Beiträge von st1519

  • Adobe "in Firefox" 300 mal langsamer als "Reader verwenden"?

    Zitat von Boersenfeger

    Deine Beobachtung kann ich also teilen,
    halte dies aber für völlig normal.

    ja, gut möglich, dass das normal ist, aber trotzdem falsch :)

    Zitat von Boersenfeger


    Mache ich das Selbe mit einem kleineren Pdf-Dokument, verlaufen beide Vorgänge wesentlich schneller. Da Adobe tief ins System eingreift und als langsam bekannt ist, obwohl sich in der jüngeren Vergangenheit daran viel geändert haben soll, musst du dieses Verhalten akzeptieren, oder einen anderen Reader installieren und nutzen.

    Ja, ein notepad geht auch schneller auf als ein word oder ein vim. Es kann ja auch nix :)
    Wie gesagt, Adobe Acrobat PDF Reader ist schnell, wenn man "Reader verwenden" auswählt, wo ja auch der Acrobat Reader verwendet wird.
    Mag sein, dass es Reader gibt, die keine 100ms sondern nur 50ms zum Öffnen brauchen, aber das spielt bei einer Minute unerklärlicher Downloaddauer ja kaum eine Rolle.

    Zitat von Boersenfeger


    Vielleicht äußert sich ja noch jemand anderes, der ein drittes PDF-Reader-Programm nutzt, zu den festgestellten Zeiten.

    Ich hab das mal gemacht. FoxIt hatte ich schon installiert, aber ich kriege Firefox nicht dazu, PDFs damit zu öffnen. Ändern der Option in Extras - Anwendungen "FoxIt PDF Dokument" auf "FoxIt Reader..." hat keine sichtbare Auswirkung.

    Daher hab ich pdfxchange viewer installiert. Der geht nun auch im
    Firefox internen Fenster auf UND TATATA:
    IST SCHNELL
    im Gegensatz zum acroreader, der ja nur in eigenem Fenster schnell ist.

    mmm... aber was sagt das jetzt eigentlich aus... Glück hat, wer PDF xchange reader nutzt, was? :)
    Oder der Downloadbalken wird einfach nicht angezeigt, weil das Plug-In überhaupt nicht genutzt wird?

    mmm...
    Vielleicht ist das sogar ein Feature (nur downloaden, was man gerade zum Anzeigen braucht, Rest gedrosselt um Bandbreite zu sparen oder so)?

    Nun hab ich versucht, wieder auf acroreader umzustellen, aber in Extras - Anwendungen steht schon (noch) alles auf Adobe Acrobat verwenden, aber Firefox tut das nicht - sondern nimmt weiter pdf xchange!!
    wahhhhhhhhhhhhhhhh


    Ey, ich hab noch nichtmal angefangen zu testen und finde überall nur Bugs, was ist denn da los?!
    In Netscape 3 hat das PDF Öffnen mal funktioniert
    lol

    Das macht doch alles keinen Spaß mehr, kann man nicht Web 2.0 und höher verbieten und nur noch Sachen erlauben, die richtig funktionieren?! Diese Featuritis bringt doch nur Ärger... 10 Jahre alte Webseiten kann ich mit 10 Jahre alten Browsern oder mit aktuellen betrachten, 1 Jahr alte Webseiten gehen nur mit aktuellster Browser-Version mit allen Update von letztem Freitag, was soll den das alles grpmf.

    Steffen

  • Adobe "in Firefox" 300 mal langsamer als "Reader verwenden"?

    Zitat von Global Associate

    st1519

    Gib mal bitte eimen Link zu der Seite, wo es "langsam geht".

    Ich hab im Internet nach PDFs gesucht. Die meisten dauern "gefühlt" nur ein bißchen länger als beim Download,
    aber beispielsweise folgendes Dokument http://www.bfarm.de/nn_1194040/Sha…ericht-bd01.pdf hat bei mir im Download dreimal in Folge 3 Sekunden, aber in der PDF Anzeige 14, 14 und 15 Sekunden gedauert. Das ist zwar "nur" 5 Mal langsamer, aber zeigt immerhin schon mal ein ähnliches Verhalten.

    Kann das jemand reproduzieren?

  • Adobe "in Firefox" 300 mal langsamer als "Reader verwenden"?

    Zitat von Fox2Fox


    Java Quick Starter 1.0
    Kannst du deaktivieren

    Hab es deaktiviert (via Systemsteuerung und Add-On Menü)
    (keine Änderung im PDF Verhalten)

    Zitat von Fox2Fox


    Mozex 1.9.9 - Deine installierte Erweiterung


    Ja, das stimmt, für mich das wichtigste Plug-In überhaupt.

    Zitat von Fox2Fox


    Tab Mix Plus 0.3.8.2 - Update auf Tab Mix Plus Dev-Build 0.3.8.3pre.100515a

    Habe es aktualisiert und Firefox neugestartet. Keine Änderung im
    PDF Verhalten.

    Kann mich jetzt nicht erinnern, irgendwas von DRM installiert zu
    haben! Aber vielleicht ein anderes Program, was das
    "heimlich" mitinstalliert? Hier werden u.U. Sachen automatisch
    zentral installiert, vielleicht war das irgendwo dabei?
    Firefox würde das vermutlich nicht merken, ist ja kein
    Antivirusprogram (oder hat Firefox eine Art
    Integrititätsprüfung)?
    ok, ok: Man-in-the-Browser ist eh ein anderes Thema :)

    Zitat von Fox2Fox


    Gebe in die Firefox-Adresszeile
    [color=#0000FF]about:plugins

    Zitat von Fox2Fox

    ein, enter. Kopiere den
    kompletten Inhalt in deinen nächsten Beitrag.

    die HTML-formatierungen gingen verloren, hoffe, das ist jetzt
    nicht zu unübersichtlich (gibt kein about:plugins.txt?)

