JDownloader Community - Appwork GmbH
 

Notices

Reply
 
Thread Tools Display Modes
  #61  
Old 01.08.2013, 10:16
coalado's Avatar
coalado coalado is offline
JD Manager
 
Join Date: Feb 2009
Posts: 1,988
Default

Solange RTMPE als Kopierschutz angesehen wird, ist daran wohl nichts zu machen. Aber darum soll es ja hier jetzt gar nicht gehen.


Passwort hashen:
Das machen viele Webseiten und Dienste so. Ich hoffe es zumindest.
Bei uns hat das aber auch einen anderen Grund: Wir leiden aus dem Passwort des Nutzers über das hinzufügen von Salts und Co , und das anschließende Hashen quasi verschiedene passwörter ab.

Das eine wird zum Server geschickt, und für die Authentifzierung sowie die Verschlüsselung der Daten zwischen Server und Webinterface genutzt. z.B. Wenn sich das Webinterface Kontoinformationen holt. Also für Daten WI->MYJD oder MYJD->WI

Das andere wird gar nicht verschickt, sondern für die Kommunikation JD <--> WI genutzt.

Wüsste der MYJD Server nun dein Passwort, könnte er damit die Schlüssel für JD <--> WI errechnen nund theoretisch mithören. Das betrifft auch alle anderen "Men in the Middle" (Grüße an Prism und co ;-P)

Das vom Benutzer gewählte Passwort und die daraus abgeleiteten Schlüssel für die JD<->WI Kommunikation gehen NIEMALS über die Leitung. Selbst beim registrieren nicht. Nur das WI und der JD zu Hause kennen die.


Die größte Schwachstelle sind vermutlich die statischen Webinterface Inhalte von my.jdownloader.org. Weil die NOCH nicht über eine https Verbindung laufen.
__________________
Reply With Quote
  #62  
Old 01.08.2013, 10:57
titus titus is offline
Peta Loader
 
Join Date: Jan 2010
Posts: 184
Default

Quote:
Originally Posted by coalado View Post
Also eine vorläufige API Docu gibt es hier: http://goo.gl/CaoaIY
Der Link funktioniert nicht.

Quote:
Originally Posted by coalado View Post
Jeder ist herzlich eingeladen diese Verschlüsselung nach Schwachstellen abzuklopfen.
Als Anbieter des Service seid ihr man-in-the-middle und habt daher immer - ohne dass man es von außen wirklich nachvollziehen könnte - die Möglichkeit, Klartext zu lesen.

Mein Hauptkritikpunkt bleibt jedoch weiterhin, dass der sogenannte Komfort eines (evtl. auch mal nicht erreichbaren) Service einfach unnötig ist. Ich will ein remote paar Links zum Download eintragen können, dazu hab ich in Pyload ein Webinterface.

Quote:
Originally Posted by coalado View Post
Wenn wir den DirectMode wie oben beschrieben umsetzen, dann laufen aber in so einem DirectMode ohnehin keine Daten über my.jdownloader.org - sondern eben nur der Login. Das ist doch dann eh fast wie ein direktes Webinterface.
Könnte man den Zugriff dann nicht auch über ein Webinterface realisieren? Ich hab vom Programmieren null Ahnung, aber ich wunder mich, dass der Zugriff auf diese API durch ein Webinterface (das es für den alten JD ja schon mal gab) so ein Mehraufwand sein soll. Wenn vom offiziellen Team keiner Lust hat, könnte man ja vielleicht an nen Coder spenden, der so ein Webinterface zusammenbaut. Denn selbst mit Interface hätte der myjdownloader doch noch genug Zusatzfeatures, die zur Differenzierung als Premim-Service ausreichen.
Reply With Quote
  #63  
Old 01.08.2013, 11:24
coalado's Avatar
coalado coalado is offline
JD Manager
 
Join Date: Feb 2009
Posts: 1,988
Default

OVH scheint gerade Probleme zu haben. Deswegen geht der Link nicht.



Quote:
ls Anbieter des Service seid ihr man-in-the-middle und habt daher immer - ohne dass man es von außen wirklich nachvollziehen könnte - die Möglichkeit, Klartext zu lesen.
Ich denke ich habe genug zum Thema Verschlüsselung gesagt. Trotz meiner Erklärungen zum Thema Verschlüsselung hier von Plaintext zu reden ist Quatsch. Entweder hast du nicht gelesen was geschrieben wurde, oder du willst einfach nur trollen - Beides nicht sonderlich fein.


Deinen Kritikpunkt "Der Komfort sei unnötig" kann ich so auch nicht stehen lassen. Für dich ist er unnötig. Für tausende andere ist er nötig, weil sie ohne diesen "Komfort" gar kein Webinterface nutzen könnten. Denk mal drüber nach, das die meisten Menschen da draussen, keine Ahnung von VPNs, Routern, Dyndns Diensten und Co haben. Die wissen in der Regel mit sehr viel Glück gerade mal was eine IP ist! Und all diese Leute, sind sehr dankbar für diesen "unnötigen" Komfort. Du bist mit deinem Know How Teil einer Minderheit die sich mit all dem Zeug auskennt. Die meisten Nutzer tun das leider nicht. Und trotzdem erwartest du von uns, dass wir alles nach deinen Wünschen umstellen, oder gar extra ein zweites Webinterface bauen?



@karlheinz2013
Quote:
Naja und apropos Vertrauen. Wie ich ja schon erwähnt habe, ist die Tatsache, dass ich jetzt im Grunde kein andere Wahl mehr haben werde, als auf die ein oder andere Art my.jdownloader.org zu benutzen, nicht gerade dazu angetan, mein Vertrauen zu erhöhen.
Überlegt euch doch wirklich nochmal, ob ihr nicht wenigstens einem externen Projekt die Chance geben wollt, ein direktes kleines Webinterface zu entwickeln. Ich glaube wirklich nicht, dass euch das weh tun würde. Das spricht doch ganz unterschiedliche Benutzergruppen an. Wenn ihr das mit my.jdownloader.org jetzt ordentlich zu Ende entwickelt, werdet ihr bestimmt eine Menge Benutzer dafür begeistern können.
Wie gesagt. Uns fehlt da echt die Zeit. Wenn das Thema jemand eigenverantwortlich angehen will. gerne.

Etwas Java schadet nicht, die gängisten Webdeveloper Skills sollten aber natürlich da sein. Codeserver, Bugtracker usw stellen wir natürlich, und stehen auch mir Rat (und wenig Tat) gerne zur Seite.
__________________
Reply With Quote
  #64  
Old 02.08.2013, 02:54
thecoder2012's Avatar
thecoder2012 thecoder2012 is offline
Official 9kw.eu Support
 
Join Date: Feb 2013
Location: Internet
Posts: 1,325
Default

Quote:
Originally Posted by coalado View Post
Die größte Schwachstelle sind vermutlich die statischen Webinterface Inhalte von my.jdownloader.org. Weil die NOCH nicht über eine https Verbindung laufen.
Die Frage wäre ob der eingesetzte Webserver dann TLS 1.2 unterstützt? (wenn alles https ist)

Und ob z.B. auf my.jdownloader.org bereits im Browser (z.B. per JavaScript) bei der Anmeldung vorgehasht wird, so das auch dieses Passwort niemals bekannt wäre.

Daher auch in meinem vorherigen Posting die Frage nach einer stärkeren Verschlüsselung und nicht erst wenn es absolut nötig wird. Unabhängig davon ob einige User nun die Implentierung verstehen oder nicht.

Sicherheit ist ein schwieriges Thema und fortlaufende Arbeit.

Siehe **External links are only visible to Support Staff**
**External links are only visible to Support Staff**
und leider auch **External links are only visible to Support Staff**
**External links are only visible to Support Staff**

Grundsätzlich bin ich dafür auch die Anmeldung mit OpenID zu ergänzen um möglichst Anonym zu sein. Gibt ja auch recht sichere anonyme Zahlungsarten für spätere Premiumdienste für beide Seiten.
__________________
Join 9kw.eu Captcha Service now and let your JD continue downloads while you sleep.
Reply With Quote
  #65  
Old 02.08.2013, 06:35
karlheinz2013
Guest
 
Posts: n/a
Default

Quote:
Originally Posted by coalado View Post
[...]
[Bezüglich "direktem Webinterface"]
Wie gesagt. Uns fehlt da echt die Zeit.
[...]
Habe ich volles Verständnis für. Da müsste sich natürlich jemand finden, der sich der Aufgabe annimmt. Aber zuallererst müsste halt auch erkennbar sein, dass so ein (externes) Projekt auch langfristig wohlwollend geduldet wird.

