IP-Exploits verhinderbar ohne VPN?

  • Gibt es eine Möglichkeit die eigene IP im FF zu verschleiern ohne VPN zu nutzen und ohne Java, Flash oder wenigstens Javascript komplett abschalten zu müssen? Also nur Tor nutzen und zB mit einer Extension verhindern dass FF die echte IP leakt? IP-Seiten, bei denen man sich die eigene IP anzeigen läßt, lassen sich ja recht einfach austricksen aber die Exploits existieren ja trotzdem und funktionieren wenn man nur Tor nutzt.

  • Falls du mit Exploit Magneto meinst, diese Lücke im Fx ist längst gefixt. Natürlich ist Tor weiterhin brechbar, nach meinem Kenntnisstand jedoch nur dann, wenn der Angreifer einen Eintritts- und einen Austrittsknoten kontrolliert oder über statistische Auswertungen (Studie der University of Georgetown). Für diese Auswertungen wird aber eine Infrastruktur benötigt, die sich wohl nur Staatsdienste leisten können.

  • Vielleicht habe ich die Worte einfach falsch benutzt. Was ich meine ist dass man die echte IP eines Users rausfinden kann auch wenn er Tor benutzt. Dazu braucht man nur bestimmte Skripte in Javascript, Flash usw nutzen. Halt Sachen die normal auf dem Browser ausgeführt werden.

    Ich hatte letztens ein paar Emailadressen auf web.de registriert und dabei eigentlich Tor aktiviert. Meine IP-Adresse wurde auch so angezeigt auf entsprechenden Seiten. Aber web.de hat trotzdem meine echte IP gewußt. Ich vermute mal dass sie das entweder per Javascript oder über einen anderen Weg rausgefunden haben. Ich hatte früher mal mit sowas experimentiert und das funktionierte weil Browser das nicht automatisch blocken.

    Daher die Frage. Es dürfte ja nicht unendlich viele Wege geben die IP per Javascript usw rauszufinden. Vielleicht kann eine Extension diese speziellen Skripte blocken.

    Ja, einfacher wäre es VPN zu nutzen oder gleich JS, Java usw abschalten.

  • Du hast Recht, es gibt nicht unendlich viele Wege, die IP-Adresse über JavaScript auszulesen. Es gibt nämlich keinen einzigen. Natürlich kannst du über JavaScript einen XMLHttpRequest an einen Webserver schicken, welcher die IP-Adresse an dein Script zurückliefert, aber das ist dann ja kein Auslesen über JavaScript mehr, sondern geschieht serverseitig. Entsprechend wird auch web.de das direkt serverseitig auslesen.

    Man fragt sich natürlich, was der Sinn dieser ganzen Verschleierungs-Übung sein soll…

  • SebastianJu

    Da bringst du sicher etwas durcheinander. Wenn du das Tor Browser Bundle benutzt, kann web.de deine ursprüngliche IP nicht herausbekommen. Selbst innerhalb der Tor-Zwiebel, kennt ein Server nur seine beiden Nachbarn in der Kette, d.h. der Ausgangsknoten kennt nicht einmal den Eingangsknoten, geschweige denn deine IP.

    Wie geschrieben, entsprechende staatliche Dienste können das unter bestimmten Bedingungen, jedoch mit einem erheblichen Aufwand. Das kann web.de sicher nicht. Das würde Tor komplett ad absurdum führen.

  • Da ich eh AdvTor laufen habe hatte ich nur den Proxy eingestellt, keine extra Extension. Tor habe ich benutzt weil ich 8 Emailadressen für Verwandte erstellen wollte und nach 5 oder 6 erstellten Email bekam ich die Meldung dass es nicht mehr geht weil von dieser Email schon zu viele Adressen erstellt wurden. Dabei wurde meine echte Adresse angezeigt obwohl ich zwischenzeitlich ab und zu eine neue Tor-IP genommen hatte und diese auch über whatismyip.com angezeigt wurde.

    Also muss web.de die echte IP rausgefunden haben. Ich glaube XMLHttpRequest ist das richtige Stichwort bei Javascript. Am Ende kommt es doch darauf an ob die echte IP geleakt werden kann. Ich weiß aber nicht was für einen Unterschied du da machst. Klar, es muss ein Skript auf dem eigenen Browser laufen dass das ermöglicht, web.de kann es nicht irgendwie erzwingen. Meinst du das?

