Opencaching Community

Die Plattform opencaching.de => Technik => Thema gestartet von: mirabilos am 08. Oktober 2017, 21:21:03

Titel: SSL: nicht-ECC Nutzer ausgesperrt
Beitrag von: mirabilos am 08. Oktober 2017, 21:21:03
Könnt ihr bitte bei der SSLCipherSuite Einstellung noch DHE-RSA-AES256-SHA hinzufügen?

Das erlaubt TLSv1.0-Nutzern¹² ohne ECC³ das Verbinden.

Danke!

① ist aktuell freigeschaltet, bitte nicht ändern
② ist, wenn man nicht das Sicherheitsniveau einer Bank braucht, auch vertretbar¹
③ gibt’s nur in den Varianten „patentbehaftet“, „von der NSA via NIST negativ beeinflußt in der Qualität“ und „Referenzimplementation nutzt unfreien Code von DJB“, ist daher oft nicht vorhanden
Titel: Re: SSL: nicht-ECC Nutzer ausgesperrt
Beitrag von: bohrsty am 08. Oktober 2017, 23:15:51
nur fuer mich zum verstaendnis, welcher client kann denn kein tls 1.2 oder ecc? laut https://www.ssllabs.com/ssltest/ (https://www.ssllabs.com/ssltest/analyze.html?d=www.opencaching.de&hideResults=on) koennen nur clients auf xp bzw. einige uralte bibliotheken nicht mit unseren einstellungen... fuer die macht es aus it-sicht nicht wirklich sinn "extrawuerste" zu zu bereiten... die sollten eigentlich gar nicht mehr im internet unterwegs sein...  ;D ::)
Titel: Re: SSL: nicht-ECC Nutzer ausgesperrt
Beitrag von: following am 08. Oktober 2017, 23:27:40
koennen nur clients auf xp bzw. einige uralte bibliotheken nicht mit unseren einstellungen... fuer die macht es aus it-sicht nicht wirklich sinn "extrawuerste" zu zu bereiten... die sollten eigentlich gar nicht mehr im internet unterwegs sein...  ;D ::)

Entsteht durch eine solche Extrawurst irgendein Nachteil für alle Nutzer, die neurere Clients verwenden? Windows XP hat immer noch ein paar Prozent Marktanteil, also damit sperrt man mehrere hundert aktive OC-User aus. Bringt dann im Endeffekt wieder mehr ungewartete Caches.
Titel: Re: SSL: nicht-ECC Nutzer ausgesperrt
Beitrag von: teiling88 am 09. Oktober 2017, 08:39:06
Windows XP hat immer noch ein paar Prozent Marktanteil, also damit sperrt man mehrere hundert aktive OC-User aus. Bringt dann im Endeffekt wieder mehr ungewartete Caches.

Mehrere hundert stimmt soweit nicht. Laut Analytics haben wir 46 Zugriffe gehabt, davon eine Absprungrate von über 50 % quasi direkt wieder gegangen.
Von den XP Nutzern sind aktuell 6 wiederkehrende Benutzer. Also keine hunderte aktive.

Edit: Jeder der heute noch bewusst XP nutzt gehört der Internet Anschluss gesperrt.
Titel: Re: SSL: nicht-ECC Nutzer ausgesperrt
Beitrag von: Le Dompteur am 09. Oktober 2017, 10:03:12
Mit Verlaub, ICH nutze noch XP.
'muß es nutzen, weil auf meinem Uralt-Notebook nichts Aktuelleres läuft. Und nein; neuere Hardware ist im Augenblick - für mich - nicht diskutabel. Wenn's keine Umstände macht, bitte einpflegen. Merci!
Titel: Re: SSL: nicht-ECC Nutzer ausgesperrt
Beitrag von: teiling88 am 09. Oktober 2017, 10:20:17
Mit Verlaub, ICH nutze noch XP.

Kannst Du dich auf opencaching.de einloggen und via SSL surfen?
Titel: Re: SSL: nicht-ECC Nutzer ausgesperrt
Beitrag von: following am 09. Oktober 2017, 14:09:41
Edit: Jeder der heute noch bewusst XP nutzt gehört der Internet Anschluss gesperrt.

Das finde ich reichlich zynisch. Internet-Zwangsentzug für

- alte Menschen, die es nicht mehr schaffen werden, sich auf ein neues System einzustellen?

- mittellose Menschen, die sich keine neue Hardware leisten können?

- kranke Menschen, die nicht die körperliche oder psychische Energie haben, auf ein neues System umzustellen?

NEIN DANKE.

Zitat
Laut Analytics haben wir 46 Zugriffe gehabt

Es gibt viele Benutzer die nur dann auf Opencaching aufschlagen, wenn in der Homezone ein neuer OConly erscheint. Abseits der meisten Städte liegt die Frequenz dieses Ereignisses bei unter 1/Jahr. Google Analytics läuft erst seit fünf Monaten.
Titel: Re: SSL: nicht-ECC Nutzer ausgesperrt
Beitrag von: teiling88 am 09. Oktober 2017, 14:36:23
NEIN DANKE.

