Du bist nicht angemeldet.

#1 24.07.2013 12:14:15

T.M.
Mitglied

Sicherheit?

(Ich kann mich nicht erinnern, dass es hier einmal einen thread dazu gegeben hat. Hat es?)

Ohne aufgrund aktueller Enthüllungen in Panik geraten und blindwütigen Aktivismus betreiben zu wollen, eine Diskussion unter technischen Gesichtpunkten könnte interessant sein. Es geht um einen umfassenden Schutz der Persönlichkeit hinsichtlich mehrer Szenarien (um nicht das Wort "Bedrohung" zu verwenden):
1. Schadsoftware
2. Internetkriminalität
3. kommerzielle Datensammlung
4. in- und ausländische staatliche Überwachung
Die Liste wird ja interessanterweise immer länger. Und die Verantwortung dafür - der deutsche Innenminister hat es eigentlich klar ausgesprochen - liegt beim Einzelnen, er muss sich schützen, es wird schlicht keinen vertrauenswürdigen Weg mehr daran vorbei geben, Rechtsstaat hin oder her ... Politiker [1] jedenfalls werden dieses nötige Vertrauen wahrscheinlich nicht mehr herstellen können.

Ich spiele gerade (wieder einmal) mit dem tor-Netzwerk herum und muss zunächst bemerken, dass die Geschwindigkeitseinbussen, die noch vor zwei Jahren unübersehbar und schmerzlich waren, deutlich zurückgegangen sind. Selbstverständlich merkt man auch heute noch, dass die Kette halt länger ist, das lässt sich nicht vermeiden, aber es ist im Prinzip benutzbar. Man kann auch ein bisschen mehr daran steuern als früher, bestimmte Server bevorzugen usw. Was noch? Renderer in HTTP-Anfragen verbieten? User Agent verbieten? DNS-Auflösung privatisieren?

JavaScript ausschalten! - steht überall, seit Jahren schon. Aber JS generell im Browser hart ausschalten ist nicht unproblematisch. Viele Seiten funktionieren einfach nicht mehr ohne, d.h. man muss JS selektiv ausschalten. Das wiederum bedeutet aber, dass man (wahrscheinlich zahlreiche) Fenster öffnet und dauerhaft geöffnet lässt, obwohl man die Tür vielleicht peinlichst und doppelt abschliesst und noch einen Hund davorsetzt ... Viele Websites bieten immerhin eine zusätzliche Seite an, die ohne JS auskommt, beispielsweise duckduckgo, diese allerdings wird nicht automatisch angezeigt, sondern erfordert einen zweiten Klick, verwendet zudem nicht die richtigen Spracheinstellungen und hat andere Nachteile. Mit (oder besser gesagt: ohne) Cookies ist es ganz ähnlich. - Ist es ratsam, wirklich all das zu administrieren? D.h. wirklich festzulegen, diese Seite darf Cookies anlegen und Scripts ausführen, die andere nur Cookies setzen, die dritte wiederum nur Scripts, aber keine Cookies, die vierte nur bestimmte Cookies ......

Mails verschlüsseln - gute Idee! Ein nachhaltiges Problem ist allerdings, dass solche mails auch Empfänger haben bzw. von Absendern stammen, d.h. dass Personen (und Einrichtungen) involviert sind, die von Verschlüsselung vielleicht nicht nur noch nie etwas gehört haben, sondern die womöglich sogar per Policy dazu angehalten sind, sich so und so zu verhalten, d.h. ggf. auch mails unverschlüsselt zu senden und zu archivieren. (Es gibt ja noch viel dümmere Policies zum mail-Versand in HTML, RTF und sonstwas.) Zudem kommt das Problem, dass man diese Verschlüsselung dann auch selbst an diversen Stellen machen muss, insbesondere auch auf mobilen Geräten, d.h. man muss sich überall um Zusatzsoftware kümmern und diese konfigurieren. Drittens hat man das Problem, dass man einen verschlüsselten Text zwar verschlüsselt versenden kann, diesen damit aber aus der Hand gibt. Was der Empfänger damit (unverschlüsselt) macht (inkl. Ausdrucken und Abheften), ist schlicht seine Privatsache.

Wie sind Eure Erfahrungen? Was ist in Sachen Sicherheit wirklich notwendig? Was ist vernünftig? Was ist overkill?