Quote:
Originally Posted by coalado View Post
[...]
Wenn das Thema jemand eigenverantwortlich angehen will. gerne.
[...]
Codeserver, Bugtracker usw stellen wir natürlich, und stehen auch mir Rat (und wenig Tat) gerne zur Seite.
Freut mich zu lesen, dass wir vielleicht doch noch Hoffnung auf ein direktes Webinterface haben dürfen. Deine Aussage von letzter Woche klang da ehrlich gesagt noch ganz anders.

Quote:
Originally Posted by coalado View Post
[...]
Ich bin für ziemlich alles zu haben - auch direkte Kommunikation - aber zumindest für die Authentifizierung wird ein MyJDownloader Account nötig sein.
[...]
Und ja.... wir werden Erweiterungen und ko, die das umgehen wollen sicherlich nicht freudig empfangen.
Wie dem auch sei, ich hoffe, dass ihr da jetzt doch noch eine langfristig offen Einstellung zu dem Thema finden werdet. Ich bin mir wie gesagt sicher, dass das letztlich zu "Ruhm und Ehre" des ganzen JD-Projekts beitragen wird und das wiederum wird sich auch positiv auf den Erfolg von my.jdownloader.org auswirken. Und ich glaube auch nicht, dass sich die beiden Projekte in großem Umfang gegenseitig Benutzer abgraben werden. Das werden doch ziemlich unterschiedliche Benutzergruppen sein.
Reply With Quote
  #66  
Old 02.08.2013, 07:13
karlheinz2013
Guest
 
Posts: n/a
Default

Quote:
Originally Posted by thecoder2012 View Post
Die Frage wäre ob der eingesetzte Webserver dann TLS 1.2 unterstützt? (wenn alles https ist)
[...]
Ich habe selber zwar auch noch gewisse Bedenken bezüglich my.jdownloader.org, aber ich habe schon das Gefühl, dass die Entwickler dort zumindest ehrlich versuchen, im Rahmen der Umstände alles nach bestem Wissen und Gewissen umzusetzen. Und ich denke schon, dass dann (bei Aktivierung von https) auch alle Sicherheits-Features, die sich aus den Browsern und dem Server standardmäßig "rausquetschen" lassen, auch wirklich aktiviert werden...... hoffe ich mal.


Quote:
Originally Posted by thecoder2012 View Post
[...]
Und ob z.B. auf my.jdownloader.org bereits im Browser (z.B. per JavaScript) bei der Anmeldung vorgehasht wird, so dass auch dieses Passwort niemals bekannt wäre.
[...]
:biggrin:
Das ist schon jetzt der Fall! Ich hatte das zuerst auch nicht kapiert, aber das ist bereits implementiert - siehe eines meiner obigen Postings (keine Sorge, ich hätte meine eigenen Postings auch nicht gelesen, die sind mir einfach zu lang geraten ).
Hab' das inzwischen auch mal mit Firebug überprüft. Was da an Daten übertragen wird, sieht zumindest sehr nach "gehasht" aus.
Ich muss wirklich zugeben, dass mir dieses Feature imponiert hat. Ich habe das bisher noch nirgends anderswo gesehen. Nicht bei Google, nicht bei Facebook. Keine Ahnung, ob sowas überhaupt irgendwo anders bereits angewandt wird.


Quote:
Originally Posted by thecoder2012 View Post
[...]
Sicherheit ist ein schwieriges Thema und fortlaufende Arbeit.
[Thema TLS 1.2]
[...]
Oh ja, wahre Worte. Leider übersteigt das mein Begriffs-Vermögen nur allzu oft.
In dem Zusammenhang übrigens auch sehr interessant "Perfect Forward Secrecy". Das könnte man dann ja bei der Gelegenheit (https) auch gleich noch aktivieren, wenn man sowieso schon dabei ist.

heise.de/security/artikel/Zukunftssicher-Verschluesseln-mit-Perfect-Forward-Secrecy-1923800.html
http://de.wikipedia.org/wiki/Diffie-...Csselaustausch

Sehr faszinierend, dass es tatsächlich möglich ist, über einen öffentlichen Kanal, wo jeder mitlesen kann, einen Schlüssel auszutauschen, und trotzdem kann keiner der Mitlesenden den Schlüssel herausfinden. Für mich wirkt das immer noch wie Zauberei.

