Beiträge von unix_samurai

  • Keine Downloadquelle für Profile Switcher ?

    Hallo,
    in der Wiki wird auf das Addon Profile Switcher oder ProfileSwitcher hingewiesen. Allerdings befindest sich das Addon scheinbar nicht auf der Firefox Site. Habe ich irgendetwas übersehen oder muss ich mir das Addon wohl doch von wo anders runterladen und mir aus unsicheren Quellen vielleicht einen Virus zu legen?

    MfG.

  • Sicherste Passwortlösung?

    >Was verstehst du dabei unter "Zugriff auf das File"?

    FF hat eventuell Funktionen, die ihm erlauben auf die PW Datei zu zu greifen. Wenn ein Exploit die Nutzung dieser Funktionen erlaubt, dann hat man ein hohes Sicherheitsrisiko. Natürlich hätte eine Erweiterung auch Zugriff auf die Datei, aber der Unterschied ist ja, dass FF weit aus mehr Funktionen beinhaltet, wodurch sich mehr Angriffsmöglichkeiten bieten. Ein Plugin, das aus ein paar Zeilen Code besteht, hat vergleichsweise wenig Angriffsfläche.

    Ein Grundsatz im Sicherheitswesen für mich ist, dass man immer möglichst wenig Angriffsfläche bieten sollte.

    Was allerdings schwer zu kalkulieren ist, denn jede Erweiterung bietet auf eine gewisse Weise noch mehr Angriffsfläche, auch wenn es intern vielleicht anders aussieht, was man aber unmöglich 100% nachprüfen kann. Letztendlich kommt es eh darauf an, wer einen Exploit wo findet, was niemand vorhersehen kann. Doch man hat die Möglichkeit sich zu fragen, mit welcher Methode man am wenigsten Chancen dazu bietet.

    Jetzt wo ich darüber nachdenke, wird es mir noch deutlicher, dass Plugins ein großes Risiko sind. Ich halte zwar immernoch die externe Methode für nativ sicherer, aber man muss auch bedenken, dass diese Plugins von Privatpersonen entwickelt werden und FF von Profis, die auch regelmässige Patches rausbringen.

    Ein weiterer Vorteil eines Plugins ist es auch, dass sie kaum verbreitet sind, und ein Angriff sich kaum lohnenwürde. Immerhin reden wir über FF, der verglichen zum IE bereits sehr unverbreitet ist. Aber Glücksspiel hat natürlich auch nichts mit Sicherheit zu tun.

  • Sicherste Passwortlösung?

    >Kann man eigentlich einstellen dass das Masterpasswort vom Fx nur abgefragt wird
    >wenn man sich wo aktiv einloggen will, und nicht schon wenn nur Accountdaten für eine
    >Seite verfügbar sind die man ansurft?

    Schau mal den Link an, den ich zu letzt gepostet habe. Dort gibt es ein Plug in, das nennt sich Master Wort Time out oder so ähnlich und führt dazu, dass man man nach einer vordefinierten Anzahlvon Sekunden seni MPW wieder neu eingeben muss.
    Außerdem gibt es da noch irgendwo ein Plugin auf der Site, bei dem man sich immer nur aktiv einloggen kann, nicht automatisch. D.h. man muss vor jedem Login eine manuelle Bestätigung tätigen.
    Ich hoffe, das hilft. Andernfalls findest Du vielleicht auf der Site noch andere Plugins, die ich übersehen habe oder Du durchsuchst einfach mal die Datenbank von Mozilla. Dort kann man einstellen, dass man sich nur alle Security relevanten Plugins anzeigen lassen soll.

    Warum ich ein externes Plugin zum verwalten des Passworts nutzen würde liegt daran, weil die interne Funktion erstens am häufigsten verbreitet ist, dadurch vermute ich, dass sich auch die meisten Attacken dagegen wenden, zweitens kann ein Angreifer sich bei einem externen Programm den Pfad schlechter erschließen, indem das Pw gespeichert ist und drittens hat FF ja Zugriffsrechte auf das PW File, d.h. wenn man den Browser komrpomitiert hat, dann hat man vielleicht Zugriff auf das File. Während FF auf ein externes Element sicherlich nicht zugreifen könnte, weil die sich selber steuern, schätze ich.
    Sind aber auch nur Vermutungen, die aber trotzdem plausibel erscheinen. Ich werde darüber aber noch weiter recherhieren und kann die Ergebnisse gerne hier posten.