P.S.: Für das Aufsetzen von tor hab ich das englische Wiki benutzt. Im deutschen steht schlicht gar nichts. Vielleicht wäre insgesamt eine Wiki-Seite gut, die das Thema "Internetsicherheit" technisch behandelt, Empfehlungen gibt und Konsequenzen aufzeigt.

[1] http://www.spiegel.de/images/image-2298 … 9-rjgx.jpg

Beitrag geändert von T.M. (24.07.2013 12:20:28)

Offline

#2 24.07.2013 13:35:24

Ovion
Mitglied

Re: Sicherheit?

Technisch:
Cookies standardmäßig aus, nur selektiv erlauben, wahlweise dauerhaft (sehr selten, ich glaube, nur archlinux.de hat eine dauerhafte Erlaubnis), temporär (aka einmalig) oder Sitzungscookie, mache ich hier durchgehend und es stört ganz und gar nicht. CookieMonster heißt das Firefox-Addon, das ich dafür verwende.

Ghostery (Add-on für Firefox, Chrome, Opera, ...) sperrt Webbugs, sollte so Tracking reduzieren - fängt sicher nicht alles ab, aber zusammen mit den Cookies hoffentlich doch schon einiges. Kann auch Flash-Cookies löschen!

Referrer (ich glaube, du meintest den, als du von Renderer sprachst?) sende ich ebenfalls nicht mit, die wenigsten Seiten (mir ist noch keine begegnet) stellen sich an.

JavaScript kontrolliere ich mit NoScript, Interdomainzugriffe mit Requestpolicy (beides Firefox-addons, nimm bei ReqPolicy die Beta von der Seite, nicht die aus den FF-Repos, die Beta ist ein kompletter rewrite und in vielen Punkten erheblich besser (u.A. Blacklisting)). Wenn man die Eingewöhnungszeit überstanden hat, auch nicht so wild.

HTTPS everywhere und HTTPS Finder zur Sicherstellung von https, damit wenigstens nicht auf dem Weg gelauscht werden kann.

UserAgent ändere ich persönlich selten (meist nur, wenn ich irgendwo etwas nicht für mein Betriebssystem runterladen möchte, die Seite aber so eine blöde automagische Erkennung hat)

Hilft in gewissem Maße gegen Tracking, wie effektiv, mag ich nicht zu beurteilen, gerade NoScript und RequestPolicy helfen gegen Schadware-Drive-By-Downloads (unter Linux jetzt nicht so die Bedrohung, aber auch unter Windows effektiv), da ein 0*0 px-iFrame die gängigste Methode dafür ist. Zudem gibt's sehr interessante Trackingmethoden, die via JavaScript implementiert sind (Benutzer an Mausführung wiedererkennen).

Hilft nur insofern gegen die NSA, als sie weniger Trackingdaten von Google und Co. bekommen können. Besser hilft da nur Datensparsamkeit, denn die NSA holt sich ja gerade die Sachen, die man freiwillig eingegeben hat (irgendwann in seinem Leben).

Mailverschlüsselung hilft nicht gegen den Social-Graph, also wer mit wem, aber immerhin gegen die Inhaltsüberwachung, so do it! Und rede (hartnäckig) mit den Leuten, dadurch wächst dein Schlüsselbund. wink
Funktioniert unkompliziert und angenehm.

Tor:
Naja, ist halt so eine Sache, es heißt immer wieder, die meisten Exit-Nodes gehören ohnehin der NSA, dann wäre das ganze etwas witzlos, bzw. nur wirklich nützlich für diejenigen, die es zum Schutz vor Diensten verwenden, mit denen die NSA nicht zusammenarbeitet (Iran for example).

Fazit:
Gegen 1) kann man sich imho in der gegenwärtigen Lage ziemlich gut schützen (Wenn man nicht immer gleich den neuesten angebotenen "Codec" installiert, um seinen Porn schauen zu können, versteht sich).
Gegen 2) - für Phishing braucht man wieder seinen Kopf, da hilft technisch nur wenig, gegen Datendiebstahl bei Sony kannst du auch nur wenig tun, was gibt's noch?
Gegen 3) die oben genannten Methoden, Cookiekontrolle + Ghostery, von der Effektivität her sicher nicht die coolste Sache seit der Erfindung des Schnittbrots, aber zumindest etwas.
Gegen 4) hilft nur Datensparsamkeit und evtl. das Setzen eines richtigen Kreuzchens im September, letzeres dürfte (leider) der einzige potentiell wirklich effektive Weg sein. Wie das dann in der Realität aussieht, sei mal dahingestellt.

