Neue Firefox SSL Warnung deaktivieren

Alles, was nicht direkt mit Python-Problemen zu tun hat. Dies ist auch der perfekte Platz für Jobangebote.
Antworten
Benutzeravatar
veers
User
Beiträge: 1219
Registriert: Mittwoch 28. Februar 2007, 20:01
Wohnort: Zürich (CH)
Kontaktdaten:
Kontaktdaten von veers

Hi ihr,

Die neue SSL Warnung von Firefox nervt mich ziemlich :twisted: Mal abgesehen davon das sei den Eindruck erweckt das eine nicht verifizierte SSL-Verbindung weniger sicher ist als eine normale HTTP Verbindung brauche ich jeweils 5 Klicks um eine Seite mit einem Self-Signed Zertifikat zu besuchen. Gibt es einen Weg diese zu umgehen?
Am liebsten wäre es mir wenn einfach das Icon in der Addressbar Rot oder Orange wird. Aber auch der alte Dialog wäre ok.

Gruss,
Jonas

PS: Bin ich eigentlich der einzige der das nicht so "Super Toll und viel sicherer" findet?
[url=http://29a.ch/]My Website - 29a.ch[/url]
"If privacy is outlawed, only outlaws will have privacy." - Phil Zimmermann
Nach oben
nemomuk
User
Beiträge: 862
Registriert: Dienstag 6. November 2007, 21:49

Wir reden vom 3er?

Ich finde es im neuen Firefox sogar viel, viel besser... Im alten musste man immer klicken bis die ganzen Sicherheitswarnungen weg waren...

Im 3er kommt (bei mir zumindest) immer eine Seite, dann kann ich unten eine Ausnahme hinzufügen und das Zertifikat wird jedes mal ohne irgendeine Nachfrage akzeptiert...
Nach oben
Benutzeravatar
veers
User
Beiträge: 1219
Registriert: Mittwoch 28. Februar 2007, 20:01
Wohnort: Zürich (CH)
Kontaktdaten:
Kontaktdaten von veers

Zertifikate permanent speichern konnte man doch auch schon vorher ;)
[url=http://29a.ch/]My Website - 29a.ch[/url]
"If privacy is outlawed, only outlaws will have privacy." - Phil Zimmermann
Nach oben
lunar

veers hat geschrieben:Mal abgesehen davon das sei den Eindruck erweckt das eine nicht verifizierte SSL-Verbindung weniger sicher ist als eine normale HTTP Verbindung
Vielleicht, weil das nun mal so ist?

Verschlüsselung ist nur ein Teil von SSL, ebenso wichtig ist die Authentifizierung des Servers. Die Daten unverschlüsselter Seiten sind hoffentlich so unwichtig, dass es nichts ausmacht, wenn die Seite gefälscht ist. Bei einer SSL-verschlüsselten Seite ist Spoofing oder Pishing dagegen meistens mit mehr oder weniger schlimmen Folgen verbunden.
PS: Bin ich eigentlich der einzige der das nicht so "Super Toll und viel sicherer" findet?
Möglich ... ich persönlich finde diese Warnung gut. Sie verlangt explizit, eine _Ausnahme_ für eine unsichere Seite hinzuzufügen. Der alte Warndialog wurde ja immer nur einfach weggeklickt.

Wenn dich die Warnung stört, dann musst du sie halt unter Sicherheit -> Warnungen deaktivieren.
Nach oben
mitsuhiko
User
Beiträge: 1790
Registriert: Donnerstag 28. Oktober 2004, 16:33
Wohnort: Graz, Steiermark - Österreich
Kontaktdaten:
Kontaktdaten von mitsuhiko

Ich find die Warnung spitze. Jetzt merken Leute erstmal wenn ihre Zertifikate auslaufen. Also brav zu ca-cert laufen und zertifizieren, und das ca-cert Root-Zertifikat aufnehmen.

Und vielleicht köntne ca-cert mal wieder einen Antrag stellen, dass das schon von Haus aus passiert.
TUFKAB – the user formerly known as blackbird
Nach oben
lunar

Oder eben ne eigene firmen-intere Root-CA aufbauen, wenn es um Intranet-Sites geht.
Nach oben
Benutzeravatar
birkenfeld
Python-Forum Veteran
Beiträge: 1603
Registriert: Montag 20. März 2006, 15:29
Wohnort: Die aufstrebende Universitätsstadt bei München

lunar hat geschrieben: Wenn dich die Warnung stört, dann musst du sie halt unter Sicherheit -> Warnungen deaktivieren.
Ich sehe da keine Option für...
Dann lieber noch Vim 7 als Windows 7.

