Der Server api.threema.ch wird ja für das Einrichten des Accounts ,den Kontaktabgleich und ähnlichen Verwaltungsaufgaben benutzt.
Da alle modernen Betriebssysteme und Browser Algorithmen mit FS beherrschen,ist es nicht nachvollziehbar warum SSL3 und Algorithmen wie TLS_RSA_WITH_3DES_EDE_CBC_SHA (0xa) dort unterstützt werden.
Siehe https://www.ssllabs.com/ssltest/analyz…=api.Threema.ch
Algorithmen ohne FS auf api.threema.ch
Stelle deine Frage öffentlich an die Threema-Forum-Community - über 4.800 Mitglieder helfen dir weiter. > Frage stellen <
-
-
Der Server api.threema.ch wird ja für das Einrichten des Accounts ,den Kontaktabgleich und ähnlichen Verwaltungsaufgaben benutzt.
Da alle modernen Betriebssysteme und Browser Algorithmen mit FS beherrschen,ist es nicht nachvollziehbar warum SSL3 und Algorithmen wie TLS_RSA_WITH_3DES_EDE_CBC_SHA (0xa) dort unterstützt werden.
Siehe https://www.ssllabs.com/ssltest/analyz…=api.Threema.chDas ist doch völlig irrelevant, da ja kein Browser darauf zugreift, sondern nur der Threema-Client (mit Certificate Pinning und definitiv nicht mit SHA-1).
-
wirkt dennoch unsauber
-
Was nicht vorhanden ist, kann nicht missbraucht werden. So setzt man den Server auf den Millionen von Threema Clients zugreifen nur unnötig gefahren aus. Wozu? :icon_eek: Wenn, wie du schon richtig schreibst, nur der Client mit Certificate Pinning zugreifen können soll?!
Kurz: Es ist eine Grundregel sicherer Administration: Dienste, Funktionen und Files werden nur betrieben wenn man sie auch braucht. Alles andere vergrößert nur die Angriffsfläche. :eusa_naughty:
Also liebe Server Betreiber: Bitte ALLES ausschalten bis auf die EINE Kombination die der Client braucht!:icon_winkie: -
Wer weiß, was die gerade vorhaben und testen. Vielleicht arbeiten sie intern an Web Clients oder etwas in der Art, und müssen natürlich zum testen diese Funktionen aktiviert haben.
Aber nur eine Vermutung.