Conversation
Notices
-
Tobias von Gnomeregan (schtobia)'s status on Sunday, 13-Mar-2016 15:43:06 CET Tobias von Gnomeregan @rugk ich finde CSP schon *im Ansatz* schlecht. Selbst ich auf meinem Blog habs nicht geschafft, das innerhalb einer Stunde auszurollen, da halte ich das für ne Seite wie !gnusocialde einfach für komplett unbrauchbar.
- Benedikt Geißler likes this.
-
Hiker (hikerus)'s status on Sunday, 13-Mar-2016 17:51:31 CET Hiker @schtobia Kein Problem hier mit FF 45.0 @rugk -
vinzv (vinzv)'s status on Sunday, 13-Mar-2016 17:54:19 CET vinzv @rugk @schtobia Das ist Unsinn. Bei GNUSocial respektive Qvitter lässt sich de facto *alles* einbetten. Von daher werde ich CSP sicher nicht aktivieren. -
Benedikt Geißler (benediktg)'s status on Sunday, 13-Mar-2016 21:51:04 CET Benedikt Geißler @schtobia @rugk Danke für die Klarstellung. -
rugk -> ⚠️ Follow me at https://social.wiuwiu.de/@rugk (rugk)'s status on Monday, 14-Mar-2016 19:30:34 CET rugk -> ⚠️ Follow me at https://social.wiuwiu.de/@rugk @schtobia Dir ist aber schon klar, dass es bei diesem Ciphern (mit den meisten Server-Konfigurationen - welche kleine 1024bit Diffie Hellman-Schlüssel einsetzen) davon ausgegangen wird, dass die #NSA diese in Echtzeit knackt? https://www.eff.org/deeplinks/2015/10/how-to-protect-yourself-from-nsa-attacks-1024-bit-DH #Logjam #HTTPS !verschluesselung
Und im Gegensatz zu #ECDHE gibt es hier nicht nur vage Vermutung, dass das angegriffen werden könnte, sondern es gibt belegte Vermutungen (anhand des geleakten Haushaltsplanes).
Es entbehrt also nicht einer gewissen Ironie, wenn du ECDHE deaktivierst aber DHE weiterhin benutzt. Und man muss natürlich bedenken: Ist beides deaktiviert, gibt es meistens nur noch RSA ohne #ForwardSecrecy. Du hast also hier die Wahl...
Eine deutsche Erläuterung von mir gibt es dazu noch hier: https://gnusocial.de/url/2752252