Sign in to follow this  
eric cartman

"This server is vulnerable to the POODLE attack."

Recommended Posts

Als ich das lese, bin ich doch etwas enttäuscht. Ich will grad das Mobile Security kaufen und mache vorher einen routinemäßigen Check der Serversicherheit, bevor ich meine Daten eingebe. Hier das Ergebnis:

 

https://dev.ssllabs.com/ssltest/analyze.html?d=shop.emsisoft.com

 

Da steht dann: "This server is vulnerable to the POODLE attack." Das hätte ich von einem Sicherheitsunternehmen nicht erwartet.

 

Was sagt Emsisoft dazu?

Share this post


Link to post
Share on other sites

Ein nicht unsignifikanter Teil unserer Userbase rennt leider noch mit Windows XP und IE 6.0 herum. Prinzipiell kann IE 6.0 auf Windows XP zwar TLS, aber es muss vom User manuell aktiviert werden. Daher ist das Deaktivieren von SSLv3 fuer uns zumindest derzeit keine Option. Unser Server supported allerdings TLS_FALLBACK_SCSV. Dabei handelt es sich um ein Flag um Protocol Downgrade Attacks wie POODLE zu mitigieren. Vorraussetzung dafuer ist, dass sowohl Dein Browser als auch der Server dieses Flag unterstuetzen. Darueber hinaus gehoeren fuer eine erfolgreiche POODLE Attacke 2 Teile: Ein Server der gewillt ist SSLv3 zu reden und ein Browser der SSLv3 akzeptiert. Letzteres ist in Firefox 34 und Chrome 39 nicht laenger der Fall. Fuer den Internet Explorer gibt es ein Fix it, dass dafuer sorgt das Dein Browser nicht laenger SSLv3 akzeptiert. Solltest Du also einen der genannten Browser benutzen oder aber das Fix It von Microsoft installiert haben, bist Du generell von POODLE nicht laenger betroffen, egal was der Server sagt.

Share this post


Link to post
Share on other sites

Hallo Fabian,

 

Danke für deine Antwort. Im Grunde fühle ich mich auch relativ sicher. Ich denke, ich für meinen Teil habe alle mir möglichen Vorkehrungen getroffen. Zumal ja auch TLS nicht die absolute Sicherheit bringt (http://heise.de/-2482929). Aber darauf habe ich als User wohl eh keinen Einfluss.

 

Sonnige Grüße..

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

  • Recently Browsing   0 members

    No registered users viewing this page.