Beiträge von Oliver222

Fitnesstussi versuchte darzustellen:

Zitat

[...]in der index.html befindet sich ein verschlüsseltes Java Script.

Absoluter Quatschkram. Wie alt bist Du, wenn ich fragen darf?
Wo sollte denn Deiner Meinung nach der signifikante Unterschied zwischen JS im "Quellcode der Webseite" selber oder JS innerhalb der "Index.html" liegen dürfen? Die Resultate wären doch innerhalb der Anfrage durch den Browser logischerweise die gleichen, oder nicht? Was möchtest Du uns denn hier genau erklären?

Darüberhinaus lässt sich der sogenannte unformatierte HTML-Entity-Codierte Quellcode so einer Webpräsenz - meines bescheidenen Wissens nach - nur im Body (HTML-Körper) und zwar innerhalb eines Block- und Inline-Elementes so einer Webseite realisieren - jedoch ganz bestimmt nicht in der Index.html selber - wo wären denn da, Deiner Ansicht nach, verarbeitungstechnisch irgendwelche Vorteile?

Technisch gesehen stellt so eine "Index.html" bloss eine Verweisungsdatei und somit definitiv keine Inhaltsdatei selber dar. Die Index.html verweisst daher bloss auf ein Root-Level so einer Website (also der gesamten Web-Struktur) selber - und kann daher nach meinen bisherigen Erkenntnissen niemals "in sich" irgendwelche Daten tragen, sondern allenfalls auf solche verweisen.

Ohne es dabei speziell böse gegen Dich zu meinen, aber lese Dich erst einmal in die Thematik ein und bilde Dir dann erst Deine eigene Meinung zu der Sache, statt in Konsequenz hier vorbehaltlos andere Meinungen zu übernehmen.

Oliver

http://home.snafu.de/tilman/xenulink.html

Fitnesstussi behauptete:

Zitat

in einem Forum stiess ich heute auf jemanden der von Crashs beim Besuch der Seite http://www.greenspeed.com.au berichtete. Ich konnte dies für Firefox 2.0.0.8 sowie Konqueror 3.5.8 unter Linux und Firefox 2.0.0.9 unter Vista bestätigen[...]

Weisst Du überhaupt wovon Du hier sprichst, und wo genau soll sich Deiner Meinung nach eine Schwachstelle befinden? In der Webseite?

Kann hier zwar nur unter Opera versuchen nachzuvollziehen - jedoch ist dass, was Du uns hier weiszumachen versuchst fast schon mehr als Tüddelkram.

Habe mir dennoch den Source-Code dieser Web-Seite für Dich angeschaut - es handelt sich dabei lediglich bloss u.A. um reine JS-Basisoperationen mit nullterminierten Zeichenketten - und die von Dir genannten verlinkten Webseiten kommen alphanumerisch innerhalb des Codes dieser Seite noch nicht einmal vor.

Erkundige Dich bitte das nächste Mal besser, bevor Du hier mit Halbwissen aufwartest und den Rest mit idealistischer Phantasie auffüllst und übernehme darüberhinaus nicht leichtfertig die Meinung anderer, denn das hat in der Vergangenheit bereits zu verheerenden Konsequenzen geführt.

Hoffe Du hast mir das nicht so ganz übel genommen.

Oliver

foxifire stellte dar:

Zitat

[...]Eine Schwachstelle in Firefox lässt sich für Cross-Site-Scripting-Attacken ausnutzen, durch die ein Angreifer etwa Anmeldeinformationen eines Opfers auf Webseiten wie MySpace und ähnlichen Angeboten abgreifen kann.

Was somit definitiv genauso gut auch für jeden anderen Browser gelten müsste. Stichwort: Clientseitige CSS-Ausnutzung.

Solche manipulierten Frames, die als sog. Mosaik-Bestandteile einer ungesicherten Webseite per Scriptübertragungen zum Bestandteil einer vertrauenswürdigen Webseite werden können und somit innerhalb des Sicherheitskontextes so einer gesicherten Webseite zur Anwendung kommen können/dürfen - stellt meiner Ansicht nach schon definitiv kein Browser-Problem mehr dar, sondern eher ein Problem der interaktiven und integralen Internet-Entwicklung selber. (Sender-Empfänger-Prinzip und die damit verbundene Interpretation des Anwenders). Der FF nimmt meiner Ansicht nach damit bloss die Funktion eines "Mediums" ein.