Wenn dein Auto kein TÜV mehr hat darfst Du es auch nicht mehr fahren.

Wenn Personen im Straßenverkehr nicht mehr geeignet sind an diesem Teilzunehmen dürfen diese es auch nicht mehr.

Den Schaden den solche Kisten als Mitglied in einem Botnetz verursachen sind immens.
Titel: Re: SSL: nicht-ECC Nutzer ausgesperrt
Beitrag von: following am 09. Oktober 2017, 15:49:40
Wenn dein Auto kein TÜV mehr hat darfst Du es auch nicht mehr fahren.

Ein Auto bekommt so lange TÜV, wie es die Sicherheitsstandards vom Zeitpunkt der Erstzulassung erfüllt.
Titel: Re: SSL: nicht-ECC Nutzer ausgesperrt
Beitrag von: ClanFamily (Mirco) am 09. Oktober 2017, 16:50:59
Ein Auto bekommt so lange TÜV, wie es die Sicherheitsstandards vom Zeitpunkt der Erstzulassung erfüllt.

Herrlich diese Diskussionen mit Dir - Peter.... immer wieder Zeitintensiv und (nicht) erfrischend.
Im Übrigen gelten die aktuellen Bestimmungen beim TÜV, nicht die vom Zeitpunkt der Erstzulassung.

Wir wollen niemanden ausgrenzen, können aber auch nicht in der Vergangenheit bleiben.
Wohin führt eigentlich diese Diskussion !?
Titel: Re: SSL: nicht-ECC Nutzer ausgesperrt
Beitrag von: following am 09. Oktober 2017, 17:23:03
Wir wollen niemanden ausgrenzen, können aber auch nicht in der Vergangenheit bleiben.

Welcher Fortschritt bei Opencaching.de würde denn verhindert, wenn man die gewünschte SSL-Option ermöglicht?
Titel: Re: SSL: nicht-ECC Nutzer ausgesperrt
Beitrag von: teiling88 am 09. Oktober 2017, 20:51:24
Welcher Fortschritt bei Opencaching.de würde denn verhindert, wenn man die gewünschte SSL-Option ermöglicht?

Gibt es den Überhaupt Nutzer, die dadurch nicht auf opencaching.de zugreifen können? Le Dompteur kann ja auch mit seinem XP Laptop auf die Seiten zugreifen wenn ich das richtig interpretiere.
Titel: Re: SSL: nicht-ECC Nutzer ausgesperrt
Beitrag von: bohrsty am 09. Oktober 2017, 20:51:42
ach leute... bitte nicht gleich wieder uebertreiben, ich wollte doch nur wissen, warum diese anfrage gestellt wurde...  :o

aus it-sicht stimme ich Thomas zu, xp hat aus sicherheitsgruenden meiner meinung nach nichts im internet verloren, wenn einem die eigenen daten schon nicht wichtig sind, sollte man in diesem fall mal an die anderen denken, die evtl. durch die mitgliedschaft in einem bot-netz geschaedigt oder bedroht werden...

aus diesem grund finde ich es falsch als seitenbetreiber auch noch den anreiz zu schaffen...

wer den link aus meiner nachfrage genauer angeguckt hat, wird feststellen, dass auch ein win xp (sp3) tls 1.2 verwenden kann, wenn man den passenden browser nutzt (laut link firefox 49)... nur die nutzung von xp ueberzeugt mich nicht, da gibt es mind. eine alternative...
Titel: Re: SSL: nicht-ECC Nutzer ausgesperrt
Beitrag von: following am 09. Oktober 2017, 22:51:02
nur die nutzung von xp ueberzeugt mich nicht, da gibt es mind. eine alternative...

Nicht für jeden, siehe oben. Es gibt wirklich Menschen, die wegen Alter oder Krankheit den Schritt auf Linux nicht mehr machen können, oder die niemanden haben der ihren Rechner mit allen Anwendungen auf Linux umstellen und sie einweisen würde. So jemandem das Internet wegnehmen zu wollen ist, wie ihm das Telefon wegzunehmen oder den Strom abzuschalten.

Und eine XP-Installation ist nicht automatisch ein Sichereitsrisiko. Es gibt aktuelle Virenscanner und Firewalls, und es kommt auch darauf an wo man sich im Internet aufhält und ob man vorsichtig mit Emails umgeht.