    Mag sein ich verwechsel da was aber ich meine früher hieß es immer dass, wenn man Tor nutzt, man auch Javascript, Flash und Java deaktivieren müsse weil sonst Skripte ausgeführt werden könnten die die echte IP leaken. Da gab es auch einen FF-Browser... ich glaub Torpark? der auch davor warnte wenn man etwas davon anschalten wollte. Soweit ich weiß ist Tor nur sehr bedingt sicher solange Skriptsprachen usw laufen.
    Verwechsel ich was? Kann ja eigentlich nicht wirklich sein wenn web.de genau weiß was passiert obwohl ich Tor benutzt und die Ips gewechselt habe.

  • Zitat von SebastianJu

    Am Ende kommt es doch darauf an ob die echte IP geleakt werden kann. Ich weiß aber nicht was für einen Unterschied du da machst. Klar, es muss ein Skript auf dem eigenen Browser laufen dass das ermöglicht, web.de kann es nicht irgendwie erzwingen. Meinst du das?

    Nein. Ich meine, dass es über JavaScript überhaupt keine Möglichkeit gibt, die IP-Adresse auszulesen. Ergo muss auch in deinem Browser kein Skript laufen, welches das ermöglicht. Mein Punkt mit XMLHttpRequest war: Du kannst eine Anfrage über JavaScript an einen Server schicken und der liefert dir dann die IP-Adresse zurück. Das ist die einzige Möglichkeit, um über JavaScript die IP-Adresse zu erhalten. Das wäre im Fall von web.de aber komplett sinnlos. In dem Moment, in dem du die Webseite von web.de direkt aufrufst, bist du eh schon auf web.de, da brauchst du keine zusätzliche Anfrage über JavaScript mehr. Bereits in dem Moment weiß web.de also deine IP-Adresse. Ob nun deine echte oder nicht deine echte IP-Adresse, das sei mal hingestellt, das ist ein anderes Thema. Zu Tools wie TOR habe ich nichts zu sagen.

  • Warum du deine IP verschleiern möchtest, um E-Mailadressen für Verwandte anzulegen, vertehe ich nicht. Was immer du auch für eine Meldung bekommen hast, web.de kann deine IP nicht herausfinden, wenn du im Tor-Netzwerk bist. Lies dir am besten mal den zugehörigen Artikel bei Wikipedia durch, wie die Zwiebel funktioniert. Oder frage Herrn Snowden. Der hat es auch benutzt.

  • Ich habe Tor benutzt weil ich mir gedacht habe dass web.de verhindern wird wollen dass Spammer automatisiert Emails erstellen. Bei 8 emails hatte ich erwartet Probleme zu bekommen und deshalb Tor benutzt. Web.de hat aber trotzdem meine echte IP gekannt und daraufhin verhindert dass ich alle 8 Emails erstellen kann.

    Du scheinst zu glauben Tor muss man einfach nur aktivieren und dann ist man sicher. Das ist definitiv nicht so. Lies mal hier unter der zweiten Nebenunterschrift über Javascript usw. Es gibt einen Grund warum das abgeschaltet ist. Man braucht als Webseitenbetreiber zB nur ein Javascript nutzen dass direkt Content vom Server anfragt und dabei nicht den Torproxy nutzt. Das ist möglich. Noch einfacher ist es mit Flash usw da das kein wirklicher Teil des Browsers ist sondern ein externes Programm. Und das muss sich schon gar nicht daran halten was im FF festgelegt wurde.

    Die Zwiebel an sich ist perfekt. Es nutzt nur nichts wenn der Browser Skripte ausführt die die Zwiebel umgehen. Vielleicht gibts auch Skripte die die echte IP abfragen und durch die Zwiebel verschicken, keine Ahnung. Das einzig wirklich sichere was man machen kann ist die Nutzung von VPNs da dort der gesamte Traffic durch den VPN muss. Dann gibt es keine Ausnahme da das auf einem grundlegenderen Level stattfindet.

    Soweit ich weiß natürlich.

    Klingt wie wenn es keine Extension gibt die das verhindern könnte. Dann nehm ich das nächste mal doch ein VPN dafür.

    Falls du mir immer noch nicht glaubst... ich habe nachgesehen. 6 Emails konnte ich bei web.de erstellen. Ich war mit tor verbunden und trotzdem hat er mir meine echte IP genannt und wußte dass diese echte ip schon viele mails erstellt hat. Und obwohl whatismyip.com die tor-ip angezeigt hat.

  • Zitat


    Du scheinst zu glauben Tor muss man einfach nur aktivieren und dann ist man sicher.

