Bester Cookiemanager?

    Guten Tag.

    Es gibt mit CS Lite, Cookie Culler und Privoxy 3 nennenswerte Cookiemanager. Doch welches ist das beste?

    Bisher kann ich sagen, dass Cookie Culler und Privoxy zwei Schwachstellen haben. CC behandelt Cookies erst, nachdem sie bereits auf dem PC befindlich sind was bedeutet, dass sämtliche Attacken bereits auf einen User ausgeführt werden können. Privoxy hat den scheinbaren Nachteil, dass wenn man es für bestimmte URLs deaktiviert, aus welchen Gründen auch immer, auch jegliche Filter die es mit sich bringt deaktiviert. Was ist eure Meinung?

    Vielen Dank.

    Einmal editiert, zuletzt von unix_samurai (28. Januar 2009 um 19:54)

    Nutze keine davon!
    Meine Cookies werden beim Beenden des FF automatisch gelöscht, nur bestimmte sind davon ausgenommen( Firefox Forum z.B.). 8)

    Ich benutze CS Lite. Das hat die Funktionen die man braucht. (CS war mir zu überladen...)

    Ich denke dass es generell besser ist einen Cookie Manager zu verwenden, denn es gibt Seiten die zwar keine Cookies anlegen, aber die vorhandenen auslesen und ein Profil etc. erstellen.

    Zitat von klaudschv

    Ich denke dass es generell besser ist einen Cookie Manager zu verwenden, denn es gibt Seiten die zwar keine Cookies anlegen, aber die vorhandenen auslesen und ein Profil etc. erstellen.

    Nö, dazu müssen erst mal Cookies vorhanden sein.
    Und mit meiner Methode sind keine vorhanden(läßt sich kontrollieren), Außnahme bilden die von mir erwünschten :idea:

    unix_samurai wrote:

    Zitat

    und Privoxy 3 nennenswerte Cookiemanager

    Was bitte meinst du mit Privoxy? Ich kenne nur den Proxy und der ist weit mehr als ein Cookiemanager.


    Zitat

    dass sämtliche Attacken bereits auf einen User ausgeführt werden können

    Oh mein Gott, der böse Cookie-Angriff!!!!einself
    Was bitte für einen Angriff willst du über Cookies starten? Abgesehen von Privacy-Gedanken hat noch kein Cookie irgendeinen Rechner kompromittiert.

    Zitat

    CS Lite hat den scheinbaren Nachteil, dass wenn man es für bestimmte URLs deaktiviert, aus welchen Gründen auch immer, auch jegliche Filter die es mit sich bringt deaktiviert. Was ist eure Meinung?

    Erkläre das mal genauer.

    Btw. ist CS Lite kein Cookie-Manager. CS-Lite ist im wesentlichen eine bequeme Oberfläche für den Fx-internen.

    klaudschv wrote:

    Zitat

    denn es gibt Seiten die zwar keine Cookies anlegen, aber die vorhandenen auslesen und ein Profil etc. erstellen.

    Die vorhandenen sind nur diejenigen die die Seite selbst gesetzt hat. Restriktionen im Browser verhindern, dass man Cookies beliebiger Seiten abfragen kann (modulo Sicherheitslücken, XSS u,ä.).

    @ boardraider, zustimm!
    Aber jeder hat mal angefangen...... 8)

    Die bösen Cookies aber auch. :idea:

    >Was bitte meinst du mit Privoxy? Ich kenne nur den Proxy und der ist weit mehr als ein
    >Cookiemanager.

    Es gibt nur ein Programm namens Privoxy und ja, es ist weit aus mehr. Aber dennoch als Cookiemanager nutzbar. Ich erkenne hier keinen Fehler in meiner Aussage.

    >Was bitte für einen Angriff willst du über Cookies starten? Abgesehen von Privacy-
    >Gedanken hat noch kein Cookie irgendeinen Rechner kompromittiert.

    cross site request forgery.

    >CS Lite hat den scheinbaren Nachteil, dass wenn man es für bestimmte URLs
    >deaktiviert,aus welchen Gründen auch immer, auch jegliche Filter die es mit sich bringt
    >deaktiviert.Was ist eure Meinung?