Offline

#3 24.07.2013 13:53:20

T.M.
Mitglied

Re: Sicherheit?

Ovion schrieb:

Referrer (ich glaube, du meintest den, als du von Renderer sprachst?) sende ich ebenfalls nicht mit, die wenigsten Seiten (mir ist noch keine begegnet) stellen sich an.

Ja, Mist, ich hab nachträglich ungefähr fünf Fehler gefunden - DEN nicht sad - Referrer!

HTTPS everywhere und HTTPS Finder

Guter Tip.

Und rede (hartnäckig) mit den Leuten, dadurch wächst dein Schlüsselbund. wink Funktioniert unkompliziert und angenehm.

Das ist eben so ein Problem. Die meisten Leute (drum ist es ja auch in ganz Europa derzeit so still) wollen sich schlicht damit nicht auseinandersetzen. Das lifestylishe iDingens muss tippen und wischen, geh weiter mit deinem nervigen Sicherkeitskram, der alles nur kompliziert macht. Jede Thematisierung schlägt dann schnell in Unmut um. Frag mal, wieviele Frauen schonmal den Ölstand am Auto geprüft haben.

Tor: Naja, ist halt so eine Sache, es heißt immer wieder, die meisten Exit-Nodes gehören ohnehin der NSA

Ha, schlicht jeder (!) kann mitmachen und ein eigenes Relay anmelden (und dann natürlich fleissig seinen traffic protokollieren), wenn ich das richtig verstanden habe. Ich werde vielleicht mal bisschen dazu recherchieren ...

Offline

#4 24.07.2013 14:27:11

Ingo R.
Gast

Re: Sicherheit?

Zum Beispiel verwende ich für einfache Suchanfragen im Internet https://www.ixquick.com/. Finde ich dort nicht das Gewünschte, versuche ich es mit https://startpage.com/.

#5 24.07.2013 16:47:24

Ovion
Mitglied

Re: Sicherheit?

T.M. schrieb:

Ha, schlicht jeder (!) kann mitmachen und ein eigenes Relay anmelden (und dann natürlich fleissig seinen traffic protokollieren), wenn ich das richtig verstanden habe. Ich werde vielleicht mal bisschen dazu recherchieren ...

Natürlich kann jeder mitmachen und jeder kann auch einen Exit-Node bereitstellen.
Und in Deutschland hast du dann früher oder später eine Polizeikollone vor der Tür stehen, die deinen Rechner erstmal wegen KiPo mitnimmt. Dass du dann nachweisen kannst, dass es ein Tor-Exit-Node ist und du das nicht warst, hilft dir da leider auch nicht weiter, vor allem, weil du den Rechner erst dann zurückbekommen wirst, wenn die die Festplatte überprüft haben. Da ich hauptsächlich meinen Laptop benutze, ist der verschlüsselt, aka ich krieg das Ding nie wieder.

Da finanziere ich lieber eine öffentliche Organisation, die einen Exit-Node aufstellt, geht ja glücklicherweise auch. Aber wenn das nicht flächendeckend läuft, wird es nur schwer möglich sein, die NSA auszustechen, schon rein von den Kapazitäten her. Leider. Es gibt aktuell weltweit glaube ich etwas um 300 Exit-Nodes (irgendwas dreistelliges), ebensoviele aufzustellen zahlt die NSA aus der Portokasse.

@Ingo R.
Full ACK.

Offline

#6 24.07.2013 18:08:31

Icecube63
Mitglied

Re: Sicherheit?

T.M. schrieb:

Und die Verantwortung dafür - der deutsche Innenminister hat es eigentlich klar ausgesprochen - liegt beim Einzelnen, er muss sich schützen, es wird schlicht keinen vertrauenswürdigen Weg mehr daran vorbei geben, Rechtsstaat hin oder her ... Politiker [1] jedenfalls werden dieses nötige Vertrauen wahrscheinlich nicht mehr herstellen können.

Die Einstellung ist schlichtweg falsch und genau die Richtung, die die Politik gerne hätte. In Artikel 10 des Grundgesetzes heißt es: “Das Briefgeheimnis sowie das Post- und Fernmeldegeheimnis sind unverletzlich." Und dieses sicherzustellen haben sich die Minister, also auch Herr Friedrich mit ihrem Amtseid verpflichtet. Jeder Briefträger, der deine Post ließt landet im Knast, das sollte auch mit jedem passieren, der - ohne richterliche Genehmigung (und damit meine ich kein Geheimgericht) - deine Mails mitliest. Wenn das nicht so ist, ist es unsere Aufgabe dafür zu sorgen, dass die Politiker gewählt werden, die dafür eintreten und das umsetzen. Und nicht die Briefe kryptisch zu verfassen. Und wenn Friedrich das nicht sicherstellen kann soll er zurücktreten und das Amt jemand fähigerem überlassen.