    Zitat von Fox2Fox


    Mach mal einen PlugIn Check [Blockierte Grafik: http://i39.tinypic.com/s1kgb4.png]


    Das ist ja komisch, als ich das vorhin zum ersten Mal aufrief,
    hatte ich zwei "Adobe Acrobat" Einträge, einer mit einem grauen
    Button und einem Text, dass das Plugin nicht erkannt wurde (weiß
    die Meldung nicht mehr genau). Nun ist das zweite Adobe Acrobat
    aber verschwunden. Auch aus dem Extras-AddOn Menü Dialog.

    (trotz verschwundenem zweiten Adobe Plug-In keine Änderung im PDF Verhalten).

  • Adobe "in Firefox" 300 mal langsamer als "Reader verwenden"?

    Installierte Erweiterungen kann ich schlecht sagen, weil es ja wohl "alle Firefoxinstallationen" betrifft (sehr heterogen :)).
    Link nützt leider auch nicht, weil die IPs alle mit 10. anfangen (sprich, intern sind)...
    Ich habe folgende Add-ons (also Add-ons, Karte Erweiterungen, richtig?):

    • Java Quick Starter 1.0
    • Mozex 1.9.9
    • Tab Mix Plus 0.3.8.2


    Dann noch:

    • Themes: Default 3.0.19
    • Plug-In Adobe Acrobat
    • Plug-In Adobe Acrobat (ja, wirlich zwei)
    • java (paar)
    • MicroSoft DRM wwaaaaaaaahhhhhhhhhhhhhhhhhhhhhhhhhssssss ist denn das????????????????????????? WHHAAAAHH (deaktiviert)
    • Mozilla Default Plug-In (WT?)
    • real player (paar)
    • windows media player Plug-In (häh?! deaktviert)
    • wihndows Presentation Foundation (häh?)

    boah ist ja krass, was da alles installiert ist! Ich war das gar nicht! Kann mich jedenfalls nicht erinneren...
    Hab ich SpyWare? Wo kommt das her?
    aua aua und ich dachte, Firefox wäre so privatesphäreschützend etc?
    ich bin einfach zu naiv. schade, dass man heut kein w3m mehr nehmen kann.

    sorry für meinen Ausbruch.

    d.h. also, bei euch geht das? Ein PDF, was in 1 Sekunde mit "Speichern Unter" downgeloaded wurde, ist auch in der
    im Browser integrieten PDF Ansicht in ca. einer Sekunde fertig / komplett?

    Das Plug-In, was das PDF downlädt, ist das eigentlich von Adobe oder vom Firefox Team?

    Aber wenns sonst bei allen geht, ist ja komisch, die meisten haben hier bestimmt nur defaults und nix installiert.

    ps.: was mach ich mit der [list] falsch?

  • Adobe "in Firefox" 300 mal langsamer als "Reader verwenden"?

    Hi,

    wir haben hier auf mehreren PCs (WinXP) ein merkwürdiges Phänomen beim Öffnen von PDF Dateien über HTTP.
    Der Server ist schnell, getestet mit wget unter cygwin (11.35M/s, 2MB in 230 ms).

    Im Firefox öffnet sich normalerweise das PDF in einem Tab. Unten rechts erscheint ein Fortschritsbalken. Es dauert 1:03 Minuten bis er fertig ist (und verschwindet), das ist hunderte Male langsamer! Caching scheint auch nicht zu funktionieren (d.h. es geht jedes Mal von vorn los und dauert so lange). Das ist Standardeinstellung und hier überall so. Fiel aber keinem auf, bis sich mal ein IE User wunderte, warum Firefox so lahm sei.

    Stelle ich über Extras - Einstellungen - Anwendungen den Dateityp "Adobe Acrobat" auf "Adobe Reader 9.3 (Standard)", so dass sich ein normales Windows-Fenster Acrobat Reader öffnet, ist das Dokument "augenblicklich" fertig geladen. Öffent man "Downloads" (dieses CTRL-J Fenster), sieht man den Download-Fortschritts-Balken durchrasen (dauert keine Sekunde), leider gehen dann die Downloadzeit Informationen verloren (bzw. ich weiß nicht, wie man sie anzeigen kann, nachdem der Download beendet ist und nehme an, dass das wiedermal nicht geht).

    Was ist da los?

    Interessant ist, dass das Dokument auch beim "internen Öffnen" sofort "gut aussieht". Ich hab jetzt nicht getestet, ob alle Grafiken da sind, aber wenn ich auf die letzte Seite springe oder durchscrolle, scheint alles da zu sein.
    Noch interessanter, wenn ich dann zurück gehe und das Dokument nochmal öffne, scheint sich das Plugin die Position gemerkt zu haben und springt gleich zur letzten Seite - dabei sieht man den Ladefortschritsbalken auch nur ruckartig durchrasen.

    Ist das Fortschrittsbalken kaputt oder einfach nur ein Fake, der nach ca 60 Sekunden auf 100% geht?

    Hat einer eine Idee, was da los ist?

    Steffen

  • Warum installiert Firefox so viele CA Zertifikate?

    Zitat von Oliver222

    st1519 erklärte Folgendes:


    Somit würde sich – gemäss meiner Informationen – zwar ein ausreichendes Berechnungsintervall zur Schlüsselerzeugung selber ergeben, dessen Potential leider jedoch durch sicherheitskritische Anbieter (z.B. Online-Banken, E-Zahlungsdienstleister, etc.) weitgehendst ungenutzt verbleibt.

