Autor Thema: SSL: nicht-ECC Nutzer ausgesperrt  (Gelesen 310 mal)

Offline mirabilos

  • Nano
  • **
  • Beiträge: 24
    • Lizenz
SSL: nicht-ECC Nutzer ausgesperrt
« am: 08. Oktober 2017, 21:21:03 »
Könnt ihr bitte bei der SSLCipherSuite Einstellung noch DHE-RSA-AES256-SHA hinzufügen?

Das erlaubt TLSv1.0-Nutzern¹² ohne ECC³ das Verbinden.

Danke!

① ist aktuell freigeschaltet, bitte nicht ändern
② ist, wenn man nicht das Sicherheitsniveau einer Bank braucht, auch vertretbar¹
③ gibt’s nur in den Varianten „patentbehaftet“, „von der NSA via NIST negativ beeinflußt in der Qualität“ und „Referenzimplementation nutzt unfreien Code von DJB“, ist daher oft nicht vorhanden


Siehe mein öffentliches OC-Profil für Lizensierungsinformationen!

Offline bohrsty

  • Administrator
  • Normal
  • *****
  • Beiträge: 1313
  • Teamleiter Technik
Re: SSL: nicht-ECC Nutzer ausgesperrt
« Antwort #1 am: 08. Oktober 2017, 23:15:51 »
nur fuer mich zum verstaendnis, welcher client kann denn kein tls 1.2 oder ecc? laut https://www.ssllabs.com/ssltest/ koennen nur clients auf xp bzw. einige uralte bibliotheken nicht mit unseren einstellungen... fuer die macht es aus it-sicht nicht wirklich sinn "extrawuerste" zu zu bereiten... die sollten eigentlich gar nicht mehr im internet unterwegs sein...  ;D ::)
gruss Nils (bohrsty)


Offline following

  • Vereinsmitglied
  • Micro
  • *
  • Beiträge: 131
Re: SSL: nicht-ECC Nutzer ausgesperrt
« Antwort #2 am: 08. Oktober 2017, 23:27:40 »
koennen nur clients auf xp bzw. einige uralte bibliotheken nicht mit unseren einstellungen... fuer die macht es aus it-sicht nicht wirklich sinn "extrawuerste" zu zu bereiten... die sollten eigentlich gar nicht mehr im internet unterwegs sein...  ;D ::)

Entsteht durch eine solche Extrawurst irgendein Nachteil für alle Nutzer, die neurere Clients verwenden? Windows XP hat immer noch ein paar Prozent Marktanteil, also damit sperrt man mehrere hundert aktive OC-User aus. Bringt dann im Endeffekt wieder mehr ungewartete Caches.
If you can fix it, fix it. If you can’t, accept that it’s broken. It’s just a game after all.

Online teiling88

  • Vereinsmitglied
  • Small
  • *
  • Beiträge: 515
  • OC Team Entwicklung
Re: SSL: nicht-ECC Nutzer ausgesperrt
« Antwort #3 am: 09. Oktober 2017, 08:39:06 »
Windows XP hat immer noch ein paar Prozent Marktanteil, also damit sperrt man mehrere hundert aktive OC-User aus. Bringt dann im Endeffekt wieder mehr ungewartete Caches.

Mehrere hundert stimmt soweit nicht. Laut Analytics haben wir 46 Zugriffe gehabt, davon eine Absprungrate von über 50 % quasi direkt wieder gegangen.
Von den XP Nutzern sind aktuell 6 wiederkehrende Benutzer. Also keine hunderte aktive.

Edit: Jeder der heute noch bewusst XP nutzt gehört der Internet Anschluss gesperrt.
« Letzte Änderung: 09. Oktober 2017, 08:41:40 von teiling88 »

Offline Le Dompteur

  • Nano
  • **
  • Beiträge: 97
  • OC-only Verstecker
Re: SSL: nicht-ECC Nutzer ausgesperrt
« Antwort #4 am: 09. Oktober 2017, 10:03:12 »
Mit Verlaub, ICH nutze noch XP.
'muß es nutzen, weil auf meinem Uralt-Notebook nichts Aktuelleres läuft. Und nein; neuere Hardware ist im Augenblick - für mich - nicht diskutabel. Wenn's keine Umstände macht, bitte einpflegen. Merci!
"Cacheo ergo sum" - ich cache, also bin ich!