Wenn ein Staat (oder ein Staat im Staat) es sich zum Ziel gesetzt hat die Welt lückenlos zu überwachen wirst du wenig bis nichts dagegen machen können. Du hast ja noch gar nicht die Themen Telefonie (wo VoiP komplett uafgezeichnet wird) und Smartphone angesprochen. Jeder der 3 nennenswerten Anbietern gibt der NSA eine Schnittstelle, und mit was mit GPS an Daten gesammelt und Profile erstellt werden können kannst du dir ausmalen. Dagegen ist das Tracking deines Surfverhaltens ein Kinkerlitzchen.

Ovion hat ganz richtig geschrieben, da hilft nur das Kreuzchen im September an der richtigen Stelle zu machen. Denn unser Überwachungsminister Friedrich hat sicher vor Geilheit gesabbert, als ihm die Amis erklärt haben, was sie alles abfischen können. Und will das alles auch, wobei er sich ja nicht beklagen kann, nur mit der Vorratsdatenspeicherung klappts ja noch nicht wie gewünscht.
Mit einer große Koalition wäre das und vieles anderes kein Problem mehr, aber auch SPD und Grüne vereinbaren sicher einen SPD-Innenminister, was kaum besser wird.

Die Frage ist also, was die richtige Stelle sein wird...

Beitrag geändert von Icecube63 (24.07.2013 18:14:31)

Offline

#7 24.07.2013 19:12:30

Smon
Mitglied

Re: Sicherheit?

Nenn mich paranoid, aber ich habe 3 Browser.
In meinem Hauptbrowser habe ich NoScript und blockiere damit sämtliche Skripte und Plugins (sind sowieso deaktiviert), außer von vertrauenswürdigen Seiten, bei denen es notwendig ist.
Cookies sind auch standardmäßig deaktiviert. Über die Ausnamheliste erlaube ich bestimmten Seiten, Cookies permanent zu setzen.
Passwörter sind mittels Masterpasswort verschlüsselt.
Die History wird nicht gespeichert.
Ich schaue alle halbe Jahre mal, was der zur Zeit meistgenutzt Browser ist und setze dann den useragent auf diesen Browser.
Außerdem nutze ich das Plugin RequestPolicy. (Wurde schon erwähnt)
Als Suchengine verwende ich ixquick.

Mein zweiter Browser läuft auf dem normalem X, allerdings unter anderem Nutzernamen. Sollte es gelingen, durch Sicherheitslücken den Browser zu übernehmen, sollten meine persönlichen Daten geschützt bleiben. Passwörter werden hier ohne Masterpasswort gespeichert, da sie mir nicht wichtig sind. Cookies und History werden bei jedem Beenden gelöscht. Der Browser wird für Seiten genutzt, welche ich nicht in meinem normalen Browser nutzen kann/will.

Mein dritter Browser läuft unter wieder einem anderem Benutzernamen und nicht direkt im X, sondern in Xephyr. Somit hat alles was darin läuft, keinen direkten Zugriff auf den X und somit wird Keylogging, usw verhindert. Eigentlich benutze ich ihn nur für eine Seite, die leider Java benötigt.


Kommerzielle Datensammlung und in- sowie ausländische staatliche Überwachung zähle ich mal als ein Punkt. (Aus verschiedenen Gründen wink)
Natürlich verwende ich https, wo immer es auch nur geht.
Wichtige Kommunikation läuft bei mir nur verschlüsselt. Für e-Mails nutze ich PGP und für ICQ/Jabber nutze ich Off-the-Record Messaging.
Ja, was der Empfänger damit macht .. da hast du was wahres angesprochen.


Was tun gegen Schadsoftware?
Programme mit Sicherheitslücken weitgehend nicht nutzen oder zumindest vom Rest des Systems isolieren.
Programme nur selbst Kompilen und davor den Quelltext studieren wink
Bedenke aber, dass auch Pakete aus dem Arch Repo Schadsoftware enthalten können!
Entweder, weil sie der Paketbetreuer eingearbeitet hat, oder weil sie schon im eigentlichen Source steht.
Eine 100%ige Sicherheit wirst du wohl nicht bekommen.


