Not logged in. · Lost password · Register

elly
Member since Jan 2012
21 posts
Subject: RC4 - Verschlüsselung
+4 CFP, greebo, kronos, John Late
ja hi Leute ^^

ich hab heute meine Verschlüsselungen angeschaut und alle RC4-Verbindungen deaktiviert. Jetzt ist mir aufgefallen, ich habe keine Verbindung mehr zur www2.cs.fau.de Seite, da diese scheinbar nur über RC4 läuft ^^
Stellt der Lehrstuhl die Verbindung noch demnächst um? Aktuell habe ich eine Ausnahmeregel für die Seite eingerichtet ^^

nur mal so ein kleines Problem am Rande ^^

Schöne Ferien
Hasenichts
Member since Apr 2012
554 posts
Am besten wendest du dich damit direkt an den Lehrstuhl, keine Ahnung ob da hier jemand mitliest. Du bist nicht der erste, dem das Problem aufgefallen ist und sich hingewandt hat, wenn die Beschwerden über das setup zunehmen passiert vielleicht was.
CFP
Avatar
Member since Sep 2011
859 posts
Dadrauf bin ich auch schon gestoßen. Konnte wochenlang die LS2-Seite nicht aufrufen (hab sie aber auch nicht wirklich gebraucht), bis ich mal schaun wollte „warum“. Kurzer sslscan hat mir dann offenbart, dass nur RC4 akzeptiert wird – und das ist bei mir deaktiviert.
Hab mich aber noch nicht aufraffen können, den Lehrstuhl zu kontaktieren ;)

edit: Und gerade jetzt nach Heartbleed sollte man eh ein neues Zertifikat machen, dann könnte man das gleich verbinden (und nebenbei noch PFS aktivieren) [Image: http://glubbforum.de/images/smilies/e015.gif]
This post was edited on 2014-04-17, 16:31 by CFP.
CFP
Avatar
Member since Sep 2011
859 posts
Da muss ich jetzt lobende Worte finden ;)
Inzwischen ist der LS2 besser als der LS1 und die FSI :)
This post was edited on 2014-05-06, 11:31 by CFP.
firebird
Pyromant aus dem Sumpf
Member since Oct 2012
24 posts
Quote by CFP:
Da muss ich jetzt lobende Worte finden ;)
Inzwischen ist der LS2 besser als der LS1 und die FSI :)

Lol what? Also bitte, jetz haben sie halt mal sinnvollerweise 2 AES-Ciphern angeschalten... Da is nix mit TLS1.2 ;)
Die FSI-Seite hat ja immerhin auch sinnvolle Ciphern an, die man nutzt, wenn man RC4 ausschaltet, aber ich prangere das jetz auch mal an! :)

Aber immernoch besser als studon, die haben noch gutes RC2-40bit! (https://www.ssllabs.com/ssltest/analyze.h…?d=studon.uni-…)
CFP
Avatar
Member since Sep 2011
859 posts
Quote by firebird:
Quote by CFP:
Da muss ich jetzt lobende Worte finden ;)
Inzwischen ist der LS2 besser als der LS1 und die FSI :)

Lol what? Also bitte, jetz haben sie halt mal sinnvollerweise 2 AES-Ciphern angeschalten... Da is nix mit TLS1.2 ;)

Ist ja gut ;)
Habs mir diesmal nicht genauer angesehen, nur dass es sich deutlich verbessert hat ;)
neverpanic
Member since Sep 2008
1458 posts
In reply to post #5
Quote by firebird:
Lol what? Also bitte, jetz haben sie halt mal sinnvollerweise 2 AES-Ciphern angeschalten... Da is nix mit TLS1.2 ;)
TLS1.2 is auf dem FSI-Server aber auch nicht (edit: TLS1.2 schon, ECDHE nicht), mangels Apache 2.4. Aus eigener Frickel-Erfahrung kann ich sagen, dass es gar nicht so einfach ist, das alles richtig hinzubekommen.

