Beiträge von Oliver222

worel fragte u.A. Folgendes:

Zitat

[...]aber ich möchte wissen, was genau das Problem auf meinem Rechner ist[...]

Der von Dir beschriebene Trojan-Dropper.Win32.Mudrop.cxc erstellt – meinen bisherigen Informationen nach – u.A. einen Eintrag in einen der automatisch ausführbaren „Run-Schlüssel“ der Windows-Registry. Solche in die Ausführungsumgebung der Windows-Registry eingetragene „Services“ werden somit bei einem Windows-Neustart als ein im Taskmanager sichtbarer „Dienst“ ausgeführt. (u.A. signifikante Registry-Schlüssel s.u.).

Zitat

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

Das Verfahren dieses Keyloggers lässt somit nicht gerade auf eine fortschrittlich (engl. sophisticated) technische Systemkompromittierung schliessen, da es noch nicht einmal eines Virenscanners bedarf, um die veränderte Windows-Ausführungsumgebung - also die veränderten Einträge der Windows-Registry - selber einzusehen, denn so eine Kontrolle liesse sich mit jedem kostenlosen Hilfsprogramm (z.B. CCleaner > Tools-Section) gleichermassen realisieren.

worel erklärte u.A. Folgendes:

Zitat

[...]Das Wegbleiben des Userinterfaces ist ein Beweis dafür dass die wlanmon.dll eine
"User-Interface-Blockierfunktionalität" besitzt.

Eine *.dll alleine kann dafür nicht verantwortlich sein. Vermutlich wurde eine neue wlanmon.* auf Deinem lokalen System in einem anderen Verzeichnis (Temp-Ordner) abgelegt und hat somit die ursprüngliche Datei unter gleichen Namen – jedoch unter anderer Suffix (*.exe) als ausführbaren Dienst „ersetzt“. Dienstmaskierung ist nichts Neues. Tatsache ist jedoch, das es keine zwei gleichnamigen Dienste mit der gleichen Endung auf einem System geben darf. Der ursprüngliche MS-Prozess (wlanmon.dll) ist dagegen als harmlos zu betrachten und beinhaltet bloss eine Überwachungsfunktion der Netzwerk-Funkstreckenwege.

Es würde – meiner Beurteilung nach – von daher bereits schon reichen, die entsprechenden verdächtigen Prozesse mit dem Taskmanager zu beenden, um im Anschluss daran die zugehörigen Einträge aus der Windows-Registry zu entfernen und das System schlussendlich neu zu starten.

Oliver

O.T
Der SAM (Security Account Manager) beinhaltet u.A. vertrauliche Einträge (z.B. Passwort-Zugänge etc.), die in einem gesondert geschützten Bereich zugriffssicher in den „HKEY_LOCAL_MACHINE“ Schlüsseln der lokalen Windows-Registry abgelegt sind. Mit dem zeitgesteuerten Aufruf „at.exe“ lässt sich jedoch vorübergehend ein uneingeschränkter Zugriff auf alle im System abgelegten und vertraulichen Daten erhalten, ohne dass erst umständliche Rechte-Änderungen oder Besitzübernahmen am System nötig wären.

Wer somit vertrauliche Daten hin und her „transportiert“ (z.B. Notebook etc.), wäre vielleicht gut beraten diesen Kommandozeilenaufruf zu löschen oder gar intern umzubenennen.

http://support.microsoft.com/kb/314866/de
http://technet.microsoft.com/de-de/library/cc737101(WS.10).aspx
http://support.microsoft.com/kb/313289

BlackCab993 stellte Folgendes in Frage:

Zitat

Meine "Befürchtung" war bzw. ist, dass mir irgendwer ein dubioses Zertifikat unterjubelt bzw. untergejubelt hat und so ggf. sicherheitsrelevante Daten abzweigen oder umleiten kann.

Deine Befürchtung ist unbegründet.

Du als Anwender entscheidest in letzter Instanz, welche Informationen (Daten) genau abgerufen werden dürfen.

Die in Deinem vorangestellten Beitrag aufgezählten (internationalen) CA´s sind bereits als allgemeiner SSL-Standard validiert. (siehe untenstehende Verlinkung).

Beachte dabei jedoch, dass die Situation zweier Kommunikationspartner, die unterschiedlichen CA´s untergeordnet sind, dennoch problematisch werden kann, da diese einzelnen CA´s somit auch unterschiedlichen Vertrauensbereichen zugehörig wären. Solche unterschiedlichen „CA-Domänen“ können deshalb nur über sog. Cross-Zertifikate (Zwischen-Zertifikate) validiert werden, die jedoch die digitalen Schlüssel zur vertraulichen Kommunikation öffentlich verwalten und übertragen müssen. Von daher ist so ein Validierungspfad unterschiedlicher CA´s u.U. als kompromittierbar anzusehen.

International gültige CA´s - sowie bisher angestrebte überregionale PKI-Projekte - sind bisher bloss theoretischer Natur und stellen deshalb bedauerlicherweise immer noch „Insel-Lösungen“ dar. (siehe z.B. dazu die internationale Sicherheits-Problematik des digitalen Personalausweises in Germany).

Oliver

http://checkout.google.com/support/sell/b…en&answer=57856

Black Cab993 fragte u.A. Folgendes:

a. -wo und wie kann ich Zertifikate auf Seriosität verifizieren?

b. -wie „gehen“(?) Zertifikate dauerhaft zu löschen?

a. Gar nicht...
Die Akkreditierung (Vertrauenswürdigkeit) einer CA (engl. Certificate Authority / Zertifizierungsstelle) ist i.d.R. national "räumlich" beschränkt. So eine CA ist als übergeordnete Wurzelinstanz bisher europaweit technisch noch nicht systemübergreifend ausgestaltet worden. Die einzelnen Zertifikate selber mögen durchaus seriös durch wie auch immer geartete CA´s ausgestellt worden sein – nur wüsstest Du – als Anwender - somit immer noch nicht genau einzuschätzen, wer diese digitalen Beglaubigungen – zu welchem Zweck genau – ursprünglich gezeichnet hatte. Der jeweils eingesetzte Browser zeigt Dir dabei bloss das Ende einer Kette von berechtigten Beglaubigungen an, die im Endeffekt jedoch nichts zu bedeuten haben können.

Ein z.B. in Germany ansässiger Zahlungsdienstleister, könnte sich durchaus ein valides - über eine ausländische CA geführtes Zertifikat – beschaffen, welches dabei jedoch nicht den europäischen Rechtsnormen entsprechen muss. Bei solchen digitalen Zertifikaten gelten bisher leider keine Landesgrenzen und obendrein noch keine einheitlichen gesetzlichen Regelungen.

b. Benutzt Du vielleicht Windows?
Sofern dass der Fall sein sollte, so versuche bitte in der „Windows-Systemsteuerung“ > „Komponenten hinzufügen/entfernen“ > "Stammzertifikate aktualisieren" das automatische Wiederherstellen der SSL-Beglaubigungen durch Abwahl dieser Option zu deaktivieren. Du wärst dann obendrein auch i.d.L. eigene (Stamm)-Zertifizierungsstellen (bzw. Deine eigenen Zertifikate) in das Betriebssystem einzuspeisen.

Oliver

http://support.microsoft.com/default.aspx?scid=kb;de;283717
http://technet.microsoft.com/de-de/library/ee126164(WS.10).aspx

Palli fragte u.A. Folgendes:

Zitat

[...]Und wie kommt er jetzt an seine Passwörter?

Neben kommerziell zur Verfügung stehender Produkte in Bezug auf die Datenrettung vertraulich geführter Kennwörter zur Beweismittelsicherung:

http://www.darknet.org.uk/2006/06/firema…-recovery-tool/

http://www.securityxploded.com/browser-password-decryptor.php

http://spykesoft.com/FireFoxPasswordsRecoveryTool.zip

Oliver

http://kb.mozillazine.org/Master_password

Road Runner erklärte u.A. Folgendes:

Zitat

Dann sind sie die gelöschten Passwörter definitiv weg.[...]

Nein – Das sind sie definitiv nicht.

Sie lassen sich wiederherstellen.

Solche bereits gelöschten Fragmente vertraulicher Zugangs-Authentifikationen (also die Bestandteile der Passwörter selber), lassen sich mit einfachen und darüberhinaus frei verfügbaren Mitteln aus dem Internet rekonstruieren, solange die freien Speicherbereiche so eines Datenträgers nicht absichtlich oder zufällig durch Daten überschrieben – bzw. der zugrundeliegende Datenträger nicht über ein „Tool“ defragmentiert (als im Zuge eines optimierenden Datenversatzes) überschrieben wurde.

Da solche vertraulichen Passwort-Daten i.d.R. durch den jeweils eingesetzten Browser über das zugrundeliegende Betriebssystem selber geführt werden – können auch ohne Einsatz einer verschlüsselten Auslagerungsdatei – vertrauliche Informationen im Klartext – in den nicht-allozierten (also den nicht-reservierten) Speicherbereichen so eines Datenträgers abgelegt und somit im Anschluss erfolgreich für den Anwender selber oder auch für Behörden erfolgreich rekonstruiert werden.

Stichwort: ADS (Alternate Data Streams) / File Slacks. (s.u.)

@Road Runner:
Bezogen auf den Firefox-Browser ist Dir – meiner Meinung nach – unbedingt Recht zu geben.

Ohne hier klugscheissen zu wollen - unterschätze bitte nicht die „Dualität“ (den Widerspruch), die das zugrundeliegende OS als Protokoll für die forensische Rekonstruktion solcher browsergeführten und benutzerorientierten Passwörter bereithält - und versuche darüberhinaus bitte etwas „über den Tellerrand“ zu schauen.

Oliver

http://de.wikipedia.org/wiki/Alternativer_Datenstrom
http://www.heise.de/security/artik…elt-270584.html
http://de.wikipedia.org/wiki/Slack_(Dateisystem)

Krintor fragte u.A. Folgendes:

Zitat

[...]Zeichenkodierung steht von allein also Standardmäßig auf UTF-8 - aber was hat das mit der Passwortverwaltung zu tun, ist das nicht nur für die Webseitendarstellung nötig??[...]

Nun – Solche eingesetzten Umlaute (UTF-8) werden im Zuge der einfachen PW-Zugänge (über HTTP_Auth.) durch jeden Browser immer noch unterschiedlich kodiert. Wobei meinen Informationen nach gilt:

UTF-8 > ISO-8859.

Auch wenn nicht direkt Deinem Problem zugehörig - So vermag das einfache HTTP-Auth. Verfahren bedauerlicherweise nicht zwischen einzelnen Zeichenkodierungen selber zu unterscheiden, da die Authentifizierungsheader bereits vor der Angabe des sogenannten Content-Typs übertragen werden.

Firefox und Internet Explorer verwenden dafür z.B. die Zeichenkodierung, die als „lokaler Rückfallwert“ (engl. relapse) eingestellt wurde - auf einem deutschsprachigen System entspricht das i.d.R. ISO-8859-1. Ich ging ursprünglich davon aus, dass Dein Problem dort manifestiert war.

Die Frage die dabei verbleiben würde, stellt sich – meiner Meinung nach - auf Basis der zugrundeliegenden Wertemenge, die als Entität einer Zeichenkodierung weiterhin für ein gesichertes Passwort noch aus Sonderzeichen bestehen darf.

Platt und andersherum ausgedrückt: Je mehr zur Verfügung stehende Sonderzeichen zur Anwendung kommen dürfen, desto schwerer wäre ein daraus konstruierbares Passwort zu brechen.

Krintor erklärte darüberhinaus Folgendes:

Zitat

ok ich habe mich nicht deutlich genug ausgedrückt es gibt erst Probleme wenn ich FF komplett schließe und dann neu öffne, dann funzt es nicht mehr[...]

Hoppla! Das entspricht nicht Deiner Titelstellung. Hattest Du den Browser in der jüngsten Vergangenheit vielleicht upgedatet, wobei alte PW´s übernommen werden sollten.

Schaue Dir einmal die signons3.txt - sowie auch die key3.db mit einem Editor genau an. Die signons.sqlite ist darüberhinaus technisch nicht i.d.L. Deine Masterpasswörter sicher abzulegen. Diesen Anspruch erhebt Mozilla bedauerlicherweise auch nicht.

Oliver

http://www.cl.cam.ac.uk/~mgk25/unicode.html
http://de.wikipedia.org/wiki/ISO_8859

Krintor erklärte Folgendes:

Zitat

[...]ich habe mir einige Sonderzeichen in das Masterpasswort einbauen wollen und jedes mal wenn ich es mit dem "<" begann funktionierte es überhaupt nicht mehr und ich konnte es nur noch zurücksetzen[...]

Was heisst bei Dir genau: „funktioniert es überhaupt nicht mehr“? Wann hat „es“ noch funktioniert?

Auszug aus der aktuellen „Firefox-Wiki“ / Master-Passwort Spezifikation:

Zitat

[...]Hat man ein Master-Passwort mit einen Umlaut vergeben, funktioniert unter Umständen die Passwort-Abfrage nicht, aber es wird die Möglichkeit angeboten, das Passwort zu ändern. Das sollte man auf jeden Fall tun - die Änderung ist kein Problem - und mit dem neuen Passwort ohne Umlaut ist der Zugriff wieder möglich.[...]

Das muss man sich einmal auf der Zunge zergehen lassen.

Dieser Umstand ist – meiner Meinung nach - in der heutigen Zeit für die - über Firefox vertraulich geführten Zugangssysteme (z.B. Banken / Zahlungsdienstleister / Behörden / usw.) – eigentlich mehr als ein peinlicher Tatbestand.

a. Werden vielleicht die von Dir im Masterpassword vergebenen Unicode Zeichenketten innerhalb Deiner Browser-Version noch /nicht/ mehr angenommen?

b. Nutzt Du darüberhinaus innerhalb des Browsers eventuell intl. Sprachpakete, die solche Sonderzeichen - hingegen des Anfrage-Vektors - gegenüber solcher vertraulichen Webseiten - nicht zu interpretieren vermögen?

c. Hattest Du bereits versucht, die UTF-Unicode (UTF-8) in der Zeichenkodierungseinstellung des Browsers manuell umstellen?

Oliver

http://de.wikipedia.org/wiki/Unicode
http://www.firefox-browser.de/wiki/Master-Passwort

ernst29 fragte u.A. Folgendes:

Zitat

[...]Nur bei der Webadresse des Kundenportals (Landesamt für Besoldung u. Versorgung) wird kein Zertifikat angezeigt, auch kann man es nicht downloaden[..]

Benutzt Du vielleicht Windows XP?

Viele Anwendungen stellen die Vertrauenswürdigkeit eines Dienstes anhand der Zertifikate fest, die das Windows-Betriebssystem im Zertifikatsspeicher verwaltet. Solche Zertifikate werden normalerweise über das Betriebssystem selber verwaltet. Existieren für Dich darüberhinaus Anhaltspunkte, Dich nicht auf der originalen Webseite dieser Bundes-Agentur aufzuhalten?

Die von dieser Thematik unabhängige Frage darüberhinaus ist: „Wer vermag überhaupt welche Webseite – über welche Zertifikate - genau zu verifizieren?“

Deutsche Behörden-Zertifikate folgen bloss individuellen Bescheinigungen übergeordneter deutscher CA-Hirachien. Solche einzelnen Zertifikats-Bescheinigungen hängen somit in erster Instanz von der auszustellenden obigen Instanz (dem DFN-PKI) ab, die wiederum von der Root-CA der deuschen Telekom, als letzte Instanz, selber authentifiziert wird.

Soviel zum Thema: Protektionismus in Germany.

Ein „Kapital-Unternehmen“ (wie die Deutsche Telekom) darf somit – im übertragenen Sinne – Sicherheitsausweise als „Vertrauensanker“ gegenüber vertraulich signierter individueller und persönlicher Dokumente ausstellen – ein Verfahren, welches - meiner Meinung nach - normalerweise einer "unabhängigen Behörde" vorbehalten sein müsste.

@enst29
Vertraue bitte keinem Zertifikat.

https://info.pca.dfn.de/
http://www.tu-harburg.de/rzt/it-sicherh…mportieren.html

Oliver

Helgomat stellte u.A. Folgendes dar:

Zitat

[...]Wenn ich diese Ausnahme [Zugriff] allerdings dauerhaft speichere, kann ich beim nächsten mal die Seite nicht mehr aufrufen und muss das Zertifikat erst löschen und es dann wieder bestätigen.[...]