http://pythonic.pocoo.org/
Nach oben
lunar

In der Tat... ich dachte, "Eine Sicherheitswarnung anzeigen, wenn eine nur schwach verschlüsselte Seite angezeigt werden soll" wär's gewesen ;)

lunar, der sich gerade fragt, wofür diese Einstellung dann da ist ...
Nach oben
Leonidas
Python-Forum Veteran
Beiträge: 16025
Registriert: Freitag 20. Juni 2003, 16:30
Kontaktdaten:
Kontaktdaten von Leonidas

lunar hat geschrieben:lunar, der sich gerade fragt, wofür diese Einstellung dann da ist ...
Ich schätze mal, dass das aus den Zeiten ist, wo es cryptography restrictions in den USA gab, siehe 56-Bit SSL.
My god, it's full of CARs! | Leonidasvoice vs (former) Modvoice
Nach oben
sma
User
Beiträge: 3018
Registriert: Montag 19. November 2007, 19:57
Wohnort: Kiel

veers hat geschrieben:Die neue SSL Warnung von Firefox nervt mich ziemlich :twisted: Mal abgesehen davon das sei den Eindruck erweckt das eine nicht verifizierte SSL-Verbindung weniger sicher ist als eine normale HTTP
Um das nochmal deutlich zu sagen: Eine SSL-Verbindung mit einem selbstzertifizierten Zertifikat ist NICHT vertrauenswürdig und bietet damit auch KEINE Sicherheit. Damit ist es gut, dass FF hier meckert. Jeder kann sich dieses Zertifikat selbst bauen und der Anwender weiß nicht, mit wem er eigentlich eine Verbindung aufgebaut hat. Das diese dann verschlüsselt ist, ist egal. Es könnte ja der "man in the middle" sein, der gerade eigentlich nicht die Daten mitlesen sollte.

Stefan
Nach oben
lunar

sma hat geschrieben:Um das nochmal deutlich zu sagen: Eine SSL-Verbindung mit einem selbstzertifizierten Zertifikat ist NICHT vertrauenswürdig und bietet damit auch KEINE Sicherheit.
So generell stimmt das auch wieder nicht. Zertifikate haben genau wie GPG Schlüssel einen Fingerprint, den man auch auf ähnlichen Wege überprüfen kann.
Nach oben
Benutzeravatar
veers
User
Beiträge: 1219
Registriert: Mittwoch 28. Februar 2007, 20:01
Wohnort: Zürich (CH)
Kontaktdaten:
Kontaktdaten von veers

sma hat geschrieben:
veers hat geschrieben:Die neue SSL Warnung von Firefox nervt mich ziemlich :twisted: Mal abgesehen davon das sei den Eindruck erweckt das eine nicht verifizierte SSL-Verbindung weniger sicher ist als eine normale HTTP
Um das nochmal deutlich zu sagen: Eine SSL-Verbindung mit einem selbstzertifizierten Zertifikat ist NICHT vertrauenswürdig und bietet damit auch KEINE Sicherheit.
Kein Sichetheit stimmt so nicht. Es schützt selbst ohne signiertes Zertifikat gegen passive Angriffe.
Lunar hat geschrieben:Vielleicht, weil das nun mal so ist?
Dann erzähl mir mal welche zusätzlichen Attacken auf eine nicht authentifizierte verschlüsselte Verbindung möglich sind - aber nicht auf eine Plaintext Verbindung möglich sind.
Lunar hat geschrieben:Möglich ... ich persönlich finde diese Warnung gut. Sie verlangt explizit, eine _Ausnahme_ für eine unsichere Seite hinzuzufügen. Der alte Warndialog wurde ja immer nur einfach weggeklickt.
Dann müsstest du ja für jede HTTP Seite eine vergleichbare Warnung anzeigen.
lunar hat geschrieben:Wenn dich die Warnung stört, dann musst du sie halt unter Sicherheit -> Warnungen deaktivieren.
Genau dass das nicht möglich ist stört mich ;) Für mich Persönlich wäre auch ein Config Key genug.
lunar hat geschrieben:Oder eben ne eigene firmen-intere Root-CA aufbauen, wenn es um Intranet-Sites geht.
lunar hat geschrieben:So generell stimmt das auch wieder nicht. Zertifikate haben genau wie GPG Schlüssel einen Fingerprint, den man auch auf ähnlichen Wege überprüfen kann.
Ja, das ist mal das eine. Aber in vielen fällen ist es mir relativ egal wenn da ein Angreifer mit hört. Ich will bloss eine Seite aufrufen und Informationen von dieser beziehen.
[url=http://29a.ch/]My Website - 29a.ch[/url]
"If privacy is outlawed, only outlaws will have privacy." - Phil Zimmermann
Nach oben
lunar

veers hat geschrieben:
Lunar hat geschrieben:Vielleicht, weil das nun mal so ist?
Dann erzähl mir mal welche zusätzlichen Attacken auf eine nicht authentifizierte verschlüsselte Verbindung möglich sind - aber nicht auf eine Plaintext Verbindung möglich sind.
[ ] Du hast mein Posting gelesen

