SSL-Entschlüsselung verhinden

  • Ein Auditor hat mich heute auf folgende Möglichkeit aufmerksam gemacht, über die der Firefox SSL-verschlüsselten Datenverkehr für Wireshark verfügbar machen kann. Chrome hat angeblich ein ähnliches Feature. Man benötigt dazu keinen Man-in-middle-Proxy:
    https://developer.mozilla.org/en-US/docs/Moz…/Key_Log_Format

    siehe auch:
    https://www.heise.de/security/artik…lt-1948431.html

    Die dazu nötige Umgebungsvariable kann ihrem Zweck gemäß für die Analyse gesetzt werden, aber auch heimlich durch einen Neugierigen.

    Mir ist ist keine Möglichkeit bekannt, diese Funktion vollständig im Firefox zu deaktivieren. Kennt hier jemand eine solche? Man kann automatisch beim Start des Firefox selbst auf das Vorhandensein der Variable prüfen. Ist sie vorhanden und wurde nicht absichtlich gesetzt, sollte man tätig werden. Vollständiges Deaktivieren wäre mir lieber.

  • Das Thema hat sich erledigt. Ich habe inzwischen einen schon etwas betagten, unbearbeiteten Bug dazu gefunden, der das Verhalten bestätigt. Dort wird auch darauf hingewiesen, dass auch Erweiterungen von dieser Möglichkeit Gebrauch machen könnten. Laut des Bugs lässt sich diese Funktion gegenwärtig nicht deaktivieren. Das ist nicht schön, aber auch nicht tragisch, da ich ohnehin ein Startscript verwende.