Online teiling88

  • Vereinsmitglied
  • Small
  • *
  • Beiträge: 515
  • OC Team Entwicklung
Re: SSL: nicht-ECC Nutzer ausgesperrt
« Antwort #5 am: 09. Oktober 2017, 10:20:17 »
Mit Verlaub, ICH nutze noch XP.

Kannst Du dich auf opencaching.de einloggen und via SSL surfen?

Offline following

  • Vereinsmitglied
  • Micro
  • *
  • Beiträge: 131
Re: SSL: nicht-ECC Nutzer ausgesperrt
« Antwort #6 am: 09. Oktober 2017, 14:09:41 »
Edit: Jeder der heute noch bewusst XP nutzt gehört der Internet Anschluss gesperrt.

Das finde ich reichlich zynisch. Internet-Zwangsentzug für

- alte Menschen, die es nicht mehr schaffen werden, sich auf ein neues System einzustellen?

- mittellose Menschen, die sich keine neue Hardware leisten können?

- kranke Menschen, die nicht die körperliche oder psychische Energie haben, auf ein neues System umzustellen?

NEIN DANKE.

Zitat
Laut Analytics haben wir 46 Zugriffe gehabt

Es gibt viele Benutzer die nur dann auf Opencaching aufschlagen, wenn in der Homezone ein neuer OConly erscheint. Abseits der meisten Städte liegt die Frequenz dieses Ereignisses bei unter 1/Jahr. Google Analytics läuft erst seit fünf Monaten.
« Letzte Änderung: 09. Oktober 2017, 14:34:11 von following »
If you can fix it, fix it. If you can’t, accept that it’s broken. It’s just a game after all.

Online teiling88

  • Vereinsmitglied
  • Small
  • *
  • Beiträge: 515
  • OC Team Entwicklung
Re: SSL: nicht-ECC Nutzer ausgesperrt
« Antwort #7 am: 09. Oktober 2017, 14:36:23 »
NEIN DANKE.

Wenn dein Auto kein TÜV mehr hat darfst Du es auch nicht mehr fahren.

Wenn Personen im Straßenverkehr nicht mehr geeignet sind an diesem Teilzunehmen dürfen diese es auch nicht mehr.

Den Schaden den solche Kisten als Mitglied in einem Botnetz verursachen sind immens.

Offline following

  • Vereinsmitglied
  • Micro
  • *
  • Beiträge: 131
Re: SSL: nicht-ECC Nutzer ausgesperrt
« Antwort #8 am: 09. Oktober 2017, 15:49:40 »
Wenn dein Auto kein TÜV mehr hat darfst Du es auch nicht mehr fahren.

Ein Auto bekommt so lange TÜV, wie es die Sicherheitsstandards vom Zeitpunkt der Erstzulassung erfüllt.
If you can fix it, fix it. If you can’t, accept that it’s broken. It’s just a game after all.

Offline ClanFamily (Mirco)

  • Administrator
  • Normal
  • *****
  • Beiträge: 1235
  • Vorstand, Design & Entwicklung
    • ClanFamily.de
Re: SSL: nicht-ECC Nutzer ausgesperrt
« Antwort #9 am: 09. Oktober 2017, 16:50:59 »
Ein Auto bekommt so lange TÜV, wie es die Sicherheitsstandards vom Zeitpunkt der Erstzulassung erfüllt.

Herrlich diese Diskussionen mit Dir - Peter.... immer wieder Zeitintensiv und (nicht) erfrischend.
Im Übrigen gelten die aktuellen Bestimmungen beim TÜV, nicht die vom Zeitpunkt der Erstzulassung.

Wir wollen niemanden ausgrenzen, können aber auch nicht in der Vergangenheit bleiben.
Wohin führt eigentlich diese Diskussion !?
Mit feudalen Grüßen,
Mirco aka Clanfamily
- Vorstand -

Offline following

  • Vereinsmitglied
  • Micro
  • *
  • Beiträge: 131
Re: SSL: nicht-ECC Nutzer ausgesperrt
« Antwort #10 am: 09. Oktober 2017, 17:23:03 »
Wir wollen niemanden ausgrenzen, können aber auch nicht in der Vergangenheit bleiben.

