SSL: nicht-ECC Nutzer ausgesperrt

Hier geht es um die technische Bereitstellung der Plattform - KnowHow im Bereich Virtualisierung und CentOS können sind hier sehr hilfreich
Benutzeravatar
mirabilos
Nano
Nano
Beiträge: 25
Registriert: 17.02.2013, 23:08

Könnt ihr bitte bei der SSLCipherSuite Einstellung noch DHE-RSA-AES256-SHA hinzufügen?

Das erlaubt TLSv1.0-Nutzern¹² ohne ECC³ das Verbinden.

Danke!

① ist aktuell freigeschaltet, bitte nicht ändern
② ist, wenn man nicht das Sicherheitsniveau einer Bank braucht, auch vertretbar¹
③ gibt’s nur in den Varianten „patentbehaftet“, „von der NSA via NIST negativ beeinflußt in der Qualität“ und „Referenzimplementation nutzt unfreien Code von DJB“, ist daher oft nicht vorhanden
[url=http://fish.mirbsd.org/WPtg.htm][img]http://www.mirbsd.org/WPtg.png[/img][/url]

Siehe mein [url=http://www.opencaching.de/viewprofile.php?userid=106521]öffentliches OC-Profil[/url] für Lizensierungsinformationen!
Benutzeravatar
bohrsty
Administrator
Administrator
Beiträge: 1365
Registriert: 30.03.2012, 22:54

nur fuer mich zum verstaendnis, welcher client kann denn kein tls 1.2 oder ecc? laut https://www.ssllabs.com/ssltest/ koennen nur clients auf xp bzw. einige uralte bibliotheken nicht mit unseren einstellungen... fuer die macht es aus it-sicht nicht wirklich sinn "extrawuerste" zu zu bereiten... die sollten eigentlich gar nicht mehr im internet unterwegs sein...  ;D ::)
gruss Nils (bohrsty)

Bild
following

[quote="bohrsty"]
koennen nur clients auf xp bzw. einige uralte bibliotheken nicht mit unseren einstellungen... fuer die macht es aus it-sicht nicht wirklich sinn "extrawuerste" zu zu bereiten... die sollten eigentlich gar nicht mehr im internet unterwegs sein...  ;D ::)
[/quote]

Entsteht durch eine solche Extrawurst irgendein Nachteil für alle Nutzer, die neurere Clients verwenden? Windows XP hat immer noch ein paar Prozent Marktanteil, also damit sperrt man mehrere hundert aktive OC-User aus. Bringt dann im Endeffekt wieder mehr ungewartete Caches.
Benutzeravatar
teiling88
Vereinsmitglied
Vereinsmitglied
Beiträge: 694
Registriert: 06.12.2015, 14:15

[quote="following"]Windows XP hat immer noch ein paar Prozent Marktanteil, also damit sperrt man mehrere hundert aktive OC-User aus. Bringt dann im Endeffekt wieder mehr ungewartete Caches.
[/quote]

Mehrere hundert stimmt soweit nicht. Laut Analytics haben wir 46 Zugriffe gehabt, davon eine Absprungrate von über 50 % quasi direkt wieder gegangen.
Von den XP Nutzern sind aktuell 6 wiederkehrende Benutzer. Also keine hunderte aktive.

Edit: Jeder der heute noch bewusst XP nutzt gehört der Internet Anschluss gesperrt.
Zuletzt geändert von teiling88 am 09.10.2017, 08:41, insgesamt 1-mal geändert.
Benutzeravatar
Le Dompteur
Vereinsmitglied
Vereinsmitglied
Beiträge: 420
Registriert: 14.07.2015, 17:29

Mit Verlaub, ICH nutze noch XP.
'muß es nutzen, weil auf meinem Uralt-Notebook nichts Aktuelleres läuft. Und nein; neuere Hardware ist im Augenblick - für mich - nicht diskutabel. Wenn's keine Umstände macht, bitte einpflegen. Merci!
"Cacheo ergo sum" - ich cache, also bin ich!
Benutzeravatar
teiling88
Vereinsmitglied
Vereinsmitglied
Beiträge: 694
Registriert: 06.12.2015, 14:15

[quote="Le Dompteur"]
Mit Verlaub, ICH nutze noch XP.
[/quote]

Kannst Du dich auf opencaching.de einloggen und via SSL surfen?
following

teiling88 hat geschrieben: Edit: Jeder der heute noch bewusst XP nutzt gehört der Internet Anschluss gesperrt.
Das finde ich reichlich zynisch. Internet-Zwangsentzug für

- alte Menschen, die es nicht mehr schaffen werden, sich auf ein neues System einzustellen?

- mittellose Menschen, die sich keine neue Hardware leisten können?

- kranke Menschen, die nicht die körperliche oder psychische Energie haben, auf ein neues System umzustellen?

NEIN DANKE.
Laut Analytics haben wir 46 Zugriffe gehabt
Es gibt viele Benutzer die nur dann auf Opencaching aufschlagen, wenn in der Homezone ein neuer OConly erscheint. Abseits der meisten Städte liegt die Frequenz dieses Ereignisses bei unter 1/Jahr. Google Analytics läuft erst seit fünf Monaten.
Zuletzt geändert von following am 09.10.2017, 14:34, insgesamt 1-mal geändert.
Benutzeravatar
teiling88
Vereinsmitglied
Vereinsmitglied
Beiträge: 694
Registriert: 06.12.2015, 14:15

[quote="following"]
NEIN DANKE.
[/quote]

Wenn dein Auto kein TÜV mehr hat darfst Du es auch nicht mehr fahren.

