Beiträge von madblueimp

  • Windows Firewall ausreichend?

    Zitat von bender_21

    du brauchst dich nicht immer wiederholen, ...

    Ich war mir nicht sicher, ob du den Beitrag überhaupt gelesen hattest:

    Zitat von bender_21

    schön, nur leider gibt es nicht für alle programme alternativen. und was soll daran "rumschlagen" sein, wenn ich einfach die verbindung unterbinde?
    ein klick und fertig.


    "ein klick und fertig" ist eine trügerische Sicherheit, welche dir von "Personal Firewalls" vermittelt wird.
    Und das Beispiel des Browser-Aufrufs mit Parametern verdeutlicht meiner Meinung nach wie einfach es ist, diesen "Schutz" zu umgehen.

  • Windows Firewall ausreichend?

    Klar, so geht's natürlich auch.
    Obwohl ich mich frage was du als Ubuntu-User mit dem IE machst. :P
    Vielleicht ein Web-Entwickler, der Webseiten testen muss?
    Oder du hast vielleicht Flash8 unter Wine installiert - da klappt es mit dem Proxy nämlich auch. :D

  • Windows Firewall ausreichend?

    Zitat von bender_21

    schön, nur leider gibt es nicht für alle programme alternativen. und was soll daran "rumschlagen" sein, wenn ich einfach die verbindung unterbinde?
    ein klick und fertig.


    Das ist es ja gerade - du kannst nie mit Sicherheit sagen das du alle Möglichkeiten unterbunden hast, mit dem ein Programm Daten versendet - es sei denn du blockierst den Netzwerk-Zugriff für alle Programme.

    Zitat

    Der Browser gehört immer zu den Programmen, denen man den Zugang zum Internet gestatten möchte. Ein blockiertes Programm könnte einfach den Browser mit einer URL aufrufen, welche die Persönlichen Daten als Variablen enthält und so den vermeintlichen "Schutz" der "Personal Firewall" umgehen.


    https://blueimp.net/forum/viewtopic.php?f=12&t=390#p9646

    Adobe (Macromedia) Flash (MX 2004) verwendet z.B. den Internet Explorer, um auf der Startseite News zu präsentieren, bzw. um auf diese Weise Nutzerstatistiken zu sammeln.

    Das kannst du z.B. mit Hilfe des Netzwerk-Sniffers Wireshark selbst überprüfen.

    Allerdings gebe ich dir Recht, das es für manche Programme schwierig ist Alternativen zu finden - Adobe Flash ist meiner Erfahrung nach eines davon.

    Allerdings kann man hier recht einfach Abhilfe schaffen (und das ohne "Personal Firewall"), in dem man im IE in den Proxy-Einstellungen einen lokalen, nicht vorhandenen Proxy vorgibt. Diese Einstellungen werden von Adobe Flash nämlich berücksichtigt.
    Während dieser Einstellung ist der Netzwerkzugriff natürlich auch für andere Clients blockiert, welche diese Einstellung nutzen.

  • Windows Firewall ausreichend?

    OK, ich glaube ihr habt mich da missverstanden.
    Mit

    Zitat

    warum sollte ich ein Programm überhaupt installieren, wenn ich nicht möchte das es Daten über das Netz versendet?


    meinte ich

    Zitat

    Wenn man nicht möchte, das ein bestimmtes Programm Daten ins Internet versendet, dann sollte man es ganz einfach nicht installieren.


    Siehe Gute Firewall? Empfehlungen?

    Das heißt, falls ein bestimmtest Produkt Nutzerstatistiken oder andere Daten verschickt und ich das nicht möchte und es noch nicht einmal eine Möglichkeit gibt, dieses zu deaktivieren ist das vielleicht ganz einfach ein Argument gegen dieses Produkt.

    Ich meine, warum plagt ihr euch damit herum bestimmten Programmen das "nach Hause telefonieren" zu verbieten (und das ohne sichere Aussicht auf Erfolg), wenn ihr sie doch einfach deinstallieren könntet um ein alternatives Produkt zu nutzen, das nicht so freigiebig mit Nutzerdaten umgeht?

  • Windows Firewall ausreichend?

