Aktuelle PC und Internetsicherheit (2017-....)

  • Ich glaube nicht, dass Microsoft, Apple und Google die Verwaltung ihrer CA als Mittelpunkt ihres Handels sehen. Die richtig großen Firmen finden das wohl nicht dumm, wenn man neue und sichere Verfahren anwendet. Davon profitieren ja deren andere Produkte dann.
    Für die anderen gammligen CAs ist das natürlich nicht toll, weil das deren Geschäft ist.

    @Grind: Der "Diebstahl" ist in der Tat nicht neu. Und selten auch nicht. Hier empfiehlt sich eine kurze Recherche der Firma Comodo. Ganz tolle Firma...die Beste unter den Besten ;)

    @CN: HTTPS hat sich etabliert. Das System müssen wir nun so umbauen, dass es auch im heutigen Web sicher und nutzbar ist. Demnächst erscheint TLS 1.3, was einen Haufen Fehler beseitigt.

    Aber es müssen immer alle mitziehen. Die Webserverbetreiber und die Softwarehersteller. Wenn die Software mit den neuen Verfahren nicht umgehen kann, werden die Webseitenbetreiber die Zertifikate abwärtskompatibel und damit meistens unsicher halten, um die Leute nicht auszuschließen.
    Ich habe lange an meinen Zertifikaten rumgespielt, welche Ciphers ich nutzen möchte, welche Schlüssellänge etc. pp.. Letztendlich nutze ich aktuell zwar keine Unsicheren, aber wenn ich wollte, könnte ich noch eine Schippe Krypto drauflegen. Dann streiken bei mir aber einige Softwarekomponenten. Ebenso bei der Schlüssellänge, wo mein Macbook die Kommunikation mit meinem Server einstellte als ich bei 8192bit angekommen war ;)


    Ich denke mal, dass ich meinen kleinen Guide (https://www.voodooalert.de/board/index.ph…&threadID=20769) demnächst auch einmal aktualisieren werde. Ich denke mal nach der Einführung von TLS 1.3 finde ich da ein Wochenende zum testen.

  • Oha, so langsam gehts ans Eingemachte, wo man als Normaluser, der sich mit der Thematik nur oberflächlich oder
    nicht beschäftigt hat, Ein- und Überblick verliert.

    Was mit den AVs angesprochen wurde ist genau das, was ich meinte:
    Das sitzt ein mächtiges Tool im System und führt genau zu dem, was es verhindern soll -anstatt das System
    sicherer zu machen ist ein zusätzliches Einfallstor.
    Tor, da war mal was - "Das Netz" -> Torwächter, was genau diese Thematik beschreibt! 1995!


    Was die CAs angeht, so stören diese mich seit längerem ebenso wie Cloudcomputing, welches nicht in der eigenen Obhut abläuft.
    Man gibt einfach zuviel aus der Hand ist dem Wohl und Wehe der Betreiber und evtler. Absprachen derer mit Dritten ausgeliefert.
    Stimmt man der Nutzung aus welchen Gründen nicht zu und verhindert diese Zugriffe ist vieles im Normalweb nicht mehr
    aufrufbar und der Nutzwert sinkt rapide.
    Ich selber finde es immer befremdlicher, das alles Mögliche an/über dritt, viert etc. Server gesendet, verifiziert, getrackt und geloggt wird.
    Außerdem ist es leicht auf diese Art und Weise unliebsame Webseiten dem Normaluser vorzuenthalten, da er sich durch eine "Sicherheitswarnung" leicht abschrecken lässt! - weil das Zertifikat als negativ oder nicht erreichbar eingestellt wurde!

    Das Grundproblem an den Zertifizierungsstellen ist doch: In wessen Hand sollen die liegen? Wer soll entscheiden?
    Irgendwelche Firmen - mit logischerweise ertragsorientierter Haltung?
    In staatlicher Hand - und damit leicht durch Lobbyismus kompromittierbar durch Durchsetzung von gesetzlichen "Richtlinien"?
    Open Source - wo niemand genau weiswas, wie wo, wer macht?

