Computerbeveiliging - Hoe je bad guys buiten de deur houdt

[Verwijderd]

22-05-2015, 12:50 door [Account Verwijderd], 18 reacties
Laatst bijgewerkt: 23-05-2015, 17:38
[Verwijderd]
Reacties (18)
22-05-2015, 14:17 door Anoniem
Okee, maar gevolg is wel dat je deze twee ciphers waarin het Diffie Hellman algoritme voorkomt dan in het geheel niet meer kunt gebruiken. In plaats daarvan gaat je browser dus één van de andere "enabled" ciphers gebruiken als de server het toestaat. Mocht dus een server alleen maar deze twee ciphers ondersteunen en jij disabled ze in je browser,
dan kun je zo'n server totaal niet meer bereiken. (zal wel niet zo vaak voorkomen, maar toch vermeldenswaardig dacht ik)
22-05-2015, 15:20 door [Account Verwijderd] - Bijgewerkt: 22-05-2015, 15:21
[Verwijderd]
22-05-2015, 16:43 door Anoniem
Door Anak Krakatau: dat klopt wat je zegt, maar je weet ook dat het maar een workaround is (tijdelijke maatregel)
dus we moeten wachten op een patch uiteindelijk.
Akkoord. Lijkt me juist.

Voor nog meer zekerheid dat werkelijk alle dhe-ciphers "disabled" zijn en je zodoende niet meer vulnerable kunt zijn voor LOGJAM zou ik het trouwens zo formuleren:

(1) In a new tab, type or paste about:config in the address bar and press Enter. Click the button promising to be careful.

(2) In the search box above the list, type or paste ssl3.dhe and pause while the list is filtered

(3) Doubleclick any "ssl3.dhe"-cipher in the filtered list that is currently set to "true" and see to make sure that it has been set to "false" now

You can test using: https://www.ssllabs.com/ssltest/viewMyClient.html
22-05-2015, 18:34 door [Account Verwijderd] - Bijgewerkt: 22-05-2015, 18:35
[Verwijderd]
23-05-2015, 15:35 door Anoniem
Door Anoniem:
Voor nog meer zekerheid dat werkelijk alle dhe-ciphers "disabled" zijn en je zodoende niet meer vulnerable kunt zijn voor LOGJAM zou ik het trouwens zo formuleren:

(1) In a new tab, type or paste about:config in the address bar and press Enter. Click the button promising to be careful.

(2) In the search box above the list, type or paste ssl3.dhe and pause while the list is filtered

(3) Doubleclick any "ssl3.dhe"-cipher in the filtered list that is currently set to "true" and see to make sure that it has been set to "false" now

You can test using: https://www.ssllabs.com/ssltest/viewMyClient.html

Klopt!
Bij gebruik van Firefox 31.7.0 ESR stonden bij mij behalve de door Anak genoemde security.ssl3.dhe_rsa_aes_128_sha en security.ssl3.dhe_rsa_aes_256_sha ook nog de volgende "ssl3.dhe"-ciphers in about:config op "true":

security.ssl3.dhe_dss_aes_128_sha
security.ssl3.dhe_dss_aes_256_sha
security.ssl3.dhe_rsa_des_ede3_sha


Pas nadat ik óók deze ciphers op "false" had gezet (en zodoende bij mij alle "ssl3.dhe"-ciphers op "false" stonden)
gaf SSLLABS eindelijk aan dat ik veilig voor LOGJAM was. Dus bedankt anoniem gisteren 16:43u!

@Anak Krakatau: misschien kun je dit het beste nog even aanpassen in je oorspronkelijke posting volgens de vondst van anoniem 1643u?

Mvg, cluc-cluc
23-05-2015, 17:37 door [Account Verwijderd]
[Verwijderd]
23-05-2015, 17:37 door Anoniem
Er is verschil tussen de verschillende Firefox versies

ssl3.dhe"-ciphers in about:config

Firefox 31.7.0 ESR

security.ssl3.dhe_dss_aes_128_sha;true
security.ssl3.dhe_dss_aes_256_sha;true
security.ssl3.dhe_dss_camellia_128_sha;false
security.ssl3.dhe_dss_camellia_256_sha;false
security.ssl3.dhe_rsa_aes_128_sha;true
security.ssl3.dhe_rsa_aes_256_sha;true
security.ssl3.dhe_rsa_camellia_128_sha;true
security.ssl3.dhe_rsa_camellia_256_sha;true
security.ssl3.dhe_rsa_des_ede3_sha;true

Firefox 38.0.1 ESR

security.ssl3.dhe_rsa_aes_128_sha;true
security.ssl3.dhe_rsa_aes_256_sha;true

Firefox 38.01

security.ssl3.dhe_rsa_aes_128_sha;true
security.ssl3.dhe_rsa_aes_256_sha;true
23-05-2015, 18:39 door [Account Verwijderd] - Bijgewerkt: 23-05-2015, 19:20
Viel mij op toen ik voor een bekende aan het controleren was hoe het met safari LOGJAM op de ipad zat, bij het bezoeken van https://www.ssllabs.com/ssltest/viewMyClient.html ook werd aangegeven dat de ipad kwetsbaar was van poodle. De eigenaar had wel de laatste updates geïnstalleerd.