Naja, aber ich schweife schon wieder vom eigentlichen Thema ab...

Last edited by karlheinz2013; 02.08.2013 at 07:20.
Reply With Quote
  #67  
Old 02.08.2013, 09:12
titus titus is offline
Peta Loader
 
Join Date: Jan 2010
Posts: 184
Default

Quote:
Originally Posted by coalado View Post
Trotz meiner Erklärungen zum Thema Verschlüsselung hier von Plaintext zu reden ist Quatsch. Entweder hast du nicht gelesen was geschrieben wurde, oder du willst einfach nur trollen
Oder ich glaube einfach, dass ein Coder, der weiter oben noch schrieb, man müsse Programmierern eh trauen, weil man ja nie wisse, was genau die Software so anstelle, immer irgendeine Möglichkeit hat, an die Daten zu kommen, wenn er denn will.

Quote:
Originally Posted by coalado View Post
Für dich ist er unnötig. Für tausende andere ist er nötig, weil sie ohne diesen "Komfort" gar kein Webinterface nutzen könnten.
Das sie bisher anscheinend auch gar nicht brauchten.

Quote:
Originally Posted by coalado View Post
Und trotzdem erwartest du von uns, dass wir alles nach deinen Wünschen umstellen, oder gar extra ein zweites Webinterface bauen?
Von dir erwarte ich gar nichts, nicht einmal vernünftigen Umgang mit konstruktiver Kritik oder die Einsicht, dass man sich durchaus über aus Vorversionen verschwundene Features ärgern kann.
Reply With Quote
  #68  
Old 02.08.2013, 09:41
coalado's Avatar
coalado coalado is offline
JD Manager
 
Join Date: Feb 2009
Posts: 1,988
Default

Quote:
Originally Posted by hightower5
Die Frage wäre ob der eingesetzte Webserver dann TLS 1.2 unterstützt? (wenn alles https ist)
Wir haben gerade erst begonnen my.jdownloader.org auf https umzustellen.


Quote:
Originally Posted by hightower5
Und ob z.B. auf my.jdownloader.org bereits im Browser (z.B. per JavaScript) bei der Anmeldung vorgehasht wird, so das auch dieses Passwort niemals bekannt wäre.
Was meinst du mit vorgehasht? Das Passwort wird nach der Eingabe gehasht, und als Plaintext nie wieder verwendet.


Unser Server kann laut Doku TLS 1.2 (Nginx in aktueller Version). Deine Links lesen sich allerdings so als ob die meisten Browser damit noch Probleme hätten. Du scheinst dich da ja auszukennen. Wie machst du das bei 9kw?

OpenID hat für mich jetzt echt nichts mit Sicherheit zu tun. Da kann ich den MyJD Account doch gleich mit Facebook koppeln ;-P


So nebenbei: Der NUtzer ist nicht an my.jdownloader.org gebunden. Das zeug kann auch Lokal gestartet werden, oder vom JD verteilt werden, oder es findet sich ein Drittanbieter, der ein super Webinterface hinstellt, und das dann per Werbung oder so finanziert. (Vertrauen?)

Theoretisch könntest du das webinterface auch auf **External links are only visible to Support Staff****External links are only visible to Support Staff** stellen.

Quote:
Originally Posted by karlheinz
Habe ich volles Verständnis für. Da müsste sich natürlich jemand finden, der sich der Aufgabe annimmt. Aber zuallererst müsste halt auch erkennbar sein, dass so ein (externes) Projekt auch langfristig wohlwollend geduldet wird.
WIe gesagt. Es sollte halt nicht im KOnflikt mit den Premiumfunktionen von MyJDownloader stehen - oder es fällt uns was ein wie wir entsprechende Funktionen trotz direktem WI an ein Premiumkonto binden können. MUs man drüber reden. Aber solange der Funktionsumfang das alte WI nicht weit übersteigt, sehe ich da keine Probleme.

Quote:
Originally Posted by karlheinz
Das werden doch ziemlich unterschiedliche Benutzergruppen sein.
Vermute ich auch. Und solange das so ist, wären alle glücklich.


