... newer stories
Mittwoch, 14. Januar 2015
Von wegen "Was ist denn nun der sicherste Webbrowser?"
Ich darf hiermit eingestehen daß ich, schon bevor er so hieß*, Fan von Firefox bin.
Chrome mag toll und flott sein, aber einerseits hänge ich an dem ein oder anderen Addon, und die sind halt nicht alle portiert worden, andererseits möchte ich nicht unbedingt einen Browser nutzen der eine eingebaute Standleitung zu Tante Goo hat.
Aber darum solls ja eigentlich nicht gehen, sondern vielmehr um den Poodle - eine Sicherheitslücke im Browser, mit der es möglich ist, das Verschlüsselungsprotokoll zu stören, so daß der Browser die Verschlüsselungsqualität auf einen Level herunterschraubt den heutzutage jeder Taschenrechner knacken kann, das Protokoll SSLv3. Das war letztes Jahr im Oktober, und da die Browserhersteller nicht schnell genug reagieren konnten oder wollten hatte sich der Schutzgeist seine eigene Lösung erarbeitet und die wichtigen Browser - Firefox, Opera und Chrome dahingehend angepaßt, daß dieses unsere Protokoll SSLv3 einfach abgeschaltet wird.
Zwar soll es in freier Wildbahn noch den ein oder anderen Webserver geben, der nichts anderes als dieses Protokoll unterstützt, aber es erschien mir damals trotzdem praktikabel, diesen Weg zu gehen - die betroffenen Serverbetreiber dürften spätestens jetzt eh aufgeschreckt worden sein.
3 Monate später kann der Schutzgeist von einem vollen Erfolg sprechen: Der Poodle ist tot, es gab keinerlei - wirklich keine einzige - negative oder kritische Rückmeldungen von den Usern - während einige andere Änderungen z.B. am Firefox heftig kritisiert wurden. Aber niemand hat SSLv3 vermißt.
Nun sollte man solche Anpassungen aber nicht ewig mit sich rumschleppen. also hat Herr Schutzgeist mal recherchiert, wie weit die Browserhersteller mittlerweile gekommen sind.
Das Fazit ist mehr als ernüchternd: Obwohl mittlerweile kein Webseitenbetreiber mehr auf SSLv3 als Protokoll setzt haben sowohl Chrome als auch Opera und Internet Exploder SSLv3 noch per Default aktiviert. Chrome und Opera haben immerhin Verhinderungstechniken gegen den Poodle implementiert, aber nur Mozilla schaltet diese unsichere Krücke SSLv3 konsequent ab. Aber sowohl Apples Safari, der einzige Browser auf Igeräten und Microsofts Internet Explorer, der dank Lumia- Handies mittlerweile auch mobil unterwegs ist ist in allen Versionen betroffen, und die Nutzer haben kaum eine Chance mitzubekommen wenn sie abgehört werden. Und grade bei diesen beiden Browsern käme es nochmal verstärkt auf Sicherheit an da die Teile so tief im Betriebssystem verankert sind daß eine Sicherheitslücke aufs gesamte Gerät durchschlägt.
Von der Seite her verleitet mich das neuliche Gezicke zwischen Microsoft und Google - letztere hatten eine Sicherheitslücke öffentlich gemacht bevor Erstere willens oder in der Lage waren sie zu patchen - nicht mehr zum Popcornholen sondern nur noch zum Fremdschämen.
Chrome mag toll und flott sein, aber einerseits hänge ich an dem ein oder anderen Addon, und die sind halt nicht alle portiert worden, andererseits möchte ich nicht unbedingt einen Browser nutzen der eine eingebaute Standleitung zu Tante Goo hat.
Aber darum solls ja eigentlich nicht gehen, sondern vielmehr um den Poodle - eine Sicherheitslücke im Browser, mit der es möglich ist, das Verschlüsselungsprotokoll zu stören, so daß der Browser die Verschlüsselungsqualität auf einen Level herunterschraubt den heutzutage jeder Taschenrechner knacken kann, das Protokoll SSLv3. Das war letztes Jahr im Oktober, und da die Browserhersteller nicht schnell genug reagieren konnten oder wollten hatte sich der Schutzgeist seine eigene Lösung erarbeitet und die wichtigen Browser - Firefox, Opera und Chrome dahingehend angepaßt, daß dieses unsere Protokoll SSLv3 einfach abgeschaltet wird.
Zwar soll es in freier Wildbahn noch den ein oder anderen Webserver geben, der nichts anderes als dieses Protokoll unterstützt, aber es erschien mir damals trotzdem praktikabel, diesen Weg zu gehen - die betroffenen Serverbetreiber dürften spätestens jetzt eh aufgeschreckt worden sein.
3 Monate später kann der Schutzgeist von einem vollen Erfolg sprechen: Der Poodle ist tot, es gab keinerlei - wirklich keine einzige - negative oder kritische Rückmeldungen von den Usern - während einige andere Änderungen z.B. am Firefox heftig kritisiert wurden. Aber niemand hat SSLv3 vermißt.
Nun sollte man solche Anpassungen aber nicht ewig mit sich rumschleppen. also hat Herr Schutzgeist mal recherchiert, wie weit die Browserhersteller mittlerweile gekommen sind.
Das Fazit ist mehr als ernüchternd: Obwohl mittlerweile kein Webseitenbetreiber mehr auf SSLv3 als Protokoll setzt haben sowohl Chrome als auch Opera und Internet Exploder SSLv3 noch per Default aktiviert. Chrome und Opera haben immerhin Verhinderungstechniken gegen den Poodle implementiert, aber nur Mozilla schaltet diese unsichere Krücke SSLv3 konsequent ab. Aber sowohl Apples Safari, der einzige Browser auf Igeräten und Microsofts Internet Explorer, der dank Lumia- Handies mittlerweile auch mobil unterwegs ist ist in allen Versionen betroffen, und die Nutzer haben kaum eine Chance mitzubekommen wenn sie abgehört werden. Und grade bei diesen beiden Browsern käme es nochmal verstärkt auf Sicherheit an da die Teile so tief im Betriebssystem verankert sind daß eine Sicherheitslücke aufs gesamte Gerät durchschlägt.
Von der Seite her verleitet mich das neuliche Gezicke zwischen Microsoft und Google - letztere hatten eine Sicherheitslücke öffentlich gemacht bevor Erstere willens oder in der Lage waren sie zu patchen - nicht mehr zum Popcornholen sondern nur noch zum Fremdschämen.
*Ursprünglich wurde das Firefox- Projekt anno '02 als Phoenix gestartet, wegen Namenskonflikt erst in Firebird, und dann ins Feuerfüchslein umbenannt.
... older stories