Overigens ook maar even die ciphers op "false" zetten in firefox. Nuttige tip Anoniem 22-05-2015 16:43 uur, en Anoniem, cluc-cluc voor de aanvullende informatie
23-05-2015, 20:38 door [Account Verwijderd]
[Verwijderd]
24-05-2015, 14:24 door Anoniem
Door Anak Krakatau: hoi cluc-cluc

bedankt nog voor je bijdrage. ik heb niet alles van je overgenomen in je posting, maar onderaan mijn bijdrage even verwezen naar jouw inbreng.

Wat jij wil Anak. Thanks!
Ook mooi dat voor de meest gangbare Firefoxversies ter verduidelijking nog even alle "dhe"-cipherdetails zijn aangeleverd.

Maar kort samengevat kun je voor alle situaties/versies Firefox dus veilig maken voor LOGJAM door:
in "about:config" te filteren op "ssl3.dhe", en daarna alle getoonde ciphers die in de gefilterde lijst
nog op true staan met een dubbele klik eventjes op "false" te zetten.
Dit heeft echter wel als bijwerking dat servers die uitsluitend en alleen maar dhe-ciphers gebruiken dan niet meer te bereiken zijn. Dus moet je toevallig zo'n server bezoeken dan is dit helaas geen oplossing.

Mvg, cluc-cluc
17-06-2015, 06:20 door Vandy
Heeft Mozilla nou werkelijk nog steeds geen update uitgebracht waarin logjam is verholpen? We zijn inmiddels bekant een maand na ontdekking.
17-06-2015, 10:28 door Mysterio
Door Vandy: Heeft Mozilla nou werkelijk nog steeds geen update uitgebracht waarin logjam is verholpen? We zijn inmiddels bekant een maand na ontdekking.
Nope, staat ingepland voor nr 39 en die komt ergens deze maand.
17-06-2015, 14:03 door Anoniem
Door Mysterio:
Door Vandy: Heeft Mozilla nou werkelijk nog steeds geen update uitgebracht waarin logjam is verholpen? We zijn inmiddels bekant een maand na ontdekking.
Nope, staat ingepland voor nr 39 en die komt ergens deze maand.

"Ergens" ??? Een verboden woord in de ICT.

Firefox 39 komt dinsdag 30 juni uit, om precies 09:10 Pacific Time in the U.S..

In Europa zullen we dan moeten wachten tot na 17:10 uur.

Logjam is al gerepareerd in de laatste Firefox ESR en diverse spin-off's zoals Cyberfox.
17-06-2015, 16:30 door Mysterio
Door Anoniem:
Door Mysterio:
Door Vandy: Heeft Mozilla nou werkelijk nog steeds geen update uitgebracht waarin logjam is verholpen? We zijn inmiddels bekant een maand na ontdekking.
Nope, staat ingepland voor nr 39 en die komt ergens deze maand.

"Ergens" ??? Een verboden woord in de ICT.

Firefox 39 komt dinsdag 30 juni uit, om precies 09:10 Pacific Time in the U.S..

In Europa zullen we dan moeten wachten tot na 17:10 uur.

Logjam is al gerepareerd in de laatste Firefox ESR en diverse spin-off's zoals Cyberfox.
Welnee, niet iedere IT-er is een autist. Dus ergens na de 30ste gaat Firefox een keer een update krijgen. Prima.
17-06-2015, 16:40 door Anoniem
Door Mysterio:
Door Anoniem:
Door Mysterio:
Door Vandy: Heeft Mozilla nou werkelijk nog steeds geen update uitgebracht waarin logjam is verholpen? We zijn inmiddels bekant een maand na ontdekking.
Nope, staat ingepland voor nr 39 en die komt ergens deze maand.

"Ergens" ??? Een verboden woord in de ICT.

Firefox 39 komt dinsdag 30 juni uit, om precies 09:10 Pacific Time in the U.S..

In Europa zullen we dan moeten wachten tot na 17:10 uur.

Logjam is al gerepareerd in de laatste Firefox ESR en diverse spin-off's zoals Cyberfox.
Welnee, niet iedere IT-er is een autist. Dus ergens na de 30ste gaat Firefox een keer een update krijgen. Prima.

Nou, de meesten wel hoor. Je herkent ze, doordat ze altijd het laatste woord willen.
17-06-2015, 19:47 door Anoniem
Door Anoniem:
Door Mysterio:
Door Vandy: Heeft Mozilla nou werkelijk nog steeds geen update uitgebracht waarin logjam is verholpen? We zijn inmiddels bekant een maand na ontdekking.
Nope, staat ingepland voor nr 39 en die komt ergens deze maand.

"Ergens" ??? Een verboden woord in de ICT.

Firefox 39 komt dinsdag 30 juni uit, om precies 09:10 Pacific Time in the U.S..

In Europa zullen we dan moeten wachten tot na 17:10 uur.

Logjam is al gerepareerd in de laatste Firefox ESR en diverse spin-off's zoals Cyberfox.
De precieze tijd klopt ook nooit, vaak kan je veel eerder op de dag de nieuwe versie al via de auto-updater binnenhalen en enkele dagen eerder al via de FTP server.
17-06-2015, 23:57 door Erik van Straten
17-06-2015, 14:03 door Anoniem: Logjam is al gerepareerd in de laatste Firefox ESR
Waar baseer je dat op? Met Firefox v38.0.1 ESR krijg ik, als ik https://dhe512.zmap.io/ open, te zien:
If you can view this page, your browser is vulnerable to the LogJam attack.
23-06-2015, 12:26 door [Account Verwijderd] - Bijgewerkt: 01-07-2015, 09:41
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.