Quote:
Originally Posted by karlheinz
Ich habe selber zwar auch noch gewisse Bedenken bezüglich my.jdownloader.org, aber ich habe schon das Gefühl, dass die Entwickler dort zumindest ehrlich versuchen, im Rahmen der Umstände alles nach bestem Wissen und Gewissen umzusetzen. Und ich denke schon, dass dann (bei Aktivierung von https) auch alle Sicherheits-Features, die sich aus den Browsern und dem Server standardmäßig "rausquetschen" lassen, auch wirklich aktiviert werden...... hoffe ich mal.
Natürlich tun wir das. Trotzdem sind wir für Tipps jederzeit dankbar.



@Titus: Dir zu antworten ist mir langsam zu doof. Man kann mir denke ich nicht vorwerfen dass ich mich hier nicht der Kritik stellen würde. Jeder hier schafft es den richtigen Ton zu treffen - trotz Kritik. Nur von deinen Beiträgen fühle ich mich doch arg "angefeindet". Liegt das an mir? In meinen Augen ist auch kein Feature "weg". Das neue WI kann deutlich mehr als das alte. Es ist auch num ein vielfaches sicherer als das alte. Du willst es wieder so wie früher. Da wirst du drauf hoffen müssen, dass sich jemand findet der coden kann, und das auch will.
__________________
Reply With Quote
  #69  
Old 02.08.2013, 16:24
thecoder2012's Avatar
thecoder2012 thecoder2012 is offline
Official 9kw.eu Support
 
Join Date: Feb 2013
Location: Internet
Posts: 1,325
Default

Quote:
Was meinst du mit vorgehasht? Das Passwort wird nach der Eingabe gehasht, und als Plaintext nie wieder verwendet.
Laut karlheinz2013 wird es ja bereits so gemacht, dann hab ich zu dem Thema nichts gesagt.

Quote:
Unser Server kann laut Doku TLS 1.2 (Nginx in aktueller Version). Deine Links lesen sich allerdings so als ob die meisten Browser damit noch Probleme hätten. Du scheinst dich da ja auszukennen. Wie machst du das bei 9kw?
Also zu dem Thema lässt sich leider wenig sagen. Grundsätzlich im Webserver einfach aktivieren und ansonsten bleibt das Problem mit den Browsern. Firefox und Chrome können es in stabilen Version noch nicht (wenn nur nighty/alpha/beta) aber soll noch in diesem Jahr folgen. Bei IE muss es explizit aktiviert werden.

Prüfen des Servers kann man es mit einem einzigen Befehl: openssl s_client -connect my.jdownloader.org:443
Laut dem Check wird TLS v1.2 vom Webserver auch tatsächlich unterstützt.

Grundsätzlich geht es mit der letzten nightly von Firefox und dürfte innerhalb von so 12-18 Wochen in der Stable landen (Version 25?) und auch Erweiterungen/Einstellungen um TLS 1.2 zu erzwingen, wenn der Webserver es mitmacht. Einzige was man machen könnte wäre ein Hinweis welche Methode der Webserver/Browser gerade nutzt, falls es technisch möglich ist. Meines Wissens ist nur TLS 1.2 als sicher genug anzusehen aber lieber eine niedrige Version/Methode von SSL/TLS als gar nichts.

Man müsste auch mal schauen welche Lib/Methode JD2 da intern unterstützt. Hinzu kommt dann noch oft das Thema Zertifikate und viele kümmern sich um die Sicherheit beim Download eher wenig.

Bisher leider eine unschöne Lösung bei den Browsern für mehr Sicherheit. Auch einige Libs können es bisher nicht oder nur eingeschränkt. Obwohl TLS 1.2 schon fast 5 Jahre alt ist. Denke das viele andere Clients wie Android es auch noch nicht können. Finde es tragisch das die bekannten Browser mit Thema Sicherheit oft werben und selbst nicht alles unterstützen bisher.

Quote:
OpenID hat für mich jetzt echt nichts mit Sicherheit zu tun. Da kann ich den MyJD Account doch gleich mit Facebook koppeln ;-P
Es ging mir weniger um die Sicherheit selbst sondern mehr darum das man bei kostenloser Nutzung keine Daten wie E-Mailadresse angeben müsste. Und OpenID ist nicht nur Facebook sondern ein ziemlich grosses Netzwerk von Seiten. Dazu hab ich keine Lust mich überall zusätzlich anzumelden. Wegen Premium müsste man dann eventuell mal schauen bzgl. verschiedener Zahlungsarten.
__________________
Join 9kw.eu Captcha Service now and let your JD continue downloads while you sleep.

