Beiträge von Sören Hentzschel

Es ist zwar nur ein 30-sekündiger Teaser, aber der hat es verdient, gepostet zu werden!
Böhse Onkelz - Teaser 2014

Es geht hier aber um eine Automatisierung, wo wir ganz wahrscheinlich von ein paar Geräten mehr sprechen, das legt man dann nur ungerne auf jedem Gerät von Hand fest.

Auf einer Seite, die schon darauf hinweist, dass dass Buchungssystem und insbesondere der Zahlungsvorgang (!) nur in einem einzigen Browser ohne Fehler funktioniert und mit anderen Browsern Fehler erwartet werden, würde ich persönlich ja gar nichts buchen, auch wenn dieser eine Browser Firefox ist. Sehr nicht-vertrauenserweckend.

Zitat von mondieu

Meine (vielleicht unbegründete) Motivation für Tor ist es, z.B. nach einer bestimmten Digitalkamera im Netz zu stöbern, ohne später an allen Ecken und Enden mit entsprechender Werbung zugeworfen zu werden

Nennt sich Tracking und ist eine ganz andere Baustelle. Das funktioniert über Drittanbieter-Cookies und dafür gibt es in Firefox eine Einstellung. Dafür brauchst du kein Tor.

Zitat von mondieu

oder gar per Email Angebote zu bekommen.

E-Mails bekommst du nur, wo du deine E-Mail-Adresse hinterlässt, auch davor schützt Tor nicht.

Zitat von mondieu

Dem Argument, dass man sich gerade durch den Versuch, sich zu verstecken, verdächtig oder sichtbar macht, möchte ich entgegen halten, dass als Folge der Snowden-Enthüllungen deutlich mehr Menschen auf geschützte Privatspäre im Internet achten und auch entsprechende Maßnahmen ergreifen. Ein Beispiel dafür ist ein signifikanter Anstieg der Nutzerzahlen von duckduckgo seit Sommer letzten Jahres, verdoppelt oder verdreifacht...

"Was hier sichtbar wird, ist eine Verzweiflungstat."

Zeit Online: DuckDuckGo - Der Irrglaube von der NSA-sicheren Suchmaschine

Solange man keinen Wert auf Interoperabilität legt, sprich die Dateien sollen in MS Office oder vice versa komplett funktionieren.

Schade, dass die oben verlinkte Seite mehr eine Verkaufsseite als alles andere ist, ansonsten würde ich XP-Nutzer bei passender Gelegenheit gerne darauf verweisen, so habe ich aber kein gutes Gefühl dabei, weil die Seite einem in erster Linie neue Hardware verkaufen möchte.

Alles Gute an den Chef, Kadir.

Zitat von Zitronella

Das ist so eine Aussage, die ich immer wieder von Leuten höre aber ob dem wirklich so ist dafür gibt es keine Belege. Erstmal geht man gerade mit Tor in einer Masse unter. Momentan habe ich mit Tor zb. die IP 12345 und im nächsten oder auch gleichen Moment hast ein anderer auch die IP 12345. Neue Identität und ich habe 23456 und x andere auch.

Ich weiß ja nicht, ob das immer so ist oder ein optionales Feature, aber ich sehe bei TOR-Nutzern immer wieder einen veränderten User-Agent und das ist dann ein sehr auffallender Fingerprint. Aber ansonsten ist das auch eine Sache der Vorstellungskraft. Es ist absolut naheliegend, dass du als Nutzer, der keine besonderen Maßnahmen ergreift, nicht besonders auffällst, denn dann bist du Teil der Masse und nichts ist unauffälliger als die Masse. Das ist praktisch ein Naturgesetz.