    Ein Konglomerat aus min 3 Stellen, die identische Resultat abliefern müssen wäre wohl am sichersten,
    aber wohl leider auch am wenigsten praktikabel.

    Browser + CA
    Das Abschalten von Addons ohne offensichtliche Zugriffsmöglichkeit des User ist auch so ein ätzender Punkt.
    Habe 3-4 Addons im FireFox, die ich gern genutzt habe und deswegen nun nicht mehr nutzen kann :(
    Da fühle ich mich schlicht bevormundet und das kann ich garnicht ab.
    Kann man das umgehen? (Ja, sicherlich, aber wie? ;) )

    So interessant der Gedankenaustausch auch ist..
    Was mir wichtig wäre und auch als Leitfaden für viele dienen soll:
    Es wäre schön, wenn hier einig Links zum vertiefen und ggf. zu HowTos angegeben werden, damit man
    sein(e) eigenen/s Sytem(e) sicherer machen kann.

    Eine Bitte an alle:
    Postet möglichst wenig Abkürzungen und schreibt in einem wenig Fachchinesisch durchsetztem Deutsch,
    damit es auch Laien und Normaluser mit Willen halbwegs verstehen und umsetzen können. Danke.

    Grüße @LL

  • Was meinst du mit dem Abschalten von Browser Add-Ons? Was möchtest du da umgehen? Verstehe gerade nicht ganz.


    Sobald man beim Thema ITsec etwas tiefer einsteigt, gerät man sehr schnell ins Englische. Bei Abkürzungen versuche ich mich zu verbessern, aber einige Dinge lassen sich nur sehr schlecht ins Deutsche übersetzen. Die Sprache in der Thematik ist Englisch. Aber man kann da ja einfach mal die dt. Wikipedia-Artikel als Link anhängen. Das bringt dann Kontext und damit Verständnis.

  • Das wäre prima.

    Englisch ist jetzt keine große Hürde für mich solang es kein extremes Wirtschafts- oder Technik-Englisch ist.
    Einige hier gepostete Beiträge sind aber ein grausiges Kauderwelsch, wo man kaum was mehr peilt.
    Das ist dann wenig hilfreich ;)

    Browser Addons:
    Das werden die Zertifikate nicht mehr passen, entzogen oder abgelaufen sein.. - da steht dann:
    "Addon namens xy" konnte nicht für die Verwendung in firefox verifiziert werden und wurde deaktiviert.

    Könnte an meinen älteren FF Versionen liegen, oder was weis ich.

    Ich finde es unerträglich da keine ersichtliche Zugriffsmöglichket zu haben und daß da von fremder Stelle
    her an meiner Konfiguration ohne meine Zustimmung herummanipuliert wird. Sicherheitsgedanke hin oder
    her.. :-/

    Als eigenständiger user missfällt mir die immer mehr um sich greifende Bevormundung und Herabstufung
    zu einem reinen Anwender.
    Vielleicht wird das auch nur eingesetzt um die Addonanbieter zum Zertifikaterwerb zu bewegen!?
    Falls das mit einer Kostennote einhergeht ist das moderne Erpressung!

    Sicherlich bringt es eine geringfügige Sicherheitssteigerung, wenn wirklich anfällige Software auf breiter
    Ebene bei allen im Netzwerk/iNet hängenden Rechnern ohne Zutun deaktiviert wird, aber da müßte man
    ja teorethisch jeden Windows-PC unter 8.1 oder minimum Win7 abstellen.. ;)

  • z.T. wird das auch so gemacht, wenn auch nicht so invasiv wie du es beschreibst. Aber genügend Webserver werden dir die Auslieferung ihrer Webseiten verweigern, wenn du mit einem alten SSLv3 Protokoll, oder einem schwachen RC4 Cipher daherkommst beim Aushandeln von HTTPS. Teilweise reicht es schon, diese Cipher nur zu beherrschen!

