Hallo bibo!
Die Suchmaschine meines geringsten Misstrauens spuckt mir (einschließlich deines eigenen Beitrages) acht Links zu dieser Thematik aus. Hast du dieser alle mal "abgearbeitet"?
vy 73 de Peter
Beiträge von WismutKumpel
-
-
Hallo Kadettin!
Ich bedanke mich für dein Verständnis.
Gleichzeitig möchte ich mich den letzten beiden Sätzen von .DeJaVu anschließen. Will dich natürlich auch keinesfalls mit meiner persönlichen Backup-Strategie zuschütten. Die einfachste habe ich ja erwähnt.
Nur ein einziger Satz noch zum Thema: das beste Backup ist nur so viel wert, wie sein (getestetes!) Restore.
Ich wünsche dir, dass du alles wiederhergestellt bekommst.
vy 73 de Peter
-
Hallo Luna-1 ,
Wetten, wenn du deine Anfrage etwas klarer gestellt hättest, dann hätte es nicht so viele Irritationen und dir nicht unbedingt helfende Hinweise gegeben. Deine Frage klang mehr danach, dass bestimmte Personen (vermutlich Familienangehörige) gegen deine Willen amazon aufrufen.
Dein Problem ist aber eher im Zusammenhang mit der Funktion der bei dir/euch eingestellten Suchmaschine zu sehen. Und dort solltest du auch ansetzen. Ob das Verhindern des Aufrufs einer Seite dieser Firma dein Problem wirklich lösen wird, wage ich zu bezweifeln. Es könnte sogar sein, dass jetzt bestimmte Fehlermeldungen zunehmen.
BTW: Deine gute Absicht kann ich auf jeden Fall verstehen!
vy 73 de Peter
-
Hallo Kadettin!
Auch wenn du mich jetzt verfluchen wirst, ich sehe das, was dir passiert ist, als eine für dich gute und wertvolle Erfahrung an!
Ich liebe die Bemerkung, welche .DeJaVu gebracht hat, will diese aber nicht wiederholen, um dich nicht allzu sehr zu ärgern.
Vielleicht hilft dir (als Vorsorge für garantiert eintretende zukünftige Pannen) eine ähnliche Methode, wie ich sie seit Beginn meiner eigenen Beschäftigung mit der IT (irgendwann mal in den 80 Jahren des vorigen Jahrhunderts …) bewusst und konsequent nutze.
Die erste Methode nennt sich "Datensicherung". Egal, welche du nutzt, selbst die Methode des "Backup für arme Leute" (wichtige Daten regelmäßig abwechselnd auf zwei verschiedene USB-Sticks kopieren) ist viel besser als überhaupt kein Backup.
Und was die Passwörter betrifft (selbstverständlich immer komplexe und lange PW und niemals eines davon mehrfach!), so führe ich eine lange strukturierte Liste mit folgendem Inhalt:
Name des Accounts ##### Anmeldename ##### Passwort ##### Startcode 2FA <= wenn vorhanden
Und immer wenn ich einen neuen Account anlege, wird zuerst diese Liste mit den zu verwendenden Daten ausgefüllt.
Erst dann werden diese Daten über die Zwischenablage und den Browser zum jeweiligen Dienst geschickt.
Diese Liste kann dann entweder ausgedruckt und "im Banksafe" hinterlegt
oder auf einem USB-Stick gespeichert oder sonst wo "sicher" gelagert werden. (Ich will hier nicht einmal unbedingt erwähnen, dass sie auch vom Rechner sicher gelöscht werden kann).So kann es mir niemals passieren, dass mir bei einem Hardwareverlust meine Passwörter abhandenkommen und ich jetzt ein Problem mit der Wiederherstellung habe.
Und, sollte es zur Kompromittierung irgendeines PW beim Dienstanbieter kommen, dann ist diese Liste auch eine gute Grundlage für den problemlosen Wechsel meiner Passwörter (was für mich auch sonst Routine ist).
Und ja, so mancher benötigt eben eine entsprechende Erfahrung …
BTW:
Bevor jemand mit dem entsprechenden Hinweis kommt: Ich nutze selbstverständlich unabhängig davon einen guten Passwort-Manager (KeepassXC), welcher viel mehr als meine Authentisierungsdaten speichert und dessen verschlüsselte Datenbank selbstverständlich auch Bestandteil meiner automatisierten Datensicherung ist. Ja, hier schlägt meine ehemalige berufliche Tätigkeit durch - was aber keinesfalls ein Maßstab sein muss.
vy 73 de Peter
-
Hallo!
