1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › Verschlüsselung: Was noch…

Dem Browser RC4 verbieten...

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema


  1. Dem Browser RC4 verbieten...

    Autor: Rosch 09.09.13 - 14:09

    Ohne jetzt lang nachgegoogelt zu haben gibts ne Möglichkeit dem Firefox RC4 als Cipher zu verbieten bei SSL Verbindungen?

  2. Re: Dem Browser RC4 verbieten...

    Autor: mw_blond 09.09.13 - 14:12

    * about:config
    * "rc4" als Suchbegriff eingeben

  3. Re: Dem Browser RC4 verbieten...

    Autor: zwergberg 09.09.13 - 15:52

    Lustig, meine letzte Aktion, bevor ich diesen Artikel sah, bestand darin, meinen FF (Beta) besseres TLS nutzen zu lassen und RC4 zu deaktivieren. :-)

    Schau dir mal CipherFox an:
    https://addons.mozilla.org/en-US/firefox/addon/cipherfox/

    Der bietet ein simples anti-RC4-Häkchen, aber vor allem zeigt er einem schneller an, wie die momentante TLS-Verbindung gesichert ist.

    Hier kannst Du Dir mal anschauen, welche Methoden Dein Browser unterstützt, bzw. bevorzugt:
    https://cc.dcsec.uni-hannover.de/

    Man kann dem FF, zumindest in Version 24, auch erlauben, TLSv1.1 und 1.2 zu verwenden:
    http://kb.mozillazine.org/Security.tls.version.*

    Ich habe auch die min-Version auf 1 gestellt (d.h. SSL 3.0 ist verboten) und das scheint bisher völlig in Ordnung zu sein.

    In about:config bin ich noch auf folgende Einträge gestoßen:
    "security.ssl.treat_unsafe_negotiation_as_broken" und "security.ssl.require_safe_negotiation". Mit beidem auf "true" funktioniert https://ebay.de nicht mehr, aber ansonsten scheint alles für mich wichtige zu laufen.
    Siehe dazu:
    https://wiki.mozilla.org/Security:Renegotiation#security.ssl.treat_unsafe_negotiation_as_broken

  4. Re: Dem Browser RC4 verbieten...

    Autor: thewayne 09.09.13 - 16:43

    Google verwendet doch noch bis 2014 SSL-Certs mit RC4, oder? Daher keine wirklich praktische Lösung

  5. Re: Dem Browser RC4 verbieten...

    Autor: zwergberg 09.09.13 - 16:59

    thewayne schrieb:
    --------------------------------------------------------------------------------
    > Google verwendet doch noch bis 2014 SSL-Certs mit RC4, oder? Daher keine
    > wirklich praktische Lösung

    Ich bin mir nicht 100% sicher, dass ich verstehe was Du meinst. Jedenfalls funktioniert eine SSL/TLS-Verbindung mit Googles Diensten auch ohne RC4.

    Schau auch mal bei
    https://www.ssllabs.com/ssltest/analyze.html?d=google.com

  6. Re: Dem Browser RC4 verbieten...

    Autor: JackReaper 09.09.13 - 17:24

    _Eigentlich_ ist sowas die Aufgabe des Webmasters.
    RC4-Protokolle gehören an das Ende der Cipher-Suites.

    Im Laufe der letzten 2 Wochen habe ich z.B. viele Stunden damit verbracht meinen Server möglichst abzusichern. Dazu gehört unter anderem das unterstützen von PFS auf möglichst vielen Browsern.
    Die Qualys SSL-Labs-Tests sind da eine sehr große Hilfe.

    Es ist schade, dass man als User teilweise den Job eines schlechten Admins machen muss... In diesem Fall RC4 möglichst ausweichen und HTTPS, wo möglich, erzwingen.

    MfG
    Reaper

  7. Re: Dem Browser RC4 verbieten...

    Autor: JackReaper 09.09.13 - 17:25

    RC4-Suites gehören immer an das ende der unterstützten Cipher-Suites.
    Alles andere ist eine Zumutung und wegen BEAST ziemlich gefährlich.

    Bei Google hab ich da am wenigsten Sorge, die sollten super Admins haben.

    MfG
    Reaper

  8. Re: Dem Browser RC4 verbieten...

    Autor: Rosch 09.09.13 - 18:48

    Hi....

    JackReaper schrieb:
    --------------------------------------------------------------------------------
    > RC4-Suites gehören immer an das ende der unterstützten Cipher-Suites.
    > Alles andere ist eine Zumutung und wegen BEAST ziemlich gefährlich.
    >
    > Bei Google hab ich da am wenigsten Sorge, die sollten super Admins haben.
    Also mein Firefox hat in Standardeinstellung bei google rc4 ausgehandelt.
    Erst mit dem trick von oben hab ichs abgeschaltet. Jetzt nimmt er AES-128.

    Roland

  9. Re: Dem Browser RC4 verbieten...

    Autor: JackReaper 09.09.13 - 19:14

    Wäre interessant zu wissen, welche Cipher-Suit ausgehandelt wurde.
    Kannst du mir das ggf. mitteilen?

    Ich selber setze eher auf folgende Reihenfolge bei meinem Server:

    ECDHE-ECDSA-AES256-GCM-SHA384
    ECDHE-RSA-AES256-GCM-SHA384
    ECDHE-ECDSA-AES256-SHA384
    ECDHE-RSA-AES256-SHA384
    ECDHE-ECDSA-AES128-GCM-SHA256
    ECDHE-RSA-AES128-GCM-SHA256
    ECDHE-ECDSA-AES128-SHA256
    ECDHE-RSA-AES128-SHA256
    ECDHE-ECDSA-RC4-SHA
    ECDHE-RSA-RC4-SHA
    ECDH-ECDSA-RC4-SHA
    ECDH-RSA-RC4-SHA
    ECDHE-RSA-AES256-SHA
    DHE-RSA-AES256-SHA
    RC4-SHA

    Die RC4's sind damit ziemlich weit hinten und ich bekomme aus jedem Forward-Secrecy kompatiblen Browser eine entsprechende FS-Suit verhandelt.
    Am liebsten würde ich ja alle RC4-Suiten einfach rausballern...

    MfG
    Reaper

    Edith mag keine Rechtschreibfehler



    2 mal bearbeitet, zuletzt am 09.09.13 19:19 durch JackReaper.

  1. Thema

Neues Thema


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Ingenieur (w/m/d) Kommunikationstechnik
    Deutscher Bundestag, Berlin
  2. Business Intelligence Sachbearbeiterin / Sachbearbeiter - Datenanalystin / Datenanalyst (m/w/d)
    Kreis Nordfriesland, Husum
  3. SAP Consultant (m/w/d) FI/CO/PS
    Universitätsklinikum Regensburg, Regensburg
  4. Automation Engineer (m/w/d)
    Packsize GmbH, deutschlandweit (Home-Office)

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 499,99€
  2. 499,99€
  3. (u. a. Ryzen 7 5800X für 469€)


Haben wir etwas übersehen?

E-Mail an news@golem.de