Muss der Browser in seinen Funktionen daher weiter "reduziert" - oder müssen einige Anwender doch eher besser "informiert" werden?

Oliver

hunterhunter fragte:

Zitat

[...]Wie bekomme ich den Seitenaufbau wieder wenigstens etwas schneller?

Aus Deinem FF-System heraus wirst Du über die Konfigurationseinstellungen nichts erwirken können, da Du zuguterletzt immer von der Geschwindigkeit des TOR-Netzwerkes selber abhängig sein wirst.

TOR ist ein anonymisierendes und dezentral verschaltetes Netzwerk für TCP-Verbindungen mit dynamischer Routenwahl, von dessen aktuellen Datendurchsatz Du somit immer abhängig bist und zwar unabhängig davon, welchen Browser Du gerade mit welcher Proxy-Konfiguration einsetzt.

Es kursieren im I-Net zwar einige Tipps zur "Direktanwahl" spezifischer und angeblich schneller TOR-Eingangsserver (die EntryNodes), nur davon ist meiner Ansicht nach abzuraten, da somit das Verteilungs-Strategie-Verfahren (Round Robin) der konkurrierenden Last-Anfragen durcheinander gerät bzw. für die einzelnen Nodes u.U. sogar überlastet wird.

OT: Frage Dich einmal selber, wofür Du das TOR-Netzwerk wirklich benötigst und vergesse dabei nicht, dass es Menschen gibt, die in Ländern leben müssen, in denen der Zugang zu allgemeinen Informationen, bezüglich des Geistesleben in politischer, sittlicher oder auch religiöser Hinsicht kontrolliert, bzw. auch zensiert wird.

Ohne Dich dabei pers anzusprechen - aber das anonyme Herunterladen von Bildern "unbekleideter Mitmenschen" sollte meiner Ansicht nach nicht Sinn und Zweck anonymisierender Systeme sein.

Oliver

smarties fragte:

Zitat

[...]Bei jedem Update muss bei jedem einzelnen PC die Wächterkarte deaktiviert und das Update manuell eingespielt werden. Es gibt keine Möglichkeit das zu umgehen, da sonst die Sicherheit durch die Wächterkarten nicht mehr gegeben ist. Wenn ich die Updates nicht schnell einspiele, versauen sich die User Ihr Profil dadurch dass Sie die Updates automatisch geladen bekommen und ich habe hinterher richtig viel Arbeit.[...]

Du möchtest die aut. Updates unterbinden? Arbeitet Ihr innerhalb eines serverseitigen Netzwerks? Die Unterbindung von Updates liesse sich dann bereits auf Systemebene über die einzelnen Clients oder zentral gesteuert über den Gateway realisieren.

Kommt bei Euch Windows XP / Linux oder MacOS zur Anwendung, so würden sich meiner Ansicht nach bereits schon auf Systemebene über die Gruppen-Richtlinien weitaus sinnvollere Verwaltungssansätze finden lassen, als die Möglichkeiten der integrierten Schutzausnahmereglungen so einer Hardware-Wächterkarte - und das fängt bereits schon mit den lokalen System-Schreibzugriffen an. Es gibt dagegen n.m.E. auch Wächterkarten unterschiedlicher "Dienstgüte" (Qualität), die gewisse administrative Zugriffe aus Sicherheitsgründen im Vorfeld gar nicht erst zulassen können, (was teilweise auch gewollt, jedoch nicht immer von Vorteil ist). Wächterkarten sind nach meinen bisherigen Erfahrungen jedoch nichts Schlechtes.

Ganz nebenbei - frage Dich, ob Deine "Einschubkarten" folgende Funktionen erfüllen:

- PC-Typ unabhängig?
- Zentral verwaltbar?
- Zentral installierbar?
- Ausnahmeregelungen definierbar?
- Dualboot möglich (Sekundärsystem aufrufbar)?
- Auf geschütztes System zentral beschränkbar?
- Win 9X-Unterstützung?
- HDGuard.Master für 0-250 Clients (Min-Optional und Zeitgesteuert)?
- Internet-Sperre, PC-Sperre, USB-Sperre?
- Preise pro Client bezüglich der Lizenzen?(skalierbar abwärtsstrebend)?

