Aktuell sind die Verbindungen zu Millionen von Webseiten als potenziell gefährdet einzustufen, wenn man diese mit Browsern wie Safari, Chrome, Firefox oder einer veralteten Version des Internet-Explorers aufruft.
Experten verschiedener amerikanischer und einer französischen Forschungseinrichtung haben Mitte Mai eine Studie veröffentlicht, aus der hervorgeht, dass scheinbar sichere Verbindungen zu Webseiten als unsicher eingestuft werden müssen (lies hier weiter). Die Sicherheitslücke besteht darin, dass in einem gängigen Verfahren Browser mit Servern über eine unsichere Verbindung die Stärke der Verschlüsselung aushandeln, bevor eine sichere Verbindung hergestellt wird (Diffie-Hellman-Schlüsselaustausch). Angreifer könne sich der Studie zufolge den Umstand zunutze machen, dass die Stärke der Verschlüsselung „heruntergehandelt“ werden kann, wenn der Browser dies zulässt. Dies kann die Verschlüsselung so weit schwächen, dass die Verbindung unsicher wird (Logjam-Angriff).
Während für den Internet-Explorer sehr schnell ein Update bereitgestellt wurde, das die Schwachstelle behebt, sind die Nutzer von Safari, Chrome und Firefox den Angriffen weiterhin potenziell ausgesetzt (Stand: 15.6.2015). Ob der eigene Browser betroffen ist, kann man prüfen, indem man diese Webseite aufruft. Ein roter Balken bedeutet, dass eine Gefährdung besteht, ein blauer Balken bedeutet Entwarnung.
Zumindest für Firefox liegt nun ein entsprechendes Add-on vor, das manuell installiert werden muss (hier). Es deaktiviert den Diffie-Hellman-Schlüsselaustausch. Nach Angaben des Autors wird es sich selbst deinstallieren, sobald der Fehler durch ein Firefox-Update behoben wird.
Bildnachweis: data.path Ryoji.Ikeda – 3 by r2hox on flickr.com (creative commons-Lizenz, bestimmte Rechte vorbehalten: CC BY-SA 2.0)
Hat Dir der Beitrag gefallen? Empfiehl ihn weiter! Einfach einen der unten eingeblendeten Buttons anklicken. Danke!
Dieser Text ist lizenziert unter einer Creative Commons Namensnennung – Nicht kommerziell – Keine Bearbeitungen 4.0 International Lizenz.