Was tun gegen Internetkriminalität?
Hirn benutzen. Wenn du paranoid ist, könntest du einen extra Nutzer mit einem Browser nur für Online Banking nutzen zB.
Dann natürlich immer darauf achten, dass die Zertifikate nicht geändert wurden, usw.


Ich weiß, was ich ankreuze :>
(Nein, orange ist es auf keinen Fall)

Offline

#8 24.07.2013 20:15:25

Dirk
Moderator

Re: Sicherheit?

Na ja, Cookies nur mit Whitelist, Javascript nur mit Whitelist. Browserplugins nur mit Whitelist, und ein Werbeblocker zählen für mich jetzt nicht zu den Sicherheits-Dingen, sondern sind Standard, die das WWW erst benutzbar machen – Ein weiterer Effekt ist die damit einhergehende Sicherheit smile

Offline

#9 24.07.2013 21:02:48

Ovion
Mitglied

Re: Sicherheit?

Dirk schrieb:

und ein Werbeblocker

Den brauchst du interessanterweise nicht mehr, wenn Ghostery im Einsatz ist. Trackerfilterung filtert passenderweise auch das ganze Bling-Bling. Das, was dann noch an Werbung übrigbleibt, ist angenehm unaufdringlich (zumindest auf den Seiten, auf denen ich mich so bewege).

@Smon
Kannst du aus dem Xephyr-gekapselten Browser Downloads tätigen?

Offline

#10 24.07.2013 21:19:02

Dirk
Moderator

Re: Sicherheit?

Ovion schrieb:

Kannst du aus dem Xephyr-gekapselten Browser Downloads tätigen?

Xephyr ist nicht gekapselt, sondern einfach ein zweiter X-Server.

Offline

#11 24.07.2013 21:25:32

Smon
Mitglied

Re: Sicherheit?

Ovion schrieb:

Kannst du aus dem Xephyr-gekapselten Browser Downloads tätigen?

Natürlich, liegt dann aber nicht in meinem home, da der Nutzer keine Lese-/Schreibrechte auf meinem home hat, sondern eben in seinem home.
Da ich aber Mitglied in seiner Gruppe bin und er die umask 007 hat,  kann ich in seinem home mit meinem Nutzer machen, was ich will.
Also die Downloads zB in mein home kopieren.

Offline

#12 24.07.2013 21:32:29

Dirk
Moderator

Re: Sicherheit?

Smon schrieb:

Da ich aber Mitglied in seiner Gruppe bin und er die umask 007 hat,  kann ich in seinem home mit meinem Nutzer machen, was ich will.

Du, und potentielle Schadsoftware auch. Glückwunsch smile

Offline

#13 24.07.2013 21:53:51

Smon
Mitglied

Re: Sicherheit?

Dirk schrieb:

Glückwunsch smile

Danke smile

Das ist mir schon bewusst. Mir geht es auch nicht darum. Ich will sicher sein, vor dem, was er ausführt und nicht, dass er sicher ist, vor dem was ich ausführe.

Offline

#14 24.07.2013 22:57:12

sekret
Mitglied

Re: Sicherheit?

Mit dwb geht das alles übrigens auch sehr gut! Ich benutze ne Whitelist für Cookies, Javascript, Plugins und dazu noch RequestPolicy (gibts auch für FF, dwb's Plugin ist aber imo besser, v.a. weil es zB ne Blacklist unterstützt, also ausgewählte Seiten erst garnicht mehr in der Auswahlliste anzeigt, was die ganze Sache übersichtlicher macht), damit nicht ständig Daten von zB Facebook, Google etc gezogen werden. Ist auch ein sehr wirksamer Adblocker, daher kann man sich einen Adblocker auch sparen. Und ist auch oft sehr interessant, zu sehen, wie viel externes Zeug manche Seiten eingebunden haben. Natürlich ist das Browsen manchmal etwas umständiger, weil man ne Seite sozusagen erst "konfigurieren" muss, damit sie funktioniert, aber das ist eigentlich ein minimaler Aufwand.

Ansonsten ist Tor wirklich ziemlich flott geworden. Gibt eigentlich kaum nen Grund, das nicht zu verwenden!

edit: Hätte die Seite neu laden sollen! Dass RequestPolicy für FF inzwischen ne Blacklist hat (zumindest die Beta) wusste ich nicht. Aber gut, dass das endlich drinne ist!

