News POODLE Sicherheitslücke in SSL gefährdet Passwörter

Nero24 · 16.10.2014

Forscher bei Google haben eine neue Sicherheitslücke entdeckt – POODLE genannt. Dieses Mal betrifft der Fehler aber nicht neue OpenSSL-Implementierungen, sondern eine SSL-Variante, die vor 15 Jahren geschrieben wurde, aber unter Umständen auch heute immer noch genutzt wird. Die Rede ist von SSL v3. Zwar wird diese Uralt-Version unter normalen Umständen kaum noch direkt verwendet, jedoch ist sie nach wie vor als Fallback in Server- und Client-Software enthalten, so auch bei praktisch allen aktuellen Browsern, die SSL v3 immer dann nutzen, wenn eine Verbindung per TLS fehlschlägt.
(…)

» Artikel lesen

Uriens_The_Gray · 16.10.2014

Die fuer Firefox beschriebene Methode funktioniert auch in gleicher Weise in Thunderbird

RedBaron · 17.10.2014

Die Methode funktioniert auch mit Firefox 33 auf den Betriebssystemen Android 4.4.2 und Ubuntu Linux 14.04 .
Wäre noch gut zu wissen ob iOS oder Safari betroffen ist.
Auf heise.de steht nichts von Apple Software, nur ein allgemeiner Hinweis
Dienste oder Software, welche SSLv3 verwenden.

http://www.heise.de/security/meldung/So-wehren-Sie-Poodle-Angriffe-ab-2424327.html

al_ghandi · 17.10.2014

Hallo - Danke für die Erklärung

Mit dem Screenshot kann ich als Laie meinen Firefox in Sekundenschnelle sichern = super

mfg

Layer8 · 17.10.2014

Auf https://www.poodletest.com kann man testen, ob die eigene Browserkonfiguration für die Lücke anfällig ist. Das ist vor allem für die Browser interessant, zu denen es bis jetzt noch keine konkrete Aussage gibt.

RedBaron · 18.10.2014

Hier ist noch eine URL zum testen:

https://dev.ssllabs.com/ssltest/viewMyClient.html

DAC324 · 23.10.2014

RedBaron schrieb:
Hier ist noch eine URL zum testen:

https://dev.ssllabs.com/ssltest/viewMyClient.html

Hmm:

Firefox schrieb:
Dieser Verbindung wird nicht vertraut

Sie haben Firefox angewiesen, eine gesicherte Verbindung zu dev.ssllabs.com aufzubauen, es kann aber nicht überprüft werden, ob die Verbindung sicher ist.

Wenn Sie normalerweise eine gesicherte Verbindung aufbauen, weist sich die Website mit einer vertrauenswürdigen Identifikation aus, um zu garantieren, dass Sie die richtige Website besuchen. Die Identifikation dieser Website dagegen kann nicht bestätigt werden.

Im Heise - Forum habe ich gelernt, dass es noch zwei
"inoffizielle" Testseiten gibt:

> https://www.gdp.de/

und

> ~~https://www.citibank.com/~~

Gebrauchsanleitung:

Wenn diese beiden Seiten _nicht_ funktionieren (d.h. wenn die Meldung
kommt: "Gesicherte Verbindung fehlgeschlagen"), dann ist es gut...

"Gut" natürlich nur für Leute, die kein Konto bei der citibank haben.

Update: Die Citibank-Seite scheint aktualisiert worden zu sein. Bleibt also nur noch https://www.gdp.de/

Grund: Die Server hinter ~~den beiden~~ solchen Webseiten unterstützen
anscheinend noch SSL3 (und am Ende auch noch SSL2, wer weiß), aber
gar kein TLS in irgendeiner Version.

Beste Grüße
DAC324

P.S.: Bei der Gelegenheit kann man SSLv3 auch gleich in Java abschalten. -> Systemsteuerung, Java, Erweitert, Erweiterte Sicherheitseinstellungen.

News POODLE Sicherheitslücke in SSL gefährdet Passwörter

Nero24

Administrator

Uriens_The_Gray

Redshirt

RedBaron

Admiral Special

al_ghandi

Commander

Layer8

Cadet

RedBaron

Admiral Special

DAC324

Commodore Special

Ähnliche Themen