JondoBrowser + Rc4 deaktivieren?

Fragen zur Organisation, spezielle technische Fragen zum Dienst,
Post Reply
maieeoa
Posts: 18
Joined: Thu Mar 20, 2014 23:56

JondoBrowser + Rc4 deaktivieren?

Post by maieeoa » Thu Apr 17, 2014 19:08

Hallo JonDo-Team,

sollte man nicht Rc4 in JondoBrowser + JonDoFox standardmäßig deaktivieren, da es ja praktisch als "geknackt" gilt?

Nur ein Vorschlag, kam mir gerade als ich das Zertifikat von Startpage ansah und sehen musste das diese auch Rc4 benutzen.

cane

Re: JondoBrowser + Rc4 deaktivieren?

Post by cane » Thu Apr 17, 2014 21:24

1: Veränderungen an den SSL-Einstellungen können Ihre Anonymität bei der Nutzung von JonDonym kompromittieren. Wenn ein Webserver die Besonderheiten des SSL-Handshake auswertet, sind Sie als einzigartig in der Gruppe der JonDonym Nutzer erkennbar.

2: Es gibt wenige Webserver, die durch deaktivieren von RC4 im Browser zu einem stärkeren Cipher überredet werden können (bei Startpage funktioniert es ausnahmsweise). Meistens erhält man bei Deaktivierung den den SSL-Fehler "Error: No Cipher overlap" und statt RC4 wird man keine Verschlüsselung nutzen - auch nicht besser. (RC4 wird bei großen Server-Farmen auch deshalb genutzt, um Rechenleistung zu sparen.)

3: RC4 ist ein server-seitiges Problem, dass die Server-Betreiber fixen müsen. Es ist wenig sinnvoll, server-seitige Probleme im Client zu fixen und umgekehrt.

4: Mozilla wollte die Priorität von RC4 so weit wie möglich herab stufen, so dass RC4 nur genutzt wird, wenn der Server wirklich nichts anderes bietet. Derzeit scheint das Vorhaben noch nicht (vollständig) umgesetzt worden zu sein.

Post Reply