Safari Update für Sicherheitloch bei SSL-Zertifikaten
Schnell reagiert hat Apple auf das Bekanntwerden eines Sichheitsloches in der öffentlichen Beta des Browsers Safari und ein Update zur Verfügung gestellt.Das Update kann mit dem normalen Software-Update geladen werden.
Heise: Web-Browser Safari schlampt bei SSL-Zertifikaten
Oh weh, oh weh!Wie Heise berichtet, gibt es einen bösen Bug in Safari (zur Zeit noch Beta-Software) und Konqueror Embedded für Mac OS X bei der Überprüfung der Zertifikate (siehe auch Secunia Advisatory). Es soll laut einem der Leserbriefe eine Abhilfe geben, für die das Debug-Menü im Safari eingeschaltet werden muß. Secunia schlägt als Abhilfe vor, für SSL-Sites (z. B. Banken) einen anderen Browser zu benutzen.
Das Einschalten des Debug-Menüs erfolgt mit
defaults write com.apple.Safari IncludeDebugMenu YES
Danach findet man nach Neustart von Safari rechts vom Hilfe-Menü das neu hinzugekommene Debug-Menü. In diesem wiederum ist der letzte Punkt "Security". Hier kann man die Einstellung auf "Performs strict Security checks" ändern. Inwieweit das im Heise-Artikel genannte Problem damit wirklich beseitigt ist, kann ich nicht sagen. Ich wäre dankbar über entsprechende Kommentare zu diesem Artikel.
Browser, die SSL-Verbindungen (https) ermöglichen, sind z. B. iCab und OmniWeb.