SSLv3 Sicherheits Lücke wie kann ich SSL im Firefox/Thunderbird abstellen ?

[gloss]

app sichere Mobil Browser habe zwei entdeckt die sicher sind
Opera classic wie schon erwähnt (kann man umstellen die Verschlüsselung )
Google Chrom Mobil besteht auch den Test , war sehr überrascht
die masse der anderen fällt klar durch.

Daaron@.
etwas mehr Vorsicht im Internet hat nach keinem geschadet statt Leichtsinn,
mich ärgert an der Sache oft das es Web. Seiten gibt die zur Daten Eingabe förmlich zwingen
und man sich heute nicht in der lage fühlt den ahnungslosen zu schützten nicht ein mal
die News im TV und Radio informieren darüber, gibt genug die opfer werden wegen so was ,
ein PC hat auch heute einen anderen Stellenwert und ist genau so selbstverständlich wie eine Mähmaschinen,
da muss man auch schneller für Sicherheit sorgen (Hersteller )
es ist heute anders als noch vor 20zig Jahren .

 

[Daaron]

Jede halbwegs seriöse Tageszeitung, jedes halbwegs seriöse TV-Nachrichtenmagazin und viele Radionachrichten berichten in hübscher Regelmäßigkeit über Probleme der IT Sicherheit. Also tu nicht so, als gäbe es keine Informationsquellen.

Das Problem ist wohl eher, dass sich die Leute um diese Themen nicht KÜMMERN. Hilfe, da steht was von Computern, schnell weiterblättern. Wenn da n Leitartikel über Bremsversagen im neuen Opel drin wär, den würden schon mehr lesen. Aber weißt du, worüber ALLE Bescheid wissen? Genau: Dass das Freistoß-Spray im Winter nicht eingesetzt werden kann oder mit wem Semi-Promi XY jetzt zusammen ist. Den Mist haben alle gelesen.

 

[gloss]

das ist zwar schon richtig u.a. das auch die Werbung mittlerweile wichtiger ist um für Neue Geräte zu werben die aber alle auch nicht mehr sicher sind und Sicherheits-Informationen unwichtiger geworden sind, nur bei der Massenverbreitung an Fone und PCs, Internet kann ich kein Verständnis dafür aufbringen, in den Nachrichten TV habe ich bislang noch nichts darüber gesehen das Ct TV Magazin auf HR TV was immer gut über so was informiert hatte wurde ja abgeschafft.

es wird leider auch nirgendwo erwähnt welche Browser überhaupt noch sicher sind ?
es wurde auch nirgendwo erwähnt, das z,b, der Opera Classic sicher ist wenn man den umstellt
und der Google Chrom ak Update das habe ich selber raus finden müssen .

ich hatte mir dann gestern mal die mühe gemacht diverse Mobil Browser zu testen aus dem Google
Store Markt 10 getestet , Boat Browser , Browser 3.1.0.apk und Konsorten sind alle durch gefallen man kann auch nix um stellen also 8 sind ganz durch gefallen dann hatte ich keine Lust mehr weiter auszuprobieren zwei von 10 Opera classic und Google Chrom hatten bestanden, Opera classic kann man SSLv3 ganz abschalten .

 

[Daaron]

in den Nachrichten TV habe ich bislang noch nichts darüber gesehen das Ct TV Magazin auf HR TV was immer gut über so was informiert hatte wurde ja abgeschafft.

Über Heartbleed wurde z.B. großflächig berichtet. Auch wirklich gefährliche Viren/Trojaner/Würmer wie z.B. Sasser oder Zeus (Banking Trojaner) tauchten oftmals in Tagesschau, ZDF MoMa, SternTV,... auf.
Man muss eben auch mal was anderes gucken als die RTL II Promi News.

es wird leider auch nirgendwo erwähnt welche Browser überhaupt noch sicher sind ?

Weil "sicher" relativ ist. Dein IE8 ist z.B. sicherer als ein IE6 oder 7.... verglichen mit IE10/11 ist er aber ne wandelnde Sicherheitslücke.
SICHER heißt, dass man die AKTUELLSTE Browser-Version eines gängigen Browsers verwendet. Das heißt: Keine Uralt-Schinken wie IE8/9, keine Chinaböller wie Maxthon, keine Scare-Ware wie SRIron,... und dass man TROTZDEM die Glotzen aufmacht, wohin man klickt.

es wurde auch nirgendwo erwähnt, das z,b, der Opera Classic sicher ist wenn man den umstellt

Nochmal zum Mitschreiben: Nur weil Poodle keine Bedrohung ist, ist ein Browser noch lange nicht sicher. Opera Classic ist z.B. nicht unbedingt taufrisch und auch keine laufende Weiterentwicklung. Es wäre hier mehr als denkbar, dass zwar Poodle kein Problem ist, wohl aber drölfzillionen wirklich problematische Sicherheitslücken existieren.

POODLE IST EGAL!
Um über Poodle angreifbar zu sein müssen WIRKLICH VIELE zusätzliche Bedingungen erfüllt sein. Poodle ist nicht wie eine Use-after-free - Lücke, Poodle schleust dir keine Trojaner in den PC, Poodle übernimmt nicht deine Maschine, Poodle leitet dich nicht auf dubiose Fake-Seiten um. Poodle sorgt einzig und allein dafür, dass jemand mit genügend krimineller Energie sehr präzise eine Verbindung abhören kann, und das auch nur, wenn die Gegenstelle (der Server) überhaupt noch SSLv2/3 anbietet.
Beim tagtäglichen Surfen ist Poodle so bedrohlich wie n geknebelter Mops.