Und zum zweiten Teil: IP-Adressen sind doch bitteschön keine Identitäten. IP-Adressen sind keinen realen Menschen zuzuordnen und zumindest in Deutschland, wo du ja lebst, üblicherweise für Privatpersonen nicht fest vergeben und werden nach allerspätestens 24 Stunden neu vergeben, die sogenannte Zwangstrennung. Mit der immer weiter zunehmenden Nutzung des mobilen Internets wird es noch viel spaßiger, wo der Pool der IP-Adressen wirklich sehr begrenzt ist. Und nun verrate mir mal bitte, wer deine IP-Adresse zu Zeitpunkt X explizit dir zuordnen soll. Mir fallen wieder nur Provider im Falle einer Strafverfolung und Regierungen ein. Alle anderen können damit doch überhaupt nichts anfangen. Deine IP-Adresse hat morgen wieder jemand ganz anderes. Und auch ansonsten lässt sich darüber für niemanden ein Zusammenhang über die Nutzung auf einer Domain hinweg anstellen. Aber das verhindert eine andere IP-Adresse ganz gewiss nicht. Ich lass mal die teilweisen Möglichkeiten des Trackings über Drittanbieter-Cookies weg, denn ich kann mir nicht vorstellen, dass jemand TOR nutzt, aber Drittanbieter-Cookies erlaubt, das würde nicht zusammenpassen.

Und damit sind wir auch wieder bei meinem ersten Absatz zu diesem Beitrag. Deine Aktivitäten auf einer Webseite lassen sich sicherlich verfolgen. Meinst du nicht, dass ein permanenter Wechsel der IP-Adresse - sofern man dich denn überhaupt beobachten würde, was ja schon anzuzweifeln ist - wesentlich auffallender ist?

Zitat von Zitronella

Unter den sog. Generalverdacht kannst du u. U. durch ganz andere Dinge fallen. Da könnte es sogar schon ausreichen wenn du kein Handy benutzt. DAS könnte nämlich schon höchst verdächtig sein. Wir wissen letztendlich alle nicht welche Algorithmen verwendet werden um in den sog. "Filter" zu gelangen. Das Fazit könnte sein: Wer kein Handy nutzt, der hat was zu verstecken.

Kein gutes Beispiel, denn wieso sollte es verdächtig sein, kein Handy zu nutzen? Das braucht nunmal nicht jeder. Genau wie nicht jeder Internet braucht. Das ist einfach so. Außerdem ist das eine andere Ebene. Ein Beispiel wäre das, wenn es darum ginge, dass du gar kein Internet nutzt. Das tust du aber ja. Also geht es, wenn wir ein Telefon-Beispiel wollen, um die Rufnummerunterdrückung. Ist das verdächtig? Manche Telefon-Anbieter haben die Unterdrückung standardmäßig aktiviert, das weiß der Nutzer dann gar nicht unbedingt. Aber dass die IP-Adresse mitgesendet wird, das hat sich in all den Jahren nie verändert und es wurde glaub ich auch nie ernsthaft in Erwägung gezogen daran etwas zu ändern, kann also nicht das ganz große Problem sein.

Zitat von Zitronella

hat nicht jeder etwas zu "verstecken"? Also ich auf jeden Fall, und zwar in einem gewissen Maß schlicht und ergreifend meine Privatsphäre! Gehst du wirklich davon aus dass jeder der Tor nutzt, verschlüsselt mailt oder verschlüsselt chattet etwas illegales vor hat und nur DAS verstecken will? Ich surfe manchmal auch über Tor (wenn auch selten), aber glaub mal nicht dass ich da groß andere Seiten aufrufe als sonst auch.

Das ist doch der Punkt, es trägt zum Schutz deiner Privatsphäre gar nicht relevant bei. Oder was genau versprichst du dir? Deine IP-Adresse ist anders, du wirst über ein paar Proxys gelenkt, schön. Und wenn das nun nicht so wäre, wer könnte daraus genau welchen Nutzen ziehen? Siehe weiter oben im Beitrag. Was genau wird deiner Meinung nach geschützt, was ohne Nutzung von TOR deine Privatsphäre gefährdet? Es ist ganz sicher nicht meine Aussage, dass jeder, der verschlüsselt mailt oder chattet, etwas illegales macht, solche Verallgemeinerungen liegen mir fern. Ich sage nur, wer zu so extremen Maßnahmen greift und dafür spürbare Nachteile bewusst in Kauf nimmt, der macht sich selbstverschuldet verdächtig und darf sich darüber dann nicht wundern, wenn er in einen Verdacht gerät. Denn für die Nutzung des Webs ist das eine vollkommen übertriebene Maßnahme.

