Sicherheit in GLF und Internet - Wichtig für neue User!
Benutzeravatar
Lavinia Halbritter
Beiträge: 2183
Registriert: 28.07.2010, 21:57
AoA: Puppen

Re: GLF mit https

Beitrag von Lavinia Halbritter »

Wie wäre es wenn du dir immer die neuste Version vom Tor Browser holst? Dann hast du jedes mal alles neu.
Benutzeravatar
Annika
Beiträge: 4493
Registriert: 08.10.2008, 21:38
AoA: 90's bitch
Wohnort: Kein Busen ist so flach wie das Niveau dieser Party!

Re: GLF mit https

Beitrag von Annika »

ist das bestätigt?
Dumm fickt gut. Noch Fragen ??
Benutzeravatar
Horizonzero
Beiträge: 13320
Registriert: 29.01.2009, 18:08
AoA: ab 8 aufwärts
Wohnort: [email protected]

Re: GLF mit https

Beitrag von Horizonzero »

Nein Anika. das ganze Problem hatte nichts mit der Datenbank zu zun - die zumal auf einem anderen Server liegt als dem, mit dem sich Dein Browser verbindet.

Wie das ganze ablief ist in den weiter oben aufgeführten Links recht anschaulich demonstriert. Keine Bange, die Daten sind sicher- und wir (Technische Fraktion) könnten schon heute nicht mehr sagen mit welcher IP Du das gepostet hast.
679KCNGQQ (Teleguard)
Benutzeravatar
Annika
Beiträge: 4493
Registriert: 08.10.2008, 21:38
AoA: 90's bitch
Wohnort: Kein Busen ist so flach wie das Niveau dieser Party!

Re: GLF mit https

Beitrag von Annika »

Das ist schon klar Hori. Aber es ist eine grundsätzliche Frage. Der Heartbleed Bug (und das ist der einzige!) ist in bestimmten Versionen von SSL enthalten. Die Frage ist, ob das eine Sache der serverseitigen oder browserseitigen Version ist. Was nützt mir die serverseitige Aufrüstung wenn mein Browser doch auf einen Angriff reagiert (zb via Tor). Komischerweise kann ich allerhand SSL Versionen aktivieren aber das ist alles SSL 3 (und dann entsprechend DH DES AES ect,,).

Wenn jemand weiss, wo der öffentliche Schlüssel im FF liegt bitte Bescheid geben !
Dumm fickt gut. Noch Fragen ??
Benutzeravatar
Ovid
Beiträge: 9521
Registriert: 09.10.2008, 20:26
Wohnort: ricochet:y3oy6i4ubgu4b2pd

Re: GLF mit https

Beitrag von Ovid »

Annika hat geschrieben: Die Frage ist, ob das eine Sache der serverseitigen oder browserseitigen Version ist.
Die meisten Browser benutzen kein OpenSSL. Diese Lib ist eher für Server gedacht.
Firefox und Chrome nutzen NSS, Internet Explorer hat seine eigene Lib von Windows.
Wer irgendein unixartiges OS benutzt sollte natürlich trotzdem selbstverständlich upgraden. Tools wie wget u.a. benutzen OpenSSL.
Annika hat geschrieben: Wenn jemand weiss, wo der öffentliche Schlüssel im FF liegt bitte Bescheid geben !
Welcher öffentliche Schlüssel denn?

Bei der Verbindung zu einem Server kriegst du seinen öffentlichen Schlüssel innerhalb eines Zertifikats mitgeteilt.

Die öffentlichen Schlüssel der vorinstallierten Wurzelzertifikate findest du in den Einstellungen -> Erweitert -> Zertifikate -> Zertifikate anzeigen.

Der Browser-Client selbst hat kein Schlüsselpaar (und somit auch keine Signatur?!)
Das gibt es nur bei Mutual authentication. Das ist aber eher für Dienste geeignet wo wirklich nur ein Admin oder bestimmte Personen Zugriff haben sollten. Zum Beispiel bei SSH.

Der Grund warum manche aufgezeichnete TLS-Verbindungen nach dem Klau des privaten Schlüssels entschlüsselt werden können, ist weil die Aushandlung des symmetrischen Schlüssels zur weitergehenden Kommunikation zwischen Client und Server ja komplett mitgelesen werden kann (man hat ja den privaten Schlüssel des Servers).
Es gibt eine Technik bei dem man den Schlüsseltausch komplett mitlesen kann und trotzdem nicht weiß, welcher Schlüssel nun am Ende von beiden Parteien benutzt wird. Dieses Verfahren nennt man Diffie-Hellmann-Schlüsseltausch.
Dieses ist zwar angreifbar, wenn der Man-in-the-Middle Daten in der Verbindung aktiv verändern kann, allerdings nützt einem das ja nichts, wenn die Kommunikation in der Vergangenheit liegt. Somit trägt dieses Verfahren das Attribut (Perfect Forward Secrecy).