Oliver

P.S. Die Deaktivierierung automatischer Google-Zugriffe durch den FF´, innerhalb deiner Firewall-Einstellungen, könnte sich als lohnenswert erweisen.;)

Marx_Brother stellte dar:

Zitat

Nachdem auch das Zurücksetzen aller Firewall-Regeln für internetaktive Programme auf den Ursprungsstandard nicht klappte und NIS 2004 doch schon etwas überholt ist...

Es geht in Deinem Falle - meiner Ansicht nach - nicht nur um das blosse Zurücksetzen Deines persönlichen Norton-Firewall-Regelwerkes, sondern eher um eine komplette Bereinigung der Norton-Zustände auf Deinem System überhaupt, da die Norton-Firewall generell dafür bekannt ist, u.U. "manipulierend" in das aktuellen Betriebssystem einzugreifen zu vermögen.

Wie so ein "NIS-Firewallsystem" von Deinem Computer permanent verschwinden könnte, wurde in der Vergangenheit bereits hier und auch woanders auskommentiert und ist somit definitiv kein Geheimnis mehr.

Oliver

von0Akasha fragte:

Zitat

[...]Bis vor wenigen Tagen gab es dort noch den IE - doch nun habe ich auf den FF umgestellt. Das einzige Problem liegt nur noch darin, das ich gerne direkt eine Sperre für sämtliche Downloads beim FF einstellen möchte.[...]

Wie sieht Dein Netzwerk genau aus? (Router / ISA Server?) Kennst Du Dich mit Netzwerken überhaupt aus? Was ist gegen den IE in Deinem speziellen Falle einzuwenden?

Firefox ist meiner Ansicht nach zum Einsatz innerhalb Deiner dargestellten Infrastruktur insofern ungeeignet, als dass externe Filtermassnahmen - wie bereits angesprochen - nur über vorgelagerte Proxy-Lösungen erreicht werden können und sich somit nicht über Konfigurationseinstellungen des FF-Browsers selber einrichten lassen (auch nicht über integrierte Web-Contentfilter als Browser-Erweiterungen).

Zum Blocken solcher aktiven Downloads bräuchtest Du in Deinem speziellen Falle einen systemintegrierten Browser, der sich über lokale System-Restriktionen bezüglich der !!!ausführbaren!!! Downloads obendrein individuell einschränken lässt.

Sofern Du daher darauf angewiesen sein solltest, bei Dir lokal die einzelnen Clients über System konfigurieren zu müssen, wäre der IE in diesem Falle für Dich, meiner Ansicht nach, ganz bestimmt nicht die schlechteste Wahl.

Eine andere Möglichkeit wäre, meinen Erfahrungen nach, jeweils pro System eine (kostenlose) lokale Firewall zu installieren, die über importiert-verteilte HTTP Filter-Restriktionen (GET/ HEAD / POST etc.) alle ausführbaren Dateien auf den einzelnen Systemen zu blockieren vermag. Die lokalen Einstellungen solcher Firewalls müssten anschliessend wiederum über die Systemkonten des Betriebssystems der einzelnen Stationen vor Eingriffen geschützt werden (Admin / Passwort).

Oliver

http://www.msisafaq.de/Anleitungen/20…/HTTPFilter.htm[/b]

schokocappu fragte:

Zitat

[...]Habe den Rechner gerade neu aufgesetzt und weiss leider nicht woran das liegt.[...]

a. Wie verbindest Du Dich mit dem Internet? (Router / Gateway / oder Netzwerk-Domänen-Proxy, etc.)? Über solche vorgeschalteten Systeme - (das könnte z.B. auch Dein privater DSL-Router sein) - können u.U. "Vorab-Selektionen" des eingesetzten Netzwerkes oder Routers zur Anwendung kommen, die dann anschliessend erst in veränderter Form dem Browser zur Darstellung zugeführt werden. Der Firefox wäre somit, im übertragenen Sinne bloss das andere Ende einer langen Leitung.

