ubuntuusers.de

Logjam Attack auf HTTPS/TLS/SSL - hier schon bekannt?

Status: Ungelöst | Ubuntu-Version: Kubuntu 14.04 (Trusty Tahr)
Antworten |

Happy_Penguin

Avatar von Happy_Penguin

Anmeldungsdatum:
23. Januar 2011

Beiträge: 583

Hallo ubuntuusers,

eine Suche hier im Forum hat mir zu Logjam Attack nichts angezeigt ... ist das Problem hier schon bekannt? (Deutscher Artikel z.B. heute auf SPON.)

V_for_Vortex Team-Icon

Avatar von V_for_Vortex

Anmeldungsdatum:
1. Februar 2007

Beiträge: 12093

Wohnort: Berlin

Meinst Du bekannt auf Seiten des Webteams oder der Benutzer? Mir war es nicht bekannt und ich frage mich, wann dahingehend ein Update für Firefox kommt (derzeit bei Trusty mit Version 38.0+build3-0ubuntu0.14.04.1 laut des Tests auf weakdh.org noch nicht).

Allaman

Anmeldungsdatum:
23. Februar 2010

Beiträge: 173

Happy_Penguin

(Themenstarter)
Avatar von Happy_Penguin

Anmeldungsdatum:
23. Januar 2011

Beiträge: 583

V for Vortex schrieb:

Meinst Du bekannt auf Seiten des Webteams oder der Benutzer?

Hauptsächlich dachte ich an "uns normale Benutzer". Beim webteam gehe ich davon aus, daß (noch) stärker auf neue Sicherheitslücken geschaut wird, als wir das tun.

Mir war es nicht bekannt und ich frage mich, wann dahingehend ein Update für Firefox kommt (derzeit bei Trusty mit Version 38.0+build3-0ubuntu0.14.04.1 laut des Tests auf weakdh.org noch nicht).

Auch der browser unter Ubuntu Touch ist verwundbar, mein Chrome unter Android auch ... aber von da aus mache ich eh nichts sensibles im Netz. 😉

Hoffen wir also auf einen baldigen FF-Fix. ☺

Allaman schrieb:

Hier hat jemand einen Workaround für Firefox gepostet

In den Kommentaren zum o.g. Artikel auf SPON hat auch jemand about:config-Einstellungen beschrieben, die helfen sollen.

[EDIT: Sehe gerade, das posting auf Heise verweist ebenfalls auf den SPON-Kommentar. 😉]

lionlizard

Avatar von lionlizard

Anmeldungsdatum:
20. September 2012

Beiträge: 6244

Wohnort: Berlin

Ich habe es gerade mal probiert: Mit aktivem "noscript"-Addon ist man nicht angreifbar.

xubuntufriese

Avatar von xubuntufriese

Anmeldungsdatum:
3. Mai 2014

Beiträge: 340

lionlizard schrieb:

Ich habe es gerade mal probiert: Mit aktivem "noscript"-Addon ist man nicht angreifbar.

?

Oder meinst Du mit aktivem "noscript"-Addon kann weakdh.org keine Aussage treffen?

lionlizard

Avatar von lionlizard

Anmeldungsdatum:
20. September 2012

Beiträge: 6244

Wohnort: Berlin

xubuntufriese schrieb:

Oder meinst Du mit aktivem "noscript"-Addon kann weakdh.org keine Aussage treffen?

Nope, ich habe weakdh.org iń Noscript freigegeben, und erhalte dann die Aussage, mein Browser sei nicht verwundbar.

lubux

Anmeldungsdatum:
21. November 2012

Beiträge: 14336

xubuntufriese schrieb:

... kann weakdh.org keine Aussage treffen?

Es gibt dort keinen Hinweis, wie der Browser konfiguriert sein soll/muss, damit weakdh.org eine Aussage treffen kann. Mit Chromium z. B., bekomme ich auch keine Aussage.

Happy_Penguin

(Themenstarter)
Avatar von Happy_Penguin

Anmeldungsdatum:
23. Januar 2011

Beiträge: 583

lionlizard schrieb:

Ich habe es gerade mal probiert: Mit aktivem "noscript"-Addon ist man nicht angreifbar.

Noscript allein kann es leider nicht sein. ☹

Ich verwende ebenfalls noscript und bekomme von weakhd.org zunächst die Meldung, daß ich bitte Javascript für drei benannte domains freigeben möge, damit der Test durchgeführt werden kann. Tue ich das in noscript, wird die Seite neu geladen und mein FF als verwundbar gemeldet. Setze ich die drei FF-Optionen (bzw. nur zwei, denn security.ssl3.dhe_dss_aes_128_sha gibt es bei mir gar nicht) und lade die Seite erneut, bekomme ich die Anzeige, daß mein browser geschützt sei.

Es hilft also wohl nur, es individuell auszuprobieren.

lionlizard

Avatar von lionlizard

Anmeldungsdatum:
20. September 2012

Beiträge: 6244

Wohnort: Berlin

Ich habe mal zwei Bildschirmschüsse gemacht, einmal mit Skripten verboten, dann mit nur https://weakdh.org/ erlaubt.

Ich erlaube ja grundsätzlich nur temporär, bis auf ganz wenige Seiten, selbst google und co. bekommen bei mir keine dauerhafte Skripterlaubnis.

Bilder

xubuntufriese

Avatar von xubuntufriese

Anmeldungsdatum:
3. Mai 2014

Beiträge: 340

lionlizard schrieb:

Ich habe mal zwei Bildschirmschüsse gemacht, einmal mit Skripten verboten, dann mit nur https://weakdh.org/ erlaubt.

Erklärung auf Heise

Paßt das auch bei Dir?

lionlizard

Avatar von lionlizard

Anmeldungsdatum:
20. September 2012

Beiträge: 6244

Wohnort: Berlin

xubuntufriese schrieb:

Paßt das auch bei Dir?

Ja.

syscon-hh

Anmeldungsdatum:
8. Oktober 2005

Beiträge: Zähle...

Wir haben das workarround auch auf dem

  • Firefox mobile

Realisieren können!

V_for_Vortex Team-Icon

Avatar von V_for_Vortex

Anmeldungsdatum:
1. Februar 2007

Beiträge: 12093

Wohnort: Berlin

Allaman schrieb:

Hier hat jemand einen Workaround für Firefox gepostet http://www.heise.de/forum/heise-Security/News-Kommentare/Logjam-Attacke-Verschluesselung-von-zehntausenden-Servern-gefaehrdet/Workaround-fuer-Firefox/posting-7799685/show/

Danke, das klappt, aber ich mache ungern Modifikationen, die ich nicht verstehe. Kann vielleicht ein Wissender kurz erklären, was das genau macht und ob es bedeutsame Nachteile hat?

coram

Anmeldungsdatum:
17. Januar 2015

Beiträge: 645

Wohnort: Freiburg

Allaman schrieb:

Hier hat jemand einen Workaround für Firefox gepostet http://www.heise.de/forum/heise-Security/News-Kommentare/Logjam-Attacke-Verschluesselung-von-zehntausenden-Servern-gefaehrdet/Workaround-fuer-Firefox/posting-7799685/show/

Anders als https://weakdh.org/ weist allerdings die Testseite https://www.ssllabs.com:10445/ Firefox auch nach Anwendung des Workarounds als angreifbar aus.

Antworten |