Beiträge von klra

Was weiß ich.
Es gibt auch Gründe, die Systemzeit am eigenen PC zu ändern. Dann sind aber Webseiten mit SSL-Verschlüsselung nicht mehr erreichbar, wenn die Zeit außerhalb der Cert-Gültigkeit liegt. Allein dass Browser die Cert-Gültigkeit an der Systemzeit des User-PC festmachen ist schon fragwürdig.

Wenn die Systemzeit am User-Gerät falsch eingestellt ist, vielleicht sogar mit einer Absicht, dann funktionieren Webseiten mit HTTPS/SSL Verschlüsselung nicht mehr, wenn die Zeit außerhalb der Gültigkeit der Zertifikate liegt.

Firefox holt nicht die Zeit von einem validen Zeitserver, sondern vom User-Gerät. Das ist nicht DAU-sicher.

Beispiel https://www.camp-firefox.de mit Datum 23. November 2017 am User-Gerät:

Zitat

Diese Verbindung ist nicht sicher

Der Inhaber von https://www.camp-firefox.de hat die Website nicht richtig konfiguriert. Firefox hat keine Verbindung mit dieser Website aufgebaut, um Ihre Informationen vor Diebstahl zu schützen.

Weitere Informationen…

Fehler an Mozilla melden, um beim Identifizieren und Blockieren böswilliger Websites zu helfen

https://www.camp-firefox.de verwendet ein ungültiges Sicherheitszertifikat.

Das Zertifikat ist am Donnerstag, 25. Mai 2017 03:01 abgelaufen. Die aktuelle Zeit ist Freitag, 23. November 2017 10:31.

Fehlercode: SEC_ERROR_EXPIRED_CERTIFICATE

Alles anzeigen

Ich wurde abgetrennt! Mobbing-Alert!

Da muss ich Sören mal vollkommen Recht geben, bei so einem Thema darf man keinerlei Spaß verstehen. → ←

Zitat von Sören Hentzschel

Wenn schon Verschlüsselung, dann sollte bcrypt (nicht crypt!) verwendet werden.

Da magst du vollkommen recht haben, aber dieser Hinweis nützt einem gar nichts, wenn auf dem (shared) Server, auf dem man seinen (virtual) Host hat, noch kein Apache 2.4 ist. Mit Apache 2.2 muss man sich mit MD5, SHA1 und crypt! begnügen.

milupo und Boersenfeger,
Ihr meint was anderes.
Ich meinte, dass ich ein Sonderzeichen "§" im unverschlüsselten Passwort verwendet hatte.
Beispiel-Passwort unverschlüsselt: "123§456"
Ihr meint die Zeichen im MD5 verschlüsselten Passwort.
Beispiel-Passwort MD5 Hash: "$1$CfnzE]u|$2kzjA6LwM2JY5QYJ4SZNf."

Jetzt erinnere ich mich auch wieder, warum das Zeichen "§" nicht funktioniert, bzw. warum es unter Umständen nicht funktionieren kann, nämlich dann, wenn ein Programm, das dabei verwendet wird, kein UTF-8 kann. Firefox scheint da Probleme zu haben?
Zitronella, probiere bitte bei dir mal ein Passwort mit "§".

Das klingt jetzt verdammt komisch: "Sichere" Passwörter, die auch überall funktionieren, bestehen nur aus Zeichen aus dem ASCII Zeichensatz:
!"#$%&'()*+,-./0123456789:;<=>?@ABCDEFGHIJKLMNOPQRSTUVWXYZ[\]^_`abcdefghijklmnopqrstuvwxyz{|}~

Hallo zitronella,

Zitat

"Diese Seite sieht man erst, nachdem man Username (test) und Passwort (123456) eingegeben hat."

funktioniert.

Bei deinem Passwort ist ein Leerzeichen am Ende?

Habe das von dir bei mir angewandt (test:123456).
Das funktionierte in einem Testverzeichnis.
Habe es dann auf das Wordpress angewandt. Da funktionierte es wiederum nicht. Und ich weiß jetzt auch evtl. warum.
Ich hatte ein MD5 Passwort mit Sonderzeichen "§".
Habe dann soeben per Shell das selbe Passwort in SHA1 generiert.
Da funktionierte es auch nicht.
Habe jetzt ein SHA1 Passwort ohne dieses Sonderzeichen und es funktioniert.

Irgendwas habe ich in Erinnerung, dass ein Verfahren keine Sonderzeichen konnte.
Aber dass es in Chromium geht und in FF nicht?
Hat FF da Probleme mit Sonderzeichen in Passwörtern?