  • FF 2x starten?

    Guten Tag.

    Ich würde gerne wissen, ob man FF zwei mal starten kann mit verschiedenen Profilen und Einstellungen? Es geht mir vorallem darum, mit verschiedenen Proxyeinstellungen zu surfen.

    Ich verwende übrigens Ubuntu Linux.

    Danke.

  • Browserdaten kaschieren

    Danke für die vielen hilfreichen Informationen.

    Zum Thema Identifizierung über UA + weitere Daten wie Zugriffszeit. Zwar kann man einen rechtlich nicht direkt finanzieren, aber gesetzt den Fall ein Angreifer, der einen direkten Bezug zu seinem Opfer hat, zum Beispiel weil sie im selben Chatroom sitzen, postet einen Link zu seiner eigenen Website, die den UA ausließt, der dann eindeutig dem Opfer zugeordnet werden kann, sofern er der einzige noch im Chatroom ist. Aber wenn man es geschick macht, dann kann man es auch konkret rausfinden. Die Masse wird man natürlich nicht mit diesem Aufwand attackieren können, aber wenn man es auf einzelne Personen abgesehen hat und eben die genaue Zugriffszeit hat, dann hat man bereits einen Erfolg. Oder sehe ich das falsch?

    Es wurde gesagt, dass man über Java oder JavaScript (?) auch die IP rausbekommen kann, ebenso über Flash und dass man daher drauf achten sollte, dass die UAs nicht widersprüchlich sind, was eine fast eindeutige Identifizierung bewirken würde. Aber wenn man Java, JS und Flash ausstellt, dann müsste man das verhindern oder?

    Bislang dachte ich, dass man seinen UA eindeutig kaschieren könnte. Aber es wurde ja gesagt, dass man sich nie hunderprozentig sicher sein kann, dass es sich um einen Fake handelt. Kann dazu jemand noch etwas sagen?

  • Sicherste Passwortlösung?

    Bislang habe ich auch einen kryptischen Bereich genutzt, mit den Passwörtern. Allerdings ohne ein Master Pw, sondern habe es immer umständlich reinkopiert. Denn erstens weiß ein Angreifer bei dem Master Pw genau wo es liegt und zweitens weiß ich noch nichts über die Verschlüsselungsmethode. Gilt denn die Master Pw Methode als unsicher oder ist es im Prinzip egal ob nun im FF verschlüsselt oder wo anders? Zugegeben ist es wohl imemrnoch am allersichersten die Pws auf einem externen Datenträger zu speichern und nur einzubinden, wenn man die Pws braucht. Aber irgendwo sollte man auch an Komfort denken.

  • Browserdaten kaschieren

    >Und wie? Es gibt mehr als einen Linux-User auf der Welt. Wink Woher soll den bspw.
    >eine Seite xy wissen das $DU (Name einsetzen) der Besucher bist. Sie würde maximal
    >einen anonymen Fingerprint wiedererkennen. Du bist deswegen noch nicht als Person
    >identifiziert.

    Aber es gibt bei weitem mehr Win User. Und sollte eine Person es speziell auf mich abgesehen habe, könnte sie auch meine Zugriffszeit meinem OS zu ordnen.