Sofern sich die einzelnen Zertifikate solcher von Dir besuchten Web-Seiten innerhalb Eures Unternehmensnetzwerkes lokal (also auf Deinem Zugangssystem / Computer / PDA / ect.) nicht abspeichern lassen, so werden in diesem Netzwerk vermutlich sog. Zugriffsausweise über Schutzdomänen selber definiert sein. Wobei davon auszugehen ist, dass einzelne Lese- und Schreibrechte auf den jeweiligen Computern der einzelnen Anwender in diesem Netzwerk im Vorfeld bereits vorkonfiguriert wurden. Dennoch macht die Darstellung Eures strukturierten Systems – meiner Ansicht nach – bisher keinen Sinn.

Darfst Du auf Deinem Computer überhaupt Daten speichern?

Soweit ich Dich darüberhinaus richtig verstehen durfte, müsste folgendes gelten:

a. Eingriffe in die einzelnen Computerkonfigurationen werden innerhalb Eurer vertraulichen Netzwerkstruktur über sog. ACL`s (engl. Access Control Lists / Zugriffssteuerungslisten) für jedes Subjekt (also jeden Anwender) individuell definiert. Das würde u.U. erklären, warum einige Deiner Kollegen keine solche Zertifikats-Sicherheitsabfrage erhalten - bzw. diese dauerhaft verwerfen können.

a.1. Können sich somit in Eurem Netzwerk einige Anwender mit unterschiedlichen Privilegien, bzw. unterschiedlichen Rechteverfügungen aufhalten?

b. Lässt sich die Plausibilitätsüberprüfung (also die Zertifikatsverifikation) über die lokale Konfiguration der einzelnen Browser individuell deaktivieren?

c. Wird innerhalb Eures Unternehmens-Netzwerkes eine sog. rollenbasierte Modellierung, (RBAC´s) betrieben, die es einem Anwender u.A. ermöglicht - im Zuge eines Content- bzw. Zugriffsmanagements – gleichberechtigt und darüberhinaus kurzfristig in mehreren Sitzungen gleichzeitig aktiv zu sein?

d. Zertifikate sind obendrein benutzerspezifisch ausgestaltet und müssen für jeden Benutzer - innerhalb eines Netzwerkes - lokal oder dezentral individuell installiert werden.

Du gibst leider zu wenig Hinweise. Mit dem Firefox selber hat Dein Problem jedoch nichts zu tun. Melde Dich doch noch einmal zurück, um eine geeignete Zielsetzung für Deine Anfrage zu ermöglichen.

Oliver

http://technet.microsoft.com/de-de/library/bb680748.aspx
http://www.rz.uni-rostock.de/en/software/wi…trative-nutzer/

Boesrsenfeger stellte u.A. Folgendes dar:

Zitat

[...]Das dies [regelmässige Updates] bei Pegasus-Mail anscheinend nicht so ist, würde mich als Benutzer stutzig machen.[...]

Easy Boersenfeger.

Einige E-Mail Anwendungen - wie z.B. der Pegasus-Mail-Client - verrichten auch hier über Jahre hinweg ohne Updates bisher unkompromittiert ihren Dienst.

Gleiches ist – meiner Ansicht nach – mit einer älteren Thunderbird-Version durch die Zeit hinweg ohne Updates gleichermassen realisierbar.

Der Unterschied zu Thunderbird ist – meiner Meinung dabei bloss – als dass die Anwender-Kommunität durch stetige Veränderungen (Updates) „bei Laune“ gehalten werden muss.

Mozilla verdient an der Elementmenge der "unbedarften Anwender" schlussendlich Geld. Glücklicherweise gehörst Du nicht zu dieser "unbedarften Menge" - obwohl es sich manchmal so anhört.

Oliver

Brummelchen stellte u.A. Folgendes:dar.

Zitat

[...]SSL wird nur für die Anmeldung benutzt, danach nicht mehr, weil fehlendes HTTPS.[...]

Wie kommst Du darauf?

Das SSL-Protokoll beinhaltet zumindest eine verschlüsselte streckengeführte Absicherung zweier Kommunikations-Partner (Endpunkte), die durch diverse Verschlüsselungsverfahren einerseits zwar „gesichert“ übertragen wird, andererseits jedoch an den jeweilig aufgebauten Kommunikationsendpunkten wiederum enden muss.

Die Integrität (also die Vertrauenswürdigkeit) der einzelnen Kommunikations-Partner kann somit durch das SSL-Verfahren alleine nicht überprüft werden.

Platt ausgedrückt, könnte ja z.B. die Mail-Adresse eines Deiner vertrauenswürdigen Geschäftspartner im Vorfeld bereits kompromittiert worden sein - ohne das Ihr beide Euch dessen bewusst seit. Jemand könnte sich absichtlich zwischen Eure Kommunikation schieben und diese obendrein abfangen (engl. to intercept). Die kompromittierte Kommunikation würde dann zwar weiterhin über das SSL-Protokoll verschlüsselt verlaufen – jedoch könntest Du Dir nicht sicher sein, es mit dem originalen „Gesprächspartner“ selber zu tun zu haben.

Oliver

hal77 erklärte Folgendes:

Zitat

Wenn man SMTP per SSL/TLS über Port 465 fährt, meines Wissens einer gesicherten Verbindung, dann müsste das doch ok sein - oder hat sich zwischenzeitlich etwas geändert?

