Re: GLF mit https
Verfasst: 15.04.2014, 22:16
Wie wäre es wenn du dir immer die neuste Version vom Tor Browser holst? Dann hast du jedes mal alles neu.
Die meisten Browser benutzen kein OpenSSL. Diese Lib ist eher für Server gedacht.Annika hat geschrieben: Die Frage ist, ob das eine Sache der serverseitigen oder browserseitigen Version ist.
Welcher öffentliche Schlüssel denn?Annika hat geschrieben: Wenn jemand weiss, wo der öffentliche Schlüssel im FF liegt bitte Bescheid geben !
Ovid hat geschrieben: Der Browser-Client selbst hat kein Schlüsselpaar
Gut, ich dachte es wäre eine Art PGP-Kommunikation. Aber ich selbst habe also kein Schlüsselpaar.Ovid hat geschrieben: weil die Aushandlung des symmetrischen Schlüssels zur weitergehenden Kommunikation zwischen Client und Server ja komplett mitgelesen werden kann (man hat ja den privaten Schlüssel des Servers).
Ovid hat geschrieben: Es gibt eine Technik bei dem man den Schlüsseltausch komplett mitlesen kann und trotzdem nicht weiß, welcher Schlüssel nun am Ende von beiden Parteien benutzt wird. Dieses Verfahren nennt man Diffie-Hellmann-Schlüsseltausch.
Das ist natürlich vereinfacht gesprochen. Es werden eben Verfahren als "Schlüsseltausch" bezeichnet, bei denen am Ende beide Kommunikationspartner den selben Schlüssel errechnen konnten. Dazu zählt Diffie-Hellmann, aber eben auch andere Verfahren.Annika hat geschrieben: Nun wird also ein symmetrischer Schlüssel erzeugt. Da ich keinen PGP-Paar habe nehm ich mal an, dass ich den symmetrischen Schlüssel selber erzeuge und es dem Server mitteile.
Nur warum sprichst Du dann von einem *Schlüsseltausch* ?
Man kann mit Heartbleed Passwörter und Cookies der User/Admins und den privaten Schlüssel des Servers klauen und zwar von egal wo und als egal wer.Annika hat geschrieben: Und inwieweit wird bei Heartbleed eine Lücke ausgenutzt - der Server weiss doch ohnehin was ich schreibe ...