    >Wenn du es in Bezug zu Angriffskits wie bspw. MPack setzt, dann möglicherweise.
    >Aber du kannst dich nicht darauf verlassen, dass automatisierte Angriffe überhaupt
    >Rücksicht darauf nehmen welchen Browser und welches OS du verwendest. Ggf. fahren
    >sie gnadenlos alle Angriffsoptionen und wenn dein System verwundbar ist, war es das
    >trotz des gefakten UAs. Diese eingebildete Sicherheit ist daher so zweifelhaft wie
    >nutzlos. Wichtiger ist das oben genannte.
    >Abgesehen von automatisierten Angriffen stellt sich ansonsten die Frage wer dich denn
    >persönlich angreifen würde. Der Aufwand dafür wäre sehr groß wenn du nicht sämtliche
    >Sicherheitsvorkehrungen ignorierst. Das Verhältnis zwischen Aufwand und Nutzen wäre >damit auch sehr ungünstig, solange du kein gesondert lohnenswertes Ziel bist.

    Der Nachteil bei diesem "Chaosscanning" ist, dass man viel Aufsehen erregt. Da ist es besser gezielt auf das identifizierte OS los zu gehen, bevor die Firewall etwas merkt und man im schlimmsten Fall noch zurückverfolgt wird.

    Zu diesem Gesetzesentwurf. Das war eine Lifeübertragung im TV. Wurde glaube ich von der SPD gestellt und den Grünen kritisiert. Begründung war, dass man so dem Terror besser entgegen wirken kann.

    Exil = meine utopische Vorstellung vom Internet der Zukunft, indem es kein globales nternet mehr gibt, sondern nur noch Regionales, das nur noch kompatibel sein wird mit jeweliger Software. Momentan ist die Technik noch nicht so weit, dass man es realisieren kann. Doch das Internet ist auch nur ein Territorium, welches man besetzen kann. Man kann es momentan mit der Entdeckungszeit Amerikas vergleichen. China zensiert ja das Internet jetzt schon, das man es mit einem regionalen Netzwerk vergleichen könnte. Sobald der Mensch nur noch einen Knopfdruck von dieser Zensur entfernt ist, wird er es auch machen.

  • IP Range von youtube rausfinden.

    Guten Tag. Ich benötige die IP Range von YT, damit ich diese von meinem Proxy exkludieren kann. Ich will aber auch noch andere Streamingsites so behandeln und brache daher eine allgemeine Methode. Ich habe es schon über whois versucht, aber da wurde mir keine Range angezeigt.

    Vielen Dank.

  • Browserdaten kaschieren

    Danke für deine Mühen boardraider.

    >Von wem? Mit welchen Mitteln? Die Daten die dort stehen sind zunächst völlig anonym.
    >Lediglich die IP könnte man deinem Netzanschluss bzw. deinem Router zuordnen. Was
    >soll also dadurch ausgespäht werden?
    >Wenn es dir um Profiling geht, so reichen lokale Filtereinstellungen für Cookies und
    >Content im allgemeinen aus. Wie ich schon schrieb erhöhen Manipulationen an diesen
    >Fingerprints nur den Wiedererkennungswert.

    Auch im Internet hat man seine Feinde. Da ich als Linuxanwender zu den Exoten unter den Usern gehöre, könnte man anhand meines OS ziemlich leicht rausfinden, dass es sich um mich handelt, wenn man es mit weiteren Daten vergleicht. Abgesehen davon ist Fingerprinting die Basis für viele Formen der Kompromittierung eines Computers. Daher will ich mich von Linux auf XP umstellen.

    Die Gesetze im Internet werden immer schärfer und auch wenn vieles heute übertrieben paranoid erscheinen mag, so wird es doch eines Tages Alltag im Internet der Zukunft sein. Gerade ebend wurde im Bundestag ein Gesetzesentwurf diskutiert, bei dem das blosse Besuchen von politisch kritischen Sites als strafbar gelten soll. Aber auch jetzt schon ist es so, dass manche Recherchen, dienen sie auch nur der Allgemeinbildung, Grund für eine Hausdurchsuchung sind. Deutschland selber scheint sich vom Rechtsstaat entfernen zu wollen und das Internet wird eh immer weiter zensiert. Vielleicht wird ja irgend wann sogar Firefox verboten, weil es sich um Software aus dem Exil handelt.

