cve-2009-3555

    CVE-2009-3555, Die Verbindung zum Server wurde zurückgesetzt, während die Seite geladen wurde.
    http://www.amazon.de : server does not support RFC 5746, see CVE-2009-3555

    Kein Login bei Amazon.de, permanenter Fehler CVE-2009-3555.
    Meine config: Win XP Pro, SP3, alle updates bis 29.10.2010, Firefox 3.6.12, direkt, kein Proxy

    Problem wird beschrieben in Mozilla Wiki, Security:Renegotiation.
    Soweit ich das verstanden habe, muss ich nur "http://www.amazon.de" in security.ssl.renego_unrestricted_hosts definieren, um das Problem temporär zu fixen.

    Meine security prefs:

    security.ssl.renego_unrestricted_hosts ---> http://www.amazon.de
    security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref ---> true (didn't change)
    security.ssl.treat_unsafe_negotiation_as_broken ---> false (didn't change)
    security.ssl.require_safe_negotiation ---> false (didn't change)

    Secure Login zu anderen Providern über https:// funktioniert einwandfrei, z.B. ebay, amazon.com, meine Bank, etc.
    Login zu Amazon.de auf dem gleichen PC, unter Win Vista SP2 und Firefox 3.6.12 funktioniert einwandfrei (ohne die security.ssl.renego_unrestricted_hosts Änderung).

    Peter

    PeterHehr stellte u.A. Folgendes dar:

    Zitat

    CVE-2009-3555, Die Verbindung zum Server wurde zurückgesetzt, während die Seite geladen wurde.
    http://www.amazon.de : server does not support RFC 5746, see CVE-2009-3555[...]


    Protokollproblem des Authentifikationsverfahren, welches die vertrauenswürdigen Server vor „Manipulationen“ (MITM) bzw. Maskierungsangriffen schützen soll.
    Um etwas weiter auszuholen - kann es zwischen dem angefragten Authentifizierung-Server (z.B. einem Bankserver) und dem Client (also Deinem Rechner / bzw. Firefox) in Bezug des Aushandlungsverfahrens (engl. mutual Negotiation / Handshake) vor dem Hintergrund der vereinbarten Verschlüsselung zwischen Client und Server genau dann zu Problemen kommen, sofern eine bereits schon gesichert aufgebaute Verbindung zu so einem SSL-Server wiederum erneut und darüberhinaus qualitativ minderwertig „arrangiert“ werden darf.

    Durch solche möglichen erneuten Aushandlungen bereits bestehender gesicherten Verbindungen, könnten u.U. Wiedereinspielungen unautorisierter Informationen in den vertraulichen Datenstrom integriert werden. Dieses Verfahren wird von Firefox 3.6 – meinen Kenntnissen nach – aus Sicherheitsgründen daher nicht mehr unterstützt.


    Zitat

    security.ssl.renego_unrestricted_hosts ---> http://www.amazon.de
    security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref ---> true (didn't change)
    security.ssl.treat_unsafe_negotiation_as_broken ---> false (didn't change)
    security.ssl.require_safe_negotiation ---> false (didn't change)


    Richtig. Kommatrennung der einzelnen Einträge. Keine Wildcards (Joker).

    Beachte dabei, dass die Bedingungen einer solchen geschaffenen Ausnahmeliste zwangsläufig eine ungesichert kryptographischen Funktionalität der vertraulichen Kommunikation zu Folge haben kann.

    Die singuläre Verschlüsselung (ohne Neuaushandlung) ist – meinen Informationen nach – dennoch als sicher zu betrachten.

    Darüberhinaus könnten die begleitenden rechtlichen Aspekte so einer inkonsistenten Protokollaushandlung – meiner Ansicht nach – in der Zukunft eine nicht ganz unerhebliche Bedeutung erlangen.


    Oliver


    https://bugzilla.mozilla.org/show_bug.cgi?id=554594