Beiträge von Oliver222

keineahnung_01 erklärte u.A. Folgendes:

Zitat

[...]wenn ich bei web.de meine Mails abholen will, erhalte ich folgende Meldung: Zertifikatfehler Navigation wurde geblockt. Wie kann ich das abstellen?

a. Indem Du das von Web.de „vorgeschobene“ Sicherheits-Zertifikat einfach ablehnst und im Anschluss daran einen autorisierten Zugriff auf Dein privates email-Konto (über Web.de) wie bisher erwirkst und die Dinge dabei so lässt wie sie bisher waren.

b. Indem Du versuchst, das entsprechende Zertifikat (Web.de´s) in den Firefox einzuspeisen. (Verlinkung untenstehend).

Oliver

O.T.
Lasse Dich durch solche fehlerhaften Zertifikats-Notifikationen nicht verunsichern. Deine pers. Zugangsinformationen (z.B. Deine Passwortabfragen – Deine Sicherheitsabfragen) sind im Zuge so eines email-Services wichtiger, als die Verifizierung (Beglaubigung) dezentraler CA Instanzen (über Zertifikate) zum Web-Service (Web.de) selber.

Internet bezogene Zertifikate sind – gemäss meines bisherigen Wissensstandes – nur als vertrauensbildend, nicht jedoch als vertrauensvoll (engl. trustworthy) zu bezeichnen, da der zugrundeliegende Vertrauensanker solcher Datenanfragen i.B. auf solche Verifizierungen (Zertifikate) natürlicher / juristischer Personen legal bisher nur unzureichend ausgestaltet wurde.

http://trustcenter.web.de/

emi fragte Folgendes:

Zitat

[...]Ich habe mir bei einem Händler einen PC gekauft. Er hat mir gleich das Betriebssystem drauf gespielt, und mir auch den XP Modus geladen.[...]

Entscheidend ist dabei vielmehr, ob die Hardware-Konfiguration Deines Systems für diesen XP-Modus „mitspielt“.

Die Preis-Politik Microsofts sieht einerseits vor, den XP Modus ausschließlich nur für solche Geschäftskunden der Windows 7 Professional, Enterprise und Ultimate Version zur Verfügung zu stellen, die mit proprietären oder veralteten Programmen arbeiten müssen, welche für das aktuelle Betriebssystem nicht neu geschrieben werden können.

Andererseits erfordert die Microsoft Virtual PC Software als Basis (nicht ganz von ungefähr) wiederum eine CPU / BIOS konforme Hardware VT-Unterstützung, über die Dein neu erstandenes Gerät verfügen muss (also eine CPU mit Pacifica - oder Vanderpool-Unterstützung). Das liegt u.A. auch daran, dass die Stack – und Heap-Segmente (also die Datenstrukturen und dynamische Verzeichnisse) i.d.R. von Betriebssystemen gegen Überschreibungen nur unzureichend geschützt werden können und von daher eine hardwareseitige Unterstützung benötigen. (Stichwort: Umsetzung / Compiler Maschinencode).

Alternativ dazu verbliebe Dir vielleicht die Installation des Vorgängers MS Virtual PC 2007 (benötigt eine XP-Lizenz) wovon jedoch abzuraten wäre, da die Funktionalität des Systems – ohne Hardware-Unterstützung – stark eingeschränkt werden würde.

Oliver

Gim erfragte u.A. Folgendes:

Zitat

[...]Heißt das, Google sammelt [i.B. auf Pishing-Schutz] mal wieder?[...]

Richtig.

HTTP-Datenanfragen können von Google - im Zuge so eines Firefox-Dienstes – jedoch nur anonym-quantitativ (also statistisch-anonym) ausgewertet werden. Von daher liessen sich durch so einen Anti-Pishing Dienst auch keine Rückschlüsse auf Deine lokale Maschinen-Adresse (also Deine Identität im Internet als Sachbeweis) selber ermitteln.

Gim erfragte darüberhinaus Folgendes:

Zitat

[...]Hab ich das richtig gelesen, dass ich durch diesen Service nur bