1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Mozilla: Firefox holt veraltetes TLS…

Das rauswerfen alter Protokolle ist immer Scheisse

  1. Thema

Neues Thema Ansicht wechseln


  1. Das rauswerfen alter Protokolle ist immer Scheisse

    Autor: rubberduck09 23.03.20 - 15:09

    Dass man bei veralteten Protokollen per default eine Warnung ausgibt oder erst gar nicht connected ist für 99% der User korrekt - aber es gibt noch welche die im LAN (nicht WAN) noch Hardware haben die nur TLSv1.0 oder gar SSLv2.0 spricht. Und die möchte ich schon gerne weiter nutzen können - gerne muss ich dann die IP oder das Netz für die alten Protokolle freischalten (Sicherheit geht vor) aber ganz rauswerfen heisst auch ansonsten prima funktionierende Hardware zu verschrotten spätestens beim nächsten anstehenden Netzwerk-Umbau.

    So sprechen einige (ältere) HP Printserver nur Java auf ihrer Config-Webseite - kommt man nimmer dran, muss man also einen sonst prima funktionierenden (Dank PCL/Postfix) Drucker entsorgen für den man ggf. noch Altbestände an Toner hat die man gerne noch verbrauchen möchte.

  2. Re: Das rauswerfen alter Protokolle ist immer Scheisse

    Autor: HeroFeat 23.03.20 - 16:31

    Es geht ja auch gerade darum Altlasten loszuwerden. Das vereinfacht die Wartung und den Umbau von internen Strukturen.

    Und man möchte ja auch nicht, das die Browser (was ja ohnehin schon passiert) immer größer werden.

    Und ein Gerät welche nur TLSv1.0 oder gar SSLv2.0 können würde ich nicht als "prima funktionierende Hardware" beschreiben. Das deutet ja auf ein grundsätzliches Fehlen von Updates seit etlichen Jahren hin. Und Geräte ohne Updates sind aus meiner Sicht praktisch immer Sicherheitsgefahren.

  3. Re: Das rauswerfen alter Protokolle ist immer Scheisse

    Autor: dummi 23.03.20 - 17:11

    HeroFeat schrieb:
    --------------------------------------------------------------------------------
    > Und ein Gerät welche nur TLSv1.0 oder gar SSLv2.0 können würde ich nicht
    > als "prima funktionierende Hardware" beschreiben. Das deutet ja auf ein
    > grundsätzliches Fehlen von Updates seit etlichen Jahren hin. Und Geräte
    > ohne Updates sind aus meiner Sicht praktisch immer Sicherheitsgefahren.

    Das stimmt natürlich.

    Mich traf dieses Thema auch, aber an anderer Stelle. Unser Admin deaktivierte TLS1.0 bei der WLAN Anmeldung. Seitdem kann ich mit meinem LG Telefon mich nicht mehr am Firmennetz anmelden.

    Was mich ärgert ist nicht der Admin, sondern der Hersteller meines Telefons (in dem Fall LG). Mein Telefon kam 2016 auf den Markt und unterstützt TLS1.2 nicht, das laut Wikipedia seit 2008 existiert. Natürlich ist auch kein Update mehr vorgesehen und wenn ich jetzt Update sage, dann denke ich nicht an eine neue Android Version, sondern an "einfache" Security Patches.

    Es wird soviel über Nachhaltigkeit geredet, aber im Bereich der Elektronik erlaubt man den Herstellern ein funktionierendes Gerät über veraltete Software unbrauchbar zu machen um neue Geräte verkaufen zu können. Das ist weder volkswirtschaftlich noch ökologisch sinnvoll. Ich fordere eine Mindestfrist mit der elektronische Geräte mit Sicherheitsupdates versorgt werden müssen und zwar länger als zwei Jahre.

  4. Re: Das rauswerfen alter Protokolle ist immer Scheisse

    Autor: ldlx 23.03.20 - 17:39

    Mir fällt da grad die AMD RaidXPert-Software für die Billig-RAID-Controller auf AMD-Boards ein (ca. die Zeit von FM1/FM2), die konnten nur SSL 3.0 und machten schon vor Jahren Probleme.
    Ein Dell iDRAC6 kann auch nur TLS 1.0, gerade am Wochenende mit Firefox 74 und einem R710 erlebt. Abgesehen davon keine Verbindung zum Java-Applet zur Bildschirmsteuerung, da gehts zurück bis RC4, aber das ist ein anderes Problem.

  5. Re: Das rauswerfen alter Protokolle ist immer Scheisse

    Autor: vvwolf 23.03.20 - 22:51

    @dummi
    Ein typischer Entwicklungszyklus bei einer großen deutschen Firma geht wie folgt:

    1990: Entwicklung einer Schaltung für ein mikroprozessorgesteuertes Telefon.
    1994: Das Relais wird von da ab weggelassen und nur noch die Tonwahl angesteuert.
    2004: Erweiterung der Schaltung mit einem USB-auf-RS232c-Umsetzer.
    2012: Erweiterung der Schaltung mit einem Ethernet-Interface und einem ADC-IP-Umsetzer.
    2015: Die Stromversorgung wird weggelassen, stattdessen der IP-Umsetzer durch ein PoE-Modul erweitert.