    Ich habe versehentlich CS Lite geschrieben, meine aber Privoxy. Habe es im ersten Post edtiert. Ich denke, der Sinn sollte nun klar sein.

    unix_samurai wrote:

    Zitat

    Es gibt nur ein Programm namens Privoxy und ja, es ist weit aus mehr. Aber dennoch als Cookiemanager nutzbar. Ich erkenne hier keinen Fehler in meiner Aussage.

    Ich wollte an der Stelle keinen Fehler aufzeigen, nur für Klarheit sorgen. ;) Privoxy als Cookiemanager zu bezeichnen ist absolut ungewöhnlich und daher die Irritation. Hätte sein können, dass du von einem Addon sprichst, dass bisher unbekannt ist.

    Zitat

    cross site request forgery.

    Du schriebst im ersten Beitrag:

    Zitat

    CC behandelt Cookies erst, nachdem sie bereits auf dem PC befindlich sind was bedeutet, dass sämtliche Attacken bereits auf einen User ausgeführt werden können.


    CSRF Angriffe machen sich eine vorhandene Session zu Nutze (daher auch die Bezeichnung session riding). Wenn die Session über Cookies gehalten werden dann müssen die Cookies gezwungenermaßen am Client zwischengespeichert werden. Ein Cookiemanager steuert i.d.R. welche Seiten Cookies setzen dürfen, er definiert nicht, ob der Client im Kontext einer Seite automatisch Authentifizierungsinformationen an andere Seiten senden darf.
    Wie soll Privoxy denn feststellen, welche Requests potentielle CSRF-Angriffe sind und dort bspw. die Cookies entfernen? Ich stecke nicht so tief drin in Privoxy, mir wäre aber neu, dass Privoxy Anti-CSRF-Maßnahmen anbietet. Dazu müsste Privoxy wohl vorgehen wie Request Rodeo.
    Wenn Privoxy also Cookies blockiert, dann verhindert der Proxy auch den regulären Login. Umgekehrt - lässt Privoxy Cookies durch, dann bietet Privoxy auch keinen clientseitigen Schutz gegen CSRF.

    Zitat

    Ich denke, der Sinn sollte nun klar sein.

    Klarer ja. Aber wie genau gehst du dabei vor? Hast du mal ein konkretes Konfigurationsbeispiel?

    Zu CSRF kann ich mich leider nicht weiter äußern, weil ich über die Attacke keine genauen Daten weiß. Ich hatte nur vermutet, dass man durch den globalen Verbot von Cookies und Ausnahmeregen auf vertrauenswürdigen Sites mehr sicherheit erzielen kann. Doch nun wo Du session riding erwähnst, habe ich eine vermutung, worum es sich handelt, wodurch Privoxy scheinbar doch keinen Schutz bietet.

    >Klarer ja. Aber wie genau gehst du dabei vor? Hast du mal ein konkretes
    >Konfigurationsbeispiel?

    Ja. Wenn man Privoxy mit Tor kombiniert, dann linkt man normalerweise Tor direkt hinter Privoxy. Dadurch entsteht ein massiver Geschwindigkeitsverlust, der das Surfen auf Streamingsites unmöglich macht. Wenn man nun definiert, dass die IP Ranges dieser Sites exkludiert werden vom Proxy, dann sind natürlich auch die Filter davon betroffen.
    Darum benutze ich für Cookies auch CS Lite, weil das nun mal aktiv bleiben kann.

    unix_samurai wrote:

    Zitat

    Ich hatte nur vermutet, dass man durch den globalen Verbot von Cookies und Ausnahmeregen auf vertrauenswürdigen Sites mehr sicherheit erzielen kann.

    Wenn man Datenschutz/Privacy unter Sicherheit subsumiert dann kann man das natürlich so sagen. Grundsätzlich halte ich das für eine gute Strategie und empfehle das auch so.

    Zitat

    wodurch Privoxy scheinbar doch keinen Schutz bietet.

    Wäre mir eben auch neu, wobei Privoxy das im oben genannten Sinne (Request Rodeo) wohl umsetzen könnte. Aber eine derartige Erweiterung ist mir nicht bekannt.

    Zitat

    Wenn man nun definiert, dass die IP Ranges dieser Sites exkludiert werden vom Proxy, dann sind natürlich auch die Filter davon betroffen.

    Danke für die Erläuterung. Jetzt verstehe ich was du meinst.