Amazon und ebay verwenden veraltete Schlüssel und sind daher nicht sicher!

Isoroku

Isoroku

Komplett-PC-Aufrüster(in)
Amazon und ebay verwenden veraltete Schlüssel und sind daher nicht sicher!

Moin!

Mit dem Browser der Wahl recht einfach nachzuprüfen, verwenden sowohl Amazon.de als auch ebay.de beim Login einen 128 bit - Schlüssel unter Verwendung des RC4- Ciphers, der laut Bundesamt für Sicherheit in der Informationstechnik als nicht mehr sicher gilt, und daher nicht mehr eingesetzt werden darf.
Ferner wird in demselben Informationsblatt eine maximale Verwendung eben jenes Ciphers bis maximal 2013 nahegelegt.
Wir schreiben mittlerweile das Jahr 2014 und sowohl der größte Online-Versandhändler als auch das größte Online-Auktionshaus setzten veraltete Schlüssel ein.

MfG!

Iso.

amazon-chrome-rc4.png
ebay-chrome-rc4.png
ebay-firefox-rc4.png
BS I- Kryptografische Verfahren und Empfehlungen.png
 
Zuletzt bearbeitet:
AW: Amazon und ebay verwenden veraltete Schlüssel und sind daher nicht sicher!

[...]ihrer Kunden scheißegal nicht ganz so wichtig.
Zum Vergrößern anklicken....
Sowas gehört wirklich nicht ine eine Usernews.:schief:

Zum Topic: Das es nicht mehr eingesetzt werden "darf" ist schlichtweg falsch, es sollte nicht mehr eingesetzt werden, mehr sagt das Papier nicht aus. Es ist sehr schade das v.a. die großen nicht up to date sind, aber das sind sie ja offenbar schon länger nicht 128-Bit-Verschlüsselung: längst nicht mehr sicher Dieser Artikel ist wohlgemerkt von 2008. Die Zeit für 256/512bit Verschlüsselungen ist längst gekommen, kostet aber ja Geld, und die armen Großkonzerne haben davon ja nicht genug.
 
AW: Amazon und ebay verwenden veraltete Schlüssel und sind daher nicht sicher!

Die vorliegende Richtlinie enthält Empfehlungen für die zu verwendende Protokollversion und die
kryptographischen Algorithmen als Konkretisierung der allgemeinen Empfehlungen in Teil 1 dieser
Technischen Richtlinie.
Zum Vergrößern anklicken....

erstmal das und dann noch die Tatsache, dass es sich um amerikanische Unternehmen handel und nicht um deutsche.
 
AW: Amazon und ebay verwenden veraltete Schlüssel und sind daher nicht sicher!

Selbst einige Banken verwenden immer noch RC4, auch namenhafte! Ich kann da auch nur mit dem Kopf schütteln!

Kann man aber umgehen, in dem man im eigenen Browser RC4 deaktiviert.

In Firefox:
about:config
Suche nach RC4
Alle Einträge durch Doppelklick deaktivieren
Fertig!
 
AW: Amazon und ebay verwenden veraltete Schlüssel und sind daher nicht sicher!

Also Amazon ist bei mit TLS 1.0 128 bit AES ?
 
AW: Amazon und ebay verwenden veraltete Schlüssel und sind daher nicht sicher!

Moin!

Malkolm schrieb:
Sicher, dass das für alle gilt, und nicht nur für das BA selber?
Zum Vergrößern anklicken....

Es ist doch relativ egal, ob es "nur" um eine BSI-interne Verwendung des RC4 - Ciphers geht (einen entsprechenden Passus habe ich aber in dem Informationspapier nicht gefunden, so daß es dann doch eher allgemeingültigen Charakter hat).

Das Kernproblem bleibt doch so oder so bestehen!
Ich zitiere wörtlich aus eben jenem Papier:
"Der Verschlüsselungsalgorithmus RC4 in TLS weist erhebliche Sicherheitsschwächen auf [...]"

Diweex schrieb:
Sowas gehört wirklich nicht ine eine Usernews.:schief:
[...]
Zum Vergrößern anklicken....

Kritik zur Kenntnis genommen, für berechtigt befunden und entsprechend geändert. ;-)

MfG!