Du hast Recht – Jedoch hat sich bezüglich der Thematik bisher scheinbar nicht viel verändert.

Der von Dir genannte gesicherte Port: 465 unterscheidet sich – meinen bisherigen Erkenntnissen nach - nur dadurch vom allgemein zugänglichen Mail-Port: 25 - als dass die vertraulichen Mail-Verbindungen (via Port 465) über einen gesicherten Tunnel (SSL) geführt werden.

Diese vertraulichen Verbindungen können jedoch auch ohne Username/Passwort verwendet werden, sofern der Partner kein SMTP AUTH-Verfahren unterstützt - bzw. so ein reduziertes Authentifikationsverfahren explizit durch unterschiedliche (nationale / internationale Standards) eingefordert werden muss.

SSL schützt von daher bloss die Kommunikationswege – nicht jedoch die Kommunikationspartner.

Happy New Year to You in Mexico City - 7 hours after UK / UTC.

O.T.
Wie schön, dass sich die Erde mit nahezu 1100 Meilen pro Stunde (1770 km/h) dreht – denn sollte sie plötzlich stillstehen, flögen wir vermutlich alle mit Überschallgeschwindigkeit gegen die Wand.

Oliver

Fury fragte Folgendes:

Zitat

Findet denn bei GMX die Datenübertragung zwischen Mail-Client und Postfach verschlüsselt statt?

Normalerweise wird die Übertragung vertraulicher Nachrichten durch das zugrundeliegende Mail-Protokoll (SMTP) ungeschützt übertragen. SMTP gilt somit als ungesichertes Übertragungsmedium.

SMTP (also das „Simple Mail Transfer Protokoll“), welches zwischen einem elektronischen Mailserver und einem lokalen Client (z.B. Thunderbird) zur Anwendung kommt stellt sich - wie der Name bereits suggeriert – als „simple“ (also als unverschlüsselt) dar, sofern die Kommunikation nicht über gesicherte Sockets geführt wird.

Das SMTP-Übertragungsprotokoll untersteht bezüglich einfacher ASCII-Textübertragungen dem MIME (Multipurpose Internet Mail Extensions) und überträgt vertrauliche Nachrichten unverschlüsselt und schützt obendrein auch nicht vor einer unautorisierten Nachrichtenmodifikation – bzw. vor Maskierungsangriffen.

Eine Möglichkeit der vertraulichen (verschlüsselten) und obendrein der verbindlichen (nicht widerlegbaren Zuordnung von Informationen zu einer Person / Datenquelle) geführten Mail-Kommunikation könnte - meinen bisherigen Informationen nach – nur durchgeführt werden wie folgt:

a. Lokale Verschlüsselung des vertraulichen Nachrichtentextes vor dem Versand durch wie auch immer geartete öffentliche Übertragungs-Standards. Es findet im Zuge so eines lokalen Verschlüsselungsverfahrens jedoch keine Einwirkung auf die Metadaten der zu übertragenen IP-Pakete selber statt. Die Verbindlichkeit ist somit nicht gesichert, wohl aber die vertrauliche Informationsübertragung der Nachrichtenkörper. (Des Textes).

b. Einbindung von diversen Add-Ons für Mail-Clients (z.B. Enigmail for Thunderbird etc.)[/b] welche i.d.R. jedoch auf der Sicherheit allg. verfügbarer GNU-Projekte (also öffentlich zugänglicher Verschlüsselungsstandards) selber aufsetzen müssen. Die Metadaten der einzelnen Übertragungspakete werden jedoch auch hier nicht verschlüsselt, bzw. nicht verfälscht, sofern die Kommunikation nicht über einen separaten Proxy geführt wird.

c. Einsatz von PEM „Private Enhanced Mail“ - eines als Signatur geprüften - jedoch unflexiblen Maildienstes, der jedoch die Verbindlichkeit einzelner Teilnehmer (durch dedizierte Header-Informationen) bereitzustellen vermag, dabei jedoch nicht als anonymer Übertragungsdienst geeignet ist.

Eine dezentral geführte Nachrichten-Kommunikation kann vor ihrem jeweiligen Hintergrund sowohl einer „Verbindlichkeit“ – bzw. auch der Notwendigkeit einer „Unverbindlichkeit“ unterliegen müssen.

Cheers to a new Year to all of you!

Oliver

http://de.wikipedia.org/wiki/IP-Paket#….28IP-Header.29
http://www.itwissen.info/definition/lex…d-mail-PEM.html

Cosmo erklärte u.A. Folgendes:

Zitat

[...]für normale Leser hat er (Wer?) erkennbar auf eine Quelle Bezug genommen (ohne Quote, dargestellt wurde also gar nichts) und die Frage nach einem diesbezüglichen Update gestellt.

Easy Cosmo. Wie Du sicherlich erkanntest, galt mein vorangestelltes Arrgument gegenüber dem von Böersenfegers angeführten Artikel der PC-Welt und richtete sich somit nicht gegenüber seiner pers. Meinung, da er (Boesrenfeger) diese Pressemitteilung bloss zitierte und darüberhinaus der Ansicht unterlag, in einem seiner vergangenen Beiträge eine technische Lösung gefunden zu haben die – meiner Meinung nach – jedoch einem Konzept nicht gerecht wird.