    Zitat von DasIch

    Das einzige was eine Software Firewall kann ist zu verhindern das Programme aufs Internet zugreifen.


    Das ist genau das, was dir die Anbieter kommerzieller Personal Firewalls gerne versprechen.
    Meiner Meinung nach ist aber schon das Konzept unsinnig - warum sollte ich ein Programm überhaupt installieren, wenn ich nicht möchte das es Daten über das Netz versendet?
    Und Malware kann meiner Erfahrung nach nicht zuverlässig daran gehindert werden Daten zu versenden:

    Zitat

    Der Browser gehört immer zu den Programmen, denen man den Zugang zum Internet gestatten möchte. Ein blockiertes Programm könnte einfach den Browser mit einer URL aufrufen, welche die Persönlichen Daten als Variablen enthält und so den vermeintlichen "Schutz" der "Personal Firewall" umgehen.


    https://blueimp.net/forum/viewtopic.php?f=12&t=390#p9646

    Zitat von DasIch

    Einen zuverlässigen Schutz von außen bekommst du nur mit einer Hardware Lösung.


    Ich bin deiner Meinung, das die beste Firewall eine Hardware-basierte ist. Wie sie viele Anwender schon in ihrem Router durch NAT implementiert haben. Das habe ich aber schon in genau dem Beitrag geschrieben, den ich in meinem ersten Post in diesem Thema verlinkt habe:

    Zitat

    Meiner Meinung nach ist die sinnvollste Firewall für den Privat-Anbieter diejenige, welche das private Netz (LAN) vom restlichen Netz (Internet) abschottet, so das z.B. lokale Freigaben wirklich nur im privaten Netz zur Verfügung stehen.
    Und diese Firewall ist, falls ihr einen Router verwendet, schon durch NAT gegeben.

    Eigentlich braucht man eine Firewall eben nur um Netzwerk-Dienste, die man anbieten möchte (wie Netzwerk-Freigaben, Drucker, Webserver) auf bestimmte Netze (z.B. das LAN) oder IP-Bereiche zu begrenzen.

    Falls ihr gar kein lokales Netzt betreibt, sondern euer Rechner direkt am Internet hängt und ihr gar keine Netzwerk-Dienste anbieten wollt, braucht ihr überhaupt keine Firewall.
    Ohne anzubietende Netzwerk-Dienste gibt es auch keine von außen zugänglichen offenen Ports - also auch nichts was eine Firewall abschotten könnte.


    https://blueimp.net/forum/viewtopic.php?f=12&t=390#p9646

    Unter Windows laufen in der Standardeinstellung viele Dienste. Und einige dieser Dienste sind auch über das Netzwerk erreichbar.
    Die in Windows XP (SP2) eingebaute Firewall verhindert, das diese Dienste über das Internet zugänglich sind - und genau das meinte ich, als ich schrieb die in Windows eingebaute Firewall wäre ausreichend.

    Zitat von Brummelchen

    Zudem - was nicht da ist, kann nicht angriffen werden (Dienste, Programme etc).


    Noch sinnvoller wäre es natürlich, solche Dienste von vorneherein sicher zu konfigurieren, sprich sie nicht über das Netzwerk erreichbar zu halten. Da bin ich deiner Meinung. :)

  • Windows Firewall ausreichend?

    Zitat von Brummelchen


    Weil die Windows-Wall ja so toll ist? Dann lieber gar keine als diesen Müll aktivieren.
    Und diverse Filter sind genauso witzlos unter XP wie eine Personal Firewall, die sich selbst
    kaum schützt. Du kannst auch Anwendungen unter Linux nicht mit Windows vergleichen, weil Linux ein ganz anderes Rechtesystem hat als Windows.


    Hast du den Beitrag überhaupt gelesen? :roll:
    Es geht darum, das viele Benutzer glauben eine "Personal Firewall" installieren zu müssen ohne das sie diese benötigen.
    Noch schlimmer ist, das der Benutzer mit bunten Oberflächen und Texten wie "100% Schutz" in falscher Sicherheit gewogen wird.
    Die Windows XP Firewall bietet zuverlässigen Schutz von außen.
    Es gibt jedenfalls meiner Erfahrung nach keine Firewall, die zuverlässig verhindern kann das ein auf dem lokalen Rechner laufendes Programm Daten ins Internet versendet.

