Wie wäre es wenn du dir immer die neuste Version vom Tor Browser holst? Dann hast du jedes mal alles neu.

ist das bestätigt?

_________________
Dumm fickt gut. Noch Fragen ??

Nein Anika. das ganze Problem hatte nichts mit der Datenbank zu zun - die zumal auf einem anderen Server liegt als dem, mit dem sich Dein Browser verbindet.

Wie das ganze ablief ist in den weiter oben aufgeführten Links recht anschaulich demonstriert. Keine Bange, die Daten sind sicher- und wir (Technische Fraktion) könnten schon heute nicht mehr sagen mit welcher IP Du das gepostet hast.

_________________
617D40BFEFFA4DF8EE33D15ECFDDB5665AE9DB5619A783F44F830B58567B7939FC3AE780ADD9

Das ist schon klar Hori. Aber es ist eine grundsätzliche Frage. Der Heartbleed Bug (und das ist der einzige!) ist in bestimmten Versionen von SSL enthalten. Die Frage ist, ob das eine Sache der serverseitigen oder browserseitigen Version ist. Was nützt mir die serverseitige Aufrüstung wenn mein Browser doch auf einen Angriff reagiert (zb via Tor). Komischerweise kann ich allerhand SSL Versionen aktivieren aber das ist alles SSL 3 (und dann entsprechend DH DES AES ect,,).

Wenn jemand weiss, wo der öffentliche Schlüssel im FF liegt bitte Bescheid geben !

_________________
Dumm fickt gut. Noch Fragen ??

Annika hat geschrieben: Die Frage ist, ob das eine Sache der serverseitigen oder browserseitigen Version ist.

Die meisten Browser benutzen kein OpenSSL. Diese Lib ist eher für Server gedacht.
Firefox und Chrome nutzen NSS, Internet Explorer hat seine eigene Lib von Windows.
Wer irgendein unixartiges OS benutzt sollte natürlich trotzdem selbstverständlich upgraden. Tools wie wget u.a. benutzen OpenSSL.

Annika hat geschrieben: Wenn jemand weiss, wo der öffentliche Schlüssel im FF liegt bitte Bescheid geben !

Welcher öffentliche Schlüssel denn?

Bei der Verbindung zu einem Server kriegst du seinen öffentlichen Schlüssel innerhalb eines Zertifikats mitgeteilt.

Die öffentlichen Schlüssel der vorinstallierten Wurzelzertifikate findest du in den Einstellungen -> Erweitert -> Zertifikate -> Zertifikate anzeigen.

Der Browser-Client selbst hat kein Schlüsselpaar (und somit auch keine Signatur?!)
Das gibt es nur bei Mutual authentication. Das ist aber eher für Dienste geeignet wo wirklich nur ein Admin oder bestimmte Personen Zugriff haben sollten. Zum Beispiel bei SSH.

Der Grund warum manche aufgezeichnete TLS-Verbindungen nach dem Klau des privaten Schlüssels entschlüsselt werden können, ist weil die Aushandlung des symmetrischen Schlüssels zur weitergehenden Kommunikation zwischen Client und Server ja komplett mitgelesen werden kann (man hat ja den privaten Schlüssel des Servers).
Es gibt eine Technik bei dem man den Schlüsseltausch komplett mitlesen kann und trotzdem nicht weiß, welcher Schlüssel nun am Ende von beiden Parteien benutzt wird. Dieses Verfahren nennt man Diffie-Hellmann-Schlüsseltausch.
Dieses ist zwar angreifbar, wenn der Man-in-the-Middle Daten in der Verbindung aktiv verändern kann, allerdings nützt einem das ja nichts, wenn die Kommunikation in der Vergangenheit liegt. Somit trägt dieses Verfahren das Attribut (Perfect Forward Secrecy).

Woran sieht man ob die Verbindung mit PFS-Eigenschaft verschlüsselt wird? Naja... Firefox zeigt es soweit ich weiß leider nirgends an. Man kann aber wieder versuchen in der about:config alle cipher suites ohne DHE oder ECDHE zu verbieten. (DH = Diffie-Hellman, E=ephemeral (wichtig!), EC=Elliptic Curve)

_________________
http://ovid.blogsport.de/

Ovid hat geschrieben: Der Browser-Client selbst hat kein Schlüsselpaar

Ovid hat geschrieben: weil die Aushandlung des symmetrischen Schlüssels zur weitergehenden Kommunikation zwischen Client und Server ja komplett mitgelesen werden kann (man hat ja den privaten Schlüssel des Servers).

Ovid hat geschrieben: Es gibt eine Technik bei dem man den Schlüsseltausch komplett mitlesen kann und trotzdem nicht weiß, welcher Schlüssel nun am Ende von beiden Parteien benutzt wird. Dieses Verfahren nennt man Diffie-Hellmann-Schlüsseltausch.

Gut, ich dachte es wäre eine Art PGP-Kommunikation. Aber ich selbst habe also kein Schlüsselpaar.
Nun wird also ein symmetrischer Schlüssel erzeugt. Da ich keinen PGP-Paar habe nehm ich mal an, dass ich den symmetrischen Schlüssel selber erzeuge und es dem Server mitteile.
Nur warum sprichst Du dann von einem *Schlüsseltausch* ? Und inwieweit wird bei Heartbleed eine Lücke ausgenutzt - der Server weiss doch ohnehin was ich schreibe ...

_________________
Dumm fickt gut. Noch Fragen ??

Annika hat geschrieben: Nun wird also ein symmetrischer Schlüssel erzeugt. Da ich keinen PGP-Paar habe nehm ich mal an, dass ich den symmetrischen Schlüssel selber erzeuge und es dem Server mitteile.
Nur warum sprichst Du dann von einem *Schlüsseltausch* ?

Das ist natürlich vereinfacht gesprochen. Es werden eben Verfahren als "Schlüsseltausch" bezeichnet, bei denen am Ende beide Kommunikationspartner den selben Schlüssel errechnen konnten. Dazu zählt Diffie-Hellmann, aber eben auch andere Verfahren.

Annika hat geschrieben: Und inwieweit wird bei Heartbleed eine Lücke ausgenutzt - der Server weiss doch ohnehin was ich schreibe ...

Man kann mit Heartbleed Passwörter und Cookies der User/Admins und den privaten Schlüssel des Servers klauen und zwar von egal wo und als egal wer.

_________________
http://ovid.blogsport.de/

Login immer noch möglich per http. Euch gehören die Eier getasert

_________________
Dumm fickt gut. Noch Fragen ??

Du hast in gewisser weise sicherlich recht, aber es gibt auch eine andere Seite der Medaille.

Solange das GLF mit selbstsignierten Zertifikaten arbeitet, können wir nicht ein Login über SSL erzwingen. Das könnte potentielle Nutzer abschrecken und ist für viele Nutzer wenig vertrauenswürdig.

Und das ist der Grund, warum das GLF kein SSL erzwingt.

_________________
Normal ist uncool !
Und ich liebe dich doch! >> https://www.girlloverforum.net/userpage ... /index.php