Hallo,
seit Jahren funktioniert der Zugang per .htpasswd mit Firefox bei mir nicht. Mit Chromium funktioniert es, aber erst nach dem zweiten Mal. Also ich muss in Chromium immer zweimal den Usernamen und Passwort eingeben, erst dann funktioniert es. In Firefox kann ich den Usernamen und Passwort so oft eingeben wie ich will, es funktioniert nicht. Deshalb frage ich jetzt hier danach, wieso?

Firefox 51.0.1 (32-Bit)
Win 7 SP1

.htaccess Eintrag:

<Files wp-login.php>
AuthName "Admin-Area"
AuthType Basic
AuthUserFile "/var/www/virtual/xxx/xxx.xxx/.htpasswd"
Require valid-user
</Files>

EDIT: plus das:

<FilesMatch "\.(htaccess|htpasswd)$">
Order deny,allow
Deny from all
</FilesMatch>

.htpasswd Eintrag:

user:$1......................

Win 7
Firefox 51.0.1 (32-Bit)

Hallo,
die Links in about:cache?storage=disk&context= sind nicht anklickbar. Auch nicht über Kontextmenü zu öffnen.
Man muss sie kopieren und einfügen.

Kann das jemand bei sich reproduzieren?

Zitat von Zitronella

Damals wars Firefox 22.

Back to Firefox 22!

Zitat von Sören Hentzschel

Dateien können sich nicht selbst ausführen. Das musst entweder du in Gang setzen oder jemand anderes.

Wie recht du hast und ich habe mich falsch erinnert. Hier der Artikel, den ich erwähnte:
https://www.heise.de/security/artik…be-1036564.html
Das Internet vergißt nie!
Ich wäre mir aber nicht sicher, ob nicht irgendwann jemand einen selbstausführenden Code schreibt. Wir können ja darauf warten bis es soweit ist und uns dann alle ärgern, weil wir es ahnten, aber nichts getan haben, weil wir uns so sicher fühlten.

Zitat von Zitronella

Da muss definitiv etwas an Firefox geändert worden sein zu damals, oder es liegt an der Konfiguration der Webseite?

An einer Konfiguration an der Webseite kann es eher weniger liegen, das ist Browser-intern. Vielleicht wäre Javascript dazu in der Lage, aber da bin ich überfragt.

Zitat von Zitronella

Du machst einen Denkfehler.

Vielen Dank für die Denkhilfe!

Zitat von Zitronella

ob es immer noch so ist kann ich nicht sagen. Hier ein Thread zur Ergänzung zu diesem Thema: https://www.camp-firefox.de/forum/viewtopic.php?f=1&t=104504 inklusive Video http://mozhelp.dynvpn.de/dateien/forum/download-temp.mp4 zur Verdeutlichung

Die Infos in dem Video sind falsch.
Mit den Einstellungen:
"Jedes Mal nachfragen, wo eine Datei gespeichert werden soll"
Wird die Datei ebenfalls schon gedownloaded und als *.part gespeichert, bevor auf "Datei speichern" geklickt wird. Man muss nur warten, bis die *.part Datei fertig gedwonloaded ist.

Zitat von Sören Hentzschel

eine .part-Datei ist keine ausführbare Datei. Wenn du die Datei nicht selbst umbenennst und du auch keine Malware auf deinem System hast, wie genau sollte die Ausführung als PDF-Datei erfolgen, wenn du diese Dateiendung keiner PDF-Anwendung zugewiesen hast?

Ich entschuldige vielmals, dass ich den Artikel nicht mehr finde, in dem detailiert erklärt wird, wie so eine Schläfer-PDF mit Schad-Script funktioniert. Der Script-Code musste einfach nur irgendwo in einem PDF auf dem PC gespeichert sein. Weder geöffnet, noch angeklickt oder sonstewas, sondern einfach nur gespeichert sein. Vielleicht wurde der Artikel zwecks Verhinderung von Nachahmern gelöscht. Was weiß ich ...

Zitat von Sören Hentzschel

Deine Theorie ist nicht mehr als das: Theorie, und keine gute dazu. Nur weil der Download bereits startet, kann die Datei nicht automatisch ausgeführt werden. Du müsstest bereits Malware auf deinem System haben, wenn ohne dein Wissen etwas auf deinem System ausgeführt werden soll. Genauso nennen sich Dateien nicht automatisch um, auch das geschieht nur durch dich selbst oder Malware. Wenn du aber eh schon Malware auf deinem System hast, wird die Sicherheit durch dieses Verhalten von Firefox ganz gewiss nicht mehr nennenswert beeinträchtigt, dann hast du nämlich schon längst ein sehr viel größeres Problem. Ist der Schädling bereits auf dem Ziel-System, ist dieser sicher nicht mehr auf weitere Downloads durch Firefox angewiesen.