Zitat von Zitronella

Wahrscheinlich nutzt du weder das verschlüsseltes mailen noch Tor.

Absolut korrekt. Zweiteres kommt mir auch ganz sicher nicht ins Haus. Und eine Verschlüsselung von Mails brauche ich nicht. Das erfordert ja auch zwangsläufig eine entsprechende Konfiguration auf der Gegenseite, denn wo etwas verschlüsselt wird, da muss ja auch wieder entschlüsselt werden. Ich kenne genau eine einzige Person, mit der ich mich mal per Mail austausche und die mit verschlüsselten Mails etwas anfangen kann. Aber wir kommunizieren sowieso über XMPP und zwar über einen ganz eigenen XMPP-Server, das hat glaub ich auch nicht jeder. Also die Möglichkeit der Übertragung sensibler Nachrichten (beispielsweise Zugangsdaten für Aufträge / Projekte) ist schon gegeben.

Zitat von Zitronella

Bildlich gesprochen ist fast so, als würde jeder mit einem großen Namenschild durch die Stadt laufen wenn wir durchs Netz surfen. Manche Menschen wollen aber einfach nicht immer und überall mit ihrem Namen gesehen werden. Ist doch verständlich oder, und auch zutiefst menschlich wenn man das nicht möchte. Aber denen müsste klar sein/werden, dass sie im Extremfall evtl. doch identifiziert werden können.

Dem Gleichnis stimme ich absolut nicht zu. Denn dazu müsstest du erst einmal eindeutig identifizierbar sein und das bist du schlicht und ergreifend nicht. Webseiten wissen deine IP-Adresse und die wird sicherlich zu Analyse-Zwecken genutzt (sprich aus welchem Ort du kommst zum Beispiel, ist ja immer eine nette Statistik). Aber darüber wird kein Personen-Bezug hergestellt, noch kann eine IP-Adresse dir langfristig zugeordnet werden, das kann man so überhaupt nicht stehen lassen.

Und kommen wir nunmal noch etwas direkter zu TOR.

Zitat von Zitronella

naja, das Tor Bundle hatte Sicherheitslücken bei einer bestimmte Firefox Version. Jede alte Firefox Version hat auch Sicherheitslücken, und jede neue auch (bis diese wieder gefixt sind). Ich behaupte auch nicht dass Tor der 100% sichere Weg für immer und ewig ist. Ich weiß, dass es diese Sicherheit nicht gibt. Trotzdem halte ich es für sinnvoll wenn Menschen so etwas nutzen, solange sie sich darin nicht in möglicherweise falscher Sicherheit wiegen.

Natürlich hatten andere Firefox-Versionen auch schon Sicherheitslücken. Mir ist aber keine Sicherheitslücke bekannt, welche ansonsten dafür genutzt worden ist, um das FBI mit Informationen zu versorgen. Über diese Sicherheitslücke wurde das gesamte Surfverhalten von TOR-Nutzern protokolliert und an die Science Applications International Corporation übermittelt, welche nun einmal unter anderem mit dem FBI zusammenarbeiten. In diesem Fall schützt also die Nicht-Nutzung von TOR besser als die Nutzung von TOR vor dem, wovor die Nutzung von TOR schützen soll - welche Ironie.

Ansonsten empfehle ich auch noch folgende Lektüre (aber ist ja auch schon in einem weiter oben verlinkten Artikel querverlinkt):
http://www.ohmygodel.com/publications/usersrouted-ccs13.pdf

Falls du das nicht alles durchlesen möchtest, Wikipedia hat das in einem Absatz zusammengefasst, worum es geht:

Zitat

Eine im Jahr 2013 veröffentlichte Studie von Wissenschaftlern des U.S. Naval Research Laboratory und der Georgetown University befasste sich mit dem bereits bekannten Problem der ausgedehnten Protokollierung des Netzwerkverkehrs von Tor. Ziel war es, unter realistischen Bedingungen die Wahrscheinlichkeit und den Zeitraum einschätzen zu können, der benötigt wird, um genügend Daten für eine Zerstörung der Anonymität zu sammeln. Dabei gelang es in 6 Monaten durch den Betrieb eines einzigen mittleren Tor-Relays, die Anonymität von 80% der verfolgten Benutzer zu brechen. Hinsichtlich des PRISM-Skandals betonten die Wissenschaftler, dass eine größere Infrastruktur die benötigte Zeit deutlich reduzieren kann; Würde der Angreifer Zugriff auf entsprechende autonome Systeme und Internet-Knoten besitzen, schätzten sie die Wahrscheinlichkeit einer Deanonymisierung mit 95% ein.

