SeaMonkey und Firefox gegen Bedrohungen durch “Logjam” absichern

Da es diesbezüglich keine News/Workarround bei der PC-Welt gibt, poste ich dazu etwas.

Was ist “Logjam”

http://www.heise.de/security/meldun...zehntausenden-Servern-gefaehrdet-2657502.html

IE-Versionen, die vollständig gepatched sind, sind nicht betroffen.
Opera, Firefox, Seamonkey und Chrome sind betroffen. Patches sollen noch kommen.

Ob der eigene Browser betroffen ist, kann jeder hier prüfen lassen:
https://weakdh.org/
Seite, die ohne Javascriprt funktioniert:
https://dhe512.zmap.io/

Das kriegt man bei Verwundbarkeit des Browsers zu sehen:

Seamonkey und Firefox können mit einem Workarround abgesichert werden:
https://seamonkeyde.wordpress.com/2015/05/22/seamonkey-gegen-logjam-attacken-absichern/

 

hmmm..
ich kriege das hier zusehen

ist das gut? oder ganz schlecht?

 

Das bekomme ich hier mit aktiviertem Würgaround auch. Die andere verlinkte Testseite funktioniert aber und vielleicht versuchst du es auch mal hier:

https://www.ssllabs.com/ssltest/viewMyClient.html

 

Gestestet mit IE 11.9600.17801 Updateversionen 11.0.19 (KB3049563)

Und bei https://weakdh.org/ kommt:

 

Ich gehe mal davon aus, dass es ein gutes Zeichen ist, wenn diese Seite nicht erreichbar ist. Das hier gibt zumindest mein Browser (surf 0.6) aus:

 

Interessante Widersprüche tun sich auf...

Mit aktuellem IE (wie bei dir) ergibt https://dhe512.zmap.io/

Mit demselben aktuellen IE ergibt auch https://weakdh.org/:

Dagegen behauptet https://www.ssllabs.com/ssltest/viewMyClient.html für den IE:

Update: Nach Experimentieren mit versch. Einstellungen in den erweiterten Internetoptionen bzgl. TLS ergab ein Deaktivieren des angeblich sichersten TLS 1.2 nun auch bei weakdh.org und dhe512.zmap.io, dass der Browser nicht verwundbar wäre.

Bei Firefox und SeaMonkey dagegen ergibt sich ein einheitlicheres Bild.

 

Bei meinem anderen PC gerade mal getestet.
Der IE 8.0.6001.18702 unter XP (mit Registry-Hack) ist nicht verwundbar.
Firefox ESR 31.7.0 ist verwundbar.

 

Trotz about:config-Änderung lt. Blog?

 

Das habe ich da nicht gemacht. Den PC schalte ich 1-2 mal im Monat ein. Das nächste mal wird es dann wohl das Firefox Update laden.
Bei SeaMonkey habe ich die config-Änderung und er ist damit nicht mehr verwundbar.

 

Na wenns bis dahin noch keinen Patch gibt, solltest du trotzdem den Workaround verwenden. Denn auch der aktuelle 38.0.1 ist ohne diesen ja verwundbar.

 

Das genannte Verfahren zum Schlüsselaustausch ist eine Fallback-Funktion, welche nur dann zum Einsatz kommt, wenn entweder der Server oder der Client andere Verfahren nicht unterstützen. Jetzt stellt sich die Praxisfrage, wann das passiert: bei einem aktuellen Browser wird das nicht vorkommen, da der Benutzer absichtlich die sicheren Verfahren deaktivieren müsste. Bleibt nur der Server. Gängige Standardsoftware ist aber auch hier seit Jahren mit entsprechend guten Methoden ausgestattet. Auch diese müsste der Admin aktiv deaktivieren. Die einzige Situation, wo ein Server ausschließlich den veralteten Standard anbieten würde, wäre demnach ein kompromittierter Server. Wenn man auf so was trifft, dürfte das Abhören der Verbindung durch Dritte jedoch das kleinste Problem des Nutzers sein. Zumal selbst das Szenario nicht wirklich logisch ist, da wenn man Zugriff auf den Server hat, man auch an den privaten SSL-Key für sämtliche Verschlüsselungen kommt und ein Herabsetzen der Verschlüsselung nicht notwendig ist, letztlich dem Interesse des Angreifers sogar entgegen arbeiten würde. Kurz: lasst die Finger vom Browser, es ist sinnfrei.

 

Der Browser sollte aber gepatched werden, weil die Lücke nicht mehr ausgenutzt werden kann, wenn er immun ist.

http://www.heise.de/security/meldun...-2657502.html?wt_mc=rss.security.beitrag.atom

 

"Schaden" tut es sicher nicht. Aber es besteht alles andere als dringender Handlungsbedarf, so dass man manuell in irgendwelche Browserkonfigurationen eingreifen müsste. Wieder ein "Sicherheitsthema" mit dem man die Leute kirre macht, das aber für normale Nutzer keine Praxisrelevanz hat.

 

SemperVideo berichtet, dass sogar das genutzte AV-Programm die Verschlüsselungsstärke reduzieren kann. Nicht sehr nett.

Habe wie im Video Bitdefender, aber das reine AV-Free statt der Security Suite, und konnte die Validierung durch Bitdefender nicht feststellen. Youtube z.B. erfolgt durch Google, wenngleich mit einer ähnlich miesen Stärke wie im Video moniert.

 

Das liegt an den HTTPS Verbindungen, die ja mittlerweile bei Mail Standard sind.
Es ist schon ein Witz, wenn die Ende-zu-Ende-Verschlüsselung aufgebrochen werden muss, damit der Datenstrom gescannt werden kann. Damit geht die Vertraulichkeit der Daten zum Teufel.

 

Wenn man ein AV-Programm den verschlüsselten Datenverkehr scannen lässt, macht dieses Programm nichts anderes, als eine Man-in-the-Middle-Attakte auf das lokale System. Ist auch ganz logisch und prinzipbedingt, denn anders kommt es ja nicht an den Datenstrom heran. Das ist aber eine uralte Erkenntnis. Wir hatten hier auch schon mal als Thema (imo im Zusammenhang mit irgendwelchen E-Mail Programmen).

 

Kaspersky war schon früh dabei mit einem eigenen Netzwerkprotokoll. Das war auch ein Grund, weshalb ich davon 2007 weg bin zu NOD32, der das Netzwerkprotokoll nicht kompromittiert.

 

Bei Firefox 39 soll die Lücke geschlossen sein.
Disable DHE kann man auch bis dahin benutzen.

 

SeaMonkey 2.35 ist nun sicher.