Follow

🇺🇸 Asking Android users: TLSv1.0 & TLSv1.1 are no longer considered secure. But disabling them would lock out devices on Android < 4.4. Would you be affected?

🇩🇪 Frage an Android-Nutzer: TLSv1.0 & TLSv1.1 sind nicht mehr als sicher eingestuft. Deaktivieren würde jedoch heißen, Android < 4.4 auszusperren. Wärt Ihr davon betroffen?

· · Web · 8 · 17 · 6

🇺🇸 Thanks for all who participated in the poll! I'll probably repeat it in 2022 to see if the situation has changed. To those 3% (9 voters) who'd feel hurt: No worries, I won't lock you out *yet*. Can't be forever, though.

🇩🇪 Danke an alle, die sich am Poll beteiligt haben! Ich werde ihn wahrscheinlich 2022 wiederholen um zu sehen, wie die Situation sich entwickelt hat. Die 3% (9 Stimmen) die hart betroffen wären: Keine Panik, *bis dahin* werde ich wohl noch nichts ändern. Das gilt allerdings nicht ewig…

@IzzyOnDroid Anything older than 5.1, it feels like apps have to be manually selected with extreme care to work anyway, sideloaded, and then carefully not updated, so... blow it away.

@feonixrift In other words: you are not affected. I'm aware of the risks concerning older Android versions (actually, I have a few on LP and below and would not let them go online) – but not all users really have a choice. Not everyone can afford getting a newer device, for example. It's easy to say "discard" if you're not affected 😉

@IzzyOnDroid I do have and occasionally use an older device but was already in the position with it of, as I mentioned, side-loading with care rather than indulging in an app store experience, even a nice foss one.

@IzzyOnDroid Ich habe TLS1.0 und 1.1 schon vor Monaten auf meinen Webservern deaktiviert. Bisher ohne probleme.

@kromonos Woher weißt Du, dass niemand Probleme damit hatte? Die, die nicht mehr reinkommen, konnten evtl. auch nicht mehr nachschauen, wie sie Dir das mitteilen sollten 🤪

@IzzyOnDroid das ist ein Argument 😂 Allerdings habe ich support.bka.li und die dazugehörige support@bka.li noch lange danach mit TLS1.1 zugelassen ^^

@kromonos Das ist natürlich "nett" (kein Sarkasmus!) – setzt aber noch immer voraus, dass jemand der z.B. bka.li besuchen wollte auf den Gedanken kommt, es mit support.bka.li zu versuchen. Ich wäre da nicht drauf gekommen.

@IzzyOnDroid stimmt. So etwas müsste man dann besser Kommunizieren. Ich muss gestehen, dass ich nicht mehr weiß, ob ich das auch gemacht hatte. Ist schon eine weile her.

@IzzyOnDroid ✅ ist Android < 4.4 überhaupt noch als sicher zu betrachten?

@moe Was ist sicher? "Sicher ist nur, dass nichts sicher ist. Und selbst das ist nicht sicher." (Joachim Ringelnatz).

Ist alles relativ. In's Netz lassen würde ich nichts mit Android < 6 – und selbst das ist schon grenzwertig. Es hat aber, wie schon getippst, nicht jeder eine Wahl. Und Nutzer auszuschließen, die die Wahl nicht haben, wäre unschön ("Ja & stört") – während es für die mit Alternativen ("Ja & OK") in Ordnung wäre.

@IzzyOnDroid Ich habe noch ein altes Android 4 Tablet, das ich nicht mehr nutze - dies wäre eventuell betroffen. Das derzeitige Handy und das Tablet nicht.

@mondstern Schön für Dich – aber was ist mit den Nachbarskindern aus der Großfamilie, deren Eltern gerade arbeitslos sind (Klischee-Beispiel – macht aber deutlich, was ich meine: Nicht jeder hat die finanziellen Mittel oder Möglichkeiten)? Es wäre überheblich zu sagen "was mich nicht stört…" – nicht, dass ich Dir das unterstellen würde.

Wobei, wenn wirklich NIEMAND betroffen ist, sich die Frage nicht mehr stellen würde. Danach schaut es aber nicht aus.

@IzzyOnDroid @mondstern

Ja aber eben WEIL Android 4 so unsicher ist sollte man es auf keinen Fall in öffentlichen Netzen (wie dem Internet) benutzen. Egal was dein Portemonnaie sagt.