Insofern ist der Nutzen ein absoluter Pseudo-Nutzen. Denn die einzigen, die mit dem etwas anfangen könnten, was du zu verschleiern versuchst, haben die Möglichkeiten, diese vermeintliche Anonymität zu brechen. Und nach allem, was wir spätestens seit Snowden wissen, ist mein Vertrauen eingeschränkt, wenn die NSA sagt: TOR? Da hatten wir bislang nur mäßigen Erfolg das zu knacken. Selbst wenn ist es doch nur eine Frage der Zeit, es wird doch auch schon wieder kräftig in die Geheimdienste investiert. Übrigens auch in Deutschland. Und dass gezielt TOR-Nutzer von den Geheimdiensten angegriffen werden, das ist ja kein Geheimnis.

Das ist keine Pauschalaussage zu Tor, sondern zu jedem Versuch, seine Identität zu verschleiern. Ansonsten sag ich dazu nur, dass es sowieso keine vollkommene Anonymität im Internet gibt. Und Nutzer von TOR oder ähnlichen Projekten, ja die fallen dann halt schnell mal unter einen gewissen Generalverdacht, über den sie sich nicht zu wundern brauchen. Das Internet funktioniert nun einmal, wie es funktioniert. Wenn ich so großen Aufwand betreibe, vermeintlich anonym unterwegs zu sein, und dafür Nachteile bewusst in Kauf nehme (alles hat seinen Preis), dann stellt sich natürlich die Frage, was ich zu verheimlichen habe. Mag ja sein, dass ich mich mit TOR mehr verstecken kann. Nur mal weitergedacht: Wenn ich im Internet ohne TOR unterwegs bin und dadurch gewisse Dinge preisgebe, was kann man mit diesen gewissen Dingen anfangen? Die meisten auf jeden Fall nichts. Und die, die damit was anfangen könnten (Provider, Regierungen), für die stellt TOR sicherlich kein Hindernis dar, das wäre naiv zu glauben. Die Schlagzeilen zuletzt rund um TOR sollten einem außerdem zu Denken geben.

Zitat von mondieu

Also um weniger Spuren zu hinterlassen.

Mit jedem Versuch weniger identifizierbar im Internet zu sein, ist man letzten Endes mehr identifizierbar, weil man nicht mehr in der Masse untergeht, sondern auffällt. Denk darüber mal nach.

Info RR: abgetrennt von hier, da das Problem des Threadstraters gelöst ist und die anschliessende Diskussion besser in einem eigenen Thread aufgehoben ist.

Einige von euch sind ja recht aktiv mit Basteleien und benötigen dafür natürlich ein Werkzeug wie den DOM Inspector, um herauszufinden, welche Klassen sie ansprechen müssen usw. Firefox hat ab Version 29 ein solches Tool standardmäßig integriert, ich hatte darüber Anfang Dezember bereits geschrieben:

Firefox: Neues Feature macht Browser-Anpassungen deutlich einfacher

Ich wollte auf dieses Werkzeug noch einmal aufmerksam machen, weil es seit dem gestrigen Nightly endlich vernünftig benutzbar ist. Bislang musste man sich durch den DOM-Baum in der Markup-Ansicht kämpfen, nun kann man wirklich wie auf Webseiten das Inspector-Icon (ganz rechts in der Toolbox) wählen und dann einfach die Maus über die Oberfläche von Firefox führen und so Elemente auswählen.

Falls es wer testen möchte: Zunächst müssen Chrome- und Remote-Debugging aktiviert werden. Dazu die Entwicklerwerkzeuge aufrufen (F12), links das Zahnrad-Icon wählen und die beiden entsprechenden Checkboxen setzen. Anschließend steht die sogenannte Browser Toolbox im Menü unter Web Developer zur Verfügung.

