Neue Firefox SSL Warnung deaktivieren

Alles, was nicht direkt mit Python-Problemen zu tun hat. Dies ist auch der perfekte Platz für Jobangebote.
Benutzeravatar
veers
User
Beiträge: 1219
Registriert: Mittwoch 28. Februar 2007, 20:01
Wohnort: Zürich (CH)
Kontaktdaten:

Neue Firefox SSL Warnung deaktivieren

Beitragvon veers » Samstag 28. Juni 2008, 15:41

Hi ihr,

Die neue SSL Warnung von Firefox nervt mich ziemlich :twisted: Mal abgesehen davon das sei den Eindruck erweckt das eine nicht verifizierte SSL-Verbindung weniger sicher ist als eine normale HTTP Verbindung brauche ich jeweils 5 Klicks um eine Seite mit einem Self-Signed Zertifikat zu besuchen. Gibt es einen Weg diese zu umgehen?
Am liebsten wäre es mir wenn einfach das Icon in der Addressbar Rot oder Orange wird. Aber auch der alte Dialog wäre ok.

Gruss,
Jonas

PS: Bin ich eigentlich der einzige der das nicht so "Super Toll und viel sicherer" findet?
My Website - 29a.ch
"If privacy is outlawed, only outlaws will have privacy." - Phil Zimmermann
nemomuk
User
Beiträge: 862
Registriert: Dienstag 6. November 2007, 21:49

Beitragvon nemomuk » Samstag 28. Juni 2008, 16:04

Wir reden vom 3er?

Ich finde es im neuen Firefox sogar viel, viel besser... Im alten musste man immer klicken bis die ganzen Sicherheitswarnungen weg waren...

Im 3er kommt (bei mir zumindest) immer eine Seite, dann kann ich unten eine Ausnahme hinzufügen und das Zertifikat wird jedes mal ohne irgendeine Nachfrage akzeptiert...
Benutzeravatar
veers
User
Beiträge: 1219
Registriert: Mittwoch 28. Februar 2007, 20:01
Wohnort: Zürich (CH)
Kontaktdaten:

Beitragvon veers » Samstag 28. Juni 2008, 17:40

Zertifikate permanent speichern konnte man doch auch schon vorher ;)
My Website - 29a.ch

"If privacy is outlawed, only outlaws will have privacy." - Phil Zimmermann
lunar

Re: Neue Firefox SSL Warnung deaktivieren

Beitragvon lunar » Samstag 28. Juni 2008, 17:56

veers hat geschrieben:Mal abgesehen davon das sei den Eindruck erweckt das eine nicht verifizierte SSL-Verbindung weniger sicher ist als eine normale HTTP Verbindung

Vielleicht, weil das nun mal so ist?

Verschlüsselung ist nur ein Teil von SSL, ebenso wichtig ist die Authentifizierung des Servers. Die Daten unverschlüsselter Seiten sind hoffentlich so unwichtig, dass es nichts ausmacht, wenn die Seite gefälscht ist. Bei einer SSL-verschlüsselten Seite ist Spoofing oder Pishing dagegen meistens mit mehr oder weniger schlimmen Folgen verbunden.

PS: Bin ich eigentlich der einzige der das nicht so "Super Toll und viel sicherer" findet?

Möglich ... ich persönlich finde diese Warnung gut. Sie verlangt explizit, eine _Ausnahme_ für eine unsichere Seite hinzuzufügen. Der alte Warndialog wurde ja immer nur einfach weggeklickt.

Wenn dich die Warnung stört, dann musst du sie halt unter Sicherheit -> Warnungen deaktivieren.
Benutzeravatar
mitsuhiko
User
Beiträge: 1790
Registriert: Donnerstag 28. Oktober 2004, 16:33
Wohnort: Graz, Steiermark - Österreich
Kontaktdaten:

Beitragvon mitsuhiko » Samstag 28. Juni 2008, 18:01

Ich find die Warnung spitze. Jetzt merken Leute erstmal wenn ihre Zertifikate auslaufen. Also brav zu ca-cert laufen und zertifizieren, und das ca-cert Root-Zertifikat aufnehmen.

Und vielleicht köntne ca-cert mal wieder einen Antrag stellen, dass das schon von Haus aus passiert.
TUFKAB – the user formerly known as blackbird
lunar

Beitragvon lunar » Samstag 28. Juni 2008, 18:06

Oder eben ne eigene firmen-intere Root-CA aufbauen, wenn es um Intranet-Sites geht.
Benutzeravatar
birkenfeld
Python-Forum Veteran
Beiträge: 1603
Registriert: Montag 20. März 2006, 15:29
Wohnort: Die aufstrebende Universitätsstadt bei München

Re: Neue Firefox SSL Warnung deaktivieren

Beitragvon birkenfeld » Samstag 28. Juni 2008, 18:51

lunar hat geschrieben:Wenn dich die Warnung stört, dann musst du sie halt unter Sicherheit -> Warnungen deaktivieren.