    Könntest Du bitte Quellen nennen, die belegen, dass das Potential weitgehendst ungenutzt bleibt?
    Was genau meinst Du, dass der Schlüsselraum nicht genutzt wird?

    Zitat von Oliver222


    st1519 erklärte darüberhinaus:


    Dieser Verschlüsselungs-Standard [...] entsprach damals schon nicht mehr den gestellten Vorgaben an elektronisch-sicherheitsrelevante Infrastrukturen. (Trapdoors / Hintertüren)? ;)


    Hast Du da einen Link / Quellenangabe?
    Es fällt schwer zu glauben, dass das gesammte deutsche elektronische Zahlungsnetz Hintertüren aufweisen sollte.


    Zitat von Oliver222


    st1519 fragte Folgendes:


    Diese Zertifizierungsstelle (Root CA) muss deshalb nicht unbedingt zwangsläufig in Germany oder Europa ansässig sein. Es gibt keine „Grenzen“ für CA´s.


    Für mich schon. Ich traue einer "gewöhnlichen deutschen CA" ein bißchen, weil sie etwas zu verlieren haben und daher ein gewisses Interesse daran besteht, ordentlich zu arbeiten. Ich kann auf Schadenersatz klagen.
    Eine CA in China oder einem afrikanischem Zwergstaat kann ich nicht unbedingt sinnvoll verklagen, daher habe hier hier gar kein Vertrauen. CAs, die "nichts zu verlieren haben" (z.B. Hobbyprojekte wie cacert.org) kann ich persönlich nicht vertrauen und CAs, die E-Mail "Authentifizierung" anbieten auch nicht, weil ich das einfach dumm finde.

    Das ist ja meine Entscheidung.

    Zitat von Oliver222


    Somit würde auch die SigG-Konformität - in Bezug auf CA´s in Germany / Europe – als „Vertrauensanker“ ausgehebelt werden können.


    Falls Du damit auf das Signaturgesetz anspielst, muß ich wiedersprechen. Da sollte der „Vertrauensanker“ nicht ausgehebelt werden können, da in jedem Fall Gutachten erforerlich sind. Dabei bleibt natürlich die Frage, was das einem nützt.
    Ich persönlich halte das Signaturgesetz für einen großen Fehler und bin dagegen. Ich möchte keinesfalls eine digitale rechtsverbindliche Unterschrift erzeugen können, da es mißbraucht werden könnte - wie auch immer das abgesichert sein mag, ein Angriff läßt sich finden.

    Leider wird man sich dagegen nicht ewig wehren können (siehe ELENA)...

    Zitat von Oliver222


    Zertifikate, die überregional in unterschiedlichen administrativen Domänen ausgestellt werden, stellen darüberhinaus – meinen Informationen nach – ein nicht ganz unerhebliches Sicherheitsrisiko dar. (siehe z.B. Diskussion um die neuen Reisepässe.).
    Oliver

    Ich glaube nicht, dass es bei den neuen Pässen um Sicherheit geht, dazu gibt es viele Informationen. Soweit mir bekannt, wird von offizieller Seite weder behauptet, dass die neuen Pässe sicherer wären, noch das die Verfahren billiger würden (beides stimmt allgemein wohl aktuell auch überhaupt nicht). Bei den neuen Pässen geht es meines Verständnisses nach um Überwachung und Kontrolle; begründet wird das mit "Anti-Terror-Hype", um die Menschen zu täuschen.

    Ohh, jetzt war ich sehr off-topic, sorry.

    St.

  • Warum installiert Firefox so viele CA Zertifikate?

    Zitat von Oliver222

    st1519 fragte Folgendes:


    Ich meinte http://de.wikipedia.org/wiki/Extended_Validation, sorry, hatte einen falschen Begriff verwendet.

    Zitat von Oliver222


    ... wobei Firefox bei diesem Verfahren seiner eigenen Datenbank (Firefox Certificate Store), zur Bewertung solcher „Trusted Root Certificates“ folgt. Eine Datenbank die – meiner Ansicht nach - jedoch kompromittierbar ist.


    Natürlich muß man dem Betriebssystem, dem Browser und der verwendeten Datenbank (und weiterem) entsprechend vertrauen, klar.


    Zitat von Oliver222


    st1519 erklärte darüberhinaus Folgendes:


    Das wirst Du leider akzeptieren müssen. Bezüglich vielfältiger Verschlüsselungsverfahren zweier kommunikativer Gegenstellen (Client < > Server) gilt eine Abwärtskompatibilität bezüglich des ausgehandelten Protokolls, sonst würde der Datenaustausch zweier unterschiedlich abgesicherter Systeme erschwert, bzw. unmöglich gemacht werden.


    Korrekt. Datenaustausch mit Systemen, die meiner Meinung nach nicht ausreichend abgesichert sind, beispielsweise weil das verwendete Verschlüsselungsverfahrung für meine entsprechende Anwendung zu schwach ist. Das kann ich herrausfinden, in dem ich auf den "Schlüssel" oder das "Schloß" klicke. Da bekomme ich den Algorithmus angezeigt. Dann kann ich entscheiden, ob es mir reicht (z.B. 3DES) oder nicht (z.B. NULL cipher). Leider merke ich nicht, wenn sich das ändert (das ist ja bei SSL jederzeit möglich).

    Ich akzeptiere das also nicht. Das der Datenaustausch dann nicht funktioniert, ist dabei natürlich genau das Ziel :)
    Bei Sicherheitssysteme finde ich Abwärtskompatiblität grundsätzlich fragwürdig. Beispiele sind MS-CHAPv1 / LAN Manager Passwort Fallbacks oder gerade aktuell abgeklebte Chips auf Bezahlkarten. Da fragt man sich, wieso man erwartet, dass Angreifer das nicht ohnehin so machen (um den Angriff zu vereinfachen)...