Last edited by thecoder2012; 19.10.2013 at 10:34. Reason: TLS check (befehl) hinzugefügt.
Reply With Quote
  #70  
Old 02.08.2013, 16:35
Pseudocode
Guest
 
Posts: n/a
Default

Hallo hightower 5,

ich wollte die nächsten Tage eine neue Version veröffentlichen.
Kannst du mich mal wegen den Ladezeiten kontaktieren?
40 - 60 Sekunden bei Dir ist wirklich viel.

PM oder Mail an info@pixelvalley.de
Reply With Quote
  #71  
Old 03.08.2013, 08:12
titus titus is offline
Peta Loader
 
Join Date: Jan 2010
Posts: 184
Default

Quote:
Originally Posted by coalado View Post
Jeder hier schafft es den richtigen Ton zu treffen - trotz Kritik. Nur von deinen Beiträgen fühle ich mich doch arg "angefeindet". Liegt das an mir?
You tell me. Jedenfalls würde ich

Quote:
Originally Posted by coalado View Post
Und trotzdem erwartest du von uns, dass wir alles nach deinen Wünschen umstellen, oder gar extra ein zweites Webinterface bauen?
nicht als den richtigen Ton bezeichnen. Weder hatte ich das gefordert noch hätte das was geändert. War also reine Provokation deinerseits, ebenso wie dein Trollvorwurf weiter oben.

Quote:
Originally Posted by coalado View Post
@Titus: Dir zu antworten ist mir langsam zu doof.
Dann lass es, die Standpunkte sind ja geklärt.

Wir werden sehen, wie gut ihr bei einer Klientel, die OCHs ausgiebig nutzt, mit Premium-Funktionen punkten könnt. Die headless-Funktion ohne myjdownloader ist mir Geld wert, entweder geht das dann an euch oder denjenigen, den ihr es implementieren lasst (sollte sie wegen des Abstands zur Premium nicht allzusehr eingeschränkt sein).
Reply With Quote
  #72  
Old 19.10.2013, 11:24
thecoder2012's Avatar
thecoder2012 thecoder2012 is offline
Official 9kw.eu Support
 
Join Date: Feb 2013
Location: Internet
Posts: 1,325
Default

Quote:
Originally Posted by coalado View Post
Unser Server kann laut Doku TLS 1.2 (Nginx in aktueller Version). Deine Links lesen sich allerdings so als ob die meisten Browser damit noch Probleme hätten. Du scheinst dich da ja auszukennen. Wie machst du das bei 9kw?
Wollte nun nochmals etwas konkreter auf Sicherheit, SSL und TLS eingehen. Auch wegen my.jdownloader.org und den aktuellen Browsern. Erfahrung in Bezug auf Java habe ich damit bisher leider noch nicht.

1. Theorie TLS und SSL
SSL ist der Vorgänger bis Version 3 immer noch ein üblicher alter Standard.
TLS gibt sich teilweise als SSL 3.1, 3.2 bzw. 3.3 aus und ist der Nachfolger von SSL als Standard so gesehen.
Inzwischen in der verbesserten Version 1.2 wie in der RFC5246 (=> tools.ietf.org/html/rfc5246) aus dem Jahr 2008 zu finden. Version 1.0 ist bereits aus dem Jahre 1999 und unter RFC2246 zu finden.

2. Prüfen ob der Server TLS v1.2 unterstützt.
Befehl: openssl s_client -connect my.jdownloader.org:443

Ausgabe enthält min. 2 Zeilen:
SSL-Session:
Protocol : TLSv1.2
Cipher : ECDHE-RSA-AES256-GCM-SHA384

Wir sehen das der Webserver es schonmal beherrscht und können damit die Dokumentation von Nginx bestätigen. Genutzt wird dabei AES mit 256-Bit und dem Hashalsgo SHA384. Anmerkung auch Lighttpd (z.B. 1.4.x oder höher mit ssl) als Beispiel beherrscht es. Der Cipher kann abweichend sein und wird in der Regel zwischen Client und Server ausgehandelt.