b. Hattest Du Dein System im Vorfeld formatiert, bevor Du es anschliessend neu eingerichtet hattest? Ist darüberhinaus ausgeschlossen, dass Du im Zuge so einer Neuinstallation bereits "offene Systemeinstellungen" (also unnötig offene Dienste, ungepatchte Sec.-Leaks, etc.) aus einer alten Version heraus vielleicht ungewollt in die neue Systemlandschaft "importiert" hattest?

c. Tritt das Problem auch bei deaktivierten Erweiterungen des Browsers auf? Hattest Du darüberhinaus einmal versucht den Browser-Cache zu löschen?

d. Wurde der Browser von der originalen Adresse heraus heruntergeladen?

Oliver

http://www.back2d.de/101-browser-hijacking.html
http://www.computer-security.ch/ids/default.asp?TopicID=164

boardraider

Halte mal bitte die Bälle flach - wir versuchen hier alle bloss nur zu helfen und zwar so gut es geht. Wo war denn nun innerhalb des obigen Threads genau Dein positives "Einwirken"?

Quantität „bricht“ niemals Qualität. Das sollten sich einige Senior-Mitglieder hier einmal hinter die Ohren schreiben.

Die Zeit läuft an uns allen einmal vorbei…

Oliver

wotan60 schrieb:

Zitat

[...]ich hatte eigentlich keine großen Veränderung an meinem Notebook vorgenommen,[...]Windows XP (SP2)[...]

Dir verbleibt nur das Updaten solcher bereits abgelaufenen Zertifikate innerhalb des Firefoxes, wobei Du synchron dazu auch die IE-Zertifikate erneuern solltest, da einige solcher IE-System-Zertifikate als systemgintegrierte und hierachische Zertifikatsketten dem oberflächigen Webserver vorgeschaltet werden können. (Gilt z.B. für einige SSL-Zertifikate, die im Zuge der Zertifikatshirachie für Online-Banken ausgestellt werden können).

Beachte dabei jedoch, dass solche wie auch immer importierten Zertifikate u.U. in verschiedene Sektionen des Windows-Zertifikatspeichers importiert werden müssen.("Zwischenzertifizierungsstellen", bzw. "vertrauenswürdige Stammzertifizierungsstellen / Wurzel-Zertifikate"). Falls Du den Assistenten von Windows verwendest, musst Du unter Umständen die Sektion manuell anwählen, da bei einer automatischen Auswahl manchmal die falsche Sektion ausgewählt werden kann.

Für eine (engl.) Firefox-Zertifikats-Aktualisierung gilt: Tools > Options > Advanced > View Certificates: wähle dann die richtige Rubrik und anschliessend: Import

P.S. Achte darauf, dass Du für so ein Zertifikats-Update Deinem System vorübergehend die vollen Administrationsrechte einräumst.

Oliver

http://technet2.microsoft.com/WindowsServer/…3a78241031.mspx
http://www.tu-harburg.de/rzt/it-sicherh…en.html#firefox

Schrippe schrieb:

Zitat

[...]Nach dem Löschen (des verfolgenden Cookies) war der Fehler verschwunden. (FF und IE)

Das mit den verfolgenden Cookies möchtest Du uns hier nicht so wirklich glaubhaft machen wollen?

Ich glaube jedoch zu erahnen, was auf Deinem System im Vorfeld passiert sein muss.

Verhielt es sich nicht so, dass nach einem Neustart der Fritzbox - also unmittelbar nach der Installation Deines neuen Routers - bei Dir eine Art Fritz-Box-Konfigurationsfenster aktiviert wurde, welches seine Einstellungen (und somit auch die Google-Umleitungen) über das http-Protokoll und zwar innerhalb der temporären Internetdateien Deines Browser-Caches bereits verewigt hatte und somit bei jeder Anfrage neu aufgerufen werden konnte?

Ein komplettes Löschen des Browser-Caches kann Wunder bewirken…

Oliver

lalison schrieb:

Zitat

[...]um mit einem Techniker darüber zu reden[...]ist ein telefonischer Kontakt über Skype möglich?