    Ein Client kann z.B. beim Handshake detektieren: Ok, dieser Server unterstützt AES256-GCM, flawless AES256-CBC und aber auch noch einen alten RC4 Cipher. Manch ein Client verweigert jetzt die Verbindung, obwohl sehr starke Cipher vorhanden sind. Grund: Ein anderer User (vielleicht mit einem alten Betriebssystem oder Browser) könnte ja RC4 aushandeln und damit auch für die von dir übermittelten Daten (die er dann abruft) zum Datenleck werden, wenn es da wirklich eine Angreifbarkeit gibt.

    Also mit alten Browsern wirst sowieso von diversem Content bzw. von diversen HTTPS Servern ausgeschlossen auf Dauer, und das betrifft natürlich auch andere Software, also diverse Clients für diverse Dienste.

    AddOn Signierung ist im Übrigen seit Firefox 45 48 tatsächlich [Pflicht]. Bei älteren Versionen von FF läßt sich die Signaturprüfung aber deaktivieren:

    about:config, xpinstall.signatures.required => False

    "Trust" kann schon auch Mal zum Problem werden, wenn man einfach Mal nur drauf pfeifen will (aus welchem Grund auch immer).

    1-6000-banner-88x31-jpg

    Stolzer Besitzer eines 3dfx Voodoo5 6000 AGP Prototypen:

    • 3dfx Voodoo5 6000 AGP HiNT Rev.A-3700

    [//wp.xin.at] - No RISC, no fun!

    QotY: Girls Love, BEST Love; 2018 - Lo and behold, for it is the third Coming; The third great Year of Yuri, citric as it may be! Edit: 2019 wasn't too bad either... Edit: 2020... holy crap, we're on a roll here~♡!

    Quote Bier.jpg@IRC 2020: "Je schlimmer der Fetisch, desto besser!"

    Einmal editiert, zuletzt von GrandAdmiralThrawn (10. Februar 2017 um 11:40)

  • Bzgl. Installationshemmnissen bei Firefox Add-Ons hilft oft folgendes:

    XPI-Datei herunterladen und mit 7-Zip oder WinRAR öffnen. Den Ordner MANIFEST aus der XPI-Datei löschen.
    Wenn sich der Firefox weigert, weil die XPI eine Mindestversion vom Firefox vorsieht und man selbst eine ältere Version nutzen möchte, extrahiert man die install.rdf, öffnet diese mit einem Texteditor und sucht nach "minVersion" (ohne Anführungszeichen). Dort ändert man die Mindestversionsangabe entsprechend, speichert die install.rdf wieder und ersetzt die install.rdf in der XPI-Datei mit der gerade geänderten.

    Letztendlich machen wir hier aber auch ein Stück Sicherheit kaputt. Man nutzt bewusst ältere Versionen und entfernt ein Sicherheitsmechanismus, um es gangbar zu bekommen. Wenn man weiß was man macht vollkommen i.O., aber warum nutzt man nochmal eine veraltete Version?
    Für die Masse halte ich signierte Software für sinnvoll. Wenn richtig umgesetzt, wird Laien keine Version untergeschoben, die vorgaukelt das versprochene Produkt zu sein, im Grunde aber nur Malware im Inneren ist.

  • Der Grund ist im Regelfall ja der, daß die neueren Versionen das System nicht unterstützen auf dem man sitzt. Also sprich: Veraltetes Betriebssystem braucht / hat nur veralteten Browser. Das betrifft ja nicht Mal nur Windowssysteme.. Bei sowas stört es dann halt schon wenn man die Freiheiten nicht bekommt, div. Mechanismen auszuhebeln.

    Ich war schon immer ein Verteter der Anschauung, daß man den Nutzer gefälligst alles tun lassen sollte was technisch drin ist. Klar soll dann ein großes, rotes "SIE WERDEN STERBEN!!!!!111" Warnfenster aufpoppen wenn man sowas macht, aber möglich muß es sein.

