"Poodle" - hier kein Thema?

[lotes]

Hallo allerseits!
Gestern bekam ich per Mail eine Meldung, dass Google-Experten eine Lücke in der vermeintlich sicheren SSL 3.0-Verschlüsselung gefunden haben. In einem anderen Artikel heißt es:

Bis auf Safari lassen sich Desktop-Browser gegen die von Google-Entwicklern entdeckte Lücke im Verschlüsselungsprotokol SSL 3.0 relativ leicht absichern. Auf mobilen Endgeräten ist es schwieriger beziehungsweise zum Teil unmöglich.

Im Firefox meines Windows-Rechner habe ich die Lücke geschlossen, sodass dieser nun das SSL-Nachfolgeprotokoll Transport Layer Security (TLS) benutzt.

Quelle: http://www.zdnet.de/88208097/praxis-browser-gegen-luecke-ssl-3-0-absichern/

Da ich am Mac (mit Mavericks) nur Safari nutze stellt sich die Frage, gibt es von Apple irgendwelche Hinweise zu Möglichkeiten, um diese Lücke auch ohne Administrator-Kenntnisse schließen zu können?
Die Suche im Forum war - bis vorhin jedenfalls - noch erfolglos.
Hat jemand eine Lösung parat?

lotes

 

[MaChris]

Nein, ich habe auf den einschlägigen deutschen und englischsprachigen Security-Sites bisher keinen Hinweis darauf gefunden, wie man selbst Safari (v7.1 - Mavericks) zu einer Verschlüsselung TLS 1.0 oder höher zwingt.

Ich fürchte, dass auch in zukünftigen Funktionen von Safari derlei spezielle Security-Settings keinen Einzug in die Browsereinstellungen erhalten werden.

Einziger Hoffnungsschimmer ist (gegenwärtig), dass die Webseitenbetreiber im serverseitgen Angebot an möglichen Verschlüsselungsprotokollen SSL v3.0 entnehmen, wie es bereits einige Banken getan haben.
(... oder für die Nutzung verschlüsselter Angebote zu Firefox wechseln, da dort derlei Security-Settings möglich sind.)

 

[hosja]

Update ist raus

 

[lotes]

Danke "MaChris" und "hosja",
das Sicherheits-Update 2014-005 1.0 habe ich eben installiert. Wobei der Sinn und Zweck des Updat von Apple sehr allgemein gehalten wird und ein Bezug auf "Poodle" fehlt. Da es sehr zeitnah zu "Poodle" ist, gehe ich davon aus, dass die Sicherheitslücke geschlossen wurde.

 

[Macbeatnik]

Steht dich in der Beschreibung des Updates, das es gefixt ist.

 

[Rastafari]

Wobei der Sinn und Zweck des Updat von Apple sehr allgemein gehalten wird und ein Bezug auf "Poodle" fehlt.

Krass. Da werden genau zwei Fehler behoben, darunter ein bereits anderweitig erledigter, bleibt also nur ein einziger übrig, aber manchen ist sogar das wohl schon zu unübersichtlich. Hätte man wohl einfach eine alberne Hundekarikatur dranmachen müssen...

 

[lotes]

Krass. Da werden genau zwei Fehler behoben, darunter ein bereits anderweitig erledigter, bleibt also nur ein einziger übrig, aber manchen ist sogar das wohl schon zu unübersichtlich. Hätte man wohl einfach eine alberne Hundekarikatur dranmachen müssen...

Hallo Rastafari,

solche Sprüche mag ich ganz besonders. Aber du solltest mal über folgendes nachdenken:

Die weitaus meisten aller Computernutzer sind reine Anwender. Sie wollen mit dem PC arbeiten. Mehr nicht und sie sind glücklich, wenn alles reibungslos läuft. Wenn es dann mal Probleme gibt, fängt das „Drama“ an. Dann sind sie dankbar für jede fachliche Hilfe. Denn Computerenglisch ist eine „Sprache“ für sich. Selbst für viele von denen die glauben, alles im Griff zu haben (alles schon erlebt). Für die, die nicht so sattelfest sind – und hier zähle ich mich dazu – sind englischsprachige Seiten der Graus. Weil man als Laie nicht mit letzter Sicherheit erkennen kann, woran man wirklich ist.

Auch wenn es verpönt ist zu sagen: ich bin Deutscher und wir befinden uns hier in Deutschland. Für das Apple-Zeug habe ich Vergleichsweise viel Geld bezahlt. Da ist es wohl mehr als legitim zu erwarten, dass ich in meinem Heimatland über wichtige Updates in meiner Muttersprache informiert werde. Erst recht über sicherheitsrelevante Dinge. Wenn Apple wichtige Updates in englisch veröffentlicht, sollten sie dies zeitgleich auch in deutsch tun. Die Übersetzung kann nicht das Problem sein. Es ist eine Frage der Kundenfreundlichkeit.

