SSL auf dem Server?

[TomZZZZ]

Im Rahmen der aktuellen "Poodle SSL Vulnerability" Diskussion, hab ich mal den zroadster Server gecheckt. Ergebnis: Angreifbar. Er lässt sich auf die alten SSLv3 Verbindungen ein, die seit heute als hoch kritisch eingestuft werden.

Relevant scheint das aber momentan nicht zu sein, da die Seiten ja rein plain ausgegeben werden. Ist hier eigentlich https irgendwann mal vorgesehen?

Mich würde es freuen

Zum fixen im Apache einfach unter /etc/apache2/mods-available/ssl.conf die Zeilen

# enable SSLv3 and all available TLSv1 flavors, but not SSLv2
SSLProtocol All -SSLv2

in

# all available TLSv1 flavors, but not SSLv2 and SSLv3
SSLProtocol All -SSLv2 -SSLv3

abändern und reloaden/restarten.

Ansonsten für generellen SSL Support mal ein Zertifikat besorgen, StartSSL hat für die Dauer von 1 Jahr sogar kostenlose.

Cheers Tom

 

[Wackel]

Ich verstehe nur "Bahnhof"

 

[Elias]

... ich auch! Das heißt - nein, ich verstehe außer "Bahnhof" noch "Kofferklauen".

Aber ich finde gut, dass hier jemand mitdenkt und nicht nur sagt: "Man müsste mal ...", sondern ganz konkrete Vorschläge macht, mit welchen Statements (einschließlich Syntax) man die Sicherheitslage des Servers grundsätzlich verbessern kann.

 

[TomZZZZ]

Na Bahnhof ist doch schon mal gut.

Stellt euch vor, zroadster.com ist ein Bahnhof. Es gibt jede Menge Gleise und Züge (Verbindungen, z.B. Ihr loggt euch mit Usernamen und Passwort ein). Der Zug in dem ihr sitzt ist quasi ein offener Güterwagon, jeder der möchte, kann euch dabei beobachten was Ihr auf diesem Wagon macht, welche Passworte ihr übermittelt, mit wem ihr euch unterhaltet und welche Kontodaten und Telefonnummern hier bei den Unterhaltungen ausgetauscht werden - man braucht nur neben dem Gleis zu stehen und zuzuschauen.

Nun gibt es SSL (das ist aktiviert, sobald oben in der Adresszeile ein httpS davor steht). Die Daten werden hiermit verschlüsselt und ihr sitzt schonmal in einem Regionalexpress, man kann nur durch die Fenster reinschauen, aber es macht schon mehr Mühe zu erkennen, mit wem Ihr euch unterhaltet und was Ihr so austauscht. Besser als gar nix, aber immer noch möglich (SSL Version 3). Man dachte bisher es sei sicher genug, da der Zug eh schnell genug durchrast und man nichts erkennen kann, aber es gibt mittlerweile Methoden auch hier mitzulesen.

Seit gestern wird daher empfohlen auf die besseren Varianten von TLS zu setzen (Geschlossene Züge) und keine unsicheren Züge mehr in den Bahnhof zu lassen, benutzt eh kaum noch einer.

Mir ist bewusst, dass zroadster größtenteils öffentlich ist und damit es shit egal ist ob jemand überhaupt verschlüsselt unterwegs ist. Bei Unterhaltungen und Austausch von Kontoinfos und so halte ich das aber dennoch für sinnvoll, zumal es quasi nichts kostet - außer den Aufwand es einzurichten. Es gibt keinen Grund das nicht abzusichern - außer aus Bequemlichkeit - daher die Frage Bei Facebook oder Amazon wäre jetzt ein Shitstorm los gegangen, wenn man festgestellt hätte, dass das dort möglich ist.

Das war jetzt extremst abstrakt dargestellt

 

[sebzzz]

Na Bahnhof ist doch schon mal gut.

Stellt euch vor, zroadster.com ist ein Bahnhof. Es gibt jede Menge Gleise und Züge (Verbindungen, z.B. Ihr loggt euch mit Usernamen uns Passwort ein). Der Zug in dem ihr sitzt ist quasi ein offener Güterwagon, jeder der möchte, kann euch dabei beobachten was Ihr auf diesem Wagon macht, welche Passworte ihr übermittelt, mit wem ihr euch unterhaltet, und welche Kontodaten und Telefonnummern hier bei den Unterhaltungen ausgetauscht werden - mach braucht nur neben dem Gleis zu stehen und zuzuschauen.