    (OT)

    Zitat von Oliver222


    Triple-DES (3 DES) nutzt im Vergleich zum konventionellen DES – meines Wissens nach - letztendlich auch nur eine effektive Schlüssellänge von 112 Bit, was zwar den Schlüsselraum (also das Berechnungsintervall) selber vergrössert, einem sicherheitskritischem Umfeld (z.B. elektronische Banktransaktionen) jedoch genau dann nicht gerecht werden kann, sofern keine sinnvolle Erneuerungsstrategie zum Generieren neuer Schlüssel initiiert wird.


    Ja, 112 bit statt 56, das erhöht den Aufwand von brute-force-Angriffen um ca. 2^56 (2^56 ist sehr viel: 72.057.594.037.927.936). Soweit mir bekannt ist 3DES für elektronische Banktransaktionen international zugelassen und üblich; im deutschen Netz sicherlich der am weitaus am häufigsten verwendete Algorithmus.

    Zitat von Oliver222


    st1519 erklärte darüberhinaus u.A. Folgendes:


    Die Seiten funktionieren nicht???


    Ja, von etlichen Websites werden ältere Browserversionen nicht unterstützt. Vermutlich nicht aus Sicherheitsgründen, sondern aus Kosten- und Marketinggründen (man kann die Werbebanner u.U. besser darstellen und man spart Entwicklungskosten; beispielsweise gibt es heute etliche Websites, die ohne Flash einfach nicht mehr funktionieren).

    Zitat von Oliver222


    Theoretisch könntest Du Deine eigene CA austellen und im Anschluss auch gleichzeitig verifizieren.


    Ich sehe mich nicht in der Lage, die Authentizität prüfen zu können. Vermutlich würde "meine CA" einen persönlichen Besuch und Besichtigung beim Antragsteller (z.B. der Firma, die ein SSL Zertifikat wollen) und Prüfung von Ausweisen/Pässen beinhalten, was Zertifikate so teuer machen würde, dass eh niemand in diese CA beauftragen würde :)

    Zitat von Oliver222


    O.T.
    Entscheidend in Bezug auf Zertifikatsüberprüfungen ist meiner Ansicht nach dabei:
    c. Ob sich der „Validierungspfad“ (Überprüfungskette) der einzelnen Zwischeninstanzen bei (rechtlich überregionalen) unterschiedlichen CA´s immer noch „integer“ verhält. Was bedauerlicherweise nicht immer der Fall ist.

    Ohh, was meinst Du damit?

    Zitat von Oliver222


    Ich vertraue dabei keinem einzigen Zertifikat...

    Das ist natürlich sehr sicher, schränkt leider aber auch die Funktionalität erheblich ein :)

    Ich habe mal bei ein paar Hotlines probiert, den Fingerprint ihres Zertifikats zu erfahren. Das hat in keinem Fall geklappt. Man konnte mir nicht helfen. In einem Fall wurde mit telefonisch erklärt, wie ich das verwendete root-CA-Zertifikat permanent installiere (und ihm damit vertraue), ohne mich auf Gefahren hinzuweisen oder wenigstens zu einer Fingerprintprüfung zu veranlassen (den man mir auch auf Anfrage nicht nennen konnte).
    Ein Bekannter berichtete, dass eine Hotline immerhin "ihre" Webseite geöffnet hat und den Fingerprint aus dem Browser vorlesen konnte (was jetzt ja auch nicht so im Sinne des Erfinders ist).
    Interessant ist auch, wenn der Zertifikatsinhaber (O und OU im Zertifikat) nicht zur Seite paßt (hat man öfter, wenn technische Dienstleister die Server betreiben). Einmal rief ich die Hotline an, doch diese konnte mir nicht mal mitteilen, wie der technische Dienstleister heißt...

  • Warum installiert Firefox so viele CA Zertifikate?

    Zitat von Dr. Evil

    Firefox bringt Zertifikate von CAs mit, die der Mozilla CA Certificate Policy entsprechen.

    Ahh, danke für den Link. Läßt leider teils recht viel Interpretationsspielraum scheint mir ("reasonable measures" etc). Aber ein gewisser Interpretationsspielraum bleibt natürlich sowieso immer.

    Auf http://www.mozilla.org/projects/security/certs/ habe ich jetzt auch
    http://www.mozilla.org/projects/security/certs/included/ gefunden, wo die Certification Practice Statements verlinkt sind, prima, danke!

    St.

  • Warum installiert Firefox so viele CA Zertifikate?

    Hi,

    viele Sicherheitsbedenken kann man gegenüber SSL/TLS und X.509 äußern. Mir gefiel die Zusammenfassung
    http://www.ioactive.com/pdfs/PKILayerCake.pdf.

    Etliche Punkte sehen für mich nach teils ziemlich unverständlichen Bugs aus (wie z.B. kann nach einer Extended Verification weiterhin ein "grüner Zustand" angezeigt werden, wenn eine neue SSL/TLS Verbindung mit anderen Zertifikaten ausgehandelt wurde? Warum läßt sich ausgerechnet ein pishing-Schutz so austrixen? Hammer.), aber einige werden auch durch schlechte Arbeit von Certification Authorities verursacht. Da gibt es CAs, die über Klartext-E-Mails "authentifizieren" (kein Witz, das stimmt wirklich! cacert.org und rapidSSL sind wohl Beispiele dafür). Auch gibt es nette (potentielle) Kollisionsangriffe auf Hashes (MD5, MD2).

    Etliche solcher CAs fand ich in der root-CA-Zertifikat-Datenbank, die Firefox automatisch installiert.