    Danke für den Link zu dem Addon. Allerdings scheint die Entwicklung tot zu sein und die Version 0.0.2 sieht auch nicht gerade viel versprechend aus. Falls Du noch über eine bessere Software stösst, könntest Du sie mir ja preis geben. Danke schonmal im Vorraus.

  • Browserdaten kaschieren

    Paranoia heißt nicht, dass man nicht verfolgt wird.

    Hätte es auswirkungen in der Einstelung, wenn ich meinen User Agent auf ein anderes OS stelle? Wie in dem gelinkten Thread ja beschrieben wäre die Einstellung auf IE ja problematisch bzgl. der Darstellung.

    Gibt es vielleicht eine Methode den User Agent global auf X zu stellen und für Ausnahmen Y?

  • Browserdaten kaschieren

    Guten Tag.

    Auf http://www.ip.cc/ findet man eine fähige Site, um sich Daten anzeigen zu lassen, die man während des Internettraffics zwangsläufig übermittelt, wie Fingerprints oder User Agent. Meine Fragen sind nun Folgende.

    1. Welche davon übermittelt FF?
    2. Wie kann man sie kaschieren?

    Die Addons User Agent Switcher und RefControll habe ich bereits installiert.

    Vielen Dank.

  • Bester Cookiemanager?

    Zu CSRF kann ich mich leider nicht weiter äußern, weil ich über die Attacke keine genauen Daten weiß. Ich hatte nur vermutet, dass man durch den globalen Verbot von Cookies und Ausnahmeregen auf vertrauenswürdigen Sites mehr sicherheit erzielen kann. Doch nun wo Du session riding erwähnst, habe ich eine vermutung, worum es sich handelt, wodurch Privoxy scheinbar doch keinen Schutz bietet.

    >Klarer ja. Aber wie genau gehst du dabei vor? Hast du mal ein konkretes
    >Konfigurationsbeispiel?

    Ja. Wenn man Privoxy mit Tor kombiniert, dann linkt man normalerweise Tor direkt hinter Privoxy. Dadurch entsteht ein massiver Geschwindigkeitsverlust, der das Surfen auf Streamingsites unmöglich macht. Wenn man nun definiert, dass die IP Ranges dieser Sites exkludiert werden vom Proxy, dann sind natürlich auch die Filter davon betroffen.
    Darum benutze ich für Cookies auch CS Lite, weil das nun mal aktiv bleiben kann.

  • Bester Cookiemanager?

    >Was bitte meinst du mit Privoxy? Ich kenne nur den Proxy und der ist weit mehr als ein
    >Cookiemanager.

    Es gibt nur ein Programm namens Privoxy und ja, es ist weit aus mehr. Aber dennoch als Cookiemanager nutzbar. Ich erkenne hier keinen Fehler in meiner Aussage.

    >Was bitte für einen Angriff willst du über Cookies starten? Abgesehen von Privacy-
    >Gedanken hat noch kein Cookie irgendeinen Rechner kompromittiert.

    cross site request forgery.

    >CS Lite hat den scheinbaren Nachteil, dass wenn man es für bestimmte URLs
    >deaktiviert,aus welchen Gründen auch immer, auch jegliche Filter die es mit sich bringt
    >deaktiviert.Was ist eure Meinung?

    Ich habe versehentlich CS Lite geschrieben, meine aber Privoxy. Habe es im ersten Post edtiert. Ich denke, der Sinn sollte nun klar sein.

  • Bester Cookiemanager?

    Guten Tag.

    Es gibt mit CS Lite, Cookie Culler und Privoxy 3 nennenswerte Cookiemanager. Doch welches ist das beste?

    Bisher kann ich sagen, dass Cookie Culler und Privoxy zwei Schwachstellen haben. CC behandelt Cookies erst, nachdem sie bereits auf dem PC befindlich sind was bedeutet, dass sämtliche Attacken bereits auf einen User ausgeführt werden können. Privoxy hat den scheinbaren Nachteil, dass wenn man es für bestimmte URLs deaktiviert, aus welchen Gründen auch immer, auch jegliche Filter die es mit sich bringt deaktiviert. Was ist eure Meinung?

    Vielen Dank.