  • Sicherheitsloch Passwort-Manager

    Zitat von melpmelp

    Viel Spaß weiterhin beim Fachsimpeln und schreibt am besten an die Tür: Anfänger, helft Euch selbst.


    Die Beiträge mancher Forumsbenutzer klingen manchmal etwas einschüchternd (wink an Oliver222), allerdings meinen auch diese Forumsbenutzer es gut und versuchen halt auf ihre Weise dir Ratschläge zu geben.
    Wenn dein Beitrag ihnen egal wäre, würden sie dir gar nicht antworten.

    Insgesamt denke ich, das die firefox-browser.de Gemeinschaft eine sehr freundliche ist und auch gerne unerfahrenen Benutzern weiterhilft.

    Zu deiner Problemstellung würde ich dir folgendes Empfehlen:
    Bis du wieder die Möglichkeit hast dein System mit Hilfe eines System-Images oder der Windows-Installations-CD komplett neu aufzusetzen, solltest du es bestmöglich nicht mehr (Online) benutzen.

    Damit du bis dahin trotzdem weiterhin über das Internet Kontakt mit Familie und Freunden halten kannst, empfehle ich dir den Einsatz einer Linux-Live-CD wie z.B. Knoppix.
    Das ist ein Linux-Betriebssystem mit einer Windows-ähnlichen grafischen Oberfläche, die komplett von CD/DVD startet.
    D.h. deine Festplatte wird nicht angetastet. Dennoch hast du die Möglichkeit auf die darauf gespeicherten Dateien zuzugreifen. Vorhandene Malware auf deiner Festplatte ist in diesem Fall wirkungslos.
    Du hast Browser, E-Mail und Office-Programme zur Verfügung und kannst das Internet voll nutzen, ohne etwas installieren zu müssen.

    Vielleicht findest du ja sogar Geschmack daran und willst Windows später gar nicht mehr, sondern stattdessen Linux richtig auf der Festplatte installieren. In dem Fall empfehle ich dir dann Ubuntu, Kubuntu oder Xubuntu, die es auch als Live/Installations-CD's gibt. :)

  • Passwortspeicherung auf https-Seiten

    Zitat von eagle64

    habe jetzt festgestellt, dass der FF (2.0.0.5) keine Passwortspeicherung auf https-Seiten durchführt.
    [...]
    Hat das auch schon jemand anderes beobachtet und gibt es evtl. Abhilfe dafür?


    Kann ich nicht bestätigen - Gerade erfolgreich getestet mit

    Code
    Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.8.1.5) Gecko/20070713 Firefox/2.0.0.5


    Probier's vielleicht mal mit einem neuen Firefox Profil.


    Zitat von Oliver222

    Es gibt meiner Ansicht nach jedoch sehr gute und separate Progs., die einerseits die PW´s sicher speichern und darüberhinaus auch die Übertragung solcher Zugangswörter in vertrauenswürdige Web-Formulare weitgehend sichern können.

    http://openid.net/
    http://www.roboform.com/
    https://blueimp.net/mozilla/Secure%20Login/


    Vielen Dank für die Erwähnung von Secure Login. :)


    Zum Thema Passwort-Manager bin ich boardraider's Meinung:

    Zitat

    Das mit dem Merken ist eine prima Sache, hat allerdings einen Haken:
    Je kryptischer und länger ein Passwort ist, desto sicherer ist es. Daher sind auch ganze "Schlüssel-Dateien" (Stichwort "Private & Public Key") sicherer als einfache Passwörter.
    Keiner kann sich allerdings den Inhalt solch einer "Schlüssel-Datei" merken und auch möglichst lange und kryptische Passwörter kann sich kaum einer merken.
    Verwendet man aber kurze und einfache Passwörter, die leichter zu merken sind, oder verwendet für viele Zugänge die gleichen Kombinationen aus Benutzernamen und Passwort, macht man wieder Abstriche bei der Sicherheit.