    Bei so einem Entwicklungsprozess ist kaum Platz für Schnickschnack wie SSL oder TLS. Der Mann, der die usprüngliche Schaltung mal entwickelt hat, der ist ja auch schon lange pensioniert, also sind zukünftige Änderungen kategorisch ausgeschlossen. Im Grunde hat man vergessen, wie Telefone überhaupt aufgebaut sind.



    1 mal bearbeitet, zuletzt am 23.03.20 22:55 durch vvwolf.

  6. Re: Das rauswerfen alter Protokolle ist immer Scheisse

    Autor: dummi 24.03.20 - 07:33

    @vvwolf

    Es ist in meinem Post vermutlich nicht so zum Ausdruck gekommen, aber es handelt sich in meinem Fall um ein Android Smartphone und das ist wohl nichts anderes als ein kleiner Computer. Wäre es ein Linux System würde ich mir mal die Version der openssl Bibliotheken und die Einstellungen des WPA Supplicant anschauen und genau so könnte das ein Konzern wie LG mit seinem Android Repository machen - wenn sie denn nur wollten. Ein Hexenwerk ist es nicht.

  7. Re: Das rauswerfen alter Protokolle ist immer Scheisse

    Autor: chefin 24.03.20 - 14:07

    ja, alte Dinge einfach rauswerfen ist echt scheisse.

    Keine Pferdehalfter mehr bei der Autowerkstatt. Keine 135R15 mehr beim Reifenhändler(Ur-Käferbereifung), Keine Vinyldächer mehr auf den Autos, kein Mittelwelle mehr in den Radios, kein Wählscheibentelefon(kein Scheibenwähler mit Tonumsetzer, sondern Pulswähler) mehr und zu guter letzt darf nicht fehlen: kein C64 mehr.

    Achja, Bruce Lee ist auch tot und Chuck Norris ist 80.

  8. Re: Das rauswerfen alter Protokolle ist immer Scheisse

    Autor: ratti 27.03.20 - 19:13

    rubberduck09 schrieb:
    --------------------------------------------------------------------------------
    > es gibt noch
    > welche die im LAN (nicht WAN) noch Hardware haben die nur TLSv1.0 oder gar
    > SSLv2.0 spricht.

    Ich verstehe deine Argumente sehr gut.

    Das Problem ist hier, dass „TLS1.0“ keine eigenständige Software ist, die man einfrieren oder disablen könnte, sondern dass das alter Legacy-Code ist, der innerhalb der Bibliotheken liegt, die auch aktuelle Versionen implementieren.

    An dem Punkt gibt es halt nur noch ein „oder“: Entweder setze ich 99% der User einem Risiko aus, oder ich nehme 1% der User ihr Feature weg.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. über duerenhoff GmbH, Augsburg
  2. ip&more GmbH, München, Ismaning
  3. Münchener Rückversicherungs-Gesellschaft AG, München
  4. THD - Technische Hochschule Deggendorf, Deggendorf

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. 249€ (Vergleichspreis 277,99€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Homeschooling-Report: Wie Schulen mit der Coronakrise klarkommen
Homeschooling-Report
Wie Schulen mit der Coronakrise klarkommen

Lösungen von Open Source bis kommerzielle Lernsoftware, HPI-Cloud und Lernraum setzen Schulen derzeit um, um ihre Schüler mit Aufgaben zu versorgen - und das praktisch aus dem Stand. Wie läuft's?
Ein Bericht von Stefan Krempl

  1. Kinder und Technik Elfjährige CEO will eine Milliarde Kinder das Coden lehren
  2. IT an Schulen Intelligenter Stift zeichnet Handschrift von Schülern auf
  3. Mädchen und IT Fehler im System

IT-Chefs aus Indien: Mehr als nur ein Klischee
IT-Chefs aus Indien
Mehr als nur ein Klischee

In den Vorstandsetagen großer Tech-Unternehmen sind Inder allgegenwärtig. Der Stereotyp des IT-Experten aus Südasien prägt die US-Popkultur. Doch hinter dem Erfolg indischstämmiger Digitalunternehmer steckt viel mehr.
Ein Bericht von Jörg Wimalasena

  1. Container, DevOps, Agilität Runter von der Insel!
  2. Generationenübergreifend arbeiten Bloß nicht streiten
  3. Frauen in der Technik Von wegen keine Vorbilder!

Coronakrise: Welche Hilfen IT-Freelancer bekommen
Coronakrise
Welche Hilfen IT-Freelancer bekommen

Das Hilfspaket des Bundes in Milliardenhöhe sieht kaum Leistungen vor, mit denen IT-Freelancer etwas anfangen können. Den Bitkom empört das nicht.
Ein Bericht von Gerd Mischler

  1. Jobporträt Softwaretester "Ein gesunder Pessimismus hilft"
  2. Frauen in der IT Software-Entwicklung ist nicht nur Männersache
  3. Virtuelle Zusammenarbeit Wie Online-Meetings nicht zur Zeitverschwendung werden