2. Browser und TLS v1.2
Die meisten Browser können inzwischen TLS v1.0 und v1.1
Bei v1.2 trifft dies bisher nur eingeschränkt zu. Bei 1.2 ist der Algo/Hash für den Geheimschlüssel flexibler bzw. stärker und kann nicht wie bisher mit MD5/SHA1 eine einfache Schwachstelle darstellen.

2a. Firefox / SeaMonkey
Bis Version 24 muss es explizit aktiviert werden. (SeaMonkey 2.21)
Über about:config unter dem Wert security.tls.version.max auf 3 setzen.

Um TLS v1.2 zu erzwingen den Wert security.tls.version.min auf 3 setzen.
Ab Version 25/26 sollte es per Default aktiv sein und auch _**External links are only visible to Support Staff**
Quote:
Wert 1 -> TLS 1.0 is the minimum required / maximum supported encryption protocol.
Wert 2 -> TLS 1.1 is the minimum required / maximum supported encryption protocol.
Wert 3 -> TLS 1.2 is the minimum required / maximum supported encryption protocol.
Version 23 und älter können nur TLS v1.1 / v1.0 (SeaMonkey 2.20)

2b. Chrome
In aktueller Version 29/30 sollte TLS v1.2 vollständig aktiviert und unterstützt sein. Ältere Versionen sollten aus Gründen der Sicherheit sowieso nicht mehr eingesetzt werden.

2c. Internet Explorer
In Version 11 sollte TLS v1.2 funktionieren und aktiviert sein. Ggf. muss es in 10 noch aktiviert werden.
Empfehlenswert ist Internet Explorer 11 wegen enorm erhöhter Geschwindigkeit bei der Verarbeitung.

TLS v1.0/1.1 deaktivieren im Internet Explorer => Internetoptionen => Erweitert => Nur das Kontrollkästchen TLS 1.2 aktivieren und 1.0/1.1 deaktivieren.

2d. Opera
In Version 10-12 muss es in jedenfall explizit aktiviert werden.
Bei der aktuellsten Version 17 ist es aktiviert und kann explizit auf TLS v1.2 eingestellt werden.
Extras => Einstellungen => Erweitert => Sicherheit => Sicherheitsprotokolle

2e. Safari
In der aktuellsten Version sollte es aktiviert und unterstützt sein. Allgemein sollte der Support seit Version 6 oder höher bestehen.

Siehe auch: kuketz-blog.de/nsa-abhoersichere-ssl-verschluesselung-fuer-apache-und-nginx/

Anmerkung: Es ist möglich das sowohl Browser als auch Server in Einzelfälle noch Probleme mit TLS v1.2 haben und daher man v1.2 nicht unbedingt erzwingen sollte. Bei Problemen würde sonst die Verbindung abgebrochen und damit die Funktion "gestört". Immerhin hat man dann die größte Sicherheit bei dem Thema. Tja meine Bank hat schonmal kein TLS v1.2 im Webserver, nichtmal v1.1 sondern nur v1.0. :(
__________________
Join 9kw.eu Captcha Service now and let your JD continue downloads while you sleep.

Last edited by thecoder2012; 18.01.2020 at 01:01.
Reply With Quote
  #73  
Old 11.09.2014, 23:40
phispo
Guest
 
Posts: n/a
Default wie siehts aus?

Hey Ho!

myjdownloader is nicht schlecht für die meisten recht gut aber was ist wenn ich eine userverwaltung benötige?

mit dem alten webinterface konnte ich mir da etwas zusammenbasteln aber jetzt geht das nicht mehr.

habt ihr da ne lösung für mich parat?
Reply With Quote
  #74  
Old 15.09.2014, 12:11
coalado's Avatar
coalado coalado is offline
JD Manager
 
Join Date: Feb 2009
Posts: 1,988
Default

phispo:

Also grundsätzlich ist die my.jdownloader API ja auch offen, und kann erweitert werden.

Was für eine Userverwaltung stellst du dir denn da vor?
__________________
Reply With Quote
Reply

Thread Tools
Display Modes

Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is On
Smilies are On
[IMG] code is On
HTML code is Off

Forum Jump

All times are GMT +2. The time now is 11:02.
Provided By AppWork GmbH | Privacy | Imprint
Parts of the Design are used from Kirsch designed by Andrew & Austin
Powered by vBulletin® Version 3.8.10 Beta 1
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.