Krass ist offensichtlich deine Einstellung zu denen, die Hilfe brauchen, oder die sich nicht „fachmännisch“ genug verhalten, oder nicht angemessen reagieren. Wenn alle schlau wären und alles wüssten, wären die Foren überflüssig. Aber dann müsstest du deine wichtigen Beiträge für dich behalten...

Mit besten Grüßen
lotes

 

[Macbeatnik]

Wenn man deinen Ausganglink zugrunde legt, der ist in deutsch und dann den anderen englischen Link sieht, dann kann man, wenn man in der Lage ist 1+1 zusammenzuzählen dort die relevanten Punkte finden, SSL 3.0 taucht öfters auf, auch die Namen der Google Mitarbeiter, ein Test ist auch dabei, mit dem man überprüfen kann, ob man noch betroffen ist. Alles zusammen sollte man da also schon Schlussfolgerungen ziehen können.
Das gerade diese Seite nur in englisch vorhanden ist ist sicherlich nicht schön, andere sind mehrsprachig.

 

[Rastafari]

Die weitaus meisten aller Computernutzer sind reine Anwender. Sie wollen mit dem PC arbeiten. Mehr nicht

Leute auf die das zutrifft, können mit technischen Details ohnehin nichts anfangen und haben sowieso gar keine andere Wahl, als der erhaltenen Software blind zu vertrauen. Wozu eine Übersetzung? Um noch etwas mehr nur vertrauen zu können?
Und wer sich wirklich für solche Feinheiten interessiert, von dem kann man IMHO durchaus verlangen, a) Englisch als Lingua Franca der IT wenigstens rudimentär genug zu beherrschen und b) einem einfachen Link zu weiteren Informationen erst mal zu folgen und dort nachzusehen, bevor man seinen Rant über "...diese Doofis da..." etc ablässt.

 

[hosja]

Rasta, mach mal locker, der TE hat hier keinen "Doofi" genannt und interessiert gefragt. Dafür ist doch ein Forum da.

 

[lotes]

Wenn man deinen Ausganglink zugrunde legt, der ist in deutsch und dann den anderen englischen Link sieht, dann kann man, wenn man in der Lage ist 1+1 zusammenzuzählen dort die relevanten Punkte finden, SSL 3.0 taucht öfters auf, auch die Namen der Google Mitarbeiter, ein Test ist auch dabei, mit dem man überprüfen kann, ob man noch betroffen ist. Alles zusammen sollte man da also schon Schlussfolgerungen ziehen können.
Das gerade diese Seite nur in englisch vorhanden ist ist sicherlich nicht schön, andere sind mehrsprachig.

Was habe ich in meinem Posting vom 17.10.14 geschrieben? Ich habe mich bei „MaChris“ und „hosja“ für die Hilfe bedankt.
Zum Apple-Update brachte ich nur zum Ausdruck, dass ein direkter Hinweis zu der gemeldeten, als „Padding Oracle on Downgraded Legacy Encryption“ bezeichneten Fehlfunktion, fehlt.

Für Experten habe ich mich sachlich nicht korrekt ausgedrückt. Eben weil meine Computerkenntnisse in dieser Richtung eher bescheiden sind und ich – im speziellen Fall - nur nach „Padding Oracle on Downgraded Legacy Encryption“ suchte - und nicht fand.

Ich finde es ätzend, deshalb abfällig angemotzt zu werden. In Foren wird gerne mal geschulmeistert. Was mit der Anonymität zusammen hängt. Aber der Ton macht die Musik!
Wobei es in jeder Branche so ist, dass es Laien und Fachleute gibt. Jeder, der verbal andere runterputzt sollte daran denken, dass auch er woanders eine „Niete“ ist.

 

[lotes]

Leute auf die das zutrifft, können mit technischen Details ohnehin nichts anfangen und haben sowieso gar keine andere Wahl, als der erhaltenen Software blind zu vertrauen. Wozu eine Übersetzung? Um noch etwas mehr nur vertrauen zu können?
Und wer sich wirklich für solche Feinheiten interessiert, von dem kann man IMHO durchaus verlangen, a) Englisch als Lingua Franca der IT wenigstens rudimentär genug zu beherrschen und b) einem einfachen Link zu weiteren Informationen erst mal zu folgen und dort nachzusehen, bevor man seinen Rant über "...diese Doofis da..." etc ablässt.

Du kannst wohl nicht anders. Das Vertrauen ist allgemein ein sehr hohes Gut und in Verbindung mit persönlichen Daten in Computern und deren Sicherheit enorm wichtig.
Du magst (computer)technisch richtig was drauf haben. Aber wenn man vor Arroganz nur so strotzt, hat man wohl den Blick fürs (menschlich) Wesentliche verloren.