    Nein, erstens habe ich oben geschrieben, dass Tor mit entsprechend hohem Aufwand brechbar ist, zweitens sprach ich extra vom Tor-Browser-Bundle und drittes ist es wie immer, man muss sich zumindest ein wenig mit den Tools auskennen, die man benutzt. Ich kann meine Türen und Fenster noch so einbruchsicher machen, wenn ich den Schlüssel im Blumenkasten verstecke, bringt das nichts.

    Ich bleibe dabei, wenn du Tor "gebrauchsgemäß" benutzt, kann ein normaler Server im Web deine IP nicht ermitteln. Dir sollte der Widerspruch auffallen zwischen deiner Behauptung, man könne mal eben mit ein wenig JavaScript erreichen, was den Diensten ganz offensichtlich immer noch schwerfällt.
    JavaScript ist nicht so ganz meine Baustellen, aber dafür die vom Sören. Da vertraue ich ganz auf seine Aussage oben.

    Dein Vorhaben erscheint mir immer noch ein wenig dubios. Ich verstehe durchaus, wenn jemand Tor benutzt, um nicht für kommerzielle Zwecke getracket zu werden. Wenn man es aber benutzt, um Anbieter auszutricksen oder gar illegale Dinge zu tun (ich sage nicht, dass du das vorhast), dann bin ich nicht mehr dabei.

  • Boersenfeger du klingst ein wenig wie wenn die gesamte Internetüberwachung an dir vorbeigegangen ist. Warum ich das in dem Fall wollte hab ich erklärt. Ich wollte eine Anzahl Emailadressen für Verwandte erstellen ohne für einen Emailspammer gehalten zu werden der da mal ein paar neue Mails zum spammen erstellt.

    BS2000 Sören hat klar geschrieben er kann zu Tor nichts sagen. Ich aber schon. Ist zwar schon länger her aber ich habe sogar mal deswegen mit den Torentwicklern geschrieben gehabt. Eben wegen der Möglichkeit dass die Zwiebel vom eigenen Browser umgangen wird. Da hat man mir bestätigt dass es geht. Damals ging es um Java, Flash und ich glaube sogar Javascript war damals noch ein Problem dahingehend. Weshalb es bei Torpark auch abgeschaltet war standardmäßig. Das liegt einfach daran dass ein Proxy nur ein Kanal ist um von dem Rechner ins Netz zu gelangen. Der direkte Kanal bleibt weiterhin offen und kann genutzt werden. Bei VPN ist das wiederum nicht mehr so.

    Ehrlich gesagt weiß ich auch gar nicht warum man da jetzt diskutieren muss. Es ist einfach so. Glaub es halt nicht aber dann wundere dich nicht wenn es schiefgeht. Einen extra Browser würde ich jetzt nicht wirklich dafür verwenden wollen, da wäre VPN am Ende einfacher. Ist ja nichts illegales. Auch der Torbrowser hat Flash nicht dabei und es wird empfohlen keine weiteren Extensions zu installieren: https://www.torproject.org/docs/faq.html.en#TBBFlash Wohl weil FF das nicht alles kontrollieren kann.

    Na gut. Ich nehme mal an dass es da einfach nichts gibt dass das leaken verhindern kann ohne dass gewisse Sachen abgeschaltet wird. Ist auch schwer vorstellbar wie Firefox Javaplugins davon abhalten sollte zu tun was sie wollen. Im Javascript wäre das schon eher machbar da FF ja die Routinen bereitstellt. Aber wenn man von der Installation weiterer Extensions abrät wird das wohl heißen dass diese Extensions Routinen mitbringen könnten die das doch umgehen können ohne dass FF das abfangen kann.

  • SebastianJu, du musst schon lesen, was man dir schreibt.

    Zitat von SebastianJu


    Gibt es eine Möglichkeit die eigene IP im FF zu verschleiern ohne VPN zu nutzen und ohne Java, Flash oder wenigstens Javascript komplett abschalten zu müssen?

    Zitat von bs2000


    Wenn du das Tor Browser Bundle benutzt, kann web.de deine ursprüngliche IP nicht herausbekommen.

    Zitat von SebastianJu


    Du scheinst zu glauben Tor muss man einfach nur aktivieren und dann ist man sicher.

    Zitat von bs2000


    Nein, erstens habe ich oben geschrieben, dass Tor mit entsprechend hohem Aufwand brechbar ist, zweitens sprach ich extra vom Tor-Browser-Bundle und drittes ist es wie immer, man muss sich zumindest ein wenig mit den Tools auskennen, die man benutzt.