Cosmo erklärte i.B. des letzten Postings in seiner Gesamtheit u.A. Folgendes:

Zitat

Wird's eine Dissertation oder doch eine Habilitation zur Klärung wissenschaftlicher Streitfragen? Junge, Junge, wie man mit unverdauten Vokabeln doch etwas über sich erzählen kann. "Meinen bisherigen Kenntnissen nach" bezweifle ich, daß besagtes Forenmitglied die Intention hatte, eine Disputation zu führen; für normale Leser hat er erkennbar auf eine Quelle Bezug genommen (ohne Quote, dargestellt wurde also gar nichts) und die Frage nach einem diesbezüglichen Update gestellt.

Denke noch einmal ruhig über Deinen hier eingestellten Beitrag nach. Was für einen technischen Wert hatte Deine obige Aussage? Hast Du damit irgendjemanden geholfen? Wollen wir solche Äusserung nicht doch besser in den Smalltalk-Bereich verschieben wo Du - meiner Beurteilung nach - ohnehin besser positioniert wärst?

In der Absicht Dir nicht zu nahe treten zu wollen,können wir uns hier gerne über technische Aspekte unterhalten – jedoch ganz bestimmt nicht über philosophische Aspekte der IT-Security.

O.T.
Aus der Windows-Sicherheits Richtlinie.

Zitat

[...]Sie selbst sind ein zentraler Punkt Ihres Sicherheitskonzepts. Überlegen Sie vorher, ob Sie einen Link tatsächlich anklicken wollen und klicken Sie nicht einfach, weil es so einladend aussieht.[...]

Hervorragend in der Absicht – nur leider missverständlich in der Darstellung - und darüberhinaus etwas unglücklich formuliert...

Oliver

Nein. Behoben wurde - meiner Ansicht nach - bedauerlicherweise nichts, da die Thematik eine ganz andere ist.

Boersenfeger stellte über eine Quellendarstellung [PC-Welt] u.A. Folgendes zur Disputation:

Zitat

Die „Schwachstelle“ ermöglicht einen so genannten DoS-Angriff (Denial of Service) über das Internet, der Firefox zum Stillstand bringen kann[...]

In Bezug der oben genannten Pressemitteilung wurden – meiner Beurteilung nach - Ursache und Wirkung vertauscht. Obendrein wurden i.B. des oben zitierten Artikels (PC-Welt) vermutlich falsche Schlussfolgerungen gezogen, da solche (D)DoS-Angriffs-Formationen grundsätzlich nur zielgerichtet gegenüber Server-Infrastrukturen ausgerichtet sein können und somit für den Browser irrelevant sind. Ein wie auch immer gearteter Browser kann gemäss so eines eingeleitenden „DoS-Verfahrens“ somit – meinen bisherigen Kenntnissen nach – auch nicht stillgelegt werden. Die durch diesen Browser „angesprochenen“ Server dagegen schon.

Schlussendlich vermag so ein Browser bloss einen „Vermittler“ (engl. intermediary) darzustellen, der im Anschluss als ungesicherte Schnittstelle zum lokalen System sog. infizierte „Dämonenprozesse“ einschleusen kann, die im Anschluss daran dezentralisiert verteilt wiederum sog. „Zombie-Rechner“ zu instrumentalisieren vermögen.

Durch sog. (D)DoS „Floodings“ (Überflutungs-Angriffe / z.B. UDP / SYN) werden letztendlich z.B. nur zugrundeliegende TCP-Protokollschritte, bzw. UDP-Schwächen ausgenutzt.

Glaube daher nicht alles, was Dir die „angeblich“ informierte allgemeine Presse vorhält. Das wahre Wissen sitzt woanders und wird obendrein teuer bezahlt. Entscheidend ist meiner Ansicht dabei immer nur: Wer ist i.d.L. zu einem bestimmten Zeitpunkt welche Kenntnisse abzurufen – Wer hat i.B. dieser Kenntnisse einen Zeit-Vorteil – Inwieweit vermag man den Quellen dieses erworbenen Wissens zu vertrauen.

Oliver

http://de.wikipedia.org/wiki/SYN-Flood
http://www.cert.org/advisories/CA-1996-01.html

Cosmo erklärte u.A. Folgendes:

Zitat

[...]Ich denke jedoch, der Thread (natürlich gepinnt) sollte anschließend gesperrt werden, damit er nicht durch Fragen oder anderes vollgepropft (vollgepfropft) wird.[...]

Die Absicht, einen thematischen Diskussionsbereich (Thread) dieses offenen Forums für „nicht technisch qualifizierte Teilnehmer“ sperren zu wollen, da Du (Cosmo) die asynchrone Kommunikation bloss einigen technisch versierten Nutzern zugänglich machen möchtest, halte ich einerseits für vermessen - andererseits für unüberlegt.

Bisher konnten die undurchführbaren Lösungen technischer Probleme in dieser Kommunität immer noch zeitversetzt gelöst werden. Dazu gehört jedoch der „weitgefächerte Betrachtungswinkel“, sowie auch die dafür notwendigen Zwischenfragen der sog. „Unbedarften“.

Cosmo
Meiner Beurteilung nach, versuchen wir alle in diesem Forum nach bestem Gewissen und Wissen zu Helfen. Der Aussagegehalt Deiner auf dieser Platttform bisher eingespeisten Nachrichten untersteht zweifelsohne einer anzuerkennenden „Aussagenlogik“ die - meiner Meinung nach - jedoch fast schon eine „Vereinigungsmenge“ zur „Philosophie“ bilden kann.