Beitrag geändert von sekret (24.07.2013 23:00:04)

Offline

#15 24.07.2013 23:04:11

Dirk
Moderator

Re: Sicherheit?

sekret schrieb:

dwb's Plugin ist aber imo besser, v.a. weil es zB ne Blacklist unterstützt, also ausgewählte Seiten erst garnicht mehr in der Auswahlliste anzeigt, was die ganze Sache übersichtlicher macht

Weil ’ne Blacklist mit ’ner gefühlten Million Domains ja auch so viel übersichtlicher ist, als ’ne Whitelist mit ’ner handvoll Domains … smile

Offline

#16 24.07.2013 23:26:22

Ovion
Mitglied

Re: Sicherheit?

Das schöne an Req-Policy für'n FF ist, dass du sowohl Blacklisten als auch Whitelisten kannst (beides sogar standardmäßig). Es gibt da so ein paar Kandidaten, die gibt's immer wieder (google-analytics, ivwbox, Facebook, etc.), wenn man die einmal geblacklistet hat, kann ich mittlerweile bei einigen Seiten getrost auf "alles erlauben" drücken, weil ich das, was noch übrigbleibt, alles einordnen kann und für akzeptabel erachte.

So kannst du whitelisten, kannst aber dennoch mal auf alles erlauben drücken, wenn du grad keinen Bock auf selektiv hast, ohne dir gleich die Pest ins Haus zu holen.

Offline

#17 25.07.2013 00:42:39

portix
Mitglied

Re: Sicherheit?

Dirk schrieb:
sekret schrieb:

dwb's Plugin ist aber imo besser, v.a. weil es zB ne Blacklist unterstützt, also ausgewählte Seiten erst garnicht mehr in der Auswahlliste anzeigt, was die ganze Sache übersichtlicher macht

Weil ’ne Blacklist mit ’ner gefühlten Million Domains ja auch so viel übersichtlicher ist, als ’ne Whitelist mit ’ner handvoll Domains … smile

dwbs requestpolicy unterstützt genauso wie das ff plugin whitelist und blacklist.

Offline

#18 25.07.2013 07:34:45

Mujica
Gast

Re: Sicherheit?

Nutzt von euch jemand einen VPN Dienst bzw. kann einen empfehlen? Idealerweise aus einem Land welches auf die internationale Hochfinanz nicht gut zu sprechen ist, zb. Island smile

Bisher nutze ich ebenfalls RP und NS im Tandem, doch Sorge macht mir der Browser Fingerprint, denn daran werden unique user identifiziert. Mit Arch und eben jenen Plugins fällt man da schon auf. Ich mache das eigentlich nur aus Protest da ich denjenigen die von den Daten profitieren die Daten nicht gönne. Es ist ja kein Geheimnis dass große Finanzinstitute die Daten Minen um ihre Derivate abzusichern, und es auch diese sind die die Politik bestimmen da ja im Grunde nur auf die Finanzinstitute ausgelegt ist. Wer etwas darüber lesen will kann sich ja mal diesen Artikel reinziehen: http://www.zeit.de/2011/19/Finanzdienst … -BlackRock

#19 25.07.2013 08:06:23

Das Känguru
Mitglied

Re: Sicherheit?

Mujica schrieb:

[…]
Bisher nutze ich ebenfalls RP und NS im Tandem, doch Sorge macht mir der Browser Fingerprint, denn daran werden unique user identifiziert.[…]

Du könntest einen lokalen Proxy wie privoxy nehmen und dort die zu übertragenden Werte eintragen. Solltest jedoch vorher wissen wie der verbreitetste Browser aussieht. Sonst ist dein Fingerprint wieder zu einzigartig.

Offline

#20 25.07.2013 08:15:37

Dirk
Moderator

Re: Sicherheit?

Nicht vergessen, die LSOs und DOM-Storage zu verhindern …

Offline

#21 25.07.2013 08:40:26

Mujica
Gast

Re: Sicherheit?

Das Känguru schrieb:

Du könntest einen lokalen Proxy wie privoxy nehmen und dort die zu übertragenden Werte eintragen. Solltest jedoch vorher wissen wie der verbreitetste Browser aussieht. Sonst ist dein Fingerprint wieder zu einzigartig.

Danke für den Tipp, gucke ich mir mal an. Es scheint wohl auch Generatoren bzw. Skripte zu geben die den Useragent ständig ändern, denn als Windows Nutzer möchte ich nicht zählen tongue

In Verbindung mit einem VPN könnte das wirklich viel bringen smile

#22 25.07.2013 09:13:52

sekret
Mitglied

Re: Sicherheit?