    Wie wird diese Liste eigentlich zusammengestellt?

    Wenn ich eine CA aus dieser Liste lösche, ist dann garantiert, dass diese CA durch kein Update wieder auftaucht (auch nicht mit neuem Zertifikat "Subject")?
    Wenn ich mehrere Installationen verwende (auf mehreren Rechnern), wie kann ich diese Datenbanken synchronisieren (geht das überhaupt)?

    Kann ich einstellen, dass ich angezeigt bekomme, wenn sich ein Zertifikat oder Sicherheitsparameter einer SSL-Session ändern? Ich persönlich akzeptiere nicht, wenn sich der Name einer Gegenstelle, dessen Zertifikatsverifizierungspfad oder die verwendete Kryptographie grundlegend (also z.B. plötzlich DES statt 3DES) ändert (und das am besten auch noch während einer logischen Verbindung)?

    Gibt es eine Möglichkeit, beim Wiederbesuch von SSL Servern eine Warnung zu bekommen, wenn sich Zertifikats Subject, Issuer oder ein Key ändert (wie das z.B. SSH mit dem Hostkey-Checking macht, in dem der pub key gespeichert wird)?

    Scheinbar sind solche Anforderungen selten, ansonsten wäre es meines Verständnisses nach nicht erklärlich, wie z.B. SSL-Renegiotation-Angriffe funktionieren (da fügen Webserver nachträglich "Sicherheit" hinzu, das kann meiner Meinung nach logisch ja schon nicht funktionieren). Wie kommt das? Sind solche Fragen nicht essentiell und wichtig? Wenn einem sein myspace account gehackt wird, ist das sicherlich Schade und nach Kräften zu vermeiden, aber beim online-Banking könnte schnell noch größerer Schaden entstehen...

    Das gleichzeitige Arbeiten mit unterschiedlichen Profilen funktioniert in der Praxis auch erstmal nicht so einfach. Wird das empfohlen? Dann könnte man sich ein sicheres Profil (ohne zweifelhafte CAs) und ein Fun-Surf-Profil (default) basteln.

    Leider kann ich mich nicht mehr so genau erinnern, welche CAs ich wann gelöscht habe. Nun gibt es bereits erste Probleme mit Seiten, die nicht mehr mit Firefox 2 funktionieren, so daß ich möglicherweise zu einem Update gezwungen sein werde.

    Welche Handhabung empfiehlt sich hier in der Praxis?

    Vielen Dank für das Lesen dieses Romans :)

    Steffen

  • Passwörter/Passwortmanager

    Cosmo, danke für die tolle Zusammenfassung und die Infos zu
    Keepass.

    Inwiefern habe ich mich gegen sichere Paßwörter gewendet? Ich
    schrieb, dass ich der Meinung bin, dass oft weniger sichere
    Passwörter verwendet werden. Ja, starke Paßwörter und
    Passwortmanager sind für nicht-lokale Angriffe gut.
    Hardwaregestützte Passwortmanager sind noch besser. Einen
    Klasse-4 Leser mit smartcard z.B.

    Allerdings mag der Aufwand für eine Hardwarelösung für ein
    Webforum übertrieben erscheinen.
    Was keinesfalls für schwache Paßwörter sprechen soll.

    Also ganz klar: Leute, nehmt

    Code
    .___  | |_    __ _   _ __  | | __   ___
 / __| | __|  / _` | | '__| | |/ /  / _ \
 \__ \ | |_  | (_| | | |    |   <  |  __/
 |___/  \__|  \__,_| |_|    |_|\_\  \___|
 .____             ___              _   _          _                   _   _
 |  _ \    __ _   / _ \ __      __ (_)_(_)  _ __  | |_    ___   _ __  | | | |
 | |_) |  / _` | | |/ / \ \ /\ / /  / _ \  | '__| | __|  / _ \ | '__| | | | |
 |  __/  | (_| | | |\ \  \ V  V /  | (_) | | |    | |_  |  __/ | |    |_| |_|
 |_|      \__,_| | ||_/   \_/\_/    \___/  |_|     \__|  \___| |_|    (_) (_)
                 |_|

    (so richtig überzeugend ist das "code" Tag nicht,was?
    Zeilenumbrüche werden als Formatierung übernommen, blanks
    nicht, pre gibts nicht, HTML geht nicht, ich geb auf :) )

    auch wenn /ich/ für Webforen Paßwörter verwende, die ein
    schneller PC in ein paar Stunden brute-forcen kann :)

    Schönes Wochenende!

  • Passwörter/Passwortmanager

    Zitat von boardraider

    Ähm, Einspruch! Lies bitte nochmal oben wer
    den Begriff einbrachte.

    sorry, falls ich falsch zitiert hab.
    Thematisch sind wir uns wohl eh alle mehr oder weniger einig.

    Zitat

    Nach meiner Erfahrung halten sich selbst
    Teilnehmer solcher Threads nicht immer an solche
    "Binsenweisheiten".


    Ja, oft muß man das auch gar nicht. Wenn z.B. mein Account hier
    kompromitiert würde, wäre da jetzt ja nicht so schlimm, wie eine
    Kompromitierung eines online banking accounts :)

    Zitat

    Solche Umgebungen sind ohnehin nicht als
    vertrauenswürdig zu sehen. Dort bietet sich der Einsatz von
    Einmalpasswörtern an.


    Na ja, aber dazu muß es doch der Server unterstützen?
    Obwohl wohl viele "zivilisierte" Internetcaffees ziemlich gut
    sind (nach Sessionende werden sämtliche Sessiondaten gelöscht
    etc), aber man kann sich halt nicht unbedingt drauf verlassen,
    also nicht darauf vertrauen. Da muß man glauben :)

    Danke allen für die Passwortmanager-Links!

