SpaceRat
14.04.2014, 20:06
Ich habe heute mal etwas am Twisted gedreht und dort alle unsicheren "ciphers", also Single-DES aus den 70er Jahren und RC4, zwangsweise deaktiviert.
Dadurch können diese nun auch nicht mehr vom OpenWebif verwendet werden, was die Wertung des OpenWebif auf dieser SSL-Testseite (https://www.ssllabs.com/ssltest/index.html) im Bereich "cipher strength" um gewaltige 30 Prozentpunkte nach oben schießen läßt (90% statt 60%).
Als Nebeneffekt kommt es mir zumindest so vor, als wäre auch der Verbindungsaufbau per https deutlich schneller (RC4 ist nicht nur unsicher, sondern auch CPU-intensiv und lahm).
Einziger Nachteil:
Windows XP mit Internepp Exploder kann sich nicht mehr per https mit dem Receiver verbinden. Mit richtigen Browsern (Chrome, Chromium, Firefox, etc. pp.) geht es aber auch unter Windows XP immer noch.
Noch höhere SSL-Sicherheit läßt sich nur noch erzielen, indem OpenSSL 0.9.8 gegen OpenSSL 1.0.1g ausgetauscht wird, wobei aber einige Leute auf die Barrikaden gehen würden, da das ohne Tricks diverse CAMs zerschießen würde!
Ich würde mich freuen, wenn das mal ein paar Leute bei sich ausprobieren könnten, insbesondere im Hinblick darauf, ob sie noch mit allen möglichen und unmöglichen Clients (Smartphone, links, lynx, IE9 und höher, CrApple EiFon, ....) auf's https-Webinterface kommen.
Zum Testen braucht einfach nur eine Datei ausgetauscht zu werden und zwar die /usr/lib/python2.7/site-packages/twisted/protocols\tls.pyo
Im angehängten Archiv tls-no_rc4_des.tar.gz ist die gepatchte tls.pyo enthalten und im Archiv tls-original.tar.gz die unveränderte, um die Änderung wieder rückgängig machen zu können.
Zum Einspielen, einfach die Archive auf die Festplatte kopieren, also nach /hdd/movie, und dann per Telnet/ssh auf der Box folgende Befehle ausführen:
cd /
tar -xzf /hdd/movie/tls-no_rc4_des.tar.gz
Rückgängig macht man den Patch dementsprechend durch:
cd /
tar -xzf /hdd/movie/tls-original.tar.gz
Dadurch können diese nun auch nicht mehr vom OpenWebif verwendet werden, was die Wertung des OpenWebif auf dieser SSL-Testseite (https://www.ssllabs.com/ssltest/index.html) im Bereich "cipher strength" um gewaltige 30 Prozentpunkte nach oben schießen läßt (90% statt 60%).
Als Nebeneffekt kommt es mir zumindest so vor, als wäre auch der Verbindungsaufbau per https deutlich schneller (RC4 ist nicht nur unsicher, sondern auch CPU-intensiv und lahm).
Einziger Nachteil:
Windows XP mit Internepp Exploder kann sich nicht mehr per https mit dem Receiver verbinden. Mit richtigen Browsern (Chrome, Chromium, Firefox, etc. pp.) geht es aber auch unter Windows XP immer noch.
Noch höhere SSL-Sicherheit läßt sich nur noch erzielen, indem OpenSSL 0.9.8 gegen OpenSSL 1.0.1g ausgetauscht wird, wobei aber einige Leute auf die Barrikaden gehen würden, da das ohne Tricks diverse CAMs zerschießen würde!
Ich würde mich freuen, wenn das mal ein paar Leute bei sich ausprobieren könnten, insbesondere im Hinblick darauf, ob sie noch mit allen möglichen und unmöglichen Clients (Smartphone, links, lynx, IE9 und höher, CrApple EiFon, ....) auf's https-Webinterface kommen.
Zum Testen braucht einfach nur eine Datei ausgetauscht zu werden und zwar die /usr/lib/python2.7/site-packages/twisted/protocols\tls.pyo
Im angehängten Archiv tls-no_rc4_des.tar.gz ist die gepatchte tls.pyo enthalten und im Archiv tls-original.tar.gz die unveränderte, um die Änderung wieder rückgängig machen zu können.
Zum Einspielen, einfach die Archive auf die Festplatte kopieren, also nach /hdd/movie, und dann per Telnet/ssh auf der Box folgende Befehle ausführen:
cd /
tar -xzf /hdd/movie/tls-no_rc4_des.tar.gz
Rückgängig macht man den Patch dementsprechend durch:
cd /
tar -xzf /hdd/movie/tls-original.tar.gz