Monthly Archives: Februar 2018

Followup – Der SSLv3 Stand

Posted on by

Ihr erinnert Euch noch an diese Beiträge zum Thema SSLv3 aus 2016 ?

Sächsische Polizei benutzte gebrochene Verschlüsselung

Neue TLS Probleme beim BSI

Häufigkeit von TLS Ciphern

Stand der Dinge

Ich habe mir mal gedacht, dies Analyse 2 Jahre danach nochmal zu machen und bin zu dem erfreulichen Ergebnis gekommen, daß kein Kontakt der letzten 4 Wochen noch mit SSLv3 um die Ecke gekommen ist. Natürlich hat das jetzt auch einen deftigen Nachteil, ich habe nichts über das man schreiben könnte 😉 Ich finde aber, daß ich den Preis gerne bezahle 😀

Naja, machen wir doch noch was daraus, das Update der meist benutzten Chipers der letzten 4 Wochen :

214417xTLSv1.2:ECDHE-RSA-AES256-GCM-SHA384:256
109616xTLSv1.2:ECDHE-RSA-AES128-GCM-SHA256:128
40927xTLSv1:ECDHE-RSA-AES256-SHA:256
19728xTLSv1.2:ECDHE-RSA-AES256-SHA384:256
16346xTLSv1:ECDHE-RSA-AES128-SHA:128
12112xTLSv1:AES128-SHA:128
9864xTLSv1.2:DHE-RSA-AES256-GCM-SHA384:256
7270xTLSv1:DHE-RSA-AES256-SHA:256
7139xTLSv1.2:AES256-GCM-SHA384:256
6924xTLSv1:AES256-SHA:256
3767xTLSv1.2:AES128-SHA256:128
2649xTLSv1.2:ECDHE-RSA-CHACHA20-POLY1305:256
2443xTLSv1.2:DHE-RSA-AES128-SHA:128
2062xTLSv1.2:ECDHE-RSA-AES256-SHA:256
1226xTLSv1.1:ECDHE-RSA-AES256-SHA:256
805xTLSv1.2:AES128-SHA:128
748xTLSv1.2:DHE-RSA-AES256-SHA:256
442xTLSv1.2:AES256-SHA:256
362xTLSv1:DHE-RSA-CAMELLIA256-SHA:256
167xTLSv1:DES-CBC3-SHA:168
151xTLSv1.2:AES256-SHA256:256
135xTLSv1.2:ECDHE-RSA-AES128-SHA256:128
59xTLSv1:EDH-RSA-DES-CBC3-SHA:168
51xTLSv1.2:DHE-RSA-AES256-SHA256:256
40xTLSv1.2:AES128-GCM-SHA256:128
35xTLSv1:DHE-RSA-AES128-SHA:128
22xTLSv1.1:DHE-RSA-AES256-SHA:256
14xTLSv1.1:AES256-SHA:256
5xTLSv1.2:DHE-RSA-AES128-GCM-SHA256:128
3xTLSv1:DHE-RSA-DES-CBC3-SHA:168
3xTLSv1.2:ECDHE-RSA-AES128-SHA:128
2xTLSv1.2:ECDHE-RSA-DES-CBC3-SHA:168
1xTLSv1.2:DHE-RSA-CAMELLIA256-SHA:256
1xTLSv1.1:AES128-SHA:128

Bei 459.536 Emailtransporten insgesamt, ist der hohe Anteil an TLSv1 Protokollen doch erschreckend.

Die beiden Spitzenplätze sind gleich geblieben, aber in nachfolgenden Rängen, hat sich einiges, und das nicht zu guten getan, wenn ich das mit dem Beitrag vom März 2017 vergleiche. Am besten macht Ihr Euch da selbst ein Bild.

 

Bitcoin auf Talfahrt

Posted on by

Der Bitcoin jetzt seine Talfahrt in die richtige Richtung fort, nach unten 🙂

Der Niedergang

Der seit einer Woche anhaltende Trend bestätigt sich auch heute, dem Bitcoin geht es schlecht. Von 9.000 € auf 4.800 € in nur einer Woche bedeutet, was jeder ahnen konnte: Die Blase ist geplatzt. 40% Wertverlust ist schon eine Marke. Die Verlustkurven reisen tiefe Lücken in den Graphen, trotzdem scheint sich der wertlose Digitaltiger immer wieder dagegen stemmen zu wollen.

Der Kurs der letzten 10 Stunden (Stand 10:30 Uhr)  ist das auch von Extremen geprägt. Gegen 2 Uhr waren es noch Spitzen von 5.700 €, die dann binnen 4 Stunden auf das erste Tagestief von 4.850 € zusammenbrachen, nur um von noch steilere Kursanstiege auf 5.300 € gefolgt zu werden.

Aber alles kämpfen nutzte nichts, um 9 Uhr brach der Kurs auf 4.800 € ein. Die derzeitige Kurserholung auf 5.000 € ist auch nur ein Zwischenschritt, bis die nächste Schneeballebene zum Verkauf schreitet.

Fazit

Wer jetzt nicht verkauft, ist selbst Schuld, wenn er als Kollateralschaden im Schneeballsystem endet.

Kommentar

Man muß den Spekulanten eins lassen, sie haben den Kurs von Nichts in $ ausgedrückt bekommen und sehr vielen Menschen sehr viel Geld abgenommen, ohne dafür einen Gegenwert zu liefern, falls der Gegenwert nicht der Spaß am Daytrading war. Der reale Gegenwert eines Bitcoins ist nämlich 0, genau wie der reale Wert eines 500 € Scheins*. Da aber mehr als 300 Millionen Menschen an den € glauben, ist sein Gegenwert realer als es der Bitcoin je sein konnte.Außerdem ist der € an reale Werte gekoppelt, denn ich kann dafür Immobilien und Güter kaufen und verkaufen.

