News POODLE Sicherheitslücke in SSL gefährdet Passwörter

Nero24

Administrator
Teammitglied
Mitglied seit
01.07.2000
Beiträge
24.058
Renomée
10.440
  • BOINC Pentathlon 2019
  • BOINC Pentathlon 2020
  • BOINC Pentathlon 2018
  • BOINC Pentathlon 2021
Forscher bei Google haben eine neue Sicherheitslücke entdeckt – POODLE genannt. Dieses Mal betrifft der Fehler aber nicht neue OpenSSL-Implementierungen, sondern eine SSL-Variante, die vor 15 Jahren geschrieben wurde, aber unter Umständen auch heute immer noch genutzt wird. Die Rede ist von SSL v3. Zwar wird diese Uralt-Version unter normalen Umständen kaum noch direkt verwendet, jedoch ist sie nach wie vor als Fallback in Server- und Client-Software enthalten, so auch bei praktisch allen aktuellen Browsern, die SSL v3 immer dann nutzen, wenn eine Verbindung per TLS fehlschlägt.
(…)

» Artikel lesen
 
Zuletzt bearbeitet:
Hallo - Danke für die Erklärung

Mit dem Screenshot kann ich als Laie meinen Firefox in Sekundenschnelle sichern = super

mfg
 
Auf https://www.poodletest.com kann man testen, ob die eigene Browserkonfiguration für die Lücke anfällig ist. Das ist vor allem für die Browser interessant, zu denen es bis jetzt noch keine konkrete Aussage gibt.
 

Hmm:
Firefox schrieb:
Dieser Verbindung wird nicht vertraut

Sie haben Firefox angewiesen, eine gesicherte Verbindung zu dev.ssllabs.com aufzubauen, es kann aber nicht überprüft werden, ob die Verbindung sicher ist.

Wenn Sie normalerweise eine gesicherte Verbindung aufbauen, weist sich die Website mit einer vertrauenswürdigen Identifikation aus, um zu garantieren, dass Sie die richtige Website besuchen. Die Identifikation dieser Website dagegen kann nicht bestätigt werden.

Im Heise - Forum habe ich gelernt, dass es noch zwei
"inoffizielle" Testseiten gibt:

> https://www.gdp.de/

und

> https://www.citibank.com/

Gebrauchsanleitung:

Wenn diese beiden Seiten _nicht_ funktionieren (d.h. wenn die Meldung
kommt: "Gesicherte Verbindung fehlgeschlagen"), dann ist es gut...;)

"Gut" natürlich nur für Leute, die kein Konto bei der citibank haben.

Update: Die Citibank-Seite scheint aktualisiert worden zu sein. Bleibt also nur noch https://www.gdp.de/

Grund: Die Server hinter den beiden solchen Webseiten unterstützen
anscheinend noch SSL3 (und am Ende auch noch SSL2, wer weiß), aber
gar kein TLS in irgendeiner Version.

Beste Grüße
DAC324

P.S.: Bei der Gelegenheit kann man SSLv3 auch gleich in Java abschalten. -> Systemsteuerung, Java, Erweitert, Erweiterte Sicherheitseinstellungen.
 
Zuletzt bearbeitet:
Zurück
Oben Unten