Woran sieht man ob die Verbindung mit PFS-Eigenschaft verschlüsselt wird? Naja... Firefox zeigt es soweit ich weiß leider nirgends an. Man kann aber wieder versuchen in der about:config alle cipher suites ohne DHE oder ECDHE zu verbieten. (DH = Diffie-Hellman, E=ephemeral (wichtig!), EC=Elliptic Curve)
Benutzeravatar
Annika
Beiträge: 4493
Registriert: 08.10.2008, 21:38
AoA: 90's bitch
Wohnort: Kein Busen ist so flach wie das Niveau dieser Party!

Re: GLF mit https

Beitrag von Annika »

Ovid hat geschrieben: Der Browser-Client selbst hat kein Schlüsselpaar
Ovid hat geschrieben: weil die Aushandlung des symmetrischen Schlüssels zur weitergehenden Kommunikation zwischen Client und Server ja komplett mitgelesen werden kann (man hat ja den privaten Schlüssel des Servers).
Ovid hat geschrieben: Es gibt eine Technik bei dem man den Schlüsseltausch komplett mitlesen kann und trotzdem nicht weiß, welcher Schlüssel nun am Ende von beiden Parteien benutzt wird. Dieses Verfahren nennt man Diffie-Hellmann-Schlüsseltausch.
Gut, ich dachte es wäre eine Art PGP-Kommunikation. Aber ich selbst habe also kein Schlüsselpaar.
Nun wird also ein symmetrischer Schlüssel erzeugt. Da ich keinen PGP-Paar habe nehm ich mal an, dass ich den symmetrischen Schlüssel selber erzeuge und es dem Server mitteile.
Nur warum sprichst Du dann von einem *Schlüsseltausch* ? Und inwieweit wird bei Heartbleed eine Lücke ausgenutzt - der Server weiss doch ohnehin was ich schreibe ...
Dumm fickt gut. Noch Fragen ??
Benutzeravatar
Ovid
Beiträge: 9521
Registriert: 09.10.2008, 20:26
Wohnort: ricochet:y3oy6i4ubgu4b2pd

Re: GLF mit https

Beitrag von Ovid »

Annika hat geschrieben: Nun wird also ein symmetrischer Schlüssel erzeugt. Da ich keinen PGP-Paar habe nehm ich mal an, dass ich den symmetrischen Schlüssel selber erzeuge und es dem Server mitteile.
Nur warum sprichst Du dann von einem *Schlüsseltausch* ?
Das ist natürlich vereinfacht gesprochen. Es werden eben Verfahren als "Schlüsseltausch" bezeichnet, bei denen am Ende beide Kommunikationspartner den selben Schlüssel errechnen konnten. Dazu zählt Diffie-Hellmann, aber eben auch andere Verfahren.
Annika hat geschrieben: Und inwieweit wird bei Heartbleed eine Lücke ausgenutzt - der Server weiss doch ohnehin was ich schreibe ...
Man kann mit Heartbleed Passwörter und Cookies der User/Admins und den privaten Schlüssel des Servers klauen und zwar von egal wo und als egal wer.
Benutzeravatar
Annika
Beiträge: 4493
Registriert: 08.10.2008, 21:38
AoA: 90's bitch
Wohnort: Kein Busen ist so flach wie das Niveau dieser Party!

Login

Beitrag von Annika »

Login immer noch möglich per http. Euch gehören die Eier getasert
Dumm fickt gut. Noch Fragen ??
Benutzeravatar
kEsel
Beiträge: 1068
Registriert: 10.08.2009, 23:09
AoA: 6 - 11
Wohnort: [email protected]

Re: Login

Beitrag von kEsel »

Du hast in gewisser weise sicherlich recht, aber es gibt auch eine andere Seite der Medaille.

Solange das GLF mit selbstsignierten Zertifikaten arbeitet, können wir nicht ein Login über SSL erzwingen. Das könnte potentielle Nutzer abschrecken und ist für viele Nutzer wenig vertrauenswürdig.

Und das ist der Grund, warum das GLF kein SSL erzwingt.
Normal ist uncool !
Und ich liebe dich doch! >> https://www.girlloverforum.net/userpage ... /index.php
Antworten