Möglich schon - ist meiner Ansicht nach jedoch dahingehend sinnlos, als dass Du bereits vor Ort über einen System-Techniker verfügst - darüber hinaus würde so eine separate Beratungen bezüglich ihrer Verantwortung auch immer Geld kosten müssen – und zuguterletzt würde dieses Forum in Konsequenz nicht von unseren Erkenntnissen profitieren können.

Hier gibt es einige fähige Menschen, die Dir mindestens ebenso gut weiterhelfen können.

Oliver

Schrippe schrieb:

Zitat

[...]Virenscan ohne Beanstandung. Da ich WinXP neu installiert habe, glaube ich auch nicht daran.[...]

Wie hattest Du Dein System genau installiert?
Ausgeklügelte Viren können Deinen aktuellen V-Scanner nachhaltig auch täuschen - bzw. sogar deaktivieren und darüberhinaus unbemerkt im System verbleiben. Hattest Du XP wenigstens über eine Formatierung der Partition/Festplatte neu installiert oder bloss eine Systemwiederherstellungsroutine aus einer aktiven Windowsumgebung heraus aufgerufen - bzw. den Wiederherstellungsprozess vielleicht sogar über ein eigenes Firmen-Recovery heraus angestossen? Nur eine Formatierung der Partition / bzw. des Datenträgers kann als Voraussetzung für eine saubere Neuinstallation des Systems gelten.

Ein HijackThis Scan kann sich dabei u.U. auch als aufschlussreich erweisen.

Sollte obiges jedoch nicht auf Dich zutreffen, dann lade Dir zum Versuch einmal folgendes Programm herunter: (Link s.u.) und poste anschliessend nach erfolgtem Scan den Inhalt der Log-File (über File > Save > *txt) hier in diesem Forum.

Ich glaube inzwischen nicht mehr, dass Dein Problem noch mit diesem ISDN-AVM-Router zusammenhängt.

Kannst Dich ja nochmal melden...

http://download.sysinternals.com/Files/RootkitRevealer.zip

Oliver

wotan60 schrieb:

Zitat

[...]bei fast jeder zweiten Seite bekomme ich die Meldung: "Server-Zertifikat abgelaufen".[...]

Was bedeutet bei Dir genau jede zweite Seite?

Bei vertraulichen Seiten (z.B. Online-Banken über SSL-Zertifikate) ist mit solchen negativ-Meldungen definitiv nicht zu spassen. (Die Validierung solcher vertrauenswürdigen Seiten könntest Du aber auch anders überprüfen...)

a.Gilt bei Dir eine Systemkompromittierung als ausgeschlossen?

b.Läuft bei Dir vielleicht Windows-Vista oder Windows-XP-SP2 mit übergeordneten administrativen Rechten, so dass sich abgelaufene Zertifikate u.U. lokal nicht so einfach ändern lassen?

c.Einige Zertifikate könnten dezentral bereits auch im Vorfeld durch ein Server-Trustcenter abgelaufen sein - was der Browser dann als Fehlermeldung ausgeben würde - wobei es dann immer noch darauf ankäme, welche Zertifikate Du hier genau ansprichst. Auch die Werbung verbucht Zertifikate mit einer gewissen Ablauffrist. Frage daher: Rufst Du vielleicht Seiten auf, welche Werbung beinhalten, bzw. sogar über solche Werbung finanziert werden? Einige Free-Mailer wären so ein Beispiel dafür...

Ich vermute Dein Problem dennoch eher Systembezogen...

http://www.microsoft.com/technet/prodte…k.mspx?mfr=true

Oliver

Schrippe schrieb:

Zitat

[...]Statt der Startseite Google wird automatisch auf Seite "http://www.avm.de/de/Extern/serverdocs/404.html" umgeleitet.[...]