Iso.
 
AW: Amazon und ebay verwenden veraltete Schlüssel und sind daher nicht sicher!

Das du rc4 akzeptierst ist ein problem deines browsers. Du bist ja selbst für deine sicherheit verantwortlich. Auch wenn rc4 nicht mehr verwendet werden sollte wird es oft noch aus kompatiblitätsgründen unterstützt. Dein router unterstützt ja auch noch wep obwohl es nicht mehr sicher ist.
 
AW: Amazon und ebay verwenden veraltete Schlüssel und sind daher nicht sicher!

Sorry, aber du verwendest Microsoft Windows, die mit der NSA unter einer Decke stecken, Sicherheitslöcher mit "Security through obscurity" vor Nutzer in Ihrer Software verstecken während diese wo anders schon ausgenutzt werden und du beschwerst dich über andere Webseitenanbieter :lol:
 
AW: Amazon und ebay verwenden veraltete Schlüssel und sind daher nicht sicher!

Internet und Sicher?! Zwei dinge die man nie in Zusammenhang bringen darf. Vor allem heute nicht mit der ganzen Werbung(Adbocker ist Pflicht) die Viren für M$(gut nutzen fast alle) und was es sonst noch alles gibt.
 
AW: Amazon und ebay verwenden veraltete Schlüssel und sind daher nicht sicher!

Icephoen1x schrieb:
Das du rc4 akzeptierst ist ein problem deines browsers. Du bist ja selbst für deine sicherheit verantwortlich. Auch wenn rc4 nicht mehr verwendet werden sollte wird es oft noch aus kompatiblitätsgründen unterstützt. Dein router unterstützt ja auch noch wep obwohl es nicht mehr sicher ist.
Zum Vergrößern anklicken....

Genau so schaut es aus, es liegt lediglich an deinem Browser. Amazons Webserver bieten lediglich aus Kompatibilitätsgründen vor allem zu älteren Internetexplorer Versionen noch RC4 und 128bit an. Wenn du lokal nicht einstellst, dass diese nicht mehr verwendet werden sollen handelt dein Browser mit dem Webserver die Verschlüsselung eben nach RC4 aus.
Amazon könnte eine höhere Verschlüsselung erzwingen, würde sich damit aber gleichzeitig einen großen Haufen Kunden aussperren, da ich davon ausgehe, dass bis zu 15% der Amazonnutzer noch mit einem Internetexplorer Version 8 oder weniger bzw. mit einem anderen veralteten Browser unterwegs sind.
Von daher absolut sinnlose Usernews, die scheinbar aufgrund von mangelndem Wissen über Verschlüsselung, Webserver und Verschlüsselungsaushandlung entstanden ist.

Das Problem liegt hier nicht an den Webseiten Betreibern sondern an den Browserherstellern und den Usern. Würden die Hersteller endlich die als unsicher geltenden Algorithmen entfernen oder blockieren und die User Updates durchführen gäbe es für die Webseiten Betreiber überhaupt keinen Grund auf ihren Servern noch alte aber immer noch weit verbreitete Algorithmen anzubieten, sondern könnten diese mit Leichtigkeit deaktivieren.

EDIT sagt:

Was man Amazon "vorwerfen" könnte, ist dass sie weder das aktuelle TLS 1.2/1.1 noch Forward Secrecy anbieten.
Und wer wirklich wissen möchte, welche Cipher von Amazon.de angeboten werden, der kann hier, hier und hier nachschauen. Jeweils zu finden unter dem Abschnitt "Configuration-->Cipher Suites"
 
Zuletzt bearbeitet:
AW: Amazon und ebay verwenden veraltete Schlüssel und sind daher nicht sicher!

Trefoil80 schrieb:
Selbst einige Banken verwenden immer noch RC4, auch namenhafte! Ich kann da auch nur mit dem Kopf schütteln!

Kann man aber umgehen, in dem man im eigenen Browser RC4 deaktiviert.

In Firefox:
about:config
Suche nach RC4
Alle Einträge durch Doppelklick deaktivieren
Fertig!
Zum Vergrößern anklicken....

