Wie SSLv3 in Safari (OSX & iOS) deaktivieren?

Panikmache. Soll das jetzt für jede Sicherheitslücke so weitergehen? Shellshock, Poodle, what's next?
 
Panikmache. Soll das jetzt für jede Sicherheitslücke so weitergehen? Shellshock, Poodle, what's next?

Der einzige der hier das Wort "Panikmache" verwendet bist du.

Ich habe eine ganz normale Frage gestellt und extra keine reisserische Überschrift verwendet.

Halte dich Doch einfach raus, wenn Dich das Thema nicht interessiert!
 
  • Gefällt mir
Reaktionen: Pea Counter und christian l
Leider gibt es dafür noch keine Lösung. Es betrifft auch E-Mail und Virtual Private Networks.
Den Browser SSLv3 Test kann man übrigens hier machen: https://www.poodletest.com

Gruß
BWND
 
Müsste es nicht irgendwo eine plist geben, in der alle zu akzeptierenden tsl/ssl-Versionen nebst ciphers eingetragen sind?
 
Ist es denn so, dass ein Browser von außen angreifbar ist wenn er SSLv3 unterstützt oder, und so hört es sich für mich an, muss man auf eine präparierte Seite gelockt werden und dann wird über die SSLv3-Schwachstelle eingedrungen?
 
Ich deute das jetzt mal so dass mein Mac auch gefährdet ist - das gefällt mir garnicht! :(
 
zumindest der Safari Browser auf dem mac ist aktuell gefährdet.
edit: Chrome 38 ist auch unsicher

Firefox und Seamonkey scheinen hingegen sicher.
 
@schnittstelle:
Cooler Link, so kann man testen ob ein Server SSL 3.0-Verbindungen aufbaut.
Auf dieser Seite ist aber noch ein anderer Test verlinkt:
https://www.ssllabs.com/ssltest/viewMyClient.html
Damit kann man herausfinden, was der eigene Client, also Browser, so alles akzeptiert.
Bei mir wurde u.A. angezeigt, dass mein Chrome Verbindungen ohne forward secrecy akzeptiert.
 
Bei Firefox muss man vorerst manuell eingreifen:
In der Adresszeile folgendes eingeben: about:config
Nach tls suchen
Danach die security.tls.version.min auf 1 setzen (steht vorher normal auf 0)

SSLv3 ist voraussichtlich erst in Firefox 34 abgeschaltet.

Gruß
BWND
 
Zuletzt bearbeitet:
Hallo, Danke für den Hinweis. :p Ich habe es abgeändert.

Gruß
BWND
 
Man sollte das im Auge behalten, denn bisher sieht es so aus, dass Browser automatisch auf die nächst tiefere Stufe zurückfallen, wenn die Seite die neueste Version nicht kennt. Viele Web–Master erlauben den Rückfall auf die geknackte Version SSL3 einfach aus Kompatibilitätsgründen - Chrome und Firefox sind angepasst (oder können angepasst werden). Safari ist derzeit gefährdet, aber das wird Apple sicher demnächst ändern, der Aufwand für eine Änderung (Hochstufung der Sicherheitseinstellung) ist minimal!
 
das security update 2014-005 behebt das problem unter 10.8.5 und 10.9.5…
in 10.10 ist das wohl schon mit drin.
 
  • Gefällt mir
Reaktionen: jwemcu
Browser Cache ist gelöscht und die Verbindung ist auch sehr schnell - immer noch angreifbar.

Auf der Testseite ist auch zu lesen, dass Safari immer noch laut diesem Test anfällig ist (Verbindung über AES256).
 
  • Gefällt mir
Reaktionen: jwemcu
Zurück
Oben Unten