Wenn Personen im Straßenverkehr nicht mehr geeignet sind an diesem Teilzunehmen dürfen diese es auch nicht mehr.

Den Schaden den solche Kisten als Mitglied in einem Botnetz verursachen sind immens.
following

[quote="teiling88"]
Wenn dein Auto kein TÜV mehr hat darfst Du es auch nicht mehr fahren.
[/quote]

Ein Auto bekommt so lange TÜV, wie es die Sicherheitsstandards vom Zeitpunkt der Erstzulassung erfüllt.
Benutzeravatar
ClanFamily (Mirco)
Administrator
Administrator
Beiträge: 1409
Registriert: 03.09.2012, 21:55

[quote="following"]
Ein Auto bekommt so lange TÜV, wie es die Sicherheitsstandards vom Zeitpunkt der Erstzulassung erfüllt.
[/quote]

Herrlich diese Diskussionen mit Dir - Peter.... immer wieder Zeitintensiv und (nicht) erfrischend.
Im Übrigen gelten die aktuellen Bestimmungen beim TÜV, nicht die vom Zeitpunkt der Erstzulassung.

Wir wollen niemanden ausgrenzen, können aber auch nicht in der Vergangenheit bleiben.
Wohin führt eigentlich diese Diskussion !?
Mit feudalen Grüßen,
Mirco aka Clanfamily
- Vorstand -

MeetMe | OC YouTube | OC Talk
following

[quote="ClanFamily (Mirco)"]
Wir wollen niemanden ausgrenzen, können aber auch nicht in der Vergangenheit bleiben.
[/quote]

Welcher Fortschritt bei Opencaching.de würde denn verhindert, wenn man die gewünschte SSL-Option ermöglicht?
Benutzeravatar
teiling88
Vereinsmitglied
Vereinsmitglied
Beiträge: 694
Registriert: 06.12.2015, 14:15

[quote="following"]
Welcher Fortschritt bei Opencaching.de würde denn verhindert, wenn man die gewünschte SSL-Option ermöglicht?
[/quote]

Gibt es den Überhaupt Nutzer, die dadurch nicht auf opencaching.de zugreifen können? Le Dompteur kann ja auch mit seinem XP Laptop auf die Seiten zugreifen wenn ich das richtig interpretiere.
Benutzeravatar
bohrsty
Administrator
Administrator
Beiträge: 1365
Registriert: 30.03.2012, 22:54

ach leute... bitte nicht gleich wieder uebertreiben, ich wollte doch nur wissen, warum diese anfrage gestellt wurde...  :o

aus it-sicht stimme ich Thomas zu, xp hat aus sicherheitsgruenden meiner meinung nach nichts im internet verloren, wenn einem die eigenen daten schon nicht wichtig sind, sollte man in diesem fall mal an die anderen denken, die evtl. durch die mitgliedschaft in einem bot-netz geschaedigt oder bedroht werden...

aus diesem grund finde ich es falsch als seitenbetreiber auch noch den anreiz zu schaffen...

wer den link aus meiner nachfrage genauer angeguckt hat, wird feststellen, dass auch ein win xp (sp3) tls 1.2 verwenden kann, wenn man den passenden browser nutzt (laut link firefox 49)... nur die nutzung von xp ueberzeugt mich nicht, da gibt es mind. eine alternative...
gruss Nils (bohrsty)

Bild
following

[quote="bohrsty"]
nur die nutzung von xp ueberzeugt mich nicht, da gibt es mind. eine alternative...
[/quote]

Nicht für jeden, siehe oben. Es gibt wirklich Menschen, die wegen Alter oder Krankheit den Schritt auf Linux nicht mehr machen können, oder die niemanden haben der ihren Rechner mit allen Anwendungen auf Linux umstellen und sie einweisen würde. So jemandem das Internet wegnehmen zu wollen ist, wie ihm das Telefon wegzunehmen oder den Strom abzuschalten.

Und eine XP-Installation ist nicht automatisch ein Sichereitsrisiko. Es gibt aktuelle Virenscanner und Firewalls, und es kommt auch darauf an wo man sich im Internet aufhält und ob man vorsichtig mit Emails umgeht.

Auf XP SP3 läuft übrigens die Sygate Personall Firewall nicht mehr, also wenn es dir jetzt gelingt ein paar XP-Nutzer mit dieser Firewall zum Upgrade auf SP3 zu zwingen dann hast du den Botnetzen einen Gefallen getan.  ::)
Benutzeravatar
Jiver78
Nano
Nano
Beiträge: 88
Registriert: 26.09.2016, 10:26

Da auch ich noch so eine "alte Möhre" habe:
(altes XP-Netbook, nutze es an meinem Arbeitsplatz in der Schule, da ich so meine eigene Software nutzen kann - der Admin mag weder Inkscape, noch GIMP oder LibreOffice für mich auf die schuleigenen Rechner installieren...)

Aufrufen der OC-Seite, einloggen und Benutzung des Forums war/ist kein Problem (XP SP3, Firefox 52.4).
Antworten