RC-4-Verschlüsselung verhindern?

    Hi zusammen

    Gleich zum Anfang, ich habe vom Thema keine grosse Ahnung. Nur habe ich bei Postkonto und Bankverbindungen ein ungutes Gefühl wenn ich weiss, dass zum Verschlüsseln der Daten zwischen SSL-Servern und mir, die geknackte RC-4 Verschlüsselung verwendet wird.

    Ein Artikel im neuen c't (Nr.9 vom 8.4.2013) hat dieses Thema wieder einmal aufgegriffen und einen Weg gezeigt wie man RC-4 verhindern kann, wenn ein Server andere Möglichkeiten bietet.

    c't schreibt unter anderem:

    "Zumindest wer Firefox einsetzt, kann dieser Bevormundung durch Serverbetreiber (ich: RC-4) jedoch ein Schnippchen schlagen. Der Open-Source-Browser erlaubt es, die Liste der Cipher-Suites für SSL-Verbindungen selbst zu ändern. Dazu muss man lediglich unter "about:config" nach RC-4 suchen und die dort noch aktiven Einträge für "security.ssl" durch Doppelklick auf "false" setzen."

    [Blockierte Grafik: http://s1.directupload.net/images/130418/b7py8p27.jpg]

    Foto aus dem Heft c't.

    Inzwischen habe ich alle Werte auf "false" gesetzt. Nach einem kurzen https-Test, bei dem meine Verbindungen funktionierten, werde ich diese Einstellungen beibehalten.

    Oder hat vielleicht einer der Fachkräfte hier ein Gegenargument, weshalb ich das besser bleiben lassen sollte?

    Grüsse, Bruno

    Firefox 106.0 Standardbrowser & Portabler.
    Windows 10/64 Pro 22H2, 19045.2193, Malwarebytes Premium, Adwcleaner, Thunderbird, Windows Firewall. Keine Tuningsoftware.

    Verschlüsselung hin oder her, wenn das Cert (und das braucht TLS immer) nicht stimmt, ist das völlig wumpe. Von daher ist Abschalten nicht sinnvoll, weil überflüssig.

    Ich habe ja gesagt, dass ich kaum Durchblick habe. :)
    Meine Überlegung war die: Wenn ich RC-4 nicht "erlaube", zwinge ich den Server zum Verwenden eines anderen Algoritmus. Wegen "Cert" habe ich auf Wikipedia nachgeschaut. Hat mir aber nicht viel gesagt.

    Firefox 106.0 Standardbrowser & Portabler.
    Windows 10/64 Pro 22H2, 19045.2193, Malwarebytes Premium, Adwcleaner, Thunderbird, Windows Firewall. Keine Tuningsoftware.

    OK, verstanden: beglaubigt!

    Aber ist es denn nicht so, dass wie ich oben geschrieben habe, anstelle von RC-4 etwas anderes verwendet wird?

    Firefox 106.0 Standardbrowser & Portabler.
    Windows 10/64 Pro 22H2, 19045.2193, Malwarebytes Premium, Adwcleaner, Thunderbird, Windows Firewall. Keine Tuningsoftware.

    Wieso sollte denn, ich kann dir nciht sagen, ob Server ein Fallback haben, aber normalerweise ist die Verschlüssung in der config gegeben, Firefox wird dir höchstwahrscheinlich eine Fehlermeldung bringen. Sicherheit hier ist wie sonst auch, abgestuft und aufeinander aufbauend. Kein Cert, dann auch kein TLS, kein TLS, keine Webseite etc bla.

    Ich denke über sowas erst gar nicht nach, da Firefox zum eine immer aktuell ist, zum anderen sowas nicht verbogen ist, und drittens den Rest das System auffängt - aber soweit würde es erst gar nicht kommen (siehe oben). Letztlich arscht man sich nur selbst, wenn man unwissend an sowas schraubt.

    Ich vertraue auf dein Wissen und habe es wieder rückgängig gemacht.

    Firefox 106.0 Standardbrowser & Portabler.
    Windows 10/64 Pro 22H2, 19045.2193, Malwarebytes Premium, Adwcleaner, Thunderbird, Windows Firewall. Keine Tuningsoftware.