Dein Problem hat meiner Ansicht nach definitiv nichts mit irgendeinem Browser zu tun, sondern vermutlich eher mit einer internen Router-DNS-Konfiguration, (also mit der internen Namensauflösung über so einen AVM-Router). Auf der anderen Seite könnten jedoch auch Deine lokalen Firewall-Einstellungen negativ auf Deine Systemanfragen einwirken. Ein paar mehr Angaben Deinerseits könnten sich dabei fast schon als hilfreich erweisen:

a.betrifft Dein Problem nur Google oder auch andere Seiten? Kannst Du Google aus Deinem System heraus wenigstens noch über die numerische IP-Adresse aufrufen?

b.befindest Du Dich innerhalb eines geschlossenen (Firmen)-Intranetzes - bzw. lässt Du innerhalb so eines geschlossenen Netzwerkes die Namensauflösung (DNS) über so einen (AVM)-Router vornehmen? (Stichwort: Dynamisches / Statisches DNS)?

c.sollte es sich bei Dir um b. handeln, wie wurde dann der DHCP-Server genau konfiguriert?

d.erhälst Du in den Log-Files Deines AVM-Routers eventuelle Mitteilungen über eine Zeitüberschreitung der Anforderung?

Kannst Dich ja noch mal zurückmelden – wenn Du willst…

Oliver

Holzwurm stellte dar:

Zitat

[...]Das Programm [...]Vulture[...], wurde am Saarbrücker Lehrstuhl für Softwaretechnik entwickelt und lies schon von sich bei Fachkollegen aufhorchen als es im Januar vermutete Sicherheitslücken in Quellcodedateien genannt hatte. Tatsächlich wurden in den Monaten darauf welche gefunden und behoben.[...]

Solche sogenannten Universal-Problem-Behebungsprogramme sind mittlerweile bereits - im Zuge von software-unterstützenden Bewertungsparameterlisten - innerhalb der Netzwerk-Sicherheiten - teilweise schon realisiert worden und zwar mit dem ernüchternden Ergebnis, dass so eine Sicherheits-Bewertungssoftware eigentlich nur auf bedingt verwertbare Resultate, bezüglich der möglichen zukünftigen Sicherheitslücken schliessen und somit leider keine wirkliche Hilfe gegenüber zukünftiger Sicherheitslücken darstellen kann.

So eine Fehler-Gewichtungs-Bewertungs-Software kann, nach meinen bisherigen Erfahrung, bloss auf bereits eingespeiste Erfahrungslisten/Datenbanken/Blacklists zurückzugreifen, über welche sie dann erst in der Lage wäre, statistisch (mit einer ungefähren Ausschussrate von 75% !!!, siehe Link unten) auf zukünftige Fehler zu schliessen, bzw. auf diese verweisen zu können.

So eine Evaluation (Fehler-Bewertungs-Ratio) ist, meiner Ansicht nach, jedoch absolut inakzeptabel und kommt somit noch nicht einmal in die Nähe des Begriffes einer sinnvollen, wenn auch vorerst groben System-Bewertungs-Unterstützung.

Sogenannte "Predicting-Vulnerable-Software-Components Systeme" werden meiner Ansicht nach auch in der Zukunft nicht in einem angemessen Verhältniss "sicherheits-unterstützend" wirksam sein können.

http://www.st.cs.uni-sb.de/publications/f…us-ccs-2007.pdf

Oliver

AngelOfDarkness schrieb:

Zitat

[...]Anders sieht es bei Bildern aus. Wenn diese SpamMail ein Bild
enthält, dann kann diese versteckten Code in Form eines Virus etc.
enthalten. Dieser wird dann ggf. ausgeführt.[...]

Bei allem Respekt - aber das ist meiner Meinung nach Blödsinn...

Geht es dabei nicht eher darum, inwieweit die zum Einsatz kommenden Grafik-Programme oder Browser solche präparierten Bilderdateien als korrekt interpretieren und somit auch innerhalb einer gesicherten Betriebssystemumgebung als gefahrlos darstellen können? (Prinzip: Ursache > Wirkung (Monokausalität)).

Nach meinem Verständniss sprichst vermutlich eher ein IE-Verarbeitungsproblem aus dem Jahre 2004 an, wobei Du Deine Beiträge meiner Ansicht nach entweder aktuell halten oder aber "zeitgenössisch" verlinken solltest.