Quote by firebird:
Aber immernoch besser als studon, die haben noch gutes RC2-40bit! (https://www.ssllabs.com/ssltest/analyze.h…?d=studon.uni-…)
Oh, OK. Weißt du zufällig, wen man dafür treten muss? RC2 ist halt schon wirklich nicht mehr lustig, und auf der Seite tippen Leute ihre Passwörter und andere vertrauliche Dinge…
This post was edited on 2014-05-06, 14:15 by neverpanic.
firebird
Pyromant aus dem Sumpf
Member since Oct 2012
24 posts
Quote by neverpanic:
TLS1.2 is auf dem FSI-Server aber auch nicht, mangels Apache 2.4. Aus eigener Frickel-Erfahrung kann ich sagen, dass es gar nicht so einfach ist, das alles richtig hinzubekommen.
Joar gut, apache is da ja sehr eigen, was sowas wie updates betrifft...

Quote by neverpanic:
Oh, OK. Weißt du zufällig, wen man dafür treten muss? RC2 ist halt schon wirklich nicht mehr lustig, und auf der Seite tippen Leute ihre Passwörter und andere vertrauliche Dinge…


Ne leider nicht, vllt mal beim RRZE nachhaken.
Campus macht da ja auch lustige Dinge (https://www.ssllabs.com/ssltest/analyze.h…?d=campus.uni-…)
izibi
Blockchain-Exorzist
(Administrator)
Member since Oct 2012
551 posts
In reply to post #7
Quote by neverpanic:
Oh, OK. Weißt du zufällig, wen man dafür treten muss? RC2 ist halt schon wirklich nicht mehr lustig, und auf der Seite tippen Leute ihre Passwörter und andere vertrauliche Dinge…

Dein Account-Passwort tippst du ja beim SSO, das macht im Vergleich dazu sogar fast sinnvolle Dinge. Aber HTTPS ist beim Studon doch eh nur dazu da, um auf die HTTP-Seite zu redirecten. Da sind halt wahre Spezialexperten am Werk.
neverpanic
Member since Sep 2008
1458 posts
Quote by izibi:
Dein Account-Passwort tippst du ja beim SSO

Du vielleicht, aber den Punkt "lokale Anmeldung" auf der Startseite gibts sicher nicht umsonst.
izibi
Blockchain-Exorzist
(Administrator)
Member since Oct 2012
551 posts
Oh, äh, Argument. Das muss bestimmt so. Lass mal ganz viel Mail schreiben.
firebird
Pyromant aus dem Sumpf
Member since Oct 2012
24 posts
Das IDM hingegen kann sogar echt gute Verschlüsselung o.O
arw
Dipl. e.t. Dipl. q.3
Avatar
Member since Oct 2005
1892 posts
Ja, dafuer war das IDM auch als einziges (aber dafuer kritischstes) System von den genannten von Heartbleed betroffen. Nicht, dass ich sagen wollte, dass die neuere Crypto dort schlecht waere, im Gegenteil, nur kann man halt mit allem Pech haben :)
thelazt
thelazt
Member since Oct 2009
199 posts
In reply to post #5
Quote by firebird on 2014-05-06, 13:44:
Aber immernoch besser als studon, die haben noch gutes RC2-40bit! (https://www.ssllabs.com/ssltest/analyze.h…?d=studon.uni-…)

FYI: Das war Thema beim Gesprach mit ILI, ein Entwickler hat sich gerade dazu bei mir gemeldet und mitgeteilt, dass SSL auf der Prioliste ist, die Einführung vor dem SoSe 2014 aber nicht geklappt hat - sie haben es ganz nach oben für WS. Während dem Semester wollen sie's nicht machen, da die Downtime zu groß ist. Und das die Informatikstudenten keine unsicheren Algorithmen mögen wissen sie nun auch ;)
(Problem jetzt ist, dass man hin und wieder von https auf http umgeleitet wird - das soll sich da dann bessern)
Close Smaller – Larger + Reply to this post:
Verification code: VeriCode Please enter the word from the image into the text field below. (Type the letters only, lower case is okay.)
Smileys: :-) ;-) :-D :-p :blush: :cool: :rolleyes: :huh: :-/ <_< :-( :'( :#: :scared: 8-( :nuts: :-O
Special characters:
Go to forum
Datenschutz | Kontakt
Powered by the Unclassified NewsBoard software, 20150713-dev, © 2003-2011 by Yves Goergen