  • Kompatiblitätsprobleme

    Danke für die ganzen Antworten und den vielversprechenden Wiki-Link!

    Ich antworte boardraider, Martin L und .Ulli in einem Posting.
    Ist zwar mehr zu scrollen, aber spart Platz im Thread :)

    Zitat von boardraider


    An was machst du dies fest?

    Na, Netscape 2 und 3 liefen unter Unix. Kompatibel zu $HOME und
    ~/.rc files...

    ...und heute legt Firefox ein ~/Desktop an...
    da haut's die Miez vom Birnbaum.

    Na ja, anderes Thema.


    Zitat von boardraider


    auf verschiedenen Plattformen zum Einsatz kommt, wäre es wohl
    nicht ganz so trivial

    Einen Prozess $EDITOR mit einer temporären Datei als Parameter zu
    starten, sollte doch auf keiner von Firefox unterstützten
    Platform ein Problem darstellen? Überhaupt sollte es kein Problem
    sein, ein Programm zu starten, dafür ist ein OS ja da (wenn man
    von Java und Applets und solchen Spezialfällen absieht, wo das ja
    absichtlich unterbunden ist).

    Zitat von boardraider


    Du spielst doch die Updates ein, weshalb ist das "ungefragt"?


    Die meisten Programme fragen, ob sie Dateien unumkehrbar
    konvertieren sollen. Gute Programme akzeptieren hier auch ein
    "nein" und funktionieren trotzdem. Das hab ich aber lange nicht
    mehr gesehen. Gern wird heut konvertiert. Dann müssen halt auch
    alle anderen updaten. Das kann man heute anscheidend "verkaufen".

    Wenn ich ein Firefox-Update einspiele, weiß ich ja nicht, ob die
    Profile danach nicht mehr mit anderen Versionen funktionieren. In
    meiner Infrastruktur ist es leider nicht möglich, alle
    Firefox-Versionen zu aktualisieren, beispielsweise, weil Firefox
    3.5 sicherlich nicht so einfach unter SuSE 8.2, 7.3 oder gar 7.0
    zum Laufen zu kriegen sein wird.


    Zitat von Junker Jörg


    Hier 'mal ein bischen Lesestoff.


    Hey, danke für den Link! Sieht ja vielversprechend aus!


    Zitat von Junker Jörg


    Wobei sich mir der Sinn der Verwendung eines externen Editors in
    Texteingabefeldern nicht ganz erschließt - außer man will andere
    User mit Scrollorgien wegen sinnloser Zeilenumbrüche ärgern.

    Interessant, wie unterschiedlich die Meinungen sind. Ich verstehe
    überhaupt nicht, warum in aller Welt man so einen kleinen
    eingebauten Editor verwenden wollen würde. Man lernt doch als
    zweites (gleich nach dem Einschalten, Anmeldung und "ls"), wie
    man einen Editor benutzt. Die meisten, die ich kenne, können nur
    einen einzigen Editor richtig gut (meist vim oder emacs), reicht
    ja auch. Warum ein Browserentwickler (und alle möglichen anderen
    Programme) überhaupt so gern immer wieder neue Editoren erfinden,
    erschließt sich mir gar nicht. Reicht doch, wenn man ein Rad
    einmal erfindet? Vermutlich wird auch der Firefox-Editor
    irgendwan Syntax Highlighting usw. können, aber warum nicht
    einfach einen Editor nehmen, der alles schon kann? Dann kann sich
    der Benutzer auch den aussuchen, der er kann und wo er sich die
    Hotkeys und Konfigurationen eingerichtet hat, seine Scripte
    laufen, die persönlichen Tippfehler kennt usw.

    Das mit den Zeilenumbrüchen ist auch interessant. Da ist HTML
    natürlich "formatfrei" und wird vom Browser automatisch sinnvoll
    formatiert - obwohl "sinnvoll" vermutlich strittig ist. Hat man
    ein 16:10 Bildschirm und kleine Schrift, hat man schnell
    unglaublich viele Silben pro Zeile, da muß man ja in der Zeile
    verrutschen. Bei Zeitungen ist mehrspaltiger Satz ganz und gäbe,
    bei Browsern noch nicht. Da sich gewisse Fehler aber bei
    ausreichender Wiederholung als Erwartungshaltung in der breiten
    Masse einstellen, wird man vermutlich irgendwann auch Zeitungen
    einspaltig tausend-silbig mit "Arial" drucken loooooooooool SCNR.

    Nee, keine Ahnung, warum die Forumsoftware aus Zeilenumbrüchen
    "<br>" rendert. Vielleicht, weil der Firefox-Editor nicht
    formatieren kann und es daher noch keiner gemerkt hat? Vielleicht
    ist es auch ein Feature. Keine Ahnung. Der Quelltext der
    Forenseiten sieht eigentlich gut aus, sogar eingerückt.


    Zitat von .Ulli


    Dafür ist hier It's All Text! aktiv

    Ja, das hatte ich auch mal irgendwo installiert, hat weniger
    Funktionen als MozEx, aber (wenn ich mich recht erinnere) genau
    die, die man braucht :)
    Hatte (wenn ich mich recht erinnere) den Nachteil, dass man so
    ein Feld anklicken sollte (statt Hotkey). Na, vielleicht ist das
    mit dem Plug-In "mouseless browsing" kompatibel, keine Ahnung,
    nutze das nicht.

    It's All Text hat (wenn ich mich recht erinnere #3) den Nachteil,
    dass es nur für neuere Firefoxversionen, nicht aber für Mozilla,
    verfügbar ist. Aber damit kann man leben.