Hab ich gemacht und rate von ab. Bei mir hat Youtube danach nicht mehr funktioniert ;)
 
AW: Amazon und ebay verwenden veraltete Schlüssel und sind daher nicht sicher!

Shirozen schrieb:
Hab ich gemacht und rate von ab. Bei mir hat Youtube danach nicht mehr funktioniert ;)
Zum Vergrößern anklicken....

Deswegen habe ich zwei Browser.
Einen Chrome, mit dem ich Seiten aufsuche, denen ich mehr oder weniger vertraue, bzw. wo aus Kompatibilitätsgründen gewisse Sicherheitsmaßnahmen nicht getroffen wurden, und einen "scharfen" Firefox, für's umherschweifen im WWW.
Und für etwaige Recherchen das Tor-Bundle.

Freakless08 schrieb:
Sorry, aber du verwendest Microsoft Windows, die mit der NSA unter einer Decke stecken, Sicherheitslöcher mit "Security through obscurity" vor Nutzer in Ihrer Software verstecken während diese wo anders schon ausgenutzt werden und du beschwerst dich über andere Webseitenanbieter :lol:
Zum Vergrößern anklicken....


Ja, ich habe ein Windows, aber für Onlineaktivitäten (außer Daddeln) nehme ich mittlerweile ein Linux (Linux Min 17) als Basis. Der zweite Screenshot zeigt mein Windows, und zeigt zugleich, wie das "Sicherheits"-Konzept bei mir gedacht ist.
Mittels eines Windows mit Spielen etc. als "Grundsystem" und einem virtualisiertem Linux als "Onlinesystem" glaube ich, einen gangbaren Kompromiss aus Praktikabilität und Sicherheit gefunden zu haben.
 

Anhänge

  • Bildschirmfoto.png
    Bildschirmfoto.png
    1,2 MB · Aufrufe: 171
  • Win7.png
    Win7.png
    1,6 MB · Aufrufe: 180
Zuletzt bearbeitet:
AW: Amazon und ebay verwenden veraltete Schlüssel und sind daher nicht sicher!

Man kann sich ja (berechtigterweise) beschweren, nur ist SSL in der jetzigen Implementierung ohnehin "broken by design". Du kannst noch so lange Schlüssel nutzen, das bringt Dir nur nichts, wenn die Root-CAs kompromittiert sind, wovon ich bei den oftmals in den USA ansässigen CAs ausgehe.
 
AW: Amazon und ebay verwenden veraltete Schlüssel und sind daher nicht sicher!

keinnick schrieb:
Man kann sich ja (berechtigterweise) beschweren, nur ist SSL in der jetzigen Implementierung ohnehin "broken by design". Du kannst noch so lange Schlüssel nutzen, das bringt Dir nur nichts, wenn die Root-CAs kompromittiert sind, wovon ich bei den oftmals in den USA ansässigen CAs ausgehe.
Zum Vergrößern anklicken....

Na das erklärst du mir jetzt aber mal, wie man über ein kompromittiertes Root-Cert meinen priv. Key und somit die Verschlüsselung zwischen meinem PC und meinem Server umgeht.
Du verwechselst hier Verschlüsselung mit Authentifizierung und Identifizierung.
 
Zuletzt bearbeitet:
AW: Amazon und ebay verwenden veraltete Schlüssel und sind daher nicht sicher!

Toffelwurst schrieb:
Na das erklärst du mir jetzt aber mal, wie man über ein kompromittiertes Root-Cert meinen priv. Key und somit die Verschlüsselung zwischen meinem PC und meinem Server umgeht.
Du verwechselst hier Verschlüsselung mit Authentifizierung und Identifizierung.
Zum Vergrößern anklicken....

