Freak Attack - PCGH Website unsicher?

Arikus

Software-Overclocker(in)
Bei Heise.de kam gestern Nachmittag die News, dass einige Browser/Betriebssystem Kombinationen die verschlüsselte Verbindung unsicher ist.
Ob man für die Attacke anfällig ist, hängt aber vom eingesetzten Betriebssystem, Webbrowser und der besuchten Internetseite ab.
genaueres findet ihr hier:
Schutz vor Freak Attack: Diese Browser sind betroffen | heise online

Es gibt dort auch eine Liste mit Internetseiten, die diese angreifbare Verschlüsselung benutzen. pcgameshardware.de taucht in dieser Liste leider auf.
Aber, von daheim seid ihr relativ sicher, denn:
Selbst wenn alle für einen erfolgreichen Angriff nötigen Punkte erfüllt sind, braucht man nicht in Panik zu verfallen. Denn bei dem möglichen Man-in-the-Middle-Angriff muss es sich um eine gezielte Attacke handeln: Zuhause müsste sich ein potentieller Angreifer erst Zugang zum Router der Zielperson verschaffen. In einem öffentlichen Netzwerk, etwa in einem Café, kann der Freak Attack aber durchaus gefährlich sein.
Viele von uns nutzen sicher auch ihr Handy über WLAN an der Uni, Bahnhof, Flughafen oder Café und da sollte man halt aufpassen.

Ich habe über den Link aus der News ( die Adresse PC Games Hardware (PCGH): Computer + PC-Spiele überprüft.
Hier das Ergebnis:
https://www.ssllabs.com/ssltest/analyze.html?d=pcgameshardware.de

Grade F!
This server's certificate is not trusted, see below for details.
This server supports anonymous (insecure) suites (see below for details). Grade set to F.

Als user kann ich nur um Verbesserung bitten, auch wenn hier sicht ganz so viele persönliche oder sensible Daten ausgetauscht werden.
 
Hallo,

Für www.pcgameshardware.de wird kein SSL verwendet, die Seite ist ausschließlich über http://www.pcgameshardware.de/ erreichbar. SSL können wir aus verschiedenen Gründen derzeit nicht unterstützen, dazu gab es bereits an anderer Stelle ausführliche Detail-Infos. Insofern gibt es hier prinzipiell auch unabhängig von der Freak-Sicherheitslücke immer schon das Man-In-The-Middle-Problem, PCGH ist somit vom SSL-Cypher-Downgrade gar nicht betroffen, weil ohnehin keine Verschlüsselung der Kommunikation zum Einsatz kommt.

Diese Liste wurde außerdem von einem automatischen Script generiert, welches für unsere IP-Adresse das Zertifikat für ssl.computec.de erkennt. SSL funktioniert nur für eine IP-Adresse und da wir sog. Virtual Hosts verwenden, d.h. mehrere Hostnamen für dieselbe IP-Adresse, erkennt dieses Testscript das SSL-Zertifikat fälschlicherweise auch für http://www.pcgameshardware.de.

D.h. aktuell ist nur ssl.computec.de betroffen. Dieser Host wird verwendet, um Magazin-Bilder von unseren Servern auf der Webseite unseres Abo-Dienstleisters einzubinden. Die Seiten im AboShop sind auch über SSL aufrufbar, z.B. https://shop.computec.de/. Um Warnungen wegen "unsicheren Inhalten" in einer gesicherten Seite zu vermeiden, müssen daher auch die dort eingebundenen Bilder über eine SSL-Verbindung geladen werden. Zu diesem Zweck und ausschließlich zu diesem Zweck kommt ssl.computec.de zum Einsatz.

Ein "Man in the Middle" könnte daher, sofern der Client ebenfalls unsicher ist, im schlimmsten Fall eben diese Bilder abhören, z.B. https://ssl.computec.de/covers/sft_default.jpg . Das ist nun wirklich alles andere als kritisch. Über diese ssl.computec.de-Verbindungen werden keinerlei personenbezogene Daten übertragen, es geht hier wirklich ausschließlich um diese Bilder.

Die SSL-Konfiguration der shop.computec.de-Seite ist dagegen bereits gegen eine solche SSL-Downgrade-Attacke immun, das haben wir bereits unmittelbar nach Bekanntwerden der Sicherheitslücke überprüft.

Da die Sicherheitslücke für unseren Fall völlig unkritisch ist, wird das von uns erst im Rahmen der regulären Wartung im Laufe der nächsten Woche korrigiert. Eine außerplanmäßige Konfigurationsänderung ist hier einfach nicht notwendig.

Viele Grüße

Markus
 
Zuletzt bearbeitet:
Hallo,

vielen Dank für die ausführliche Antwort und auch für die Erklärungen, wie euer System aufgebaut ist!
 
Ergänzung: Seit Samstag Mittag ist die Konfiguration für ssl.computec.de angepasst und wir haben gleichzeitig das bisherige SHA1-Zertifikat gegen ein SHA256-Zertifikat ausgetauscht. Nun können auch unsere SSL-verschlüsselten Bilder kaum noch mit vertretbarem Aufwand abgehört werden :)
 
Wäre OpenSSL/SSL nicht angebracht, da über PMs Adressen und Bankinformationen / Zahldaten versendet werden (Verkaufs - /Kaufthread). Das ist zur Zeit unverschlüsselt und alles andere als "nicht sensibel"
 
Zurück