    Passwort-Manager stellen hier meiner Meinung nach einen guten Kompromiss dar. Nutzt man einen Passwort-Manager, muss man sich nur das Master-Passwort merken (das natürlich auch lang und kryptisch sein sollte) und kann für die eigentlichen Zugangs-Daten unterschiedliche, lange und kryptische Passwörter verwenden.


    https://blueimp.net/forum/viewtopic.php?p=8117#p8117

  • Sicherheitsloch Passwort-Manager

    Zitat von Oliver222

    Wollte hier bloss ´ne indirekte Werbung für Dich schalten. ;)


    Das ist nett. :)

    Zitat von Oliver222

    RF ist eigentlich nicht auf JS angewiesen.


    Die "JavaScript-Schutz Option" dient zum Schutz von durch Cross-site-scripting-Lücken eingeschleustem JavaScript-Code - davon ist auch Roboform betroffen, sobald die Login-Informationen in ein manipuliertes Formular eingetragen werden.

    Ich zitiere mal aus der Hilfe von Secure Login:

    Zitat

    JavaScript-Schutz beim Einloggen aktivieren
    Falls diese Option aktiviert ist, werden die Login-Daten nicht in die Formular-Felder eingetragen und das Formular nicht abgeschickt. Die Login-Daten werden stattdessen mit internen Firefox-Methoden an die Login-Seite gesendet.

    Um auch die Manipulation des "action"-Attributs zu erkennen (denn dieser Wert wird ja in jedem Fall benötigt) gibt es auch noch die folgende, standard-mässig aktivierte Option:

    Zitat

    Nachfragen, falls beim Login die Domain gewechselt wird
    Falls diese Option aktiviert ist, wird die Second-Level-Domain (z.B. example.org) der Login-Website mit der Second-Level-Domain der aktuellen Seite verglichen. Falls die Domains nicht übereinstimmen, wird ein Bestätigungs-Dialog präsentiert.

    Zitat von Oliver222

    Secure-Login arbeitet gemäss meiner Erfahrungen innerhalb einer XML-Http-Request / (Ajax) Umgebung und setzt somit auf der Web-Browser-Ebene (OSI-5 Schicht) auf.


    Ich hoffe du fühlst dich jetzt nicht angegriffen, aber ich glaube du musst dir das OSI-Modell noch einmal anschauen - wahrscheinlich ist das Thema bei dir schon länger her als bei mir. ;)
    Das HTTP-Protokoll ist schon Teil der 7ten Schicht, der etwas missverständlich bezeichneten "Anwendungsschicht". Tatsächliche Applikationen wie der Browser und enthaltene Erweiterungen liegen darüber und sind schon gar nicht mehr Teil des OSI-Modells.

    Zitat von Oliver222

    Secure-Login müsste daher, bezüglich der Gefahren die das Internet in Bezug auf Übertragungen der Passwörter bieten kann, eben durch solche unsicheren Übertragungswege auch verwundbar sein. Das Thema wurde hier, soweit ich mich erinnern kann, bereits in der Vergangenheit leidenschaftlich unter Euch ausdiskutiert.

    Roboform dagegen operiert als separate Anwendung noch eine Stufe tiefer, und ist somit Web-Browser-Unabhängig - ohne mögliche JS- oder Cross-Sites-Manipulationen, bzw. u.U. verfälschbarer URL-Prüfungen.

    Sowohl Secure-Login als auch Roboform sind zwei hervorragende PW-Manager - sie entspringen jedoch, meiner Ansicht nach, bezüglich ihrer unterschiedlichen Ideologien und Arbeitsweisen auch zweier verschiedener Welten.


    Da muss ich dir jetzt widersprechen - Secure Login und Roboform teilen in diesem Fall die möglichen Angriffspunkte.
    Cross-site-scripting und URL-Manipulation ist z.B. für beide Applikationen ein Thema - das kannst du z.B. mit dem folgenden Formular testen:
    http://reeel.de/login.xhtml
    Natürlich hilft es auch, JavaScript zu deaktivieren, aber gerade bei vertrauenswürdigen Seiten, die Login-Seiten ja meist sind, ist JavaScript aktiviert (und leider auch manchmal nötig).