Ziemlich cool, deutlich einfacher zu bedienen als der DOM Inspector. Vielleicht findet ihr das ja auch nützlich, dann könntet ihr ein Add-on in Rente schicken.

Also es ist nicht so, dass die Telefon-App den Browser "belauscht", ob dort Links auf Webseiten vorkommen, deren href-Attribut mit tel: beginnt. Viel mehr ist es so, dass der Browser diese Art von Links unterstützt und ein entsprechendes Event an das Betriebssystem sendet. Dafür können sich verschiedene Apps regististrieren. Auch das Telefon ist eine App. Ist nur das Telefon für dieses Event registriert, wird eben direkt die Telefon-App ausgeführt. Ich habe auf meinem Smartphone noch Skype installiert. Darum werde ich bei Klick auf einen solchen Link gefragt, ob ich diesen mit dem Telefon oder mit Skype ausführen möchte.

Und ja, Google liefert an Smartphone-Nutzer eine andere Webseite aus als an Desktop-Nutzer. Dort würde ein Link mit tel: auch nur wenig Sinn ergeben, da Desktop-Computer keine Telefone sind.

So, falls es dich interessiert, ich hab um dieses Problem drum rum entwickelt. Die einzige Sache: Das Icon auf HiDPI-Bildschirmen ist in der Symbolleiste unscharf. Aber dafür in der richtigen Größe und im Australis-Menü super scharf, auf Nicht-HiDPI-Bildschirmen ist sowieso überall alles scharf.

const utils = require('sdk/window/utils');

function hasHiDpiDisplay() {
  var window = utils.getMostRecentBrowserWindow();


  if (window.devicePixelRatio > 1) {
    return true;
  }


  return false;
}

if (this.hasHiDpiDisplay()) {
  var iconsizes = {
    '16' : data.url('icon-16.png'),
    '64': data.url('icon-64.png')
  }
} else {
  var iconsizes = {
    '16' : data.url('icon-16.png'),
    '32': data.url('icon-32.png')
  }
}

var button = require('sdk/ui/button/action').ActionButton({
  …
  icon: iconsizes,
  …
});

Kannst davon wiederverwenden, was du möchtest.

Der Punkt hinter der ganzen HiDPI-Geschichte ist der, du benötigst die Grafiken in doppelter Größe. Das heißt: Eine Grafik, die mit 32x32px dargestellt werden soll, muss in 64x64px vorliegen, ansonsten ist sie auf HiDPI-Bildschirmen unscharf. Und der zweite Screenshot aus dem vorherigen Problem zeigt einen Bug, weil Firefox die Grafik an dieser Stelle nicht skaliert und doppelt so groß anzeigt. Darum ist der Workaround hier, an dieser Stelle wirklich nur 16x16px für HiDPI-Bildschirme auszuliefern, was de facto zu klein und daher unscharf ist, dafür passt dann aber die Größe. Beim Menü funktioniert das richtig, darum liefer ich für HiDPI-Bildschirme 64x64px aus, obwohl dort 32x32px erforderlich sind, was die Nicht-HiDPI-Bildschirme auch erhalten.

Wenn du ein komplettes Beispiel brauchst:
http://git.agenedia.com/firefox-add-on…src/lib/main.js

Zitat von Sören Hentzschel

An dieser Stelle von mir noch die Vorwarnung, dass in ein paar Monaten Anpassungen notwendig werden. Und zwar verwendest du ja die Widget-API. Und die wird zusammen mit dem Australis-Design deprecated, heißt in einer der darauffolgenden Versionen entfernt werden. Dafür gibt es dann eine neue API, aber die gibt es jetzt noch nicht, dürfte aber sehr bald in Firefox Nightly landen.

Zitat von Zitronella

ojee, und was muss ich da machen? Ich kenn mich doch damit nicht wirklich aus.