Ich erlaube mir mal eine etwas anders geartete Antwort.
Für mich (Vater und Großvater von mittlerweile erwachsenen Enkeln und viele Jahre beruflich mit IT-Sicherheit in einem sehr sensiblen Bereich befasst gewesen) gilt immer noch eine alte Regel:
Menschliche Probleme sind nicht (oder kaum mit einem vertretbaren Aufwand) ausschließlich mit technischen Mitteln zu lösen .
Ja, alles kann mit einem entsprechenden Aufwand geblockt werden. Und alles ist irgendwie immer nachweisbar und kann (zumindest im sicherheitskritischen behördlichen oder Firmenumfeld) nach entsprechender Belehrung zu harten Sanktionen führen.
Aber im familiären Umfeld oder in einem KMU ohne entsprechend ausgebildetes und auch befugtes Fachpersonal (und auch einem Juristen!) wird der "Hilfsadministrator" immer den Kürzeren ziehen. Ja, so mancher Mensch wird seine Maßnahmen sogar als eine Kampfansage gegen seine "persönlichen Freiheiten" ansehen und alles unternehmen, um letztendlich in dieser Sache der "Sieger" zu sein. Und das fast immer mit großem Erfolg!
Ich habe also immer auf ein zweigleisiges Verfahren gesetzt:
- auf technische Mittel (privat: mein pi-hole kann da schon einiges - auch melden, wer da was des Öfteren versucht)
- auf Mittel der Überzeugung.
Gerade letzteres hat immer den Ausschlag gegeben. Auch in der Familie … .
vy 73 de Peter
-
Hallo Boy2006!
Diese, von Sören richtig als sinnlos bezeichnete Diskussion würde ich jetzt mit den folgenden Worten beenden:
"Sorry Leute! Ja, ich habe Sch<zensiert>e gebaut, weil ich zu <ehrlich den Inhalt einsetzen> war, um die richtige Version des Firefox zu ermitteln. Bitte nehmt mir das nicht allzu übel, wird nicht mehr vorkommen!"
Man kann sich natürlich auch einfach wegducken und in die Schmollecke gehen.
Oder den "harten Hund" raushängen lassen und bis zum St. Nimmerleinstag diskutieren.
Such dir bitte einen sauberen Abgang aus.
vy 73 de Peter
-
Die Zeit auf dem Laptop war ca. 2 Minuten in der "Zukunft"...
Ja, Kryptologie (hier: die Verwendung der Zertifikate für TLS) ist eben eine sehr exakte Wissenschaft. WOWEREIT!
Die Frage ist, wieso wird die RTC deines Rechners nicht ständig automatisch mit einem NTP-Server synchronisiert? Es gibt keinen Grund, dieses zu verhindern. Ganz im Gegenteil …
vy 73 de Peter
edit: Verschenke ein "W". Danke an milupo.
-
Hallo charlie!
Auch wenn sich unsere Meinungen zu einem Konzern wie Facebook garantiert sehr ähneln, so schließe ich mich zu 100% der Meinung von Sören an: Eine Verunglimpfung mit einem "anderen" Namen ist nicht gut. Macht man einfach nicht!
Trotzdem einen Tipp:
Schau dir mal das Add-on "Facebook Container" an. Anhand der Beschreibung sollte dieses Tool schon einiges von dem tun, was du möchtest. (Ich selbst konnte zwar davon bislang noch nichts bemerken, aber das liegt wohl eher daran, dass ich mein Netz durch ein "vorgeschaltetes Gerät" sauber halte.)
vy 73 de Peter
-
Hallo hans67,
spätestens jetzt, wo mehrere User bestätigt haben, dass das bei ihnen nicht der Fall ist, würde ich bei mir selbst nach den Ursachen suchen.
Zuerst (weil das am einfachsten ist), würde ich meinen Rechner einem Scan mit "desinfec't" unterziehen. Die paar €nen für die immer noch im Zeitungsfachhandel liegende aktuelle c't sollte es dir Wert sein und ein USB-Stick mit diesem Programm sollte iegentlich immer vorhanden sein. (Gerade, wenn man ein "etwas älteres" Betriebssystem wie Windows 1 benutzt
)Ziel des ganzen: ausschließen, dass Schadsoftware DNS-Umleitungen "eingebaut" hat.