    Ich übersetze es Dir gern nochmal: Du musst das Browser-Bundle benutzen! Oder im Original:

    Zitat


    [...] Tor does not protect all of your computer's Internet traffic when you run it. Tor only protects your applications that are properly configured to send their Internet traffic through Tor. To avoid problems with Tor configuration, we strongly recommend you use the Tor Browser Bundle. It is pre-configured to protect your privacy and anonymity on the web as long as you're browsing with the Tor Browser itself. Almost any other web browser configuration is likely to be unsafe to use with Tor.
    The Tor Browser will block browser plugins such as Flash, RealPlayer, Quicktime, and others: they can be manipulated into revealing your IP address. Similarly, we do not recommend installing additional addons or plugins into the Tor Browser, as these may bypass Tor or otherwise harm your anonymity and privacy. [...]

    Bei uns in Norddeutschland sagt man auch redensartlich: "Einen Tod musst du sterben".
    Das Browser-Bundle gibt es als portable Version und kommt gleich mit NoScript und Co. In deinem eigentlichen Browser musst du dann nichts mehr deaktivieren.
    Es gibt noch weit mehr zu beachten. Wie Bruce Schneier so treffend schrieb gibt es einen Unterschied zwischen Anonymity und Privacy. Aber das lass dir besser von den Entwicklern erklären ;) Ich bin hier raus.

    @ madperson: Genau, das ist einer von SebastianJus Blumenkästen :)

  • Also ich kann das was BS2000 und Soeren dazu sagen nur unterschreiben. Ich habe noch nie gehört das man (m)eine IP über das Bundle auslesen kann.

    Ich nutze (manchmal) das TOR Browser Bundle portable als auch (regelmäßig) ein VPN. Ich vertraue da CyberGhost.

    SebastianJu, was sich mir bisher noch nicht erschlossen hat warum Du kein VPN nutzt oder nutzen willst. Das macht doch genau das was Du willst, deine IP verschleiern. Wenn ich das möchte macht CyberGhost das alle paar Minuten, ja sogar alle paar Sekunden so das Du immer mit einer anderen IP bei Web.de oder wo auch immer ankommst. Das können die niemals merken.

  • Zitat von SebastianJu

    Boersenfeger du klingst ein wenig wie wenn die gesamte Internetüberwachung an dir vorbeigegangen ist.

    Nö, aber ich mache mir keine exzessiven Gedanken darüber... ich nutze kein Online-Banking, nutze mein Sicherheitskonzept (in meiner Signatur) und ansonsten schiebe ich keine Paranoia.

    Zitat von SebastianJu

    Ich wollte eine Anzahl Emailadressen für Verwandte erstellen ...

    Wie soll ich mir das vorstellen? Ich nutze zum Beispiel Thunderbird und nicht direkt irgendwelche Webmailer.. ich würde also die Mailadressen zusammenstellen und diese via Thunderbird meinetwegen über freemail[add]web.de an die Empfänger schicken... wieso ich da als Spammer erkannt werden sollte kann ich nicht nachvollziehen.
    BTW: Das meine Mails möglicherweise gelesen werden, ist mir bewusst... da ich aber keine Staatsgeheimnisse verwalte, ist es mir egal... ich kann es nicht ändern.. durch die von dir beschriebenen Umgehungs- und Verschleierungstaktiken machst du mögliche Spionageprogramme erst auf dich aufmerksam.
    Das Motto heißt: in der Masse untertauchen... das klappt, wenn man sich so verhält wie der Schwarm.. :wink:
    Vielleicht fehlt dir einfach auch nur die Gelassenheit des fortgeschrittenen Alters.. :P

  • madperson... :) That thought completely avoided me but i doubt it since i only opened web.de with torproxy enabled and web.de showed me my real ip as the one that created the emails. Though maybe theres a way i didnt thought about yet.

    BS2000... ok, mag sein dass wir uns da mißverstanden haben. Ich hatte halt eher eine Extension gesucht die man zB aktivieren kann und die verhindert dass die IP weitergegeben wird. Nicht einen extra Browser weil es den Aufwand nicht wirklich lohnen würde. Dürfte theoretisch auch möglich sein wenn die Extension Tor aktiviert, Javascriptfunktionen blockiert die Tor umgehen könnten und Plugins und Extensions abschaltet. Letzteres würde allerdings schon wieder einen Neustart erfordern usw.
    Macht also eher keinen Sinn. Einfacher wäre es dann VPN zu nutzen.

