RC4 deaktivieren ?

also wenn man mit FF und dem Addon Cipherfox RC4 deaktivieren will kommt jetzt ne Meldung dass man beim deaktivierten RC4 gefährdet wäre. (Beast Attacke)
Anhang anzeigen 469709

Bin jetzt etwas verunsichert da
https://www.ssllabs.com/ssltest/viewMyClient.html
meint RC4 wäre unsicherer. (WEAK)
Anhang anzeigen 469711

Was stimmt jetzt?

Mit WinXP hast du viel dringendere Sorgen als RC4.

Soweit ich weiß: Unter TLS 1.0 verhindert RC4 den BEAST Angriff, RC4 ansich ist aber auch "weak" wenn auch nicht so schlimm wie ein konkreter Angriff, Abhilfe wäre min. TLS 1.1 zu benutzen, kann man auch beim Firefox einstellen, kann aber sein das dann so einige Seiten nicht mehr gehen.

Aber:
Es wird sowieso immer die höchst-mögliche Verschlüsselung zwischen Server und Client ausgehandelt,
kann der Server nicht min. TLS 1.1 ist es besser mit TLS1.0 und RC4 zu verbinden, weil sonst: BEAST-Angriff

Deaktiviert = weniger leicht angreifbar

Ein Addon ausschließlich dafür zu verwenden, ist Overkill. Wenn du Cipherfox benutzt, um regelmäßig die Verbindungsverschlüsselung zu kontrollieren, ist es okay.
Nur für’s Protokoll noch mal die manuelle Methode: In der Adreßleiste about:config aufrufen, in die Suchzeile rc4 eintippen und man erhält vier Eintrage. Die setzt man mit einem Doppelklick auf false und das war’s.

Um gegen BEAST gewappnet zu sein, kannst du TLS 1.0 auch manuell deaktivieren, mußt aber damit leben, daß Seiten, die diese altmodische Verbindungsverschlüsselung einsetzen, für den Fuchs dann nicht mehr aufrufbar sind. Ein Test mit den täglich aufgerufenen Seiten lohnt sich aber.

€dit: Ich hab es nur für Optik gehalten, aber bei XP hat ::.KS.:: recht. Wenn du dich um RC4 unter XP kümmerst, kittest du die Ecke einer Dachluke, während die Haustür sperrangelweit offensteht. Schleunigst zu einem Betriebssystem wechseln, das mit Sicherheitsupdates versorgt wird!

BEAST ist nur ein Problem mit TLS 1.0: also kein TLS 1.0 mehr erlauben. Und RC4 ist immer unsicher.

BEAST war ein Problem, nach der englischen Wiki war Firefox sogar niemals angreifbar
In der Realität wurde erst vor kurzem ein Link im Forum zu SSLLabs (dh Qualis Forum) gepostet hier zu finden
In dem Dokument heißt es, dass Gewisse Browser gegen Beast durch den sogennanten 1/(n-1)-record spliitung imun gegen BEAST sind:
Google:Chrome16 or later.
Microsoft:Ensure that MS12-006 has been applied.
Mozilla: Firefox10 or later.

Apple war etwas langsamer, als die anderen...
Zudem betrifft BEAST nur TLS 1.0, dh wenn einfach alle Webseitenbetreiber auch TLS 1.2 unterstützen würden wäre BEAST endgültig Tod (bis auf ältere Browser).

RC4 dagegen dürfte nach Ansicht einiger Experten von der NSA in Echtzeit gebrochen werden, und von da an ist es nur noch ein paar Monate oder Jahre entfernt, bis jeder Vollhorst mit etwas mehr Rechenpower RC4 in relativ kurzer Zeit brechen kann.


Daher meiner Meinung nach: Verbannt RC4 (wird Mozilla übrings zum Teil mit der nächsten Firefox Version tun), BEAST sollte bei allen modernen Bowsern gefixt sein.

vergiss das XP Theme

Es ist kein BUG denn FF35 hat RC4 standardmässig aktiviert.
Habe es in der about:config nachkontrolliert und wenn man dort FALSE setzt ist es auf SSL-Labs auch verschwunden.

mir geht es nur um die Meldung bzgl des BEAST Angriffes und warum FF default RC4 nicht deaktiviert


EDITH
ok dann deaktiviere ich RC4 wieder

security.tls.version.min 1
security.tls.version.max 3
dürfte ja eh stimmen und ist ja auch default seit neuem im FF ???
oder eher
security.tls.version.min 2 ???
http://kb.mozillazine.org/Security.tls.version.*

Cipherfox nehme ich gerne zur Anzeige+Kontrolle der Verschlüsselung
RC4 kann man ja einzeln auch per about:config FALSEn, dafür braucht man Cipherfox ja nicht unbedingt.

Wenn du TLS 1.0 nicht mehr verwenden willst, sondern mindestens TLS 1.1, mußt du security.tls.version.min auf 2 setzen, nicht 1.

Wenn du auf nummer sicher gehen willst, dann deaktivierst du alle RC 4 Ciphers und setzt
security.tls.version.min auf 2 (TLS 1.1)
Kann aber den angesprochenen Effekt haben, das einige https Seiten nicht mehr funktionieren, da sie nur TLS 1.0 unterstützen.

wenn FF vor dem BEAST Angriff eh geschützt ist wäre ja MIN=1 und RC4=AN eh ok oder?

EDITH: sehe gerade ab FF35(34) gibt es noch
security.tls.version.fallback-limit

warum zusätzlich noch ein Parameter/Wert ?