Danach würde ich mal die DNS-Einstellungen genau unter die Lupe nehmen. Welche Einstellungen sind im Router eingetragen? Auch mal dort bewusst einen anderen (1.1.1.1 oder 9.9.9.9 usw.) eintragen. Im Rechner sollte immer der vorgeschaltete Router als DNS-Server eingetragen sein.
vy 73 de Peter
-
Ja, das kann es (für breeder) gewesen sein.
Da ich das aus meinem Job so gewohnt war, trage ich das "schon immer" so ein.
Danke für deine Aufmerksamkeit!
-
Hallo!
Auch wenn der Originalbeitrag (IMHO völlig zu Recht!) entfernt wurde, möchte ich dennoch die versprochene Antwort schreiben.
Gestern haben meine beiden Rechner (und vermutlich auch die Rechner meiner Partner) die aktuelle Version 101.0 (64-Bit) aus dem Repo gezogen.
Wie zu erwarten war, funktionierten alle von meiner eigenen XCA generierten (TSL-)Zertifikate auch unter dem Fx in der o.g. Version perfekt. Es handelt sich hier ausschließlich um aus dem "Heimnetz" (hier: Wireguard-VPN) erreichbare Geräte.
Konkret :
- das GUI von 8 Fritz-Boxen bzw. anderen Routern (einschließlich diverser Fritz-App Fon, die mal ein Problem mit selbst generierten Zertifikaten hatten)
- insgesamt 5 Synology-NAS
- alle meine 8 Wireguard-Server auf der Basis der F!B 4040 bzw. 7412 (natürlich nur deren GUI)
- 5 Raspberry Pi (pi-hole und Seafile-Server)
- und noch einiges anderes "Gerödel"
Auch von meinen Partnern habe ich keine Fehlermeldungen erhalten.
Fazit: Da muss wohl beim TE (breeder) etwas anderes nicht in Ordnung sein.
vy 73 de Peter
-
Aber ich brauche jetzt einen Tip wo ich unter "about:config" diese Meldung für diese Seite deaktiveren kann.
Ein derartiger "Tipp" wäre genau so viel wert, wie der, beim lästigen Leuchten irgend einer roten Anzeige im Auto die betreffende LED zu entfernen.
Denn genau so, wie du deinen Motor irgendwann kaputt fährst, besteht auch beim Deaktivieren der Warnung vor einer nicht durch das Zertifikat zu prüfenden Webseite/Verbindung die Gefahr auf einer gefakten oder mit Malware verseuchten Seite zu landen, ohne dass du das bemerkst.
Besser wäre, wie .DeJaVu schon gesagt hat, den Admin der Firma anzusprechen. Denn vermutlich betrifft das nicht nur deine Frau, sondern alle Mitarbeiter, welche im HomeOffice arbeiten.
Die Lösung ist ganz einfach: Der Admin übergibt dir das (öffentliche) Zertifikat seiner CA, welches du dann unter den vertrauenswürdigen Herausgebern importieren und ihm dann das Vertrauen aussprechen kannst.
-
Hallo P.Opel,
Schuss ins Blaue: Hat dein Smartphone wirklich die genaue Uhrzeit? Manchmal sind es "die kleinen Dinge".
Und auch wenn es dir bei deinem aktuellen Problem nicht helfen wird:
Ich nutze auch, wo auch immer möglich, eine 2FA. Entweder OTP, aber auch YubiKey und seit ein paar Tagen auch den ganz neuen NitroKey 3 NFC.
Beim "alten" OTP mache ich mir immer sofort eine Kopie des Startcodes (also des von der Webseite beim Einrichten angezeigten QR-Codes) mittels Screenshot und speichere diesen in einem gesicherten Bereich.
Was dein aktuelles Problem betrifft, wird Sören bestimmt eine Lösung für dich
haben.vy 73 de Peter
-
Gaaaanz vorsichtige Rückfrage (verursacht durch die Bemerkung "Online nicht zu erreichen"):
Könnte es vlt. sein, dass es sich bei deinem Serverzertifikat um ein selbst hergestelltes oder gar (wie bei bestimmten Druckern, NAS usw. üblich) vom Gerät selbst signierten und sogar als Root-Zertifikat deklariertes Zertifikat handelt?