Ich sehe da keine Option für...
Dann lieber noch Vim 7 als Windows 7.

http://pythonic.pocoo.org/
lunar

Beitragvon lunar » Samstag 28. Juni 2008, 19:03

In der Tat... ich dachte, "Eine Sicherheitswarnung anzeigen, wenn eine nur schwach verschlüsselte Seite angezeigt werden soll" wär's gewesen ;)

lunar, der sich gerade fragt, wofür diese Einstellung dann da ist ...
Benutzeravatar
Leonidas
Administrator
Beiträge: 16023
Registriert: Freitag 20. Juni 2003, 16:30
Kontaktdaten:

Beitragvon Leonidas » Samstag 28. Juni 2008, 19:22

lunar hat geschrieben:lunar, der sich gerade fragt, wofür diese Einstellung dann da ist ...

Ich schätze mal, dass das aus den Zeiten ist, wo es cryptography restrictions in den USA gab, siehe 56-Bit SSL.
My god, it's full of CARs! | Leonidasvoice vs Modvoice
sma
User
Beiträge: 3018
Registriert: Montag 19. November 2007, 19:57
Wohnort: Kiel

Re: Neue Firefox SSL Warnung deaktivieren

Beitragvon sma » Sonntag 29. Juni 2008, 07:57

veers hat geschrieben:Die neue SSL Warnung von Firefox nervt mich ziemlich :twisted: Mal abgesehen davon das sei den Eindruck erweckt das eine nicht verifizierte SSL-Verbindung weniger sicher ist als eine normale HTTP


Um das nochmal deutlich zu sagen: Eine SSL-Verbindung mit einem selbstzertifizierten Zertifikat ist NICHT vertrauenswürdig und bietet damit auch KEINE Sicherheit. Damit ist es gut, dass FF hier meckert. Jeder kann sich dieses Zertifikat selbst bauen und der Anwender weiß nicht, mit wem er eigentlich eine Verbindung aufgebaut hat. Das diese dann verschlüsselt ist, ist egal. Es könnte ja der "man in the middle" sein, der gerade eigentlich nicht die Daten mitlesen sollte.

Stefan
lunar

Re: Neue Firefox SSL Warnung deaktivieren

Beitragvon lunar » Sonntag 29. Juni 2008, 09:42

sma hat geschrieben:Um das nochmal deutlich zu sagen: Eine SSL-Verbindung mit einem selbstzertifizierten Zertifikat ist NICHT vertrauenswürdig und bietet damit auch KEINE Sicherheit.

So generell stimmt das auch wieder nicht. Zertifikate haben genau wie GPG Schlüssel einen Fingerprint, den man auch auf ähnlichen Wege überprüfen kann.
Benutzeravatar
veers
User
Beiträge: 1219
Registriert: Mittwoch 28. Februar 2007, 20:01
Wohnort: Zürich (CH)
Kontaktdaten:

Re: Neue Firefox SSL Warnung deaktivieren

Beitragvon veers » Sonntag 29. Juni 2008, 11:49

sma hat geschrieben:
veers hat geschrieben:Die neue SSL Warnung von Firefox nervt mich ziemlich :twisted: Mal abgesehen davon das sei den Eindruck erweckt das eine nicht verifizierte SSL-Verbindung weniger sicher ist als eine normale HTTP


Um das nochmal deutlich zu sagen: Eine SSL-Verbindung mit einem selbstzertifizierten Zertifikat ist NICHT vertrauenswürdig und bietet damit auch KEINE Sicherheit.
Kein Sichetheit stimmt so nicht. Es schützt selbst ohne signiertes Zertifikat gegen passive Angriffe.

Lunar hat geschrieben:Vielleicht, weil das nun mal so ist?
Dann erzähl mir mal welche zusätzlichen Attacken auf eine nicht authentifizierte verschlüsselte Verbindung möglich sind - aber nicht auf eine Plaintext Verbindung möglich sind.

Lunar hat geschrieben:Möglich ... ich persönlich finde diese Warnung gut. Sie verlangt explizit, eine _Ausnahme_ für eine unsichere Seite hinzuzufügen. Der alte Warndialog wurde ja immer nur einfach weggeklickt.
Dann müsstest du ja für jede HTTP Seite eine vergleichbare Warnung anzeigen.
lunar hat geschrieben:Wenn dich die Warnung stört, dann musst du sie halt unter Sicherheit -> Warnungen deaktivieren.
Genau dass das nicht möglich ist stört mich ;) Für mich Persönlich wäre auch ein Config Key genug.

lunar hat geschrieben:Oder eben ne eigene firmen-intere Root-CA aufbauen, wenn es um Intranet-Sites geht.


lunar hat geschrieben:So generell stimmt das auch wieder nicht. Zertifikate haben genau wie GPG Schlüssel einen Fingerprint, den man auch auf ähnlichen Wege überprüfen kann.
Ja, das ist mal das eine. Aber in vielen fällen ist es mir relativ egal wenn da ein Angreifer mit hört. Ich will bloss eine Seite aufrufen und Informationen von dieser beziehen.
My Website - 29a.ch

"If privacy is outlawed, only outlaws will have privacy." - Phil Zimmermann
lunar

Re: Neue Firefox SSL Warnung deaktivieren

Beitragvon lunar » Sonntag 29. Juni 2008, 12:06

veers hat geschrieben:
Lunar hat geschrieben:Vielleicht, weil das nun mal so ist?
Dann erzähl mir mal welche zusätzlichen Attacken auf eine nicht authentifizierte verschlüsselte Verbindung möglich sind - aber nicht auf eine Plaintext Verbindung möglich sind.

