Beiträge von mitch-geht-ab

  • Schwache Verschlüsselung für Firefox Sync

    Hallo.

    Ich benutze auf meinem Android Samsung Galaxy S2 mit Cyanogenmod 9 (-20121209-Nightly) (Android 4.0.4) derzeit den Firefox Mobile in Version 22.0.

    Abgesehen davon betreibe ich meinen eigenen Mozilla Full Sync Server.

    Das alles funktioniert auch wunderbar mit Firefox für Linux, Windows und Android.

    Aber kann mir mal einer sagen warum der FF unter Android nicht mit starken Verschlüsselungs-Ciphers klar kommt?????

    Ich muss explizit RC4-SHA erlauben, in meiner sonst so sicheren Apache Config. Anders synct der FF unter Android sonst nicht.
    D.H. der TLS/SSL Handshake kommt schon gar nicht zustande, da der Firefox/Client seine Ciphers anbietet (nur RC4+SHA), der Server aber gleich einen SSL Error wirft, dass da keine Cipher dabei ist der mit seiner Liste matcht bzw. erlaubt ist (mit Wireshark Trace mitgesniffert).

    Wurde das Sync als Modul in einer Uralt-Version in den FF reinkompiliert? Und das mit jeder neuen Version vom FF?
    Ich verstehe nicht wieso nicht die Android Lib's verwendet werden?
    Bei dem Mail Modul und der Anbindung über den Apache (gleicher vHost) an den Exchange kann ich ja auch die starken Ciphers nutzen!

    Hier mal die Cipher Konfig vom Apache SSL vHost:

    Code
    SSLProtocol all -SSLv2
  SSLHonorCipherOrder on
  SSLCipherSuite ALL:!LOW:!ADH:!EXPORT56:!RC2:!DES:!NULL:!eNULL:!MD5:+DHE-RSA-AES256-SHA:+DHE-DSS-AES256-SHA:+RC4

    Und hier ein Log aus dem Apache und dem Zugriff vom Android FF:

    Code
    [02/Jul/2013:22:30:53 +0200] 192.168.2.202 TLSv1 RC4-SHA "GET /ffsync/1.1/xxxxxxxx/storage/clients?full=1 HTTP/1.1" 1200

    Wie schon gesagt, wenn ich "+RC4" aus der "SSLCipherSuite" raus nehme, funktioniert der Android FF Sync nicht mehr.
    Unter Windows oder Linux ist das kein Thema.

    Hier der Apache Log Eintrag für einen Windows Client:

    Code
    [02/Jul/2013:22:28:17 +0200] 192.168.2.11 TLSv1 DHE-RSA-CAMELLIA256-SHA "GET /ffsync/1.1/xxxxxx/storage/tabs?newer=xxxxxxxxxxx&full=1 HTTP/1.1" 1096

    Ist das ein Ticket bei Mozilla wert?
    Wenn ja, wie eröffne ich denn das? Hab auf der Mozilla Seite jetzt mal (nur?) 5 Min. gesucht und nichts gefunden.
    Oder muss ich irgend eine Konfig Option manuell setzen? Der FF Mobile hat ja auch eine about:config Seite mit sehr wenig Voreinstellungen.

    Gruß,
    Mitch