    Der Masse is das eh wurscht, die bringen das ohnehin nicht zusammen, die sollen sich einfach das neueste OS mit neuestem Browser holen, fertig.

    1-6000-banner-88x31-jpg

    Stolzer Besitzer eines 3dfx Voodoo5 6000 AGP Prototypen:

    • 3dfx Voodoo5 6000 AGP HiNT Rev.A-3700

    [//wp.xin.at] - No RISC, no fun!

    QotY: Girls Love, BEST Love; 2018 - Lo and behold, for it is the third Coming; The third great Year of Yuri, citric as it may be! Edit: 2019 wasn't too bad either... Edit: 2020... holy crap, we're on a roll here~♡!

    Quote Bier.jpg@IRC 2020: "Je schlimmer der Fetisch, desto besser!"

  • Von manchen Dingen bekommste keine neueren Versionen ;)
    Nach einer Neuinstallation des Addons klappts komischerweise erstmal wieder.
    Danke für das Howto :thumbup:

    Ahjo, sehe gerade, das GAT das schon so schön beanwortet hat, daß ich garnicht groß weiter tippen brauche ;)
    Richtig, für die Masse eh wurscht, aber ich wills machen können, ohne das es mir unnötig verkompliziert wird.
    Kostet nur Zeit und bringt dem erfahreneren Anwender nix ein, Otto Normal interessierts sowieso nicht.

    Ich halte Zertifizierungen sogar oft für absolut nachteilig, und da spreche ich nicht nur von Softwaregedöns,
    sondern auch von denen im Wirtschaftsleben (ISO), weil kleinere Anbieter damit ganz leicht außen vor bleiben,
    welche sich die Zusatzkosten, ganz simpel, nicht (oder kaum) leisten können! Großen Buden sind die fast egal,
    bei deren Umsatz oftmals ein absolut vernachlässigbare Größe.

  • Codesigning ist im Speziellen problematisch, weil's das Entwickeln freier Software für simple Verteilung natürlich stark erschwert. Siehe z.B. Java WebStart, oder in Zukunft auch Mal normale Java Software. Auf mobilen Plattformen müssen Apps sowieso signiert sein, das hatte sogar Symbian damals schon.

    Da hast halt eine Umkehr des Trustmodells, sprich: Nicht (nur) du als User entscheidest, welchem Anbieter du vertraust, sondern der Anbieter entscheidet, ob er dir eine Vertrauensstellung (=für Geld meistens) einräumt.

    Ist halt alles ein Für und Wider.

    Nur, eine flashy Warnung würde meiner Meinung nach reichen... Aber mir scheint als hielten diverse Entwickler die Menschen zu dumm/unachtsam um dann die richtigen Entscheidungen zu treffen, also "beschützen" wir den User indem wir Umgehungen ganz verbieten. Das is halt... najo...

    Aber: Deswegen gefällt mir dieses DANE so gut, das Chosen da verlinkt hat, für verschlüsselte Netzwerkprotokolle halt! Das würde die Trustchain komplett in die Hand des Betreibers verfrachten, ohne auf ominöse "Zertifikatsautoritäten" angewiesen sein zu müssen. Ich mein, [Let's encrypt] ist sicher auch super, aber letzten Endes nur ein Workaround um das eigentliche Kernproblem herum.

    1-6000-banner-88x31-jpg

    Stolzer Besitzer eines 3dfx Voodoo5 6000 AGP Prototypen:

    • 3dfx Voodoo5 6000 AGP HiNT Rev.A-3700

    [//wp.xin.at] - No RISC, no fun!

    QotY: Girls Love, BEST Love; 2018 - Lo and behold, for it is the third Coming; The third great Year of Yuri, citric as it may be! Edit: 2019 wasn't too bad either... Edit: 2020... holy crap, we're on a roll here~♡!

    Quote Bier.jpg@IRC 2020: "Je schlimmer der Fetisch, desto besser!"