Auf XP SP3 läuft übrigens die Sygate Personall Firewall nicht mehr, also wenn es dir jetzt gelingt ein paar XP-Nutzer mit dieser Firewall zum Upgrade auf SP3 zu zwingen dann hast du den Botnetzen einen Gefallen getan.  ::)
Titel: Re: SSL: nicht-ECC Nutzer ausgesperrt
Beitrag von: Jiver78 am 10. Oktober 2017, 09:31:24
Da auch ich noch so eine "alte Möhre" habe:
(altes XP-Netbook, nutze es an meinem Arbeitsplatz in der Schule, da ich so meine eigene Software nutzen kann - der Admin mag weder Inkscape, noch GIMP oder LibreOffice für mich auf die schuleigenen Rechner installieren...)

Aufrufen der OC-Seite, einloggen und Benutzung des Forums war/ist kein Problem (XP SP3, Firefox 52.4).
Titel: Re: SSL: nicht-ECC Nutzer ausgesperrt
Beitrag von: ClanFamily (Mirco) am 10. Oktober 2017, 11:07:17
Aufrufen der OC-Seite, einloggen und Benutzung des Forums war/ist kein Problem (XP SP3, Firefox 52.4).

Gleiches Feedback habe ich von anderer Seite auch schon erhalten.
Ich denke dass wir das Thema auch langsam abkühlen lassen können.

Wer noch XP einsetzt - weiß in der Regel, dass die Luft im "Kompatibilitätsraum" langsam eng wird.
Ich bin gespannt was eure Browser machen, wenn wir das neue Design ausrollen.

Wahrscheinlich funktioniert der Kram noch weiterhin ;) Aber eben unter Firefox - denn der ist der "einzige Überlebende" in der Sache.
Titel: Re: SSL: nicht-ECC Nutzer ausgesperrt
Beitrag von: bohrsty am 10. Oktober 2017, 16:39:45
nur die nutzung von xp ueberzeugt mich nicht, da gibt es mind. eine alternative...

Nicht für jeden, siehe oben. Es gibt wirklich Menschen, die wegen Alter oder Krankheit den Schritt auf Linux nicht mehr machen können, oder die niemanden haben der ihren Rechner mit allen Anwendungen auf Linux umstellen und sie einweisen würde. So jemandem das Internet wegnehmen zu wollen ist, wie ihm das Telefon wegzunehmen oder den Strom abzuschalten.
[...]

das meinte ich gar nicht, waere zwar schoen, wenn jeder, der noch xp nutzt auf linux umsteigen wuerde, aber ich meinte xp + ff >=49 kommt auch mit unseren ciphern klar und solange es diese alternative gibt, brauchen wir daran nichts aendern...

[...]
Ich denke dass wir das Thema auch langsam abkühlen lassen können.
[...]

da waere ich auch fuer und wenn jemand probleme mit seinem xp hat, kann er mich gerne per pm kontaktieren... ich habe jahrelang gerne damit gearbeitet und wuerde es auch weiterhin tun, wenn m$ es weiter unterstuetzen wuerde, denn meiner meinung nach ist es eine der besten windows-versionen...
Titel: Re: SSL: nicht-ECC Nutzer ausgesperrt
Beitrag von: Le Dompteur am 10. Oktober 2017, 17:57:30
Vorweg beschwichtigt: Ich komme aus der IT-Branche und war Systemadministrator. Mein XP ist ebenso "sicher", wie das neue Iphone8 in den Händen eines 12-jährigen Legasthenikers.
Ich will nicht meine Hardware umstellen. Dieses - auch - aus ökologisch / politischen Gründen der Ressourcen-Schonung und Nachhaltigkeit. Speziell mein altes Toughbook ist mir lieb; es ist leise, robust, schnell und wird nicht heiß. Außerdem hat es den unverzichtbaren Touchscreen auf den ich wegen körperlicher Behinderung lange angewiesen war. Dafür gibt es keine Treiber unter Linux oder anderen OS.
Wenn Ihr noch eine Abwärtskompatibilität gewährleisten könnt und dieses keine allzu großen Kosten oder Mühen verursacht, wäre es mir eine große Hilfe. Merci!

Was Virenschutz, WLAN-Sicherheit, Datensicherung angeht, ist jeder seines eigenen (un)Glückes Schmied!
Titel: Re: SSL: nicht-ECC Nutzer ausgesperrt
Beitrag von: Rotzbua am 17. Oktober 2017, 17:20:31
Ich hab mal aus Interesse meine XP-VM angeschmissen. Also MS XP SP3 32Bit funktioniert FF einwandfrei. Dank lustiger Autoupdateorgie getestete Versionen:

FF funktioniert meines Wissens, weil die das Cert-Management selbst übernehmen und nicht über das Betriebssystem. Chrome macht die Certs wie der IE auch über das Betriebssystem, somit gehen die ECC Certs nicht.
Das die XP-Leute Firefox für OC benutzen sollte wohl möglich sein.. ansonsten das nächste mal an der Tanke beschweren, dass es kein bleihaltiges Benzin mehr gibt  ::) ...