Dirk schrieb:
sekret schrieb:

dwb's Plugin ist aber imo besser, v.a. weil es zB ne Blacklist unterstützt, also ausgewählte Seiten erst garnicht mehr in der Auswahlliste anzeigt, was die ganze Sache übersichtlicher macht

Weil ’ne Blacklist mit ’ner gefühlten Million Domains ja auch so viel übersichtlicher ist, als ’ne Whitelist mit ’ner handvoll Domains … smile

Du hast mich offensichtlich missverstanden wink

Nochmal etwas ausführlicher:
Sowohl die Whitelist, als auch die Blacklist wird vom User befüllt und sind am Anfang leer. Standardmäßig wird alles verboten. Das, was erlaubt werden soll, kommt in die Whitelist und das, was man niemals erlauben würde (zB google-analytics) kann man in die Blacklist packen und wird in der Auswahl von nun an nicht mehr angezeigt, weil man es ja eh nicht erlauben würde. Aus meiner Sicht ist das sehr wohl sehr übersichtlich, v.a. weil man ja weiß, was in der Blacklist ist bzw man sie auch anschaun und Einträge wieder herausnehmen kann.
Natürlich könnte man auch ne ellenlange Blackliste gleich integrieren, aber das macht ja nun nicht so arg viel Sinn, weil das jeder individuell entscheidet.

Offline

#23 25.07.2013 09:23:55

T.M.
Mitglied

Re: Sicherheit?

Icecube63 schrieb:
T.M. schrieb:

Und die Verantwortung dafür - der deutsche Innenminister hat es eigentlich klar ausgesprochen - liegt beim Einzelnen, er muss sich schützen, es wird schlicht keinen vertrauenswürdigen Weg mehr daran vorbei geben, Rechtsstaat hin oder her ... Politiker [1] jedenfalls werden dieses nötige Vertrauen wahrscheinlich nicht mehr herstellen können.

Die Einstellung ist schlichtweg falsch und genau die Richtung, die die Politik gerne hätte. In Artikel 10 des Grundgesetzes heißt es

Ich kürze einmal hier ab und antworte fiolgendes:

1. Die Einstellung finde ich nicht falsch, sondern notwendig und vernünftig. Nicht die Politik gebietet dies, sondern gut begründet mangelndes Vertrauen in die Politik (bemerkenswerterweise selbst von einem Politiker, er weiss durchaus, wovon er spricht, insbesondere was seine amerikanischen Freunde so alles treiben, trotz aller Schelte, die er inzwischen zurecht einsteckt). Ich komme aus der DDR. Ich traue keinem Staat mehr, auch nicht dem westdeutschen Rechtsstaat, es gibt schlicht nicht einen einzigen Grund dafür.

2. Das Grundgesetz der Bundesrepublik Deutschland gilt exakt auf dem Territorium der Bundesrepublik Deutschland und ist rund 60 Jahre alt. Es darf in Hinsicht auf das Internet durchaus als unzureichend angesehen werden. Und das trifft auf sämtliche (!) Verfassungen weltweit zu. Das viel belächelte "Neuland" der Kanzlerin hat schon durchaus einen tieferen Sinn. - Ich vermute, es wird in den nächsten zehn Jahren eine ganze Reihe neuer (internationaler!) Abkommen geben, die solche Dinge bescheiden rechtlich regeln. "bescheiden" deshalb, weil eine wirksame Exekutive fehlen wird, jedenfalls solange die EU kein brauchbares politisches (und auch militärisches) Gegengewicht zu den USA darstellt (und gerade das will ja gar niemand ...) Was eigentlich grundlegend fehlt, ist eine "Internetethik", und zwar eine, die international anerkannt ist.

3. Es wird auch dann noch Behörden und grosse Firmen geben, die in Grauzonen und im Unvermuteten operieren, ganz abgesehen von Kriminellen.

4. Ich nehme stark an, dass solche Sicherheitsaspekte künftig auch direkt in Browser und Standards einfliessen werden. Verschlüsselung wird zur Regel werden. Und proprietäre Browser wie IE oder Safari, bei denen niemand weiss, was sie im Hintergrund tun, werden künftig insbesondere auch Geschäftskunden suspekt werden.

Wenn ein Staat (oder ein Staat im Staat) es sich zum Ziel gesetzt hat die Welt lückenlos zu überwachen wirst du wenig bis nichts dagegen machen können.