Du hast dir die Artikel nicht durchgelesen.

Zitat

In der Folge könnte eine speziell präparierte PDF-Datei Code mit den Rechten des angemeldeten Benutzers ausführen

https://www.heise.de/security/meldu…ien-215962.html
Irgendwo gab es auch mal einen Artikel auf Heise.de, auf dem so ein PDF mit so einem Timer-Script zerlegt wurde.
Du brauchst nicht schon vorher Malware auf dem PC. Das Script im temporären PDF erledigt das.

Einstellungen in Firefox:
Menü
-> Einstellungen
->-> Allgemein
->->-> Downloads
->->->-> Haken bei: Alle Dateien in folgendem Ordner abspeichern: (irgendeinen Ordner wählen)

Gehe auf: https://www.mozilla.org/en-US/thunderbird/all/
Die IP der Webseite: 104.16.41.2
https://www.virustotal.com/de/ip-address/….2/information/

Aktionen:
Nur Download Button anklicken.
Nicht Datei Speichern anklicken.
Nicht Abbrechen klicken.
Alle Download-Popup-Fenster offen lassen.
Optional: öffne in Windows den Ressourcenmonitor / Netzwerk (Prozesse mit Netzwerkaktivität.

Dutch Windows
52.222.252.22 (Download IP)
https://www.virustotal.com/de/ip-address/…22/information/
93.184.220.29
https://www.virustotal.com/de/ip-address/…29/information/
Temporär gespeicherte Datei nach kurzer Zeit:
C:\Users\xxx\AppData\Local\Temp\Wrw5DsD+.exe.part 33,9 MB

German Windows
52.222.252.22 (Download IP)
151.101.12.133
https://www.virustotal.com/de/ip-address/…33/information/
Temporär gespeicherte Datei nach kurzer Zeit:
C:\Users\xxx\AppData\Local\Temp\DB9tJszn.exe.part 33,3 MB

German Windows (2)
52.222.252.22 (kein download)
151.101.12.133
https://www.virustotal.com/de/ip-address/…33/information/
Temporär gespeicherte Datei nach sofort:
(anscheinend eine Kopie von DB9tJszn.exe.part)
C:\Users\xxx\AppData\Local\Temp\k2ZFIBt1.exe.part 33,3 MB

French Windows
52.222.252.22 (Download IP)
Temporär gespeicherte Datei nach kurzer Zeit:
C:\Users\xxx\AppData\Local\Temp\V31UMJU5.exe.part 33,6 MB

Dateien kopieren:
Wrw5DsD+.exe.part
DB9tJszn.exe.part
k2ZFIBt1.exe.part
V31UMJU5.exe.part

Dateien in einen neuen Ordner einfügen.
Dateien umbenennen:
Wrw5DsD+.exe
DB9tJszn.exe
k2ZFIBt1.exe
V31UMJU5.exe

Alle Dateien funktionieren.

Bei einem PDF mit integriertem Timer kann dieses schon nach Hause telefoniert haben, oder andere Aktionen durchgeführt haben. Der dafür notwendige Script-Schnipsel im PDF ist schon auf dem PC, bevor "Datei speichern" oder "Abbrechen" geklickt wurde.

Bei kompromitierten Seiten, oder extra dafür eingerichteten, wird ein Download schon beim Besuch der Webseite gestartet. Bekannt dafür sind kleine *.exe Dateien, die damit angeboten, bzw. gedownloadet werden. Diese sind, wenn auch nur als temporäre Datei schon auf dem PC, wenn die Webseite nur besucht wird.

Natürlich werden die temporären Dateien bei Klick auf "Abbrechen" gelöscht, ein Script im PDF kann aber schon seine Arbeit getan haben, bevor auf Abbrechen geklickt wurde. zB sich selbst kopieren und umbenennen, oder andere Dateien im Hintergrund laden.

Im Anschluß an mein Thema https://www.camp-firefox.de/forum/viewtopic.php?f=1&t=119928
Da dies als gelöst markiert ist, reagiert da wohl keiner mehr drauf.