Manche Browser, MUA u.a. schauen sehr genau hin, und manche schauen weg.
Selbstverständlich kannst du für nicht öffentlich erreichbare oder nur für einen begrenzten Teilnehmerkreis erreichbare Server Zertifikate selbst herstellen. Aber dann eben auch richtig.
vy 73 de Peter
-
Ja, was Browser-freies-zum-Lachen. Geschichte aus dem wahren Leben ...
Problem:
Egal, was ich auch für eine Anwendung offen hatte, der Cursor sauste immer ununterbrochen von links nach rechts.
Lösung nach doch einigem Suchen:
Ich hatte mir anlässlich des kommenden Weihnachtsfestes eine neue und auch recht teure Tastatur (Cherry mit mechanischen Tasten) gegönnt. Wunderbar, ein Traum ...
Die uralte ausgeleierte Tastatur mit der Gummimatte "flog" mit kühnem Schwung in mein Regal, um dort die Zeit bis zur Entsorgung zu verbringen.
Und nach ein paar Tagen landeten dann die ausgelesene c't und die iX ebenfalls in dieses Regal.
Und dann trat urplötzlich der o.g. Fehler auf.
Und wer will, darf jetzt gerne lachen ... .
vy 73 de Peter
-
Ich bin zwar auch 100%iger Linuxuser, aber ich kann dir das trotzdem erklären Hier also die Erklärung für "Mausschubser":
- Auf dem "auswärts zu betreibenden Gerät" (Smartphone oder Laptop usw.) sicherstellen, dass dieses nicht direkt mit dem eigenen Heimnetz verbunden ist. Also bspw. dieses direkt über Mobilfunk (also ohne WLAN!) betreiben oder mal beim Nachbarn fragen, ob du mal in sein (W)LAN kannst. Dann sollte dazu aber das eigene WLAN temporär abgeschaltet werden.
- Jetzt mit diesem (ohne Zugang zum eigenen Netz betriebenen!) Gerät die Seite http://www.whatismyip.com aufrufen. Dir wird jetzt die IP deines Nachbarn oder deines Mobilfunkzuganges angezeigt. In beiden Fällen kannst du auch deutlich sehen wenn dein Nachbar einen anderen Provider hat oder eben den Namen deines Mobilfunkproviders. => die angezeigte IP aufschreiben. Es reicht die angezeigte IPv4, denn das verkrüppelte AVM-VPN kann immer noch kein IPv6.
- Nun das VPN aktivieren und die o.g. Seite erneut aufrufen oder neu laden lassen. Jetzt solltest du eine andere IP (die deines eigenen Internetzuganges) angezeigt bekommen. => ebenfalls aufschreiben und dann mit der Anzeige in der Fritz!Box vergleichen.
- Jetzt kannst du auch über den aktivierten VPN-Tunnel einen der üblichen Speedtests für Mausschubser durchführen. Nicht wundern, wenn das Ergebnis nicht gerade prickelnd ist.
OK?
vy 73 de Peter
-
Was schlägst du vor?
Hallo,
ich wurde zwar in diesem Kontext nicht gefragt, antworte aber trotzdem.
Für ca. 15€nen erhältst du in der Bucht eine der aus nicht verständlichen Gründen ungeliebten F!B 7412. In Verbindung mit 1/2 Stunde Lesen im Netz (bspw. hier: Billige Fritzbox 7412: Wireguard-VPN und DNS-Verschlüsselung ...) und einer Stunde Bastelspaß hast du vor dir einen sehr gut funktionierenden Wireguard-VPN-Server vor dir zu stehen. Und Wireguard ist ist IMHO das beste VPN, was es aktuell gibt. Und diesem VPN ist es (im Gegensatz zum kastrierten AVM-VPN welches die Fritz!Box von zu Hause aus mitbringt) egal, ob dein Anschluss DS-lite oder DS mit einer routingfähigen IPv4 hat. Wireguard funktioniert mit beiden Protokollen. Und die zu erreichende Bandbreite des Tunnels entspricht fast der deines Uplinks (nun ja, nicht gerade mit der 7412, aber wenn du wesentlich mehr als 40Mbit/s haben solltest, dann eben mit der 4040).
Falls du dich dafür interessierst, kann ich dir gerne helfen.
