[o1] Knerd am 04.03. 17:55
+23
-5
Den letzten Absatz kurz zusammengefasst:
OS X und iOS sehen ein Update bis Ende März, bei Android kommt es mit deinem neuen Gerät...
OS X und iOS sehen ein Update bis Ende März, bei Android kommt es mit deinem neuen Gerät...
@Knerd: Soll das etwa einen feinen gegen Google sein?! Google macht alles richtig, die Hersteller sind das Problem ;) Schliesslich coden Sie ja nur Android. Die Verantwortung liegt logischerweise nicht bei Google! /ironie off
@Knerd: Mein 2 Jahre altes Nexus 4 (Android 5.0.1) bekommt das Update vermutlich noch vor dem von dir genannten Termin für OS X und iOS
@Harald.L: Ich als Nexus 4 Besitzer bin mir sicher es schon zu besitzen. Solche Sicherheitsupdates werden oftmals eingespielt ohne, dass du etwas davon mitbekommst. Sobald du Wlan Verbindung hast, ist das Update installiert. Ist ja auch nichts Großes wo sich eine Versionsnr. ändern müsste oder so. Vielleicht wurde es sogar schon mit 5.0.1 erledigt, immerhin bekommen Google und Apple ja gewisse Zeit zugesprochen Fehler zu beheben.
@Harald.L: Trotzdem werden wohl die meisten Android Nutzer kein Update sehen, weil es die Hersteller nicht interessiert.. Und Google interessiert es anscheinend auch nicht.. Bei Windows Phone sieht es schon besser aus, allerdings auch noch ausbaufähig.. Bei iOS gibt es halt nur einen Gerätehersteller, da sieht es in Sachen Updates eher rosig aus.. Insgesamt gibt es in der Richtung noch verdammt viel zutun..
@GlockMane: Wer als Android-Nutzer so wichtige Updates nicht bekommt hat ganz einfach ein Gerät vom falschen Hersteller gekauft. Von einem der sich einen Dreck um seine Kunden kümmert. Solange die Leute Samsung & Co. die Geräte abkaufen wie geschnitten Brot wird sich nichts ändern. Warum sollte Samsung Geld investieren um Sicherheitsupdates zu erstellen wenn auch so genug Geld hereingespült wird? Rein kaufmännisch wären sie dann ja blöd wenn sie Updates erstellen würden. Erst wenn die Kunden nicht mehr kaufen ändert sich da was.
@Harald.L: Viele Leute kaufen halt auch das was Ihnen in der Werbung am auffälligsten präsentiert wird.. Und die bekannten Hersteller nehmen sich da alle nicht viel.. Am besten man packt die Dinge an der Wurzel an und gibt den Herstellern gewisse Regeln vor, wenn sie das OS nutzen wollen.. Das geht von Updategarantien bis hin zur Öffnung in Richtung Community, die Ihren Beitrag dann noch effizienter leisten könnte.. Aber warum ist diese Update bzw. Treibergeschichte überhaupt so kompliziert? Eigentlich dürfte das doch nicht viel anders als am PC laufen, da habe ich ein OS und Treiber und von Windows Vista bis Windows 10 kann ich die selben Treiber verwenden (übertrieben gesagt ;)).. Grundlegende Sachen funktionieren out of the box, man kann mehr oder weniger direkt loslegen.. Ob mit Linux oder Windows.. Und wenn die Treiber Open Source wären, könnten die doch im nu angepasst werden, auch von der Community..
der vollständigkeit halber noch ein link zum prüfen ob man betroffen ist: https://www.ssllabs.com/ssltest/viewMyClient.html
zum thema google wird's sicher wieder heissen die hersteller sind schuld.. ich frage mich warum kann google nicht vertraglich regeln das sicherheitsupdates / updates innerhalb 60-90 tage auch auf die smartphones/tablets ausgerollt werden? immer die verantwortung auf die hersteller schieben zeigt doch das google indirekt zugibt das das design der architektur in der vergangenheit bescheiden war. ob es mit lollipop besser wird muss sich noch zeigen.