  • Über signierte Software stellt der Hersteller klar, dass die Software auch von ihm kommen und nicht irgendwo auf dem Weg verändert wurden. Überall eine Meldung davorhängen bringt nichts. Das wird weggeklickt.
    Natürlich sind Signaturen nicht zu 100% sicher, wenn der Key zum signieren abhanden kommt, aber in meinen Augen besser als nichts zu tun.

  • Jo, das is schon klar, aber wenn ich jetzt dauernd dafür zahlen muß, meine Software laufend signieren zu können, dann ist das ein Problem, wenn ich freie Software entwickeln und diese frei verteilen möchte. Weil die kann dann ohne Signatur keiner mehr ausführen. Ein Beispiel dafür sind z.B. Secure Boot Signaturen für EFI Binaries von Betriebssystembootloadern. Nur wenige Linux Häuser leisten es sich, sowas zu machen, weil es kostet.

    Und ich muß dann ja auch in gewissen Zeitabständen immer wieder eine neue Signatur kaufen, weil die ja oft Ablaufdaten haben. Das erzeugt dann weitere Kosten. Wenn ich also freie Software verteilen möchte, dann will ich das auch tun können, ohne was dafür bezahlen zu müssen, daß der User das ausführen kann.

    Zudem sollte es auch möglich sein, quelloffene Software anonym zu vertreiben (Altes Beispiel: Truecrypt). Für manche Entwickler ist eine Identifizierbarkeit ihrer Person über ein Zertifikat eventuell gefährlich.

    Vielleicht waren Popupfenster auch nicht die beste Wahl in meinem Vorschlag. Dann nehmen wir eben ein Configfile, in dem man ein Flag umsetzen muß. Tut's auch, und ein gewöhnlicher User kommt nicht in die Versuchung einfach "Accept" oder wwi anzuklicken.

    Das sind die Nachteile, die ich da sehe, an Codesigning ist definitiv nicht alles gut. Den klaren Vorteil hast du eh schon genannt.

    1-6000-banner-88x31-jpg

    Stolzer Besitzer eines 3dfx Voodoo5 6000 AGP Prototypen:

    • 3dfx Voodoo5 6000 AGP HiNT Rev.A-3700

    [//wp.xin.at] - No RISC, no fun!

    QotY: Girls Love, BEST Love; 2018 - Lo and behold, for it is the third Coming; The third great Year of Yuri, citric as it may be! Edit: 2019 wasn't too bad either... Edit: 2020... holy crap, we're on a roll here~♡!

    Quote Bier.jpg@IRC 2020: "Je schlimmer der Fetisch, desto besser!"

  • Kleine Empfehlung hinsichtlich eines DynDNS-Dienstes.

    deSEC GmbH

    Link: https://desec.io/#!/de/

    Anders als mein bisheriger Favorit spDYN von Securepoint bietet deSEC neben IPv4/6-Support auch DNSSEC an. Dazu kostenlos und sehr datensparsam. Es wird nur eine Mail-Adresse gebraucht.

    Beim ersten Test eben etwas Wartezeit mitbringen. Meine Adresse war erst nach 10 Minuten aufrufbar.

  • mal 'ne frage hier in die runde...
    was haltet Ihr von VPNs im bezug auf anonymes surfen?
    bin da etwas grün...
    opera z.b., bietet 'ne VPN out-of-the-box an...
    wenn man die aktiviert, ändert diese die eigene ip-adresse...
    heisst die seite die ich so ansurfe sieht/kennt meinen aktuellen standort nicht, oder denke ich zu naiv?
    was ist von addons wie zb. anonymox zu halten, hier kann man unter verwendung eines proxys auch mit einer veränderten ip-adresse unterwegs sein...
    klar, man muss dem anbieter irgendwo vertrauen...
    trägt sowas (veränderte ip-adresse) zur zur sicherheit und anonymität bei, oder ist das irgendwo nur paranoia meinerseits?

