Hallo,

zur Zeit geistert ja wieder eine potenzielle Sicherheitslücke durch die Newsticker.
Dabei geht es darum, dass man durch eine Man-in-the-Middle-Attacke einen sicheren Verbindungsaufbau so beeinflusst, dass er mit dem veralteten hackbaren SSLv3-Protokoll erfolgt.
Die eine Lösung ist eine Server-Umkonfiguration, die man aber nicht selber beeinflussen kann.
Die andere Variante ist SSLv3 im Browser nicht zu erlauben. Das ist bei meinen Browsern jetzt so umgesetzt.

Banking4W baut aber auch sichere Verbindungen auf.
Wie kann ich verhindern, dass das Programm Verbindungen mit SSLv3 zulässt?
Kann das durch ein Update umgesetzt werden oder gibt es eine Umstellung?

Gruß

StephanH

Hallo,

das kann man von außen leider nicht beeinflussen. Jedoch schalten die Banken gerade reihenweise SSLv3 ab, so dass sich das "Problem" dadurch lösen wird. Allerdings werden damit auch die Nutzen von ganz alten Windows-PC nun endgültig ausgesperrt.

Danke für die Info.

Wohler wäre mir, wenn ich mich nicht auf die Banken verlassen müsste, sondern mein (also das von dir geschriebene) Programm das sicherstellen würde.

du hast dein Konto bei der PSD = Geno die ja 2 RZ haben, fiducia und GAD und beide haben doch letzte Woche bereits deaktiviert

dies bestätigt auch ein SSL-Check / Report: onlinebanking.psd-bank.de (195.200.35.71)
This server is not vulnerable to the POODLE attack because it doesn't support SSL 3.
hat insgesamt ein Sicherheitsstatus-/Klasse - A (=alles iO)

Certificate uses SHA1. When renewing, ensure you upgrade to SHA256.
nur diese Bemerkungen hatten bisher alle Banken/Server die ich abgefragt hatte.

Certificate 100 von 100
Protocol Support 95 von 100
Key Exchange 90 von 100
Cipher Strength 90 von 100