Ich habe nicht gesagt, es wären andere Angriffe möglich, ich habe gesagt, die Auswirkungen eines Angriffs auf SSL-Verbindungen wären gravierender als die eines Angriffs auf eine HTTP-Verbindung, weil SSL-Verbindungen in der Regel sensible Daten schützen.

Anders gesagt: Ich gehe nicht daran unter, wenn mein Python-Forum-Passwort gepisht wird, aber es wäre ziemlich beschissen für mich, wenn man meine Bankdaten oder meinen Amazonaccount brechen würde.
Lunar hat geschrieben:Möglich ... ich persönlich finde diese Warnung gut. Sie verlangt explizit, eine _Ausnahme_ für eine unsichere Seite hinzuzufügen. Der alte Warndialog wurde ja immer nur einfach weggeklickt.
Dann müsstest du ja für jede HTTP Seite eine vergleichbare Warnung anzeigen.[/quote]
So? Und warum glaubst du dann, erscheint die Adressleiste bei FF gelb, wenn die Seite verschlüsselt ist?

Warum eine richtige Warnung da unsinnig ist, aber ich dir jetzt schon zweimal versucht zu erklären.
lunar hat geschrieben:So generell stimmt das auch wieder nicht. Zertifikate haben genau wie GPG Schlüssel einen Fingerprint, den man auch auf ähnlichen Wege überprüfen kann.
Ja, das ist mal das eine. Aber in vielen fällen ist es mir relativ egal wenn da ein Angreifer mit hört. Ich will bloss eine Seite aufrufen und Informationen von dieser beziehen.
Es gibt für mich gena
lunar hat geschrieben:Oder eben ne eigene firmen-intere Root-CA aufbauen, wenn es um Intranet-Sites geht.
Mhhh, wenn ich überlege, gehen bei mir über die meisten SSl-Verbindungen Daten, die ich ungern in fremden Händen sehen würde.
Nach oben
Benutzeravatar
veers
User
Beiträge: 1219
Registriert: Mittwoch 28. Februar 2007, 20:01
Wohnort: Zürich (CH)
Kontaktdaten:
Kontaktdaten von veers

Wenn ich etwas wichtiges tue dann überprüfe ich das Zertifikat und und die Adresse sowieso noch einmal. Ich will ich nicht sagen dass diese Warnung für alle Menschen schlecht ist - aber mich stört sie. ;)

Und ich habe dein Posting schon gelesen, aber ich verstehe deinen Standpunkt nicht so ganz ;)
[url=http://29a.ch/]My Website - 29a.ch[/url]
"If privacy is outlawed, only outlaws will have privacy." - Phil Zimmermann
Nach oben
sma
User
Beiträge: 3018
Registriert: Montag 19. November 2007, 19:57
Wohnort: Kiel

lunar hat geschrieben:
sma hat geschrieben:Um das nochmal deutlich zu sagen: Eine SSL-Verbindung mit einem selbstzertifizierten Zertifikat ist NICHT vertrauenswürdig und bietet damit auch KEINE Sicherheit.
So generell stimmt das auch wieder nicht. Zertifikate haben genau wie GPG Schlüssel einen Fingerprint, den man auch auf ähnlichen Wege überprüfen kann.
Und kennst du den Fingerprint des Zertifikats deiner Bank? Prüfst du den? Ich glaube nicht, dass das irgendjemand ernsthaft macht. Safari zeigt diesen nach zwei Klicks in einer längeren Liste von für normale Leute völlig unverständlichen Informationen nach mehrfachem Scrollen als letzten Punkt an. Wenn überhaupt, so schaut jemand, ob wohl Name und Land passt. Dies sind die ersten Informationen in besagter langer Liste.

Und diese kann man für selbstzertifizierte Zertifikate natürlich beliebig setzen. Daher bleibe ich dabei. Selbstzertifizierte Zertifikate geben keine Möglichkeit einfach zu prüfen, mit wem man da eigentlich redet und damit auch eine Sicherheit.

Stefan
Nach oben
Antworten

Zurück zu „Offtopic“