Weer ssl bug in browsers?

[IHC1000]

Op internet staat veel hierover.

Begrijpen doe ik het niet helemaal.

Je moet voorkomen dat Firefox terugvalt op de ssl 3 software, als je in about config 
bij deze parameter security.tls.version.min  de waarde in 1 verandert dan moet het verholpen zijn.

Voor chrome is nog geen oplossing.

[Vistaus]

En voor andere browsers dan Chrome? (ja, er zijn echt andere browsers dan FF en Chrome!)

[Tom]

Haha vandaag al twee updates gehad voor dat ssl spul ! ze zijn er snel bij !.

libssl1
openssl

[Joris Donders]

Haha vandaag al twee updates gehad voor dat ssl spul ! ze zijn er snel bij !.

libssl1
openssl

Yep, zonet even de updatemanager laten draaien en die 2 SSL-spulletjes kwamen netjes binnengerold als 'belangrijke veiligheidsupdate'.
Prachtig dat *Ubuntu-spul !!

[loti]

Betreft dit hetzelfde probleem zoals beschreven bij Tweakers?

http://tweakers.net/nieuws/99080/linux-gebruikers-kwetsbaar-voor-aanval-op-https-feature.html

[Joris Donders]

Betreft dit hetzelfde probleem zoals beschreven bij Tweakers?

http://tweakers.net/nieuws/99080/linux-gebruikers-kwetsbaar-voor-aanval-op-https-feature.html

Helaas niet ; wat jij nu aanhaalt is nieuw en vers van de pers blijkbaar. Ik zou je willen uitnodigen om hier alsnog een apart topic in Algemeen van te maken; zo blijven die meldingen netjes gescheiden.
Bedankt voor het melden van deze, voor mij, grote verrassing.

[Vistaus]

Haha vandaag al twee updates gehad voor dat ssl spul ! ze zijn er snel bij !.

libssl1
openssl

Yep, zonet even de updatemanager laten draaien en die 2 SSL-spulletjes kwamen netjes binnengerold als 'belangrijke veiligheidsupdate'.
Prachtig dat *Ubuntu-spul !!

*Linux-spul Heb ook op Antergos vandaag die updates gehad.

[testcees]

Er is en komt geen update, SSL versie 3.0 is (en blijft) onveilig. SSL versie 3.0 niet meer gebruiken dus.

In (Windows) Internet Explorer kan dit door Internetopties → Geavanceerd → vinkje weghalen bij “SSL 3.0 gebruiken”.

Ook Mozilla stelt dat zowel websites als browsers SSL 3.0 moeten uitschakelen. Net als Google is ook Mozilla van plan om SSL 3.0 in Firefox uit te schakelen. Dit zal in Firefox 34 gebeuren, die op 25 november moet uitkomen.

FF afwachten dus.

Tip voor Firefoxgebruikers: wie SSL 3.0 nu al in Firefox wil uitschakelen moet het volgende doen: tik in de adresbalk about:config en zoek vervolgens naar security.tls.version.min Zet nu de waarde (value) hiervan op 1.

Betreft dit hetzelfde probleem zoals beschreven bij Tweakers?

http://tweakers.net/nieuws/99080/linux-gebruikers-kwetsbaar-voor-aanval-op-https-feature.html

Nee, dit gaat over een probleem met ssl versie 3.0

Los daarvan is er een probleem met hsts en ntp in Ubuntu. Zie http://forum.ubuntu-nl.org/index.php?topic=86430.0

[Vistaus]

Ik kreeg anders wel een update van OpenSSL 3.0 vandaag op Antergos. Vreemd dat ik een update kreeg van een pakket dat niet meer wordt bijgewerkt.. heb je daar een verklaring voor, Cees? En ook een tip hoe ik SSL 3.0 uitschakel in GNOME Web (Epiphany) en Chromium:

[Johan van Dijk]

Ik kreeg anders wel een update van OpenSSL 3.0 vandaag op Antergos. Vreemd dat ik een update kreeg van een pakket dat niet meer wordt bijgewerkt.. heb je daar een verklaring voor, Cees? En ook een tip hoe ik SSL 3.0 uitschakel in GNOME Web (Epiphany) en Chromium:

OpenSSL 3.0 bestaat niet. De nieuwste versie is 1.0.1j: https://www.openssl.org/news/
Het pakket OpenSSL wordt wel degelijk bijgewerkt, ook in Ubuntu: http://www.ubuntu.com/usn/usn-2385-1/
Je bent denk ik in de war over een protocol (SSL versie X) en een pakket dat dat protocol praat.

In principe ben je dus veilig als je de laatste updates installeert en je computer opnieuw start.

Voor Chrome, Chromium en waarschijnlijk alle andere browsers van die familie kan je de opstartregel aanpassen en "--ssl-version-min=tls1" toevoegen.

[IHC1000]

Johan bedankt voor je toelichting.

Testcees bedankt voor de info over Firefox 34.

Vistaus in dat stuk wat ik gelezen had, werden drie browsers besproken, de derde is op deze plaats mijns inziens volkomen oninteressant.

Als het lukt zet ik het topic op opgelost.

[Vistaus]

@IHC: Voor jou wel, maar dat maakt me niet uit. Ik stelde de vraag vanuit *mijn* oogpunt en voor mij is een andere browser wél interessant. Ik gebruik namelijk voornamelijk GNOME Web (voorheen Epiphany) met daarnaast Chromium wanneer het echt moet.

[Tom]

Welke distro dan kwestie Gnome Web ,in de xuby 14.04 heet hij nog altijd Epiphany .

[Vistaus]

Welke distro dan kwestie Gnome Web ,in de xuby 14.04 heet hij nog altijd Epiphany .

Hij heet al 2 jaar Web i.p.v. Epiphany, dus ook in 14.04

https://en.wikipedia.org/wiki/GNOME_Web
"March 28, 2012[19]   Renamed from Epiphany to Web, major interface overhaul, performance improvements, super menu introduced."

[Nero]

In Debian Jessie is het nog steeds epiphany-browser

[Tom]

Xubuntu 14.04.1 Lts  in Synaptic :

[Ron]

In Synaptic heet het epiphany, maar in het menu heet hij weer web.

[Tom]

In Synaptic heet het epiphany, maar in het menu heet hij weer web.

Ach zo ,oké nu begrijp ik het. 

[Vistaus]

Oh zo. Ja, kijk het zit zo: de naam is gewijzigd van het programma zelf, maar de pakketnaam is nog steeds epiphany omwille van comptabiliteitsredenen. Maar in de zeer nabije toekomst gaat ook de pakketnaam wijzigen in gnome-web. Officieel is de naam nu dus Web: https://wiki.gnome.org/Apps/Web/