    Ich hab gerade gesehen, dass es das für Firefox 3.5 gibt.

    Vermutlich wäre das die Alternativ-Lösung zu Firefox 2 oder 3
    verwenden (vielleicht besser 1.5, ist wohl schneller).

  • Kompatiblitätsprobleme

    Zitat von boardraider

    Quelle:
    st1519

    Und wie bindest du ihn in anderen
    Browsern ein? Schließlich kritisierst du die im Fx (ohne
    entsprechende Addons) beschränkten Möglichkeiten. Mich würde
    interessieren, wie andere Browser das besser machen.

    Ich binde vim überhaupt nicht in andere Browser ein (mozilla sehe
    ich einfach als "ältere Version"). Ich weiß nicht, wie andere
    Browser das machen. (Viele) andere Programme werten $EDITOR
    aus, um herrauszufinden, wie der Benutzer editieren möchte.
    Interessanterweise macht Firefox das jedoch nicht (obwohl er
    [mozilla/netscape] aus der Unix-Welt stammt).

    So eine Funktion scheint einfach realisierbar, so dass es
    sicherlich einen Grund hat, warum sie nicht enthalten ist.
    Vielleicht schreiben die meisten nicht viel mit Firefox? Oder
    nutzen keine großen Editoren? Oder es gibt bestimmte technische
    Probleme?

    Wie schon gesagt, sind mehrere Profile nachteilig, eines wäre
    besser. Weiterhin müsste man die vorher kopieren, weil ungefragt
    "upgraded" wird und es nur noch über ein Backup zurück geht.

    Zitat von boardraider


    Ist veraltet und lässt sich inzwischen über -no-remote
    realisieren. Für solche Fragen gibt es ja Foren wie diese (oder
    die Dokumentationen auf den Mozilla-Seiten). :wink:

    Ja, genau. Daher hab ich ja hier gefragt :)
    Hätte ja sein können, dass jemand eine Lösung gewußt oder
    vielleicht einen guten Workaround gezeigt hätte, oder gar auf
    eine "Firefox profile compatiblity mode" Konfigurationsoption...

    Tja, für andere ist Firefox 2 schon "tot", und ich arbeite hier
    gerade mit Mozilla 1.7.8, kaum über vier Jahre alt. Aber gerade
    wenn man ständig sein System neuinstallieren muß und jetzt alle
    zwei Jahre den Browser wechselt, müßte man doch
    Kompatiblitätsprobleme kennen? Oder updated ihr immer gleich alle
    Rechner gleichzeitig? Na ja, wie auch immer, wir haben einfach
    verschiedene Anforderungen.

    Ich wünsche noch ein schönes Wochenende!

    St

  • Passwörter/Passwortmanager

    Ich bin mir nicht sicher, ob ich allen Punkten folgen konnte.
    Da ich direkt angesprochen wurde, versuche ich mich an einer
    Antwort.

    Ich hoffe, ich bin mit meinem OP niemandem zu Nahe getreten. Tut
    mir leid, dass ich fälschlicherweise annahm, Passwörter wurden
    gespeichert. Das hat A.Topal aber ja sofort klargestellt.

    Ich glaube nicht, dass man im Falle eines solchen Falles jemand
    anders verantwortlich oder haftbar machen könnte, aber ich bin ja
    weder Betroffener noch anderer Meinung als Du :)

    Du schriebst, man solle verschiedene Passwörter verwenden, was
    bordraider als Binsenweisheit hinstellte, gleichzeitig scheint
    aber unstrittig, dass das eben nicht alle beachten. Die Meinung
    von bordraider teile ich nicht. Ich traue natürlich dem Forum
    "nicht wirklich", wie man heut so gern sagt, aber habe mich
    trotzdem angemeldet :) Es ist (mir) auch gar nicht nötig. Toll,
    dass das Forum kostenlos nutzbar ist. Noch besser, dass ein Site
    Admin innerhalb von kaum einer halben Stunde sogar schon
    antwortet und meinen Irrtum aufklärt. Da bleibt ja nichts zu
    wünschen übrig :)

    Vollkommen unabhängig von "Binsenweisheiten" sollte meiner
    Meinung nach ein System stets möglichst verantwortungsvoll mit
    Daten umgehen, insbesondere mit Passwörtern, diese möglichst in
    E-Mails vermeiden und nicht im Klartext speichern (letzeres wird
    laut Aussage dieses Threads ja auch nicht gemacht). Das könnte
    ich beispielsweise als "Binsenweisheit" (in Kreisen von
    Forensoftware-Entwicklern) annehmen.

    Aber da sind sich scheinbar auch alle einig und das ist hier eh
    off-topic.

    (Meiner Meinung nach muß man das gerade in solchen Threads die
    "Binsenweiseheiten" nicht wiederholen, da die Teilnehmer solcher
    Threads diese in der Regel kennen und beachten).

    Dann möchte ich dazu auch noch ein paar Binsenweisheiten
    schreiben (jedoch nicht, weil ich glaube, das Du oder ein anderes
    "Threadmitglied" sie nicht kennst, sondern eher, weil ich das
    "single sign on als Lösung aller Probleme" nicht so stehenlassen
    möchte).

    Du schützt Dich damit vor Kompromitierung einer Forumsdatenbank,
    aber nicht vor der Kompromitierung Deines lokalen geschützten
    Bereiches, der beispielsweise durch einen Trojaner,
    Festplattenausbau oder Hardwaremanipulation angegriffen werden
    könnte. Damit könnte eine Angreiferin "sämtliche" Deiner
    Passwörter herrausfinden, selbst wenn Du sie gar nicht benutzt
    hättest. Ein Bug im Passwortmanager oder ein erfolgreicher
    Angriff auf das Firefoxbuilding, was angenommenerweise dazu
    führen könnte, dass sämtliche Passwortdaten in ein IRC channel
    gepostet werden würden (oder ein analoger Angriff auf das
    building welchen Passwortverwalters Du auch immer nutzt).
    Angriffe über manipulierte Pakete gab es bereits.