  • Die Gegenseite sieht nur die IP-Adresse, wo dein VPN endet.
    Aber wie du richtig erkannt hast, muss man diesem Anbieter vertrauen. Da geht dann alles durch.

    Ich nutze selbst recht viel VPN. Aber eher aus Gründen der Sicherheit und nicht der Anonymität. Meine Fritzbox ist mein VPN-Server und alle mobilen Endgeräte verbinden sich mit ihm, wenn sie nicht zu Hause sind. D.h. ich gehe immer "von zu Hause" aus ins Internet. Anonym ist da nichts, aber ich habe immer einen sicheren Tunnel nach Hause. D.h. auch das offene WLAN im Cafe ist damit sicher...für mich.

  • Bezüglich der VPN-Funktion von Opera wäre ich da vorsichtig. Ist die aktiviert, wird die tatsächliche IP verschleiert (nützlich z.B. für youtube, wo teils die lächerlichsten Dinge gelockt sind). Als "sicher" würde ich das allerdings nicht bezeichnen. Die VPN ist umsonst, aber ganz sicher nicht kostenlos. ;)

  • Ich glaube für Anonymität im Netz geht kein Weg um TOR herum.
    Ob das dann 100%tige Anonymität gewährleistet ist auch fraglich, aber dennoch die beste Methode. Frisst natürlich auch etwas an Internetgeschwindigkeit.
    Die Frage ist halt wie stark du mit "gefälschten" Nummernschildern im Netz unterwegs sein willst (Also was will man damit erreichen?).

    Die Pixel beschleunigt, die Kanten gefixt, lang leben die Karten von 3dfx! :spitze:

  • Wieso? Für die aktuellen Produkte gibt es den Patch seit 2 Monaten. Unter Druck sind nur die Leute, die nicht patchen (können).

    Ich bin eh immer hin- und hergerissen, wenn es um Sicherheitslücken geht, deren Bekämpfung recht einfach ist. Es gibt Patches, installiert sie.
    Ansonsten wäre ein reinigendes Feuer evtl. garnicht so schlecht oder? Ich weiß nicht...man soll ja schützen...aber vielleicht hilft es ja auf langer Sicht...

    Einmal editiert, zuletzt von Chosen_One (13. Mai 2017 um 15:01)

  • Wobei man sagen muß, die XP Systeme, die wirklich noch real produktiv im Einsatz sind, sind wohl alles POSReady2009? Und die bekommen das Update ja eh sowieso ausgerollt, weil Support bis 2019. Ich freue mich natürlich drüber, daß mein XP x64 jetzt auch noch einen Fix bekommen hat, aber von Seiten MS verstehe ich den Zug objektiv betrachtet kaum. Hätte es dem Konzern wirtschaftlich geschadet, das Update nicht offiziell für XP (und XP x64 und Server 2003 x64, die KEINEN POSReady2009 Gegenpart haben!) auszurollen?

    Also mich wundert das Vorgehen da fast, auch wenn ich natürlich Nutznießer bin.

    Ich denke aber, daß es hier viel mehr Firmensysteme mit viel zu langen Updatezyklen erwischen wird, als Endnutzer, die Windows Update ja üblicherweise vollautomatisch saugen und installieren lassen, und damit viel zeitnaher geschützt gewesen sein dürften?

    1-6000-banner-88x31-jpg

    Stolzer Besitzer eines 3dfx Voodoo5 6000 AGP Prototypen:

    • 3dfx Voodoo5 6000 AGP HiNT Rev.A-3700

    [//wp.xin.at] - No RISC, no fun!

    QotY: Girls Love, BEST Love; 2018 - Lo and behold, for it is the third Coming; The third great Year of Yuri, citric as it may be! Edit: 2019 wasn't too bad either... Edit: 2020... holy crap, we're on a roll here~♡!

    Quote Bier.jpg@IRC 2020: "Je schlimmer der Fetisch, desto besser!"