um eine verhältnismäßig kleine Lücke machst. Wenn du schon mit Versionierung von Software nicht klarkommst, hast du ganz andere Probleme, glaub mir.

 

[gloss]

also dazu muss ich mal sagen das ich mich heute nicht mehr so sonderlich groß für PCs und windows interessiere ich kucke auch nicht jeden tag auf die versions nummer des browsers kucke lieber in meinem LED Tv das ist spannender da gibt es auch einen browser den man nicht umstellen kann "smart TV browser" schön nee die ganzen smartphone und table kann man zum größten teil alle gar nicht umstellen weil es nur wenige FW updates gibt,
das mit der SSLv3 sicherheitslücke habe ich auch erst sehr verspätet erfahren nämlich vor gestern zufällig über den google news&wetter reader im table,
panikmache so würde ich das nicht bezeichnen, bei einem bekannten wurde kürzlich das online giro konto geplündert wir wissen nicht wie das passieren konnte , er hat sich von mir 50 € geliehen damit er sich was zu essen kaufen konnte es dauert eine weile bis er sein geld wieder bekommt,
so was kann man doch vermeiden denke ich mal wenn man etwas mehr aufpasst.

 

[Daaron]

also dazu muss ich mal sagen das ich mich heute nicht mehr so sonderlich groß für PCs und windows interessiere

Dafür machst du aber hier in schöner Regelmäßigkeit total unqualifiziert einen Aufriss wegen irgend was. Mal ist es, dass dir das Lebensende von XP nicht schmeckt, dann regst du dich darüber auf, dass du selbst nicht in der Lage bist, deinen IE korrekt mit deinem UMTS-Stick zu koppeln,...

ich kucke auch nicht jeden tag auf die versions nummer des browsers kucke lieber in meinem LED Tv das ist spannender

Vielleicht solltest du statt dessen mal ein Buch zur Hand nehmen. Das würde deine lausige Rechtschreibung nachhaltig verbessern. Wenn es sich dabei auch noch um ein Lehrbuch, z.B. eines der Standard-Lehrwerke von Andrew S. Tanenbaum, handelt: um so besser. Dann geht dir vielleicht mal von selbst ein Licht auf und du machst hier nicht laufend die Gäule scheu.

da gibt es auch einen browser den man nicht umstellen kann "smart TV browser"

...weil IRGEND JEMAND regelmäßig mit dem TV-Browser herum surft. Das Ding ist da, damit hört es aber auch auf. SmartTV-Browser haben ganz andere Probleme als die Poodle-Lücke, die eh nur zum Tragen kommt, wenn du
a) auf eine verschlüsselte Seite gehst
b) auf der auch noch wirklich relevante Daten übermittelst
und, last but not least, c) jemand dich auch tatsächlich aktiv angreift. Poodle wirkt nicht aus der leeren Luft....

Nein, SmartTV-Browser haben echt andere Probleme, z.B. wirklich gravierende Sicherheitslücken, über die (theoretisch) Malware auf den Fernseher und von da ins Haus-LAN kommen kann...

schön nee die ganzen smartphone und table kann man zum größten teil alle gar nicht umstellen weil es nur wenige FW updates gibt

Muss man auch nicht, da die systemeigenen eh alle Mist sind. Zusätzliche Browser (als App) wie z.B. Opera, Chrome oder Firefox erhalten sehr wohl Sicherheitsupdates vom Hersteller.

panikmache so würde ich das nicht bezeichnen, bei einem bekannten wurde kürzlich das online giro konto geplündert wir wissen nicht wie das passieren konnte

Ganz sicher nicht über Poodle. Siehe oben, Punkt c)
Des Poodles Kern (du hast doch hoffentlich Faust I gelesen, oder?) ist doch erst einmal, dass jemand AKTIV deinen TLS Handshake manipuliert, um dich dann dazu zu veranlassen, dass der Fallback auf SSLv2/3 aktiv wird. Jetzt muss diese Person auch noch AKTIV deine Verbindung mitlesen.
Weißt du, wie so etwas passiert? Tja, z.B. indem man in öffentlichen WLANs ohne VPN surft und darauf VERTRAUT, dass das grüne Symbol im Browser schon korrekt ist... Andernfalls müsste jemand schließlich deine Kabelverbindung abhören und manipulieren, was deutlich aufwändiger ist. ZU aufwändig.

Wie dein Kumpel um sein Konto gebracht wurde? Mir fallen da viele andere lustige Wege ein.
1.) Kleiner Kartenleser über dem Slot des Geldautomaten + billiger Ifrarot-Aufsatz für ne Handykamera = Karte + PIN. Schnell und unkompliziert
2.) Kleiner Kartenleser + kleine Kamera... etwas komplizierter
3.) Trojaner. Es gibt ZIG Banking-Trojaner. Genau DESHALB macht man Online-Banking NIE über Smartphone/Tablet und NIE aus einem potentiell gefährdeten Betriebssystem heraus. Man sollte IMMER ein Live-Linux wie c't Bankix verwenden.

 

[wesch2000]

c't Bankix habe ich leider nie mit chipkarte zum laufen gebracht.