Ich hab mir das nun mal angesehen und die neue API funktioniert ganz simpel. Das SDK 1.15 hat diese APIs natürlich nicht. Man benötigt also die aktuellste Version aus dem Repository:
https://github.com/mozilla/addon-sdk

Der neue Code (statt Widget-API):

const { ActionButton } = require('sdk/ui/button/action');

var button = ActionButton({
  id: 'deine-addon-id',
  label: 'Label für Add-on',
  icon: {
    '16': data.url('icon-16.png'),
    '32': data.url('icon-32.png')
  },
  onClick: function() {
    // der Code, der sonst bei Klick auf das Widget ausgeführt wurde
  }
});

Ich hab in meinem Add-on den Widget-Code drin gelassen und verwende den Button-Code ab Version 29 von Firefox und andernfalls das Widget. Das werde ich bis zum Erscheinen von Firefox ESR 31.2 so handhaben, weil dann Firefox ESR 24.x EOL ist. Und ich würde auf jeden Fall ab Australis die Button-API verwenden und nicht mehr die Widget-API, auch wenn sie noch funktioniert. Aber das Symbol im Menü ist zu klein, im Anpassen-Dialog hast du nur Schrift und der Hover fehlt auch, also das sieht gar nicht gut aus.

const appinfo = require('sdk/system/xul-app');

function isAustralisFirefox () {
  return appinfo.versionInRange(appinfo.version, '29.0a1', '99.0');
}

if (isAustralisFirefox()) {
  // Button Code
} else {
  // Widget Code
}

Funktioniert prima, siehe Screenshot 1. Der Grund wieso ich noch keine Updates für meine Add-ons veröffentliche: Auf HiDPI-Bildschirmen ist das ziemlich buggy, siehe Screenshot 2. Das heißt, statt Updates werd ich erst einmal einen Bug-Report erstellen.

[attachment=1]Bildschirmfoto 2014-01-18 um 03.34.36.png[/attachment]

[attachment=0]Bildschirmfoto 2014-01-18 um 03.17.49.png[/attachment]

Ich verstehe die Frage nicht.

Zitat von foxy-007

FF version: 3.6.28 (nein ich werde natürlich nicht auf einen neueren updaten wegen dem Flashplayercrashproblem)

Wenn ich sowas Dummes schon lese… Entschuldige bitte, ist nicht persönlich zu nehmen, aber anders kann man das wirklich nicht bezeichnen. Aber das ist die Antwort auf deine Frage: Moderne Webseiten funktionieren nicht mit hoffnungslos veralteten Browsern, Punkt. Da kann man nichts machen. Nutze eine zeitgemäße Version von Firefox und Google funktioniert auch. Wenn nicht, Pech, aber selbstverschuldetes Pech. Spätestens in drei Monaten solltest du aber eh dein Betriebssystem recyclen, perfekter Zeitpunkt für einen Neuanfang mit aktuellem Firefox, und dein Flash-Problem ist auch dann weg. Wetten? Alternativ-Vorschlag: Vergessen wir diesen Thread. Erstell einen Thread für dein Flash-Problem. Wieso willst du nicht das eigentliche Problem angehen?

PS: http://www.mozilla.org/security/known…es/firefox.html
Und das sind nur die behobenen Sicherheitslücken seit Firefox 4.0.1…

Schandmaul - Trafalgar

Generell ist es übrigens sehr schwer eine Aussage zu einer PDF-Datei zu machen, welche nicht verlinkt wurde. Bei PDF-Dateien gibt es sehr große Unterschiede. Aber ansonsten, wie Bernd. schon sagte, wenn wir vom Acrobat Reader sprechen, dann kannst du an Firefox nicht viel drehen.

<a href="tel:01234567">01234567</a>

Ohne genauere Angaben (ich weiß ja nicht, was genau du in Google eingibst) gehe ich einfach mal vom stanardisierten Weg aus, wie man Telefonnummern verlinkt.

Zitat von Basti290

Mein Bruder ist aber leider nicht dumm und wird irgendwann dahinter kommen mal bei den Add-Ons zu schauen ob dort die Sperre hinterlegt ist.

… oder er erstellt ein neues Profil oder er nutzt einen portablen Firefox oder er verwendet einen ganz anderen Browser oder, oder, oder…

PS: Sei lieber froh, wenn dein Bruder nicht dumm ist.

13 - Wir können nicht zurück