Nicht einmal die Bitcoinkonferenzen haben am Ende den Bitcoin als Zahlungsmittel akzeptiert. Natürlich nur wegen der hohen Transaktionsgebühren, die als einzige verlässliche Zahl steigen müssen. Das haben selbst die Schöpfer des Bitcoins so vorhergesehen.

Von den noch vor wenigen Wochen erhofften Gewinnen durch den Handel mit Derivaten an den „echten“ Börsen, ist jetzt natürlich nichts mehr zu erwarten. Das waren nur die Versuche der abgehängten Spekulanten an dem Schneeballsystem mitzuverdienen. Bei den Verlusten des Bitcoins, dürfte der Keks gegessen sein.

*) Der Schein hat tatsächlich durch seine Produktionskosten und Materialien einen Wert > 0, aber nicht viel drüber 😉

Update 16:30 Uhr:

Die Talfahrt blieb ein Strohfeuer im Zuge des Grauen-Montags an den Amerikanischen Börsen. Mit Stand 16:30 würde der Bitcoin mit einem Plus von 7% gegenüber dem Stand von 0.00 Uhr dastehen. Am Trend zum totalen Wertverlust ändert sich damit aber nicht. Bin mal gespannt, wie es bei den Zockern weitergeht. Als Soap-Opera ist das ja kaum zu überbieten 🙂

Das FF 3 Tage Update

Posted on by

3 Tage Quantum Firefox sind rum. Einige Firefoxe wurden schon durch diese userChrome.css bereinigt. Und ja, an einigen Stellen, ist er auch schneller als früher. Auf extrem auf Javascript angewiesenen Webseiten, gehen einige Sachen schneller als früher. Ob das den Ärger wert war, würde ich verneinen, weil sooo langsam wars vorher dann doch nicht.

Die Nacharbeiten

PreFetching mußte wieder abgeschaltet werden. Das lädt ungefragt alle Links einer Seite vor, damit im unwahrscheinlichen Fall, daß man auf die Werbelinks 😉 klickt, die schneller da sind. Da dies auch meint, das unsichtbare Links geladen werden, beglückt so ein Firefox auch mal Seiten, die man gar nicht besuchen will. Ist mehr so ein Datensparsamkeitsproblem, denn ein Bandbreitenproblem und auch nicht neu. Mozilla ist sich dessen durchaus bewußt und hat eine Webseite zum Thema im Angebot:

https://support.mozilla.org/en-US/kb/how-stop-firefox-making-automatic-connections

Damit kein falscher Eindruck entsteht, die ist auf Stand. Geht also 🙂

Ganz im Sinne der aktuellen Spectre und Meltdown CPU-Probleme fällt einem sofort der Begriff „Speculative pre-connections“ auf.

To improve the loading speed, Firefox will open predictive connections to sites when the user hovers their mouse over thumbnails on the New Tab Page or the user starts to search in the Search Bar, or in the search field on the Home or the New Tab Page. In case the user follows through with the action, the page can begin loading faster since some of the work was already started in advance.“ ( Quelle: how-stop-firefox-making-automatic-connections )

d.h. Firefox macht also schon Verbindungen zu Servern auf, damit es im Fall es Falles dann eine halbe Mikrosekunde schneller geht, nur weil man die Maus kurz wo geparkt hat. Bei langsamen Anbindungen spielt das sicherlich eine Rolle, aber mit so 16 Mbit aufwärts, sollte so was eigentlich gar kein Problem mehr sein. Das wird sich in den nächsten Stunden dann mal wieder zeigen müssen.

Natürlich sind einige Fanboy Kommentar eingegangen, die nicht abgedruckt wurden. Um es nochmal ganz klar zu sagen, FireFox ist auch mir sympathischer als Chrome, Edge & Co. sonst würde ich mir das ja nicht geben 🙂 Ich bin aber auch stinkig über die Art und Weise wie das gelaufen ist, und ich bin es noch. Das hätte so nicht sein müssen. Und noch was, was den FanBoys nicht passen wird: FireFox ist nicht das Vorzeige Open-Source-Macht-Alles-Richtig-Gut Projekt, das Ihr Euch vorstellt. Ich war an dem !KAMPF! beteiligt, das „ß“ bei uns  in die Domainnamen zu bekommen. Nach Internationalen Regeln war das 2008 beschlossen worden und wurde 9 Jahre todgelabbert. Es hat alle Beteiligten viel Kraft gekostet, FireFox auf Linie mit internationalen Standards zu bringen, das kann man kaum erahnen. Das es keinen Großbuchstaben „ß“ gibt, war ein echtes Problem.

Das sind dann so Dinge, die man als User nicht mitbekommt, weil es einen nicht interessiert oder man schlicht nichts davon weiß. Wenn ich allein von der Erfahrung auf die Prozesse bei Mozilla und Firefox rückschliessen müßte, gäbe das kein gutes Bild. Wer sich da selbst mal Überzeugen will, sollte in den Bugtracker einloggen und sich mal die jahrealten OPEN Fälle ansehen, weil da teilweise auch jahrelang gestritten wird, was denn nun richtig ist. Dabei sind das nur Bugreports, keine Idee wie die intern miteinander streiten 😉 Da merkt man dann auch, daß auch Entwickler ein Ego haben, daß sie durchsetzen wollen und manchmal auch müssen. Nur fehlt da hin und wieder die ordnende Hand eines Bosses.