Nun gibt es SSL (das ist aktiviert, sobald oben in der Adresszeile ein httpS davor steht). Die Daten werden hiermit verschlüsselt und ihr sitzt schonmal in einem Regionalexpress, man kann nur durch die Fenster reinschauen, aber es macht schon mehr Mühe zu erkennen, mit wem Ihr euch unterhaltet und was Ihr so austauscht. Besser als gar nix, aber immer noch möglich (SSL Version 3). Man dachte bisher es sei sicher genug, da der Zug eh schnell genug durchrast und man nichts erkennen kann, aber es gibt mittlerweile Methoden auch hier mitzulesen.

Seit gestern wird daher empfohlen auf die besseren Varianten von TLS zu setzen (Geschlossene Züge) und keine unsicheren Züge mehr in den Bahnhof zu lassen, benutzt eh kaum noch einer.

Mir ist bewusst, dass zroadster größtenteils öffentlich ist und damit es shit egal ist ob jemand überhaupt verschlüsselt unterwegs ist. Bei Unterhaltungen und Austausch von Kontoinfos und so halte ich das aber dennoch für sinnvoll, zumal es quasi nichts kostet - außer den Aufwand es einzurichten. Es gibt keinen Grund das nicht abzusichern - außer aus Bequemlichkeit - daher die Frage Bei Facebook oder Amazon wäre jetzt ein Shitstorm los gegangen, wenn man festgestellt hätte, dass das dort möglich ist.

Das war jetzt extremst abstrakt dargestellt

schön erklärt! Mann vom Fach

 

[Elias]

Danke für die Erklärung!

Wenn ich das richtig verstehe, dann setzt der Sinn bereits ein, wenn ich bei der Anmeldung mein Passwort übermittle. Bei privaten Nachrichten setzt es sich dann fort.
Erscheint mir gut, zumal wenn es ohne großen Aufwand machbar ist.

 

[TomZZZZ]

Wenn ich das richtig verstehe, dann setzt der Sinn bereits ein, wenn ich bei der Anmeldung mein Passwort übermittle. Bei privaten Nachrichten setzt es sich dann fort.

Ganz genau! Geh mal auf ebay.de oder amazon.de, klick rum und alles ist normal aber achte oben auf das Icon vor der Adresse in der Adressleiste. Sobald du dort auf Login klickst, wirst du direkt auf https:// geleitet. Bei den ganz coolen wird das Icon dann noch grün.

 

[Wackel]

Das war jetzt extremst abstrakt dargestellt

Aber zumindest so, dass ich es verstanden habe . Vielen Dank dafür

 

[fantomasio]

https://www.bsi-fuer-buerger.de/BSI...nid=AD77DB8564EB437F1B05A5AF73814F95.2_cid341

POODLE-Schwachstelle in SSL 3.0
Man-in-the-Middle Angriff auf verschlüsselte Verbindungen möglich



http://www.spam-info.de/4640/poodle-sicherheitsluecke-in-alter-ssl-verschluesselung-entdeckt/

 

[pixelrichter]

@thorzzzten
Mal darüber Gedanken gemacht?


Grüße
Harald

 

[Jokin]

Im Rahmen der aktuellen "Poodle SSL Vulnerability" Diskussion, hab ich mal den zroadster Server gecheckt. Ergebnis: Angreifbar. Er lässt sich auf die alten SSLv3 Verbindungen ein, die seit heute als hoch kritisch eingestuft werden.

Relevant scheint das aber momentan nicht zu sein, da die Seiten ja rein plain ausgegeben werden. Ist hier eigentlich https irgendwann mal vorgesehen?

Mich würde es freuen

Wozu braucht's denn hier SSL?!?

Und da kein SSL zum Tragen kommt, kann auch kein Poodle-Angriff entstehen ...

Oder mit dem Bahnhof erklärt: Is doch egal wer da wo an einem Gleis steht und zuschaut, wenn keine Züge durch den SSL-Bahnhof fahren sondern die Daten mit der Postkutsche am Bahnhof vorbei transportiert werden.


... und mal ehrlich, was kann an einer Bankverbindung schon Schlimmes dran sein?

Hier mal eine IBAN und BIC: DE65290500001070522007 + BRLADE22 ... und nu? Willste das Konto mit Geld zuspammen? Nur zu

Wieviel Langeweile muss jemand haben, der hier ernsthaft auf den Server einsteigt und PNs durchforstet?

 

[Dr Death]

... und mal ehrlich, was kann an einer Bankverbindung schon Schlimmes dran sein?

Hier mal eine IBAN und BIC: DE65290500001070522007 + BRLADE22 ... und nu? Willste das Konto mit Geld zuspammen? Nur zu

Los, wir spamen das Konto mit Knete voll bis es platzt!

 

[TomZZZZ]

... und mal ehrlich, was kann an einer Bankverbindung schon Schlimmes dran sein?

Hier mal eine IBAN und BIC: DE65290500001070522007 + BRLADE22 ... und nu? Willste das Konto mit Geld zuspammen? Nur zu

Ich zahle sicherlich nicht deine Studiengebühren