Nachdem nun a:visited funktioniert, funktioniert es so gut, dass besuchte Links auch nach Neustart des PCs als besucht markiert bleiben, und das auch bei folgenden Einstellungen/Aktionen:

Datenschutz:
[x] Die Chronik löschen, wenn Firefox geschlossen wird
-> Einstellungen = Alle Haken gesetzt

Erweitert:
Netzwerk
Zwischengespeicherte Webinhalte -> Websitecache "Jetzt leeren"
Offline-Webinhalte und -Benutzerdaten -> "Jetzt leeren"
Firefox schließen.
PC Herunterfahren.
PC Neustart

### Korrektur ###
Link bleibt bei dieser Testseite nicht Grün: http://www.w3schools.com/css/tryit.asp?filename=trycss_link
Aber bei einer Seite (a-visited.html), die ich lokal selbst angelegt habe:

<html><head><style>
a:link {color: red;}
a:visited {color: green;}
a:hover {color: hotpink;}
a:active {color: blue;}
</style></head><body>
<p><b><a href="a-visited.html">This is a link</a></b></p>
</body></html>

### Korrektru ###

Wie lange "merkt" sich das Firefox, bzw. wo kann diese Speicherung beim Beenden von Firefox gelöscht werden?
Wenn man nur im Privaten Modus ist, ist das ja auch keine Lösung, siehe anderes Thema (oben verlinkt).

Und jetzt: PROBLEM No. 2

Ich habe Haken gesetzt bei: "Die Chronik löschen, wenn Firefox geschlossen wird" plus bei den Einstellungen dazu alle Haken gesetzt.
Wenn ich Firefox schließe, alle Fenster, alle Instanzen, und neu starte, bleibt der Link GRÜN!

Zitat von aborix

Ein möglicher Grund ist, dass keine Chronik der besuchten Seiten angelegt wird, z.B. im Privaten Modus.

Richtige Antwort! *pah!*
Also so abgesichert ist schon verdammt sicher.
Ich hatte "Immer den Privaten Modus verwenden" angeklickt.
Eigentlich wollte ich den Haken rausnehmen und das spezifisch einstellen, aber da wollte FF einen Neustart... da hat ich keine Lust drauf.

Wieso wird der Link bei mir nicht grün?

JavaScript hat damit nichts zu tun, das ist CSS.
Das a:hover und a:active funktioniert bei mir. Also hotpink und blue. Aber der Link wird nach anklicken nicht grün.
Firefox 51.0.1 (32-Bit) in Win 7

Zitat von Palli

Sorry, das verstehe ich nicht.

Die "Interaktivität" des Internets, mittels eines Computers, ermöglicht es im Internet interaktiv zu sein, also nicht nur aktiv vor dem Fernseher zu sitzen, sondern das "Fernsehen" so zu sagen mitzugestalten (Videos hochladen, im Forum schreiben, Dateien von anderen downloaden und selbst Dateien uploaden). Diese Interaktivität, im speziellen die Aktivität des Klickens auf einen Link, durch den ein Download gestartet wird, ist durch reines aktives Sitzen vor dem Fernseher nicht möglich. Man könnte auch inaktiv vorm Fernseher schnarchen, oder inaktiv vor dem Computerbildschirm. In der Situation sind sich beide gleich. Es passiert nichts interaktives.

Das Problem, was hier angesprochen wurde, ist schon eines, wenn es von einer anderen Perspektive betrachtet wird. Auf unseriösen und kompromitierten Webseiten werden anscheinend harmlose Links dazu missbraucht, damit der Webseitenbesucher durch den Klick auf den Link eine Datei downloadet. Natürlich wollte das der Webseitenbesucher nicht. Das noch viel schlimmere an der Sache ist, dass der Download SOFORT nach anklicken startet.
Eine PDF Datei kann schon ausreichen, die mit einem Timer irgendwann ihre Kumpeldateien downloaded und den Computer verseucht: https://www.heise.de/security/meldu…ien-215962.html
So gesehen, und das ist aus sicherheitsrelevanten Aspekten, gerade in Zeiten von Ransomware, Malware und dergleichen, schon eine Überlegung wert, die Download-Prozedur zu überdenken. Eben, dass der Download erst beginnt, WENN ein Speicherort vom User AKTIV ausgewählt wurde. Also ein Speichern irgendwohin ebenso nicht ermöglicht wird. Die Standard-Einstellung in Firefox, mit dem vorgegebenen Download-Ordner und das sozusagen Downloaden im Hintergrund ist alles andere als userfreundlich und absout unsicher.
Aber mit diesem Thema, bzw. eine Diskussion in diese Richtung anzustoßen, wird man nur belächelt. H8ck0r5 w1n.

Soeben im abgesicherten Modus von Firefox getestet.
Test nicht bestanden.
Der Link wird auf der Testseite nach anklicken nicht grün.