Einfaches Beispiel für das, was ich mit CAs sind "kompromittiert" und das ganze SSL-System ist kaputt, meine: Trustwave verkaufte Man-in-the-Middle-Zertifikat | heise Security

Und das ist kein Einzelfall. Ich habe auch nicht von "Root-Certs" sondern von den CAs gesprochen. Noch mehr zum Thema findest Du hier: http://en.wikipedia.org/wiki/Certificate_authority#CA_compromise
 
Zuletzt bearbeitet:
AW: Amazon und ebay verwenden veraltete Schlüssel und sind daher nicht sicher!

keinnick schrieb:
Einfaches Beispiel für das, was ich mit CAs sind "kompromittiert" und das ganze SSL-System ist kaputt, meine: Trustwave verkaufte Man-in-the-Middle-Zertifikat | heise Security

Und das ist kein Einzelfall. Ich habe auch nicht von "Root-Certs" sondern von den CAs gesprochen. Noch mehr zum Thema findest Du hier: Certificate authority - Wikipedia, the free encyclopedia
Zum Vergrößern anklicken....

Schön und ich wiederhole es nochmals für dich, du verwechselst hier Verschlüsselung mit Authentifizierung. In diesem Thread geht es um die Chipherstärke von Amazon und Ebay.
Und meine Frage hast du mit deinen Links auch nicht beantwortet.
 
AW: Amazon und ebay verwenden veraltete Schlüssel und sind daher nicht sicher!

Toffelwurst schrieb:
Schön und ich wiederhole es nochmals für dich, du verwechselst hier Verschlüsselung mit Authentifizierung. In diesem Thread geht es um die Chipherstärke von Amazon und Ebay.
Und meine Frage hast du mit deinen Links auch nicht beantwortet.
Zum Vergrößern anklicken....

Nein, ich verwechsele gar nichts. Ich habe, lediglich unabhängig vom Ursprungspost (RC4-Cipher bei Ebay und Amazon), angemerkt, dass ich dass jetzige SSL-System für "kaputt" halte und Beispiele dafür beigefügt.

Da kannst Du Dich also noch 20 Mal wiederholen, wir würden dennoch von 2 völlig unterschiedlichen Dingen reden.

Ziel meines Posts war es auch nicht, Deine Frage zu beantworten, welche auf Root-Certs und Private Keys abzielte, die ich mit keinem Wort erwähnt habe. Ich wollte lediglich erklären wie mein Post gemeint war. Wenn Du das dennoch in eine andere (Deine) Richtung lenken willst, nur zu. Dann reden wir eben weiterhin aneinander vorbei.

Ansonsten noch als Ergänzung: Falls Du die c't 12/2014 zur Hand hast, ist dieser Artikel ganz interessant: http://www.heise.de/artikel-archiv/ct/2014/12/046_Noch-ein-Sargnagel

Ich konnte es mir auch nicht vorstellen aber es gibt CAs, die liefern den passenden Private Key bei der Ausstellung des Zertifikats gleich mit (der eigene funktioniert bei der Installation dann logischerweise nicht mehr). Das kommerzielle Produkt "SSL-Zertifikat" ist darum für mich in der derzeitigen Form höchst zweifelhaft.

Und um noch was zum direkten Thema dieses Threads zu schreiben:

Auch das BSI scheint bzw. schien Probleme mit der Umsetzung der eigenen Empfehlungen zu haben: http://www.heise.de/security/meldun...t-gefaehrlicher-Verschluesselung-2043681.html ;-)
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

PCGH_Stephan
Werbung [ANZEIGE] Nur Tiefst- und Bestpreise: Diese Mainboard-Deals bei Amazon lohnen sich (AMD & Intel)
Antworten
1
Aufrufe
180
DarkWing13
DarkWing13
Majima
Blog Erfahrungsbericht: Google Pixel 8 Pro mit GrapheneOS
Antworten
5
Aufrufe
19K
Majima
Majima
DKK007
Massenhaft gefälschte Grafikkarten bei Ebay im Angebot, Ebay-Kundenservice stiftet Käufer zu Straftaten an
Antworten
18
Aufrufe
6K
Killer-Instinct
K
PCGH-Redaktion
Spectre: Ryzen- und Core-CPUs sind mit Windows-10-Insider-Build sicher
Antworten
7
Aufrufe
2K
PCGH_Torsten
PCGH_Torsten
INU.ID
Achtung vor gefälschten bzw. "Fake-Akkus" !!! (18650/26650, Smartphone-Akkus usw.) [Update 19.09.18 - Warnmeldung von Amazon/Sony]
4 5 6
Antworten
100
Aufrufe
44K
wuselsurfer
W
Oben Unten
Zurück