Welcher Fortschritt bei Opencaching.de würde denn verhindert, wenn man die gewünschte SSL-Option ermöglicht?
If you can fix it, fix it. If you can’t, accept that it’s broken. It’s just a game after all.

Online teiling88

  • Vereinsmitglied
  • Small
  • *
  • Beiträge: 515
  • OC Team Entwicklung
Re: SSL: nicht-ECC Nutzer ausgesperrt
« Antwort #11 am: 09. Oktober 2017, 20:51:24 »
Welcher Fortschritt bei Opencaching.de würde denn verhindert, wenn man die gewünschte SSL-Option ermöglicht?

Gibt es den Überhaupt Nutzer, die dadurch nicht auf opencaching.de zugreifen können? Le Dompteur kann ja auch mit seinem XP Laptop auf die Seiten zugreifen wenn ich das richtig interpretiere.

Offline bohrsty

  • Administrator
  • Normal
  • *****
  • Beiträge: 1313
  • Teamleiter Technik
Re: SSL: nicht-ECC Nutzer ausgesperrt
« Antwort #12 am: 09. Oktober 2017, 20:51:42 »
ach leute... bitte nicht gleich wieder uebertreiben, ich wollte doch nur wissen, warum diese anfrage gestellt wurde...  :o

aus it-sicht stimme ich Thomas zu, xp hat aus sicherheitsgruenden meiner meinung nach nichts im internet verloren, wenn einem die eigenen daten schon nicht wichtig sind, sollte man in diesem fall mal an die anderen denken, die evtl. durch die mitgliedschaft in einem bot-netz geschaedigt oder bedroht werden...

aus diesem grund finde ich es falsch als seitenbetreiber auch noch den anreiz zu schaffen...

wer den link aus meiner nachfrage genauer angeguckt hat, wird feststellen, dass auch ein win xp (sp3) tls 1.2 verwenden kann, wenn man den passenden browser nutzt (laut link firefox 49)... nur die nutzung von xp ueberzeugt mich nicht, da gibt es mind. eine alternative...
gruss Nils (bohrsty)


Offline following

  • Vereinsmitglied
  • Micro
  • *
  • Beiträge: 131
Re: SSL: nicht-ECC Nutzer ausgesperrt
« Antwort #13 am: 09. Oktober 2017, 22:51:02 »
nur die nutzung von xp ueberzeugt mich nicht, da gibt es mind. eine alternative...

Nicht für jeden, siehe oben. Es gibt wirklich Menschen, die wegen Alter oder Krankheit den Schritt auf Linux nicht mehr machen können, oder die niemanden haben der ihren Rechner mit allen Anwendungen auf Linux umstellen und sie einweisen würde. So jemandem das Internet wegnehmen zu wollen ist, wie ihm das Telefon wegzunehmen oder den Strom abzuschalten.

Und eine XP-Installation ist nicht automatisch ein Sichereitsrisiko. Es gibt aktuelle Virenscanner und Firewalls, und es kommt auch darauf an wo man sich im Internet aufhält und ob man vorsichtig mit Emails umgeht.

Auf XP SP3 läuft übrigens die Sygate Personall Firewall nicht mehr, also wenn es dir jetzt gelingt ein paar XP-Nutzer mit dieser Firewall zum Upgrade auf SP3 zu zwingen dann hast du den Botnetzen einen Gefallen getan.  ::)
If you can fix it, fix it. If you can’t, accept that it’s broken. It’s just a game after all.

Offline Jiver78

  • Nano
  • **
  • Beiträge: 57
Re: SSL: nicht-ECC Nutzer ausgesperrt
« Antwort #14 am: 10. Oktober 2017, 09:31:24 »
Da auch ich noch so eine "alte Möhre" habe:
(altes XP-Netbook, nutze es an meinem Arbeitsplatz in der Schule, da ich so meine eigene Software nutzen kann - der Admin mag weder Inkscape, noch GIMP oder LibreOffice für mich auf die schuleigenen Rechner installieren...)

Aufrufen der OC-Seite, einloggen und Benutzung des Forums war/ist kein Problem (XP SP3, Firefox 52.4).