Übrigens: Bevor ich über Poodle deinen Browser überwachen würde, würde ich viel eher deinen Mailclient überwachen. Da kriegt man viel interessantere Infos.

 

[gloss]

TLS 1.0
mit dem Firefox ist durch das abschalten von SSLv3 nun folgendes Problem aufgetreten
wenn man security.tls.version.min auf 3 oder 2 statt 0 stellt
laden einige Seite nicht ich dache besser eine hörere und die kleinen auf aus,
das war nix einige Seiten sind dann nicht mehr erreichbar ,
TLS 1.0 muss immer mit an sein
beklopte Web Verschlüsselung ist das .

Edit
Smart LED TV Test
habe eben den Test gemacht und es ist wie vermutet der TV ist durch gefallen obwohl der ein Neues FW Update hat

 

[DeusoftheWired]

TLS 1.0
mit dem Firefox ist durch das abschalten von SSLv3 nun folgendes Problem aufgetreten
wenn man security.tls.version.min auf 3 oder 2 statt 0 stellt
laden einige Seite nicht ich dache besser eine hörere und die kleinen auf aus,
das war nix einige Seiten sind dann nicht mehr erreichbar ,
TLS 1.0 muss immer mit an sein
beklopte Web Verschlüsselung ist das .

Das ist ein völlig normales Verhalten und mit jedem Browser unter jedem Betriebssystem so. Für Firefox gilt:

0 = SSL 3.0 Minimum

1 = TLS 1.0 Minimum

2 = TLS 1.1 Minimum

3 = TLS 1.2 Minimum

Da TLS 1.2 noch recht jung ist, kommt es noch auf wenigen Servern zum Einsatz. Wenn der Server nur 1.1 unterstützt und du deinem Browser sagst, er soll mindestens 1.2 nutzen, kommt selbstverständlich keine Kommunikation zustande. Bist du damit nicht zufrieden, schreibe den Betreiber des Servers an. Man kann Seiten übrigens auch einfach nicht mehr nutzen – gezwungen wird niemand.

Edit
Smart LED TV Test
habe eben den Test gemacht und es ist wie vermutet der TV ist durch gefallen obwohl der ein Neues FW Update hat

Und jetzt? Welche Konsequenz soll das haben? Erledigst du deine Bankgeschäfte über den Browser deines Fernsehers? Lies und verstehe den letzten Absatz von Daarons letztem Beitrag. POODLE funktioniert nicht wie z. B. shellshock. Niemand kann deinen Fernseher übernehmen oder sonst irgendwas damit anstellen.

 

[Daaron]

TLS 1.0 muss immer mit an sein
beklopte Web Verschlüsselung ist das .

TLS 1.0 (also den security-Wert auf "1") reicht auch vollkommen.
Es gibt halt ältere Server, die es durchaus noch tun. Die KÖNNEN einfach kein TLS 1.2 und teilweise eben auch kein TLS 1.1. Es steht dir frei, diese Seiten nicht mehr zu besuchen, aber das wäre zum aktuellen Zeitpunkt eher irrationale Panik. Genauso gibt es durchaus noch als stabil und sicher anzusehende Server, die nicht durchgängig (also für jedes denkbare Besucher-Szenario) Perfect Forward Secrecy per ECDHE anbieten. Da isses dann eben "nur" DHE_RSA

Und nochmal, auch hinsichtlich deines SmartTV: Wovor zum GEIER hast du so eine vollkommen irrationale Panik?
Versuch es doch mal mit "Lesen und verstehen" statt mit "Hilfe, Hilfe, Panik! Ich hab da was gehört."

 

[gloss]

jupp ^^ habe mich heute auch anderweitig erkundigt SSL soll zwar schwer zu knacke sein wurde aber in den News etwas anders dargestellt mit der Lücke ,
sage noch wer weiß was morgen ist und kommt kriminelle Energie?
besser ist es SSL ganz raus machen SSL braucht man wirklich nicht mehr .

 

[Daaron]

jupp ^^ habe mich heute auch anderweitig erkundigt SSL soll zwar schwer zu knacke sein wurde aber in den News etwas anders dargestellt mit der Lücke

In QUALITATIV HOCHWERTIGEN Beiträgen wurde es immer genau so dargestellt, wie es tatsächlich ist: SSLv3 ist eben NICHT schwer zu knacken (da du den gesamten Verbindungsaufbau manipulieren kannst), wenn du erst einmal der Man in the Middle bist. Die Kunst ist, genau diese Position einzunehmen. In einem offenen WLAN (oder einem, dessen Key man kennt) ein Kinderspiel.
ABER: Wenn man sich ne MitM-Attacke eingehandelt hat, dann hat man eh andere Probleme als SSLv3.

Daher wird ja seit Ewigkeiten gepredigt: Richtet euch zuhause ein VPN ein, konfiguriert eure Mobil-Devices so, dass sie nur über dieses vertrauenswürdige VPN ins Internet gehen. Gegen diesen Tunnel ist auch ein MitM machtlos.

sage noch wer weiß was morgen ist und kommt kriminelle Energie?

Es ist OFFENSICHTLICH, was morgen kommt: Genau das, was heute schon möglich ist. Du kannst nicht mal eben neue Angriffe erfinden. Entweder etwas ist verwundbar, oder es ist nicht verwundbar.
Auch morgen wird noch kein Kraut gegen TLS1.2 mit ECDHE gewachsen.