Oliver

Ulli erklärte u.A. Folgendes:

Zitat

Die von mir angedachten [abzuschaltenden] Dienste waren so etwas wie Druckerfreigabe oder das Internet-Connection-Sharing. Jeder Dienst, der keinen offenen Port hat, trägt zur Sicherheit bei. Jedoch ist der Einwand über unerwartete Nebeneffekte bei nicht verstandenen Diensten real berechtigt.[...]

Zustimmung.

Stochastisch steigt mit jedem erreichbaren Dienst auch das Risiko eines erfolgreichen Angriffs.

Dennoch stellen auch die geschlossenen Ports einer Betriebssystemumgebung – meinen bisherigen Kenntnissen nach – nicht zwangsläufig einen Beitrag zur Systemsicherheit dar. (siehe u.A. z.B. Ausnutzung des „Port-Knocking-Verfahrens“; „Tunnelung gekapselter Datenpakete“; bzw. „Ping TTL-Rückgabewerte“). Das Problem dabei ist, das solche Systemdienste in unterschiedlichen Konformitätsklassen (Standards) eingebunden werden (müssen), um somit eine Standard-Schnittstelle bereitzustellen, die wiederum ausgenutzt werden kann.

Eine Dienstreduzierung auf die notwendigsten Tasks kann – meiner Meinung - dennoch auf einer „vorinstallierten Windowsmaschine“ einen Ansatz zur allgemeinen System-Sicherheit beitragen, da z.B. einige solcher Domänen über ihre zugrunde liegenden Protokolle (z.B. UDP) als nicht vertrauenswürdig zu akkreditieren sind.

Wer so eine Dienstreduzierung auf einem Windows-System für sich einmal testen möchte, hier ein Link auf eigene Gefahr:

http://www.file-upload.net/download-30345…inimal.bat.html

Oliver

http://nmap.org/
http://www.iana.org/assignments/port-numbers

PeterHehr stellte u.A. Folgendes dar:

Zitat

CVE-2009-3555, Die Verbindung zum Server wurde zurückgesetzt, während die Seite geladen wurde.
http://www.amazon.de : server does not support RFC 5746, see CVE-2009-3555[...]

Protokollproblem des Authentifikationsverfahren, welches die vertrauenswürdigen Server vor „Manipulationen“ (MITM) bzw. Maskierungsangriffen schützen soll.
Um etwas weiter auszuholen - kann es zwischen dem angefragten Authentifizierung-Server (z.B. einem Bankserver) und dem Client (also Deinem Rechner / bzw. Firefox) in Bezug des Aushandlungsverfahrens (engl. mutual Negotiation / Handshake) vor dem Hintergrund der vereinbarten Verschlüsselung zwischen Client und Server genau dann zu Problemen kommen, sofern eine bereits schon gesichert aufgebaute Verbindung zu so einem SSL-Server wiederum erneut und darüberhinaus qualitativ minderwertig „arrangiert“ werden darf.

Durch solche möglichen erneuten Aushandlungen bereits bestehender gesicherten Verbindungen, könnten u.U. Wiedereinspielungen unautorisierter Informationen in den vertraulichen Datenstrom integriert werden. Dieses Verfahren wird von Firefox 3.6 – meinen Kenntnissen nach – aus Sicherheitsgründen daher nicht mehr unterstützt.

Zitat

security.ssl.renego_unrestricted_hosts ---> http://www.amazon.de
security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref ---> true (didn't change)
security.ssl.treat_unsafe_negotiation_as_broken ---> false (didn't change)
security.ssl.require_safe_negotiation ---> false (didn't change)

Richtig. Kommatrennung der einzelnen Einträge. Keine Wildcards (Joker).

Beachte dabei, dass die Bedingungen einer solchen geschaffenen Ausnahmeliste zwangsläufig eine ungesichert kryptographischen Funktionalität der vertraulichen Kommunikation zu Folge haben kann.

Die singuläre Verschlüsselung (ohne Neuaushandlung) ist – meinen Informationen nach – dennoch als sicher zu betrachten.

Darüberhinaus könnten die begleitenden rechtlichen Aspekte so einer inkonsistenten Protokollaushandlung – meiner Ansicht nach – in der Zukunft eine nicht ganz unerhebliche Bedeutung erlangen.

Oliver

https://bugzilla.mozilla.org/show_bug.cgi?id=554594

angelheart erklärte u.A. Folgendes:

Zitat

[...]Wind ist eine Form indirekter Sonnenenergie.[...]

Ach – angelheart. Wir beide hatten das „Vergnügen“ bereits schon einmal...

Auch wenn Du Dich damit schwer zu tun scheinst. Versuche doch einfach den Term: „unzuverlässige Windenergie“ genau zu verstehen. Wir sprechen hier von „irdischen Verhältnissen“ – und nicht von kosmischen „Spektralanalysen“. Sonnen / Galaxien vermögen – im übertragenen Sinne - dennoch analog zu der Weltwirtschaft (Mikrokosmos / Makrokosmos) "exponentiell" zu wachsen.

angelheart erklärte darüberhinaus Folgendes:

Zitat

[...]Das (e)rlebt das Empire allerdings nicht.[...]

Wirst Du es denn erleben dürfen? Dürfen wir Dich bezüglich Deiner Argumentation hier weiterhin ernst nehmen?

angelheart erklärte schlussendlich u.A. Folgendes:

Zitat

[...]Atomkraft ist eine Geldmaschine, die nebenbei Strom erzeugt,[...]

Richtig – Nur sollen dann etwa die auftretenden „Leistungsdefizite“, die durch Spitzenlasten Germany´s entstehen, z.B. aus grenznahen Kraftwerken der Ukraine importiert werden, innerhalb deren technischer Spezifikation u.U. ein wesentlich verminderter Sicherheitsstandard vorherrscht? Denke nochmal in Ruhe nach.