    Der Übertragungsweg ist für beide Passwort-Manager letztendlich der gleiche - über den Browser. Im Prinzip entzieht sich die Sicherheit der Passwörter den Managern, sobald sie aus dem verschlüsselten "Safe" herausgenommen und in das Formular eingetragen wurden.
    Die weitere Sicherheit der Daten muss vom Browser sichergestellt werden, bzw. natürlich auch vom Server (Schutz vor XSS, SSL/TLS-Verschlüsselung, etc.).
    Hier kommt dann auch der Vorteil von Secure Login und der "JavaScript-Schutz-Option" zum tragen - die Formular-Daten werden ja in diesem Fall gar nicht in das Formular eingetragen und sind somit sicherer vor Cross-site-scripting.
    Übrigens könnte Roboform diesen zusätzlichen Schutz auch implementieren - obwohl, kopieren sollten sie ihn nicht, denn dann müssen sie ihre Software unter die GPL stellen. :P

    Meiner Meinung nach hat ein externen Passwort-Manager keinen Vorteil vor einem in den Browser integrierten Passwort-Manager. Die Passwörter müssen so oder so über HTTP (oder HTTPS oder FTP) übertragen werden - und hier ist dann auch der größte Angriffspunkt, den alle teilen.

    Übrigens verwende ich auch eine Art "externen Passwort-Manager" (genaugenommen verschlüsselte Verzeichnisse innerhalb einer verschlüsselten Partition). Dort bewahre ich einige vertrauliche Informationen auf, neben Zugangs-Daten auch andere Informationen, die nichts mit Web-Passwörtern zu tun haben.


    Zitat von Oliver222

    Meinst Du nicht auch, dass man mit Deinen Kenntnissen qualitative Progs. nicht vorteilhafter auf System-Ebene und dennoch FF-eingebunden entwickeln könnte?


    Wie gesagt, ich sehen keinen wirklichen Vorteil für einen separaten Passwort-Manager was Web-Passwörter betrifft.
    Falls ich meine Meinung ändern sollte, dann würde ich das sicher mit Java6 (Java ist Plattform-Unabhängig), als Java Webstart Applikation (gutes Deployment und Update-Management) und mit Swing-Oberfläche (Swing integriert sich seit Java6 gut in das Look&Feel des OS) entwickeln. :D

    Aber eigentlich bin ich ja Webentwickler und kein Anwendungs-Entwickler. ;)

  • Sicherheitsloch Passwort-Manager

    Frage mich jetzt, was genau du damit unterschreiben möchtest. ;)
    Ich sprach mich ja für Secure Login und gegen Roboform aus. Die "JavaScript-Schutz Option" hat ja nur SL, nicht Roboform.

    Roboform gibt es zwar als Erweiterung für Firefox, funktioniert jedoch trotzdem nicht ohne das zugehörige Windows-Programm.

    Und ich denke auch, das die Network Security Services des Mozilla Security Projects durchaus professionellen Ansprüchen genügen.

    Und den "Vertrauensvorschuss bezüglich seines Zweckbindungsgrundsatzes" kann man meiner Meinung nach eher Open Source Software zuordnen - bei einer Closed Source Software weißt du schließlich nie, ob es nicht noch ein geheimes Master-Passwort oder eine andere Hintertür gibt.

  • Sicherheitsloch Passwort-Manager

    Zitat von Global Associate

    .....das fast so gut, hättest Du Dir sparen können


    Das war natürlich vergleichende Werbung. ;)
    Tatsächlich ist Secure Login Roboform in diesem Fall sicherheitstechnisch noch einen Schritt vorraus, da die Login-Daten überhaupt nicht in die Formular-Felder eintragen werden müssen, sondern sie direkt an die Login-Seite übertragen werden können (das ist die Option "JavaScript-Schutz beim Einloggen aktivieren").

    Aber es gibt auch einen Vorteil den Roboform gegenüber SL hat:
    Mit Hilfe der Passcards kann man anscheinend mit einem Klick die Login-Seite aufrufen und den Login-Vorgang starten.
    Das kann SL noch nicht. So bald Firefox Password Manager sich jedoch die komplette Login-URL merkt kann ich das auch für Secure Login implementieren. :)