    Heaven_69... ich hab sogar HMA-VPN... Nur wenn ich das anschalte fliege ich erstmal aus Chatrooms und in IRC-Chats dauert es bis mein User sein Timeout bekommt und ich ihn wiederhab. Und in anderen IRC-Rooms muss ich das Passwort neu schicken. (Gibt sicherlich auch Methoden das zu bessern aber es sollte ja schnell gehen.) Daher wollte ich eine schnelle Methode um das zu vermeiden. :)

  • Zitat von Boersenfeger

    Nö, aber ich mache mir keine exzessiven Gedanken darüber... ich nutze kein Online-Banking, nutze mein Sicherheitskonzept (in meiner Signatur) und ansonsten schiebe ich keine Paranoia.

    Wie soll ich mir das vorstellen? Ich nutze zum Beispiel Thunderbird und nicht direkt irgendwelche Webmailer.. ich würde also die Mailadressen zusammenstellen und diese via Thunderbird meinetwegen über freemail[add]web.de an die Empfänger schicken... wieso ich da als Spammer erkannt werden sollte kann ich nicht nachvollziehen.
    BTW: Das meine Mails möglicherweise gelesen werden, ist mir bewusst... da ich aber keine Staatsgeheimnisse verwalte, ist es mir egal... ich kann es nicht ändern.. durch die von dir beschriebenen Umgehungs- und Verschleierungstaktiken machst du mögliche Spionageprogramme erst auf dich aufmerksam.
    Das Motto heißt: in der Masse untertauchen... das klappt, wenn man sich so verhält wie der Schwarm.. :wink:
    Vielleicht fehlt dir einfach auch nur die Gelassenheit des fortgeschrittenen Alters.. :P

    Ich wollte keine Emails versenden, ich wollte Emailaccounts erstellen. Die Zugangsdaten für die Accounts wollte ich dann meinen Verwandten geben damit das ihre Emailadressen werden. Die Email braucht es für eine bestimmte Seite auf denen ich ihnen etwas einrichten will. Dann schick ich ihnen alle Zugangsdaten und sie können schauen ob sie das so behalten wollen oder ändern.
    Sagen wir mal so... ich will ihnen ein Thema nahebringen.

    Naja... Gelassenheit in Computerfragen ist so eine Sache. Ich kenn Leute die sind so gelassen... wenn man den Virenscanner drüberlaufen läßt findet man 20+ Viren und Keylogger. Onlinebanking wird auf dem Rechner auch gemacht. Ist noch nie was passiert. Also was solls... :)

    Ich sag nicht dass du das so machst aber Gelassenheit bei dem Thema finde ich riskant. Jetzt wird die NSA sich kaum für dich interessieren aber die Überwachung allein kann schon Probleme bringen. ZB wie der Wiener Kutscher der an der Grenze hochnotpeinlich untersucht wurde. Warum? Er hatte sich über eine Mitfahrgelegenheitsseite eine Mitfahrgelegenheit gesucht. Angerufen, Fahrt ausgemacht. Hinterher per Email abgesagt. Die Grenzer wußten vom Anruf aber nichts von der Mail. Und da der Fahrer zufällig ein bekannter Drogendealer war... tolle Sache... nur wegen der Überwachung.

    Emailverschlüsselung soll schon noch sicher sein soweit ich Snowden verstanden habe. Ich glaube nicht dass die NSA jetzt jedes Mitglied der Piratenpartei überwacht oder deren PC knackt damit sie auch die verschlüsselten Mails lesen können.

    Daten sind halt was wert. Und die Wenigsten realisieren wie viel wert sie sind und verkaufen sie für ein paar popelige Rabatte freiwillig. Schlimmer wirds wenn man per Simkarte und Metadaten eine Bombe auf den Kopf bekommt. Übrigens steigen in Afghanistan die zivilen Opferzahlen. Warum? Terroristen tauschen regelmäßig Simkarten mit Unschuldigen. Oder Simkarten kommen in einen Sack, mischen und jeder zieht eine. Tolle Sache. Und kein Grund damit aufzuhören das als Bombenziel zu nehmen.

  • Naja, auch wenn das ziemlich abgehobene Beispiele sind, das mal eben als Paranoia abzutun ist schon auch ein wenig zu einfach. Ebenso wie die Aussage, man habe ja nichts zu verbergen.
    Wie leicht man selbst als braver Staatsbürger auch in Deutschland in irgendwelche Raster gerät und wie schwer man da wieder rauskommt zeigt z.B. der Fall des Dr. Michael Blume. Sein "Vergehen" war eine per E-Mail durchgeführte Befragung für seine Doktorarbeit. Und schon war er nicht im Raster sondern auch in der Presse. Das war lange vor der NSA-Affäre. Der Mann bekommt angeblich heute noch Drohungen aus der rechten Szene.