AKW´s sind darüberhinaus „Grundlastbringer“ - Gaskraftwerke dagegen „Spitzenlastkraftwerke“. Das Hoch – bzw. Herunterfahren so eines AKW´s benötigt ca. einen Tag. Der „Shutdown“ einer Gasturbine beansprucht dagegen nur eine Stunde. Bilde Dir (angelheart) doch nicht ein, dass Deine Stromversorgung alleine durch regenerative Energieschöpfungen gedeckt werden kann. Regenerative Energien - wie beispielsweise Solaranlagen - sind im Augenblick noch keine Alternative zur Atomenergie. Spätestens wenn bei Dir zum ungünstigsten Zeitpunkt die „Lichter“ ausgehen, wirst Du verstehen was ich meine.

Vergiss darüberhinaus bitte auch nicht so ganz, dass die zukünftige Sicherstellung Deines Arbeitsplatzes u.U. von externen Investoren (Kreditgebern) abhängen kann.

Bugcatcher stellte Folgendes dar:

Zitat

[...]Und die Windenergie ist zur Zeit "unzuverlässig",[...]die Infrastruktur in Deutschland hochgradig marode[...]

Lese Dir bitte die obigen Beiträge wiederholt in Ruhe durch und melde Dich dann zurück. „Unzuverlässig“ war nicht in Hinblick auf die Infrastruktur Deutschlands gemeint, sondern eher in Hinblick auf die mangelnde Persistenz der zur Verfügung stehenden natürlichen Ressourcen.

Bugcatcher stellte darüberhinaus Folgendes dar:

Zitat

Ich rede auch nicht von in Deutschland produziertem Solarstrom.[...]

Von Deutschland aus argumentatorisch plötzlich so schnell in die Wüste?

Vielleicht hast Du Recht...

Oliver

bugcatcher erklärte u.A. Folgendes:

Zitat

[...](man denke nur mal an die Solaranlagen in der Wüste. Die sind solide, robust und günstig.)[...]

Du hast meiner Ansicht nach Recht - Nur leben „wir“ auf der Nordhalbkugel dieser Erde und bedauerlicherweise nicht in der Wüste.

Deutschland „investierte“ darüberhinaus – meinen bisherigen Informationen nach – bereits schon in ca. 600.000 Photovoltaikanlagen. Wind - und Solarenergie sind jedoch „natürlich“ gebunden - und von daher i.B. ihrer Energieschöpfung bisher leider noch als „unzuverlässig“ zu betrachten. Die “Grundlast” - rund um die Uhr – wird in Germany (und anderen Ländern der EU) von daher immer noch von zwei Kraftwerksarten: Atomkraft und Braunkohlekraftwerken produziert werden müssen, da der europaweit verbrauchte Strom zeitgleich produziert werden muss und sich somit die Stromkunden noch die Freiheit nehmen dürfen, ihre Geräte einzuschalten wann sie wollen.

bugcatcher argumentierte u.A. folgendermassen:

Zitat

[...]Auch ist die Lagerung der Energie kein Problem[...]

Wie kann man denn - Deiner Ansicht nach - Energie lagern? Das funktionierte – meinen bisherigen Informationen nach - vor 65 Jahren noch ganz gut mit Kohle und Holz.

Was wäre diesbezüglich Dein technischer Vorschlag?

bugcatcher erklärte darüberhinaus Folgendes:

Zitat

[...]was fehlt sind nur mal Investitionen für eine brauchbare Infrastruktur[...]per Lobbyarbeit für dumm zu verkaufen[...]

Meiner Beurteilung nach richtig. Meinst Du jedoch nicht auch, dass solche Investitionen zwangsläufig immer auch finanzielle Interessengemeinschaften (Lobbyarbeit) fördern? Geht es zuguterletzt nicht doch immer nur um das Geld?

Boersenfeger erklärte u.A. Folgendes:

Zitat

[...]Die deutsche Energiewirtschaft ist also anscheinend noch so angelegt, das alternative Energien immer noch als (lästiger) Zusatz angesehen werden. Ein Schelm, wer Böses (Profit) dabei sieht.[...]

Diese Erkenntnis war mir bisher nicht bekannt und regt zum Nachdenken an. Nur wer sollte dann in Germany über „die Macht“ verfügen, solche alternativen Anlagen (Windkraftanlagen) vorübergehend stillzulegen?

Dann müssten ja Investoren solcher konventionellen Energieförderungen (Atomstrom) – sowie auch Investoren aus alternativen Energiegewinnungsanlagen (z.B. Windkraftanlagen) in Germany unter einem Dach positioniert sein müssen und sich darüberhinaus gegenseitig absprechen können. Ein externer (internationaler) Investor würde dieses Verfahren – meiner Ansicht nach - nicht zulassen. (siehe: Wind Farm / North Sea: UK-Project / 5 Megawatts / Turbinen aus Germany / Expertise der Hochseeverankerungen solcher Turbinenträger (Masten) aus Schottland). Die Sache funktioniert - die Schaufeln drehen sich.

Die Frage die – meiner Beurteilung nach – dabei verbleibt ist: Ob in Germany immer alles so „politisch korrekt“ gehandhabt wird, wie dies durch deutsche Pressemitteilungen gerne glaubhaft gemacht wird...

Nochmals danke für Deinen Beitrag,

Oliver

http://www.guardian.co.uk/environment/2007/oct/14/windfarms