RC4 in Chrome sperren

…und einige Erkenntnisse über Thunderbird

Seit einiger Zeit ist bekannt, daß das RC4-Verfahren nicht mehr sicher ist. Es sollte daher eigentlich nicht mehr verwendet werden. Leider ist es aus Kompatibilitätsgründen immer noch in den Servern und Browsern implementiert – und wird darum auch noch häufig zwischen Server und Browser für SSL-Verbindungen ausgehandelt. (vgl. z.B. diesen Heise-Artikel)

Dieser Tage hatte ich aus Interesse mal wieder ein paar SSL-Infoboxen einiger von mir besuchter Webseiten angeschaut und dabei festgestellt, daß da noch RC4 auftaucht. Kein Problem: googlen, Browser-Einstellung anpassen, fertig.

Oder?

Oder!

Zum einen ist die Einstellung natürlich browserspezifisch. Beim von mir benutzten Chrome heißt das dann: die Blacklist der verbotenen Verschlüsselungen muß beim Start als Kommandozeilenparameter übergeben werden. Aktuell sieht das dann ungefähr so aus:
google-chrome --cipher-suite-blacklist=0x0004,0x0005,0xc007,0xc011

Die Hexcodes muß man sich im Quellcode zusammensuchen. Oder den bereits existierenden Anleitungen im Internet entnehmen. Oder, und am besten: man benutzt gleich den Test unter https://cc.dcsec.uni-hannover.de/ welcher einem die vom Browser akzeptierten Verschlüsselungen anzeigt, inklusive der Hexparameter für Chrome’s Blacklist. Wenn man alles richtig gemacht hat, sollte dort kein RC4 angezeigt werden.

Soweit recht einfach. Auf dem Windowsrechner, wo der Chrome nur auf eine Art gestartet wird (Icon) ist das alles auch recht schmerzlos. Der Hauptrechner mit Linux hat aber mindestens drei Startvarianten zu bieten: KDE-Applikationsmenü, Launcher-Icon und ab und an durch den Thunderbird.

Damit ich nicht überall den Parameter pflegen muß habe ich im ersten Schritt ein eigenes Shellskript dazwischen geschaltet, welches den Parameter hinzufügt und alle Browserreferenzen dorthin umgebogen.

Alle?

Mitnichten…

Thunderbird ignoriert beim Anklicken von URLs offenbar die KDE-Systemeinstellung dazu und verwaltet eigene Protokollhandler. Und zusätzlich scheint es da eine Änderung in Thunderbird 3 gegeben haben, so daß ältere Tipps dazu nicht funktionieren.

Nach einiger Googelei bin ich auf einen Hinweis gestossen, unter

Edit -> Preferences -> Advanced -> Config Editor

die Einstellungen

network.protocol-handler.warn-external.http
network.protocol-handler.warn-external.https

auf true zu setzen. Dann wird man beim nächsten Anklicken einer http- bzw. https-URL gefragt, mit welchem Programm sie geöffnet werden soll. Dort die gewünschte Applikation auswählen (also unser Chrome-Skript mit der Blacklisteinstellung), unbedingt das Häkchen “Auswahl merken” setzen und die obigen Config-Schalter wieder auf false stellen. Die Links in Mails werden jetzt erstens mit dem richtigen Programm geöffnet und zweitens kann man das ganze plötzlich auch ganz komfortabel unter

Edit -> Preferences -> Attachements

konfigurieren.

Vielen Dank für Ihre Aufmerksamkeit und das Interesse an diesem kleinen Ausflug in den Konfigurationsdschungel 🙂

Advertisements
This entry was posted in Uncategorized and tagged , , , , , , . Bookmark the permalink.

One Response to RC4 in Chrome sperren

  1. Pingback: Sicherheit vs. lustige Katzenvideos | Zentriere Dich

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s