Ich finde die Update-Lage auf dem Telefonmarkt (und dem Zusammenhang zu den Kosten) auch ganz furchtbar, aber sie ist halt wie sie ist.

Ein Ubuntu-Phone könnte abhilfe schaffen, weil die wahrscheinlich eeeewig Updates kriegen und das einmal teuer für 600€ gekaufte Phone viele viele Jahre lang benutzbar ist.

@deusfigendi @mondstern Ja. Aber darum geht es hier nicht. Hier geht es nicht um hätte, könnte, sollte, würde, täte, möge oder wünsche – sondern um eine Aufnahme des aktuellen Standes. Alles andere bitte in einen separaten "Thread" verlagern 😍 Danke!

@IzzyOnDroid not sure what service you are offering, but you could consider setting up two subdomains - service.xyz and insecure-service.xyz
Those that need the old stuff could voluntarily use a different address (if possible in your use case), while the rest could be protected from downgrade attacks by using the old subdomain?

@xpac Thanks for your thoughts! Valid approach, but in this case:

Splitting content isn't an option. I'm asking in general for websites targeting Android users (blogs with how-tos as well as my app listings, my F-Droid repo, my OPDS book server (which can be used from inside eBook reading apps) etc). Content is often mixed (like my app listings and articles applying to different versions) or has no relation to an Android version at all (eBooks).

So it's about "phasing out" old TLS versions altogether.

@IzzyOnDroid yeah, I assumed that. I mean, you could still host the same website under two domains, inform users of very old Androids that they will only be able to access content in the future via a separate subdomain (by adding a reverse proxy with two different configs).
Its difficult and not very handy to use, but better than locking them out.
Do you run statistics to figure out how many of your visitors actually use such old devices?

@xpac That would mean additional administration efforts, which most "webmasters" will be rather not willing to do. I see no urgency yet to change things – but wanted to have a picture on where we stand. Cannot argue one way or the other without facts – though results of my poll might not really be that representative.

Right now it looks like 6% affected, 1/6 of them with no alternatives – nothing I'd like to neglect. But let's see, I might repeat the poll in half a year. Can't keep TLSv1/1.1 forever 😉

@xpac I don't run stats on that, no. But good idea: last week's logs are still there. A quick estimate: on my sites it would affect 0.2% of the requests. Split up: .7% on my eBook Server, .53% on my Android site and .16% on my F-Droid repo.

So yes, the "cold statistician" might say "scrap it, not worth the effort". But to me users are no "numbers", they are people. So if I can help it, I'll keep it up a bit longer. Which I can. Despite the "B rating" with SSLLabs, Observatory gives me A+ still 😛

@IzzyOnDroid @juleLe ich bin nicht betroffen. Gibt es eine Möglichkeit, TLSv1.3 zu erzwingen bei allen Geräten, die es unterstützen, und die älteren nur dann zuzulassen, wenn es absolut nötig ist, ohne dass es Downgrade-Attacken geben kann? Eine separate Subdomain pro Android-Version, bei der der Server entsprechend konfiguriert ist, und wo dann auch die letzte noch kompatible Version von Apps verfügbar ist?

@technicallypossible einen solchen Aufwand wird sicher niemand betreiben. Laut den Logs der letzten Woche sind bei mir gerade einmal 0.2% der Zugriffe betroffen (laut Poll 3 bzw. 8% der User). Ich möchte schon, dass diese Leutz noch reinkommen – aber so einen Bohai werde ich dafür nicht machen. Ich lasse TLSv1 halt noch ein Weilchen drin, und schaue in einem halebn Jahr nochmal. @juleLe

@IzzyOnDroid
@die User von Android < 4.4: Vielleicht könnt Ihr Euer altes Schätzken noch mit einem Custom-ROM über die Zeit retten. Ich hatte mich da letztens mal einem Überblick versucht, welche Devices von welchem ROM unterstützt werden: metalhead.club/@caos/106827901

@technicallypossible @juleLe

@caos @IzzyOnDroid @juleLe würde ja gern mein altes HTC One S "ville" nochmal aus der Schublade holen, doch da gibt es nichts mehr neueres als das CyanogenMod, das da schon drauf ist. Schade, dass ich dieses funktionierende Gerät nicht mehr sicher benutzen kann.

Sign in to participate in the conversation
Mastodon for Tech Folks

This Mastodon instance is for people interested in technology. Discussions aren't limited to technology, because tech folks shouldn't be limited to technology either!