Das sehe ich nicht ganz so. Du kannst zumindest den Aufwand so hochtreiben, dass grundlose Pauschalüberwachung unrentabel wird. Das ist der Ansatz von Projekten wie tor, i2p u.a. Man kann ferner durch geeignete Hygienemassnahmen auch das Datensammeln von Firmen stark einschränken.

Du hast ja noch gar nicht die Themen Telefonie (wo VoiP komplett uafgezeichnet wird) [...] angesprochen.

Ganz einfach: weil ich so gut wie nie telefoniere. Ich hab noch nie geskyped oder sowas. Wozu?

Ovion hat ganz richtig geschrieben, da hilft nur das Kreuzchen im September an der richtigen Stelle zu machen. [...] Mit einer große Koalition wäre das und vieles anderes kein Problem mehr, aber auch SPD und Grüne vereinbaren sicher einen SPD-Innenminister, was kaum besser wird.

Hä? SPD, Grüne? Du meinst diese Hindukusch-Vorwärtsverteidiger?

Wo Du Dein Kreuzchen machst, für welche verkrustete Parteipolitik Du Dich entscheidest, interessiert die Amis und die Briten nicht die Bohne, die Russen, Chinesen und Iraner schon gar nicht, auch nicht Google, eBay oder Amazon. Die Politik ist ferner, und das ist eine historische Tatsache, der Technik immer (!) Jahre hinterher. Pornos im Internet gibt's seit spätestens 1995, höchst wahrscheinlich auch mit Kindern - über zehn Jahre später kommt die von der Leyen auf die Idee, man könne da möglicherweise etwas tun: Warnschilder vielleicht ... Insbesondere deutsche Politik ist in den letzten 20 Jahren immer nur noch reaktiv gewesen (selbst auf ganz untechnischen Gebieten). Ob der von Anwälten, Lehrern, Pfarrern, Berufs-Pofallas und -Kaudern dominierte Bundestag nun noch zwei, drei Ingenieure oder Informatiker dazubekommt, spielt dabei überhaupt keine (!) Rolle. Und selbst wenn, in ein paar Jahren kann wieder alles anders kommen. Lass irgendeinen Idioten eine Bombe auf dem Berliner Hauptbahnhof zünden, lass einmal in Europa eine hübsch amerikanische Sicherheitshysterie ausbrechen ... Politik ist heute reaktiv, das muss man richtig begreifen! Der Bundestrojaner war seiner Zeit ein wenig voraus (und wahrscheinlich auch ein bisschen stümperhaft), es fehlt noch die richtige Gelegenheit, dann rücken er und vieles andere sehr schnell in den Bereich des möglichen, völlig belanglos unter welcher Regierung. - Dass man nicht in die Zukunft sehen kann, ist ja übrigens gerade ein Grund dafür, sich heute (!) um seine Daten Gedanken zu machen. Wer weiss denn, wer in fünf, sieben oder zehn Jahren was damit anstellt?

Beitrag geändert von T.M. (25.07.2013 09:29:28)

Offline

#24 25.07.2013 12:34:31

sekret
Mitglied

Re: Sicherheit?

Wer von euch benutzt eigentlich ein MAC (Mandatory Access Control)? Und wenn, dann welches (SELinux, AppArmor, Tomoyo)?

Bzgl der Politik bin ich persönlich inzwischen mehr als verdrossen. Hatte ein wenig Hoffnung in die Piraten gesteckt, aber die funktionieren noch nicht. Hoffentlich ändert sich das in den nächsten Jahren. Aber um ganz ehrlich zu sein, ich will nicht von Studenten und Computerkindern regiert werden. Eine gute Opposition wären die Piraten aber allemal! Dann wären auch die Linken nicht immer so allein beim Opponieren.

Also ich weiß noch nicht, wem ich meine Stimme gebe. Die Partei, der ich mich richtig zugehörig fühle, gibt es leider nicht. Am ehesten noch die Anarchistische Pogopartei wink

Offline

#25 25.07.2013 14:07:13

Das Känguru
Mitglied

Re: Sicherheit?

sekret schrieb:

Die Partei, der ich mich richtig zugehörig fühle, gibt es leider nicht. Am ehesten noch die Anarchistische Pogopartei wink

Die APPD wählt man indem man nur ein Kreuz auf den Zettel macht. Ein möglichst großes!

Offline

Schnellantwort auf dieses Thema

Schreibe deinen Beitrag und versende ihn
Deine Antwort

Fußzeile des Forums