Hier hat "jemand" auch etwas dazu geschrieben: #8
vy 73 de Peter
-
Ich bleibe bei meiner Aussage. (Nein, das Alter ist kein Verdienst. Und ich wäre auch gerne noch 5 Jahre jünger. Nicht mehr, denn täglich auf Arbeit gehen möchte ich jetzt nicht mehr. So gerne, wie ich meinen Job all die Jahre gemacht habe.)
BTW:
Mein erstes eigenes Auto war ein Skoda 105L. An meinem 30. Geburtstag war meine Warteliste endlich abgearbeitet. milupo wird verstehen, was ich damit meine.
vy 73 de Peter
-
Jaja, ist schon interessant, wie die jungschen Kerle hier über die alten Zeiten debattieren ... .
-
Hallo,
ich möchte den Beitrag von Sören noch um einige persönliche Erfahrungen ergänzen.
Ich betreibe seit ~15 Jahren (wo ich vor meiner Pensionierung noch Mitarbeiter eines großen TrustCenters war) eine "gar nicht mal so kleine" Privat-CA. In diesen Jahren habe ich mitunter bis zu 600 Zertifikate pro Jahr hergestellt. In erster Linie für die private S/MIME-Verschlüsselung unserer Mitarbeiter, aber auch viele für diverse privat betriebene Webseiten, Fritz!Boxen, NAS, VPN-Endpunkte usw.
Die Produktion dieser Zertifikate erfolgt nach exakt den gleichen Regeln, wie sie für kommerziell betriebene CA üblich sind - natürlich immer im Rahmen des "Zumutbaren". Ach ja, an LE war damals noch nicht zu denken ... .
Der einzige Unterschied zu den etablierten kommerziellen TC ist, dass deren Herausgeberzertifikate von den Herstellern der diversen Browser, MUA, VPN-Clients usw. bereits vorinstalliert werden. (Manche fliegen auch aus guten Gründen wieder raus ... .) Alles andere ist völlig identisch. Und es ist auch so, dass alle TrustCenter erst einmal ihren eigenen root-Schlüssel selbst generiert haben. Das root-Zertifikat wurde dann entweder selbst signiert oder (meist gegen Bezahlung) zur Signatur an ein etabliertes TC übergeben. Das allererste root-Zertifikat des ersten TC war deshalb auch ein selbst signiertes.
Letztendlich entscheidet die Reputation oder die entsprechenden Selbsterklärungen der TC (nach hoffentlich strenger Überprüfung) - oder eben die Nutzung der Signatur durch ein etabliertes TC - darüber, welches TC in den Browsern usw. gelistet ist. (Und natürlich der Betrag, welchen das jeweilige TC dafür bereit ist, zu zahlen ... .)
Jetzt ist lediglich wichtig, wer die Nutzer der entsprechenden angebotenen und mit diesen selbst signierten Zertifikaten versehenen Dienste sind. Wird ein Dienst ganz öffentlich im Netz angeboten, verbietet es sich fast von selbst, selbst signierte Zertifikate zu verwenden (ist ja auch Dank LE nicht mehr unbedingt erforderlich). Aber zur S/MIME-verschlüsselten Kommunikation untereinander bekannter Personen oder auch zum Zugriff bestimmter berechtigter Personen auf diverse Dienste steht absolut nichts dagegen, dafür selbst signierte Zertifikate zu benutzen. Die erreichbare Sicherheit ist (zumindest bei sachgerechter Produktion dieser Zertifikate und Nutzung eines sicheren Hardware-RGN und auf einem speziell abgesicherten und nicht am Netz hängenden Rechner usw.) ist völlig identisch mit den Produkten kommerzieller TC. Und ja, Vertrauen kann man sich auch erarbeiten ... .
Wenn dann das immer mit übergebene root- (und Jahres-) Zertifikat der privaten CA durch den jeweiligen Nutzer manuell in seinem Browser und MUA unter "Herausgeberzertifikate" importiert wird, sind diese Zertifikate denen der kommerziellen Anbieter ebenbürdig. Dann klappt es auch ohne "Meckermeldung".
Und ein mit openssl selbst erzeugtes Primitiv-Zertifikat ohne jegliche Restiktionen, welches sich dann selbst als CA ausgibt und dann im Rahmen einer "Ausnahmeregel" im Browser importiert wird, ist für mich ein No-Go.
vy 73 de Peter
