Logjam - alle Operas betroffen

Fragen und Antworten zu Opera Blink ab Version 15
Forumsregeln
Bild Bei Fragen bitte immer Version (Developer, Next oder Stable) sowie Versionsnummer angeben.
So kann dir schneller geholfen werden.
Antworten

Du kannst eine Option auswählen

 
 
Ergebnis anzeigen

rauhahrdaggl

Logjam - alle Operas betroffen

Beitrag von rauhahrdaggl » 21.05.2015, 09:03

Warning! Your web browser is vulnerable to Logjam and can be tricked into using weak encryption. You should update your browser.
Alle außer IE, der mal nicht, da bereits gepatcht. Auch waldi, otter. :(

ua. heise.de

Tante Google

Logjam - alle Operas betroffen

Beitrag von Tante Google » 21.05.2015, 09:03


Benutzeravatar
Ice007
Meister
Meister
Beiträge: 385
Registriert: 22.06.2014, 00:06

Re: Logjam - alle Operas betroffen

Beitrag von Ice007 » 21.05.2015, 11:42

Opera Presto ist auch sicher! Der scheint immun zu sein - zumindest bei mir: 12.17/Win7.
(Allerdings muss man dort, anders als beim IE, das Zertifikat manuell ablehnen.)

Testseite & weitere Infos
Bild

Benutzeravatar
GwenDragon
★ Team Forum ★
Beiträge: 6902
Registriert: 20.07.2014, 12:25
Geschlecht:

Re: Logjam - alle Operas betroffen

Beitrag von GwenDragon » 21.05.2015, 14:54

Opera 12.17 ist auch unsicher, weil es implizit unsichere Verbindungen nicht gleich wegwirft.

Diese sind unsicher seit Installation: Firefox 37, alle Chrom* und Operas, Vivaldi, Otter.
Klar kann man jetzt auch noch wie blöd in der Konfiguration mancher Browser rumwurschteln oder Chrom* nur noch mit bestimmten cipher-Parametern in der Kommandozeile starten. Nru wer macht das als Normalnutzer?
Schlimm genug, dass so mancher Browser bei Chiffren gar RC4 und SHA1 nicht verbietet.

PS: Und übrigens, wer seine SSL-Verbindung mit dem Virenscanner, Firewall oder Hardwaregateway o. ä. scannen lässt, kann gleich die Sicherheit in den Müll werfen.


:bernd: Config-"Fixes" bei Firefox + Chrom* auf https://kubieziel.de/blog/archives/1595 ... chern.html beschrieben.

Benutzeravatar
GwenDragon
★ Team Forum ★
Beiträge: 6902
Registriert: 20.07.2014, 12:25
Geschlecht:

"FIX" für neue Opera und Chromiums

Beitrag von GwenDragon » 21.05.2015, 15:38

Browser mit folgenden Parametern (in einer Verknüpfung) starten:

Code: Alles auswählen

 --cipher-suite-blacklist=0x0001,0x0002,0x0004,0x0005,0x0017,0x0018,0xcc15,0x009e,0x0039,0x0033,0xc002,0xc007,0xc00c,0xc011,0xc016,0xff80,0xff81,0xff82,0xff83 
Hilft aber nicht, wenn aus anderen Anwendugen wie Mailclient, Office etc. der Browser gestartet wird, da im Betriebssystem für den Browser diese Parameter nicht registriert sind.

Und es ann auf manchen Webseiten Problem verursachen, weil deren Server unsicher konfiguriert sind. Müsst ihr selbst :heulen: oder deren Admin ein dummes Toastbrot :bernd: schimpfen.

Diese verdammten ChromPera haben eben keine Blacklist für tödliche Chiffren :( :sauer:

Benutzeravatar
GwenDragon
★ Team Forum ★
Beiträge: 6902
Registriert: 20.07.2014, 12:25
Geschlecht:

Re: Logjam - alle Operas betroffen

Beitrag von GwenDragon » 21.05.2015, 15:43

Auf https://www.ssllabs.com/ssltest/viewMyClient.html könnt ihr dann testen wie sicher der Browser nun bei SSL ist.

nanub

Re: Logjam - alle Operas betroffen

Beitrag von nanub » 21.05.2015, 22:50

Test mit akt. Iron (42.0.2250.1)
http://www.ssllabs.com/ssltest/viewMyClient.html
sagt: Logjam Vulnerability (Experimental) Your user agent is not vulnerable.

https://weakdh.org/
dagegen: "Warning! Your web browser is vulnerable to Logjam and can be tricked into using weak encryption.
You should update your browser.

Und nü? :heulen:

Benutzeravatar
thehop
Berater
Berater
Beiträge: 211
Registriert: 17.02.2009, 20:30
Geschlecht:

Re: Logjam - alle Operas betroffen

Beitrag von thehop » 21.05.2015, 23:51

SSL/TLS Capabilities of Your Browser https://www.ssllabs.com/ssltest/viewMyClient.html

User Agent: Opera/9.80 (Windows NT 5.1) Presto/2.12.388 Version/12.17
ersetzt durch (opera:config -> User Prefs -> Custom User-Agent)
$_f.html($cs.userAgent) (wie unter Firefox - siehe gaaanz unten)

Protocol Support
Your user agent has good protocol support.

Your user agent supports TLS 1.2, which is the best available protocol version at the moment.

Logjam Vulnerability (Experimental)
Your user agent is not vulnerable.
:)
For more information about the Logjam attack, please go to weakdh.org.
To test manually, click here. Your user agent is not vulnerable if it fails to connect to the site

... bla ...

Protocols
TLS 1.2 Yes
TLS 1.1 Yes
TLS 1.0 Yes
SSL 3 No
SSL 2 No
BTW: Gilt mglw. auch für den nativen Firefox ...
Re: Logjam Attack against the TLS Protocol Unread postby loxodont » Wed May 20, 2015 7:30 pm
http://forum.palemoon.org/viewtopic.php ... jam#p54532

Haven't installed PMC yet (because of > "dragons")
In an another forum some dude gave advice to go

in about:config
security.ssl3.dhe_dss_aes_128_sha
security.ssl3.dhe_rsa_aes_128_sha
security.ssl3.dhe_rsa_aes_256_sha

and set evrything to "false".
EDIT: Habs ergänzt - erst JETZT zeigt es Wirkung ... :daumen:
palemoon-firefox-no-Logjam.png
How to remove User-Agent for Firefox
http://superuser.com/questions/692530/h ... or-firefox
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
... Schwarzmalen geht leicht - B u N t h e i T ist Übung ... ^L^ https://www.colorfonts.wtf

Antworten