[ ] Du hast mein Posting gelesen

Ich habe nicht gesagt, es wären andere Angriffe möglich, ich habe gesagt, die Auswirkungen eines Angriffs auf SSL-Verbindungen wären gravierender als die eines Angriffs auf eine HTTP-Verbindung, weil SSL-Verbindungen in der Regel sensible Daten schützen.

Anders gesagt: Ich gehe nicht daran unter, wenn mein Python-Forum-Passwort gepisht wird, aber es wäre ziemlich beschissen für mich, wenn man meine Bankdaten oder meinen Amazonaccount brechen würde.

Lunar hat geschrieben:Möglich ... ich persönlich finde diese Warnung gut. Sie verlangt explizit, eine _Ausnahme_ für eine unsichere Seite hinzuzufügen. Der alte Warndialog wurde ja immer nur einfach weggeklickt.
Dann müsstest du ja für jede HTTP Seite eine vergleichbare Warnung anzeigen.[/quote]
So? Und warum glaubst du dann, erscheint die Adressleiste bei FF gelb, wenn die Seite verschlüsselt ist?

Warum eine richtige Warnung da unsinnig ist, aber ich dir jetzt schon zweimal versucht zu erklären.

lunar hat geschrieben:So generell stimmt das auch wieder nicht. Zertifikate haben genau wie GPG Schlüssel einen Fingerprint, den man auch auf ähnlichen Wege überprüfen kann.
Ja, das ist mal das eine. Aber in vielen fällen ist es mir relativ egal wenn da ein Angreifer mit hört. Ich will bloss eine Seite aufrufen und Informationen von dieser beziehen.

Es gibt für mich gena
lunar hat geschrieben:Oder eben ne eigene firmen-intere Root-CA aufbauen, wenn es um Intranet-Sites geht.

Mhhh, wenn ich überlege, gehen bei mir über die meisten SSl-Verbindungen Daten, die ich ungern in fremden Händen sehen würde.
Benutzeravatar
veers
User
Beiträge: 1219
Registriert: Mittwoch 28. Februar 2007, 20:01
Wohnort: Zürich (CH)
Kontaktdaten:

Beitragvon veers » Sonntag 29. Juni 2008, 12:42

Wenn ich etwas wichtiges tue dann überprüfe ich das Zertifikat und und die Adresse sowieso noch einmal. Ich will ich nicht sagen dass diese Warnung für alle Menschen schlecht ist - aber mich stört sie. ;)

Und ich habe dein Posting schon gelesen, aber ich verstehe deinen Standpunkt nicht so ganz ;)
My Website - 29a.ch

"If privacy is outlawed, only outlaws will have privacy." - Phil Zimmermann
sma
User
Beiträge: 3018
Registriert: Montag 19. November 2007, 19:57
Wohnort: Kiel

Re: Neue Firefox SSL Warnung deaktivieren

Beitragvon sma » Mittwoch 2. Juli 2008, 08:58

lunar hat geschrieben:
sma hat geschrieben:Um das nochmal deutlich zu sagen: Eine SSL-Verbindung mit einem selbstzertifizierten Zertifikat ist NICHT vertrauenswürdig und bietet damit auch KEINE Sicherheit.

So generell stimmt das auch wieder nicht. Zertifikate haben genau wie GPG Schlüssel einen Fingerprint, den man auch auf ähnlichen Wege überprüfen kann.

Und kennst du den Fingerprint des Zertifikats deiner Bank? Prüfst du den? Ich glaube nicht, dass das irgendjemand ernsthaft macht. Safari zeigt diesen nach zwei Klicks in einer längeren Liste von für normale Leute völlig unverständlichen Informationen nach mehrfachem Scrollen als letzten Punkt an. Wenn überhaupt, so schaut jemand, ob wohl Name und Land passt. Dies sind die ersten Informationen in besagter langer Liste.

Und diese kann man für selbstzertifizierte Zertifikate natürlich beliebig setzen. Daher bleibe ich dabei. Selbstzertifizierte Zertifikate geben keine Möglichkeit einfach zu prüfen, mit wem man da eigentlich redet und damit auch eine Sicherheit.

Stefan

Wer ist online?

Mitglieder in diesem Forum: Majestic-12 [Bot]