Einträge über browser

SSL in der Krise

SSL ist massiv in der Krise: Die Nachrichten, nachdem Zertifizierungsstellen gehackt und es Unbefugten gelang, sich selbst Zertifikate auszustellen, häufen sich. Nun meldet heise , daß es die niederländische Firma KPN Corporate Market getroffen hat. Diese Zertifikate sollen dazu dienen, sicherzustellen, daß sich bspw. hinter der aufgerufenen Webseite meiner Bank https://www.meine-bank.de tatsächlich die Bank verbirgt und nicht ein Krimineller, der nur meine Zugangsdaten abfischen will. Angesichts der Anzahl der Fälle in der Vergangenheit kann man den Zertifikaten offenbar nicht mehr trauen. Und weiter: Nicht nur Kriminelle, sondern auch Schurkenstaaten erschleichen sich Zertifikate, um die verschlüsselten SSL-Verbindungen Ihrer Untertanen abzuhören.

Zudem haben Cryptoexperten Ende September bewiesen (Stichwort: BEAST-Attacke ), daß eine längst bekannte Lücke in den derzeit weit verbreiteten Protokollen SSL3 und TLS 1.0 u.U. dazu genutzt werden kann, eine SSL-Verbindung zu kapern. Das in Bezug auf diese Sicherheitslücke immune TLS 1.1 ist zwar schon veröffentlicht, allerdings "spricht" der Großteil der Serverwelt im Internet noch die unsicheren Protokolle, da auch die wenigsten Browser (selbst in den aktuellen Versionen) das sichere TLS unterstützen - Chrome macht da wohl die positive Ausnahme.

Das sichere Internet-Surfen via SSL ist also massiv in die Krise gekommen. Doch wie kann man sich kurzfristig behelfen und wie sehen mittel- und langfristig Alternativen und Weiterentwicklungen aus? Ideen hierzu wurden in der Ausgabe 172 des Chaosradio besprochen. Die Sendung ist zwar zwei Stunden lang, aber sehr hörenswert.

CookieSafe funktioniert aktuell nicht mit Firefox 4

Auch ich setze seit einigen Tagen den Firefox in der Version 4 ein. Zuvor mußte ich allerdings mein Ubuntu 10.04 LTS (Long Term Support) auf die 10.10 upgraden. Wie das funktioniert (man muß LTS hierzu deaktivieren), kann man auf dieser Seite erfahren. Anschließend muß man noch die Mozilla-Packetquellen ins System einhängen ( Anleitung ) und ab geht's! Aber die Mühe hat sich wirklich gelohnt! Firefox ist definitiv schneller als die 3.6er Version. Das Surfen macht richtig Spaß! Der Wegfall der Menüleiste verschafft mit auf meinem Widescreen-Display auch mehr Platz für die Webseite. Nur die Status-Leiste brauche ich für meine Add-Ons. Da gibt es z.B. die Erweiterung Status-4-Evar .

Ärgerlich ist, daß die von mir genutzte Erweiterung CookieSafe nicht mehr richtig funktionierte. Mit CookieSafe habe ich unter FF 3.6 recht komfortabel einstellen können, welche Seite unter welchen Bedingungen Cookies auf meinem Rechner speichern darf. Damit wollte ich die Möglichkeit des Ausspionierens meines Surfverhaltens durch Webseitenanbieter unterbinden ( Blog-Artikel hierzu ). Nun, unter FF 4 arbeitete CookieSafe auch noch - allerdings ließ sich das Kontext-Menü des Add-Ons in der Statusleiste nicht mehr öffnen. Eine Änderung der Einstellungen ist damit faktisch unmöglich, und der Nutzen des Add-Ons stark eingeschränkt. Ich habe ich der Add-On Datenbank von Mozilla gestöbert und nach einiger Zeit auch einen Ersatz für FF 4 entdeckt - Cookie Monster . Ich bin noch am Testen, aber es scheint seinen Zweck ebenfalls zu erfüllen. Allerdings gibt es bspw. keine Einstellung, Cookie Monster beim Beenden des Browsers dazu zu veranlassen, alle noch gespeicherten Cookies zu löschen. Aber das läßt sich ja auch über ein paar mehr Klicks im Einstellungs-Menü des FF erledigen. Der Vorteil dieser Einstellung war, daß mich einige Webseiten wie Amazon und eBay nicht mehr wiedererkannt haben und ich meine Suchanfragen incognito machen konnte.

Mein Browser macht Keks-Diät

Kekse CC-BY-SA: Absinthe

Bild CC-BY-SA 3.0 Absinthe

Auch ich lerne in Sachen IT-Sicherheit ständig dazu. Durch einen SPIEGEL-Artikel aufmerksam gemacht, habe ich mal nachgeschaut, wieviele Cookies sich in meinem Browser befinden ... und bin fast vom Stuhl gefallen! Was sich da alles so ansammelt, unglaublich! HTTP-Cookies ( Wikipedia , techfacts ) sind kleine Textdateien. Webseiten, die man besucht, können diese anlegen und dort Informationen speichern, die später wieder ausgelesen werden kann. Das kann ganz nützlich sein, z.B. bei Warenkörben in Online-Shops oder benutzerspezifischen Einstellungen bei Websites. Eine Webseite kann einen Internet-User anhand eines Cookies wiedererkennen, obwohl sich zwischenzeitig die IP-Adresse geändert hat. Ein spezielles Cookie kann grundsätzlich nur innerhalb einer Domain geschrieben und gelesen werden; eBay hat also keinen Zugriff auf meine Amazon-Cookies und umgekehrt. Spezielle Werbeanbieter im Internet, die auf vielen Webseiten eingebunden sind, nutzen Cookies allerdings, um Interessens-Profile von Nutzern über Webseitengrenzen hinweg zu erstellen (Tracking-Cookies). So ist es auch zu erklären, warum auf mehreren Webseiten plötzlich Werbebanner mit Angeboten aus "Deiner Region" erscheinen.

Weiterlesen…

KeePass Paßwort-Datenbank mit Firefox verwenden

keefox

Schon seit einiger Zeit verwende ich zur Verwaltung meiner ganzen Paßwörter KeePassX . Die Datenbank mit den ganzen Paßwörtern liegt (gut verschlüsselt!) auf meinem Dropbox -Account, so daß ich von jedem meiner Rechner auf die Paßwörter zugreifen kann. Wirklich tolle Software, die ich jedem empfehlen kann.

Wenn ich auf einer Webseite ein Kennwort eingeben will, muß ich halt KeePassX öffnen, den entsprechenden Key aus der Datenbank pulen, Kennwort und ggf. weitere Informationen in der Zwischenablage parken, zurück zu Firefox gehen und die Daten in die Eingabefelder kopieren. Doch jetzt gibt es ein Firefox Add-on, daß diese Arbeit erleichtern könnte: Caschy hat in seinem Blog KeeFox vorgestellt , daß ein Schnittstelle zwischen der KeePass-Datenbank und Firefox zur Verfügung stellt.

War total begeistert und habe das Add-on natürlich auch gleich installieren wollen. Nur leider wird mein Linux-Firefox noch nicht supported - schade! Auf jeden Fall werde ich die Entwicklung des Add-ons verfolgen und es sofort installieren, wenn mein System unterstützt wird! Hier gehts zur Webseite von KeeFox .