    Weiterhin funktioniert der Ansatz auch gar nicht für jeden. Ich
    beispielsweise arbeite regelmäßig auf fünf verschienden
    Workstations/Laptops und müßte Passwortmanager synchronisieren
    und in Internetcaffes hilft einem das auch nicht viel.

    Das ist ein komplexes Thema. Da sind wir uns aber bestimmt auch
    alle einig :)

    Interessant ist das Thema Passwortmanager aber auf jeden Fall.
    Ich nutze, wenn überhaupt, den in Firefox eingebauten. Der
    gefällt mir schon ziemlich gut. Welchen nutzt Du? Gibt es gute
    kostenlose / OpenSource Passwortmanager, die programmübergreifend
    funktionieren?

    Jedenfalls gut, dass hier keine Klartextpasswörter gespeichert
    werden :)

    Ich wünsche allen ein schönes Wochenende!

    Steffen

  • Kompatiblitätsprobleme

    Hi,

    danke für Deine schnelle Antwort.

    Zitat von boardraider



    Quelle: st1519


    Was für einen "Editor" nutzt du denn sonst in anderen Browsern?

    Ich nutze immer vim. Ich beherrsche keinen anderen Editor (gut,
    vim natürlich auch nicht, klar :-)). Ich verwende fast
    ausschließlich Firefox und kaum andere Browser, Firefox gefällt
    mir halt am besten und mit w3m kommt man meist nicht weit ;)

    Zitat von boardraider


    Das hat mit Linux nichts zu tun. Wenn der Fx andere
    Profilstrukturen einführt, können damit ältere Versionen nicht
    zwingend umgehen. Ein Problem, dass jedes Programm prinzipiell
    teilt.

    Na ja, unter Unix ist es normal, ein NFS $HOME zu haben (wenn man
    von den Zubuntdu-Singleuser-Installationen mal absieht), unter
    Windows hat man das meiner Erfahrung nach eher selten. Auf meinem
    7 Jahre (?) alten Windows (XP) kann ich Firefox 3 problemlos
    installieren und andere Windowsversionen nutze ich nicht.

    Linuxdistributionen nutze ich hingegen in verschiedenen
    Versionen, und Firefox 3 auf SuSE 8.2 zu installieren, ist
    sicherlich mindestens eine Tagesarbeit.

    Daher ist es meiner Erfahrung nach bei Unix (Linux, ...) normal,
    verschiedene Versionen auf einem $HOME zu nutzen, bei Windows
    hingegen nicht.

    Wenn Firefox andere Profilstrukturen einführt, könnte er das
    auf eine abwärtskompatible Art tun (bei XML müssten sich ältere
    Versionen an unbekannten Tags ja nicht stören - was im Detail
    natürlich schnell sehr komplex wird) oder die Konfiguration
    kopieren, beispielsweise von ~/.firefox2 nach ~/.firefox3 - was
    nicht so schön ist, weil man seine Lesezeichen dann doppelt und
    dreifach verwalten müßte, aber immerhin, Firefox 2 würde noch
    funktionieren.

    Zitat von boardraider


    Die Einstellungen lassen sich i.d.R. übertragen.

    Ja, aber nur in Richtung "alt -> neu" und nur manuell - oder geht
    das automatisch? Immer wenn sich ~/.firefox2 ändert, wird
    ~/.firefox3 aktualisiert? Kann ich mir kaum vorstellen.

    Zitat von boardraider


    Einfach verschiedene Profile verwenden und über entsprechende
    Kommandozeilen-Parameter starten.

    Heißt das, es geht eben einfach nicht anders -
    oder heißt das, Du weißt auch nicht, wie man das hinkriegt?
    MOZ_NO_REMOTE findet man ja auch nicht so leicht bzw. kommt nicht
    so leicht drauf.


    (Ich hielt das ja eigentlich für ne FAQ, fand aber nichts;
    ich kann mir kaum vorstellen, dass niemand mit NFS $HOME Firefox
    nutzt, was sollte man denn sonst nehmen?)

    Zitat von boardraider


    Meines Wissens würde das nur durch Modifikationen am Quellcode
    gelingen. Allerdings sehe ich wenig Sinn darin. Beim Schreiben
    von Profildaten kann es dabei zu Konflikten beim Dateizugriff
    kommen.

    Konflikte beim Dateizugriff müßten natürlich durch korrektes
    file-locking ausgeschlossen werden, sicher.

    --st

  • Passwörter/Passwortmanager

    Zitat von A.Topal

    die E-Mail wird aus den Eingaben im Registrierungsformular "on the fly" erstellt. In der Datenbank landen nur Hashes.

    Ahh, ok, prima. Danke für die Info!

    Dann nehme ich alles zurück und behaupte das Gegenteil :)

    Zu der im weiteren Threadverlauf stattfindenden üblichen Passwort-Diskussion: Es verwenden aber nun mal viele Benutzer ähnliche oder gar gleiche Passwörter. Ich glaube, oft werden Trivialpasswörter verwendet. Nur selten wird man für Foren monatlich wechselnde, 14 stellige Zufallspasswörter verwenden, vermutlich, weil sich sowas wie "oEci>q[LK+Z>_S" nicht so gut merken läßt und man eher keine Hochsicherheitsanforderungen an Foren stellt :)

    --st