In Node.js 4 wurde schwache Kryptografie deaktiviert

Vor zwei Tagen kam Node.js 4.0.0 heraus, und wie bei jeder großen Aktualisierung jeder anderen Software auch, kommt die neue Version mit einer Vielzahl bedeutender Veränderungen daher.

Viele Jahre in Folge blieb es bei den Node-Versionen 0.x, und die Plattform galt als nicht ausreichend stabil, um auf 1.x upgegradet zu werden. Aus diesem Grund schuf die Community auf der Grundlage von Node.js eine Abspaltung – io.js. Dieser Fork war stark überarbeitet, unabhängig von Node.js, und brachte es bis zur Version 3.3.0.

Nun haben die Entwickler beider Projekte beschlossen, den Code in der Version Node.js 4.0.0 zusammenzuführen und der Node-Community steht nun eine Vielzahl neuer Funktionen zur Verfügung, von denen ein großer Teil einzigartig ist oder sich stark von denen unterscheidet, die bereits in der alten Version 0.12.x vorhanden waren.

Hinsichtlich der Sicherheit gibt es zwei Veränderungen, die Ihre gewöhnliche Projekt-Coding-Prozedur in Node.js betreffen.

Erstens kamen die Entwickler von Node zu demselben Schluss wie auch einige Browser-Entwickler und IETF-Ingenieure.

RC4 wird jetzt nicht mehr als sicher eingeschätzt und wurde von der Liste der per Standard für TLS-Browser voreingestellten Chipher gestrichen“, informierten die Node-Entwickler. „Verwenden Sie die Option zur Definition einer alternativen Liste, wenn sie einen neuen TLS-Server starten.“

Die zweite bedeutende Veränderung betrifft SSL – beginnend mit Node 4 wurden SSLv2 und SSLv3 bei der Kompilation deaktiviert.

SSLv2 wurde deaktivert, weil es veraltet und „seit ungefähr 20 Jahren als kaputt bekannt ist“, und SSLv3 wurde deaktiviert, weil es anfällig für Downgrade-Attacken ist.

Quelle: Softpedia

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.