Infos über SSL-Problematik: Mozilla gesteht Fehler

Wirtschaft & Firmen Im Zuge der Veröffentlichung von Firefox 4.0 und einem Update für Firefox 3.5 und 3.6 reagierten die Entwickler aus dem Hause Mozilla schnell auf die in dieser Woche bekannt gewordene SSL-Problematik. mehr...

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Besonders blöd war daß ich mit meinem dauerlaufendem Firefox 3.6 noch nicht mal einen Hinweis auf das entsprechende Update bekommen habe und so fast zwei Tage ohne diese Patch unterwegs war.
 
@Johnny Cache: Ganz schlimm, dass du zwei Tage ohne diesen Patch unterwegs war. Also, wenn du auf den Patch angewiesen bist, weil du sonst auf Betrüger reingefallen wärst, dann bringt dir der Patch nicht mehr viel, weil du dann ganz andere Verständnisprobleme mit deinem PC und dem Internet hast.
 
@sushilange: Ah, mit anderen Worten braucht man diese ganzen Patches deiner Meinung also gar nicht? Letztendlich könnte man dann auch gleich noch auf SSL verzichten, oder? Aber gut zu wissen daß die Probleme der Updatemechanik von Mozilla nur ein Verständnisproblem meinerseits sind. Wäre ich jetzt wirklich nicht drauf gekommen... ehrlich.
 
@Johnny Cache: Natürlich brauch man die Patches, aber du hast dich persönlich darüber beschwert, dass du zwei Tage lang nicht "geschützt" warst und wenn du weißt, was es mit dem SSL-Problem aufsich hat, dann solltest du wissen, dass du damit öffentlich zugegeben hast, dass du so blöd bist und auf gefakte Mails reinfällst und dein System oder Netzwerk kompromitiert ist, dass du z.B. beim Aufruf von live.com oder bei der Nutzung von Skype nicht die echten Webseiten bzw. Server nutzt.
 
@sushilange: Daß es aber auch noch andere Szenarien gibt in dem man eben nicht erkennen kann welche IP hinter einem Domainnamen steckt ist dir schon klar? Und daß es sich um ein generelles Problem der Updatemechanik handelt ist auch egal weil du ja nicht auf Spammails reinfällst.
 
@Johnny Cache: Welche Szenarien gibt es denn noch? Wenn ich Skype oder die Webseiten von Mozilla, Live, Yahoo und Google Mail nutze, dann hab ich sie mir entweder als Favoriten abgespeichert oder weiß, wie die URLs lauten. In dem Falle bin ich davon nicht betroffen, AUSSER jemand leitet die DNS-Abfragen um, und dafür muss ja mein System, mein Netzwerk ohne jenes meines Internet-Anbieters komprimittiert sein und dann hab ich ganz andere Sorgen. Ansonsten würde ich niemals in einer Mail oder auf einer Webseite auf einen Link klicken, der mich angeblich auf eine der genannten Webseiten leitet, um ich da dann einzuloggen, zumal im normalen Fall die URLs auch falsch sind und nur so ähnlich wie die originalen aussehen. Deshalb heben aber auch alle aktuellen Browser die Hauptdomain in der Adressleiste hervor, damit man z.B. statt "live.com" nicht auf "live.co/m oder l.ive.com reinfällt.
 
@sushilange: Ah, kommst also doch von alleine drauf. Es muß also gar nicht am dummen User oder an dessen Kiste hängen. Es reicht also beispielsweise schon wenn der Router ein Problem hat.
 
@Johnny Cache: Das zählt aber nicht. Wenn mein Router das Problem wäre, dann nützt mir das Update auch nicht, weil ich dann ganz andere Probleme hätte. Also wenn dein Router nicht kompromittiert ist und dein PC ebenfalls in Ordnung ist, kann dir das Update total egal sein - zumindest brauchst du es nicht innerhalb weniger Minuten, da "irgendwann" auch reicht.
 
@sushilange: Wenn hier einer "blöd" ist, dann bist Du das doch wohl! Wer mit einem solchen Wort / Stil seine Argumente vorbringen muß, kann doch wohl nur "blöd" sein - oder!? Vorsichtshalber nicht nur für Winfuture: Das "blöd" ist ein wörtliches Zitat von sushilange und nicht von mir!
 
@Uechel: Also ich fand Sushilanges Erklärung eindeutig und einleuchtend, Deine Unterstellung Ihm gegenüber zeigt, dass Du genauso wenig verstanden hast wie Jonny. Ich frage mich manchmal ob ich im Alter kläglich verhungern muss, wenn der Heutige "Nachwuchs" so exorbitant merkbefreit ist *trauer*
 
@Pegasushunter.: was hat Jugend damit zu tun, das hier versucht wurde, jemandem zu erklären, das er, nach Interpretation seines Beitrags, (noch) garnicht oder bestenfalls kaum das "Recht drauf" hat, sowas wie "scharf" aufs Update sein zu dürfen ? Erstaunliche, aber irgendwo auch erschreckende Sache, wie leicht man für zu ahnungslos oder unvorsichtig oder risikofreudig oder als evt sogar was zu verbergen habender eingestuft wird, wenn man sich wagt, sich öffentlich zu wundern, das ein von einem selber als erstrebenswert eingestuftes Update unerwartet lange auf sich warten lässt bzw. ließ.
 
Mich wundert ja viel mehr, dass hier auf WinFuture nicht berichtet wurde, dass Firefox, Opera & Co. ein Update für ihre Browser rausgebracht haben. Sonst gibts doch dafür immer eine News und gerade bei diesem Thema hätte ich die eigentlich erwartet. Dann hätte Johnny das auch mit x-Tage-Dauerbetrieb mitgekriegt und evtl. manuell gesucht. "Schuld" hat also nicht Johnny, sondern WinFuture!! xD
 
@Johnny Cache: Du lässt deine Programme zwei Tage durchlaufen und beschwerst dich, das du kein Update bekommst? Oo
 
@Johnny Cache: Wenigstens gesteht Mozilla ihren Fehler ein. So manch anderer Verein könnte sich da noch ne dicke Scheibe von abschneiden. ;) Und wer eh unachtsam ist im Internet, dem hilft selbst der Patch nicht mehr bzw generell nix. Die Folge: Lehrgeld bezahlen. LG
 
Update hin oder her, mit bisschen Verstand und Hirn kann man sich auch ohne das SSL-Update gegen Betrüger schützen.
 
@s3bastian: Ich glaube du hast die Tragweite des Problems nicht verstanden. Diese Zertifikate sind nur für bestimmte Domänen ausgestellt. Die sind nicht an bestimmte IP Adressen gebunden. Der Angreifer hat nur einen Nutzen davon, wenn er auch auf den DNS Servern was verbiegt. Also biegt er im DNS z.B. login.live.com auf seinen Server um. Du kommst dann her und gibst, unter Verwendung von deinem erwähnten Hirn, die völlig korrekte Adresse "https://login.live.com" ein (egal wo du dich bei MS einloggst, du kommst immer auf diese eine Seite) und landest aber auf dem Server des Angreifers. Da er den gültigen Private Key des SSL Zertifikates hat, merkst du nichts davon, weil alles grün im Browser angezeigt wird. Auch wenn du dir alle Fenster rund um das Zertifikat im Browser ansiehst, wirst du keinen Hinweis auf das Problem finden. Der einzige Weg, wie du herausfinden kannst, ob echt oder nicht: Du musst den DNS in eine IP Auflösen und selbst Vergleichen, ob die IP tatsächlich zu den entsprechenden Servern gehört.
Kommentar abgeben Netiquette beachten!