Es scheint wohl insbesondere der Safari Browser betroffen zu sein, habe gerade einen alternativen Browser auf meinem iPad getestet welcher ja die gleichen Entchen verwendet, auf diesem war der Test o. k.
zum thema google wird's sicher wieder heissen die hersteller sind schuld.. ich frage mich warum kann google nicht vertraglich regeln das sicherheitsupdates / updates innerhalb 60-90 tage auch auf die smartphones/tablets ausgerollt werden? immer die verantwortung auf die hersteller schieben zeigt doch das google indirekt zugibt das das design der architektur in der vergangenheit bescheiden war. ob es mit lollipop besser wird muss sich noch zeigen.
Es scheint wohl insbesondere der Safari Browser betroffen zu sein, habe gerade einen alternativen Browser auf meinem iPad getestet welcher ja die gleichen Entchen verwendet, auf diesem war der Test o. k.
@Balu2004: Firefox und Chrome sind auf Android 4.3 safe. Der Stock Browser vom Samsung Galaxy S3 ist gegen diese Lücke offenbar ebenfalls safe, zumindest taucht bei den Cipher Suites nichts mit RSA_EXPORT auf.
Offenbar waren Google bzw. Samsung schneller als Apple. ;-)
Offenbar waren Google bzw. Samsung schneller als Apple. ;-)
@TiKu: glaube ich nicht.. auf welchem smartphone? welche android version (stock vom hersteller?) ... bisher ist nur die rede davon das google die patches bereits an die anbieter ausgeliefert hat und insbesondere samsung ist hier in der vergangenheit arg in die kritik gekommen. das wäre für mich fast einem wunder gleichzusetzen wenn samsung hier sogar vor google wäre..
apropos cipher suites .. ruf mal die seite auf die ich gepostet habe und schick einen screenshot von google chrome browser + einen von samsungs browser.
apropos cipher suites .. ruf mal die seite auf die ich gepostet habe und schick einen screenshot von google chrome browser + einen von samsungs browser.
@Balu2004: Samsung Galaxy S3 (GT-I9300) mit Android 4.3 (Original-ROM von Samsung). Da dieser Tage kein Update kam, gehe ich davon aus, dass Samsung die anfälligen Verschlüsselungen von vornherein entfernt hat. Anpassungen durch die Hersteller haben eben auch Vorteile.
http://www.timosoft-software.de/stuff/Chrome.png
http://www.timosoft-software.de/stuff/Stock.png
Da sind als Weak gekennzeichnete Algorithmen drin, aber von RSA_EXPORT ist nichts zu sehen. Wie würde die Liste denn aussehen, wenn der Browser anfällig wäre?
http://www.timosoft-software.de/stuff/Chrome.png
http://www.timosoft-software.de/stuff/Stock.png
Da sind als Weak gekennzeichnete Algorithmen drin, aber von RSA_EXPORT ist nichts zu sehen. Wie würde die Liste denn aussehen, wenn der Browser anfällig wäre?
@TiKu: danke für die screenshots. . zeig mal was oben steht .. nicht nur was unter ciper suites steht :)
zeig mal was unter protokoll support steht und poodle vulnerability .
bei meinem google chrome habe ich auch 4x weak unter windows 7.
zeig mal was unter protokoll support steht und poodle vulnerability .
bei meinem google chrome habe ich auch 4x weak unter windows 7.
@TiKu: stimmt übersehen .. da steht bei mir auch vulerable und man soll ssl3 disablen (auf meinem iphone 6+)
unter cipher steht bei mir allerdings auch kein eintrag mit RSA_EXPORT (ios 8.1.3)
dann ist das wohl nich nicht drin so wie ich das verstanden habe.
unter cipher steht bei mir allerdings auch kein eintrag mit RSA_EXPORT (ios 8.1.3)
dann ist das wohl nich nicht drin so wie ich das verstanden habe.
@TiKu: Der Trick bei FREAK ist doch, das man den Browser dazu bringen kann, RSA_EXPORT zu akzeptieren, obwohl er es gar nicht anbietet ;)
@Balu2004: Naja, selbst bei Windows Phone müssen Hersteller und Provider die Updates freigeben, da wird auch Google kaum Chancen haben, das zu ändern. Im Endeffekt konnte bisher nur Apple erreichen, die volle Kontrolle über die Software zu haben...