Firefox (und TLS) des tages

Das Sicherheits-Feature „opportunistic encryption“ kann missbraucht werden, um die Sicherheit von SSL/TLS-Verbindungen zu untergraben und wurde wieder entfernt

Übrigens, was heise nicht schreibt: diese OE-scheiße (opportunistic encryption, lest euch einfach mal drüber schlau) wurde verbaut, um die verkomplizierung des HTT-protokolls namens HTTP2 vorzubereiten. Bei HTTP2 haben sie ja nicht den kopfdatenapparat verschlankt, obwohl das eine gute gelegenheit gewesen wäre, sondern sogar noch ein bisschen aufgepolstert, und dabei kann ein websörver dem client in einer HTTP-headerzeile mitteilen, dass es eine angeforderte resuhrße auch TLS-verschlüsselt gibt — und dieser teil von HTTP2 wurde (von meikrosoft, guhgell und vergleichbaren schergen und analstöpseln der weltüberwacher) mit voller absicht so entworfen, dass es keine autentifizierung gibt; es können also einfach selbstsignierte zertifikate genutzt werden, weil sie vom brauser nicht überprüft werden. Der große „vorteil“ dieser tollen idee: endlich kann man irgendwann ein blinke blinke schlösschen für eine „sichere verbindung“ bei bestimmten inhalten anzeigen, obwohl eine man-in-the-middle-attacke (also vor allem etwas auf der ebene der proweider und damit der polizeien und geheimdienste) möglich ist. Tja, und wenn der feierfox diesen security-müll für „normales“ TLS nimmt, dann fliegt den leuten halt die ganze TLS-scheinsicherheit um die ohren.

Auch weiterhin viel spaß mit dem feierfox!

TLS (das, was läuft, wenns in der adresszeile des brausers mit https: anfängt) ist übrigens gefickt. Lange schon. Und es wird schlimmer. Schaut aufs schlösschen, fühlt euch sicher, guckt die bilder, werdet doof!