Oliver

Beschrieben wird dabei eine Cross-Site-Scripting Schwachstelle durch das Browser-PlugIn (Adobe-Reader-PlugIn) des Firefoxes - jedoch kein Security-Leak des Browsers selber.

Indem ein Link auf ein PDF-Dokument durch JavaScript-Code ergänzt wird, könnte somit ein entfernter Angreifer beliebige Befehle im Kontext der Webseite ausführen, welche die aufgerufene PDF-Datei zur Verfügung stellt. So etwas müsste logischerweise jedoch auch für alle anderen Browser (Opera / IE / Safari etc.) gelten müssen, sofern auf so einem System keine separaten PDF-Reader zum Einsatz kommen.

Anwender des Firefoxes wären meiner Ansicht nach ohnehin gut beraten, sich mit der Installation separaten Browser-PlugIns zurückzuhalten.

Es ist nicht der Browser selber der dabei als Unsicher gilt, sondern eher die Kombination unterschiedlicher und somit in ihm integrierbarer Erweiterungen, die in Konsequenz zu viele "Interpretationsspielräume" offen lassen, welche sich meiner Meinung nach über Scripte (Integer Overflows) ausnutzen lassen könnten.

http://archive.cert.uni-stuttgart.de/win-sec-ssc/2007/01/msg00093.html
http://www.at-mix.de/news/2217.html

Oliver

Tachy schrieb:

Zitat

[...]Das Problem tritt bei jeder Einbindung von verschlüsselten Seiten in ein unverschlüsseltes Frame-Set eines fremden Servers auf!

Wird im Umkehrschluss nicht eher ein Schuh daraus???

Die IFrames-Container sind ein Problem, welches meiner Ansicht nach bisher von keinem Browser innerhalb seiner Interpretationen souverän über das DHTML Object Mode / CSS zuverlässig gelöst - bzw. integriert werden konnte. (Stichwort: Pishing-Versuche).

Ich kenne Deine Projekt-Realisierung zwar nicht genau, aber es ist meiner Meinung nach absolut unsinnig, vertrauliche und somit kontextsensitive Inhalte per separater Frames, innerhalb allgemein zugänglicher und unverschlüsselter Webseiten zu integrieren.

Vielleicht hatte ich Dich hier bloss falsch verstanden...

http://www.w3schools.com/htmldom/dom_obj_frameset.asp

Oliver

Digedag2305 fragte:

Zitat

[...]ich habe gerade alle Addons auf der FF-Seite durchforstet, finde aber leider keines, mit dem ich einzelne Ordner in den Lesezeichen mit einem individuellen Passwort versehen kann. Kennt jemand eine Möglichkeit, dies zu realisieren?

Wizz Bookmarks wäre vielleicht so ein Ansatz. Dieses PlugIn des Firefoxes wird jedoch seit längerer Zeit schon nicht mehr weiterentwickelt.

Der Grund dafür mag darin liegen, dass die aktuellen Betriebssysteme über ihre Benutzer-Konten-Einteilungen inzwischen weitaus kompetentere Möglichkeiten des Einsichtschutzes bieten können, als der Browser selber - was auch Sinn macht. Daher kann ich Dir hier von einer "oberflächigen" Favoriten-Verschlüsselung auf Browser-Ebene nur dringendst abraten.

Die heutigen Betriebssysteme bieten durch ihre hirachische Anwender-Konteneinteilung, sowie der möglichen Verschlüsselungs-Programme - z.B. eine Blowfish-Verschlüsselung (64-Bit Block Size/160 Bit) - weitaus vorteilhaftere Möglichkeiten des Datenschutzes, als bloss ein Browser-PlugIn.

Du könntest darüberhinaus auch Deine "sensiblen" Links im Vorfeld erst einmal exportieren, um sie dann separat zu verschlüsseln. Damit wärst Du definitiv vom jeweilig eingesetzten Browser unabhängig.

Sofern Du jedoch eine "mobile und einfache Verschlüsselungslösung" für Deine FF-Favoriten (auch für allgemeine Browser) anstrebst, kenne ich hier bisher nur "Carry it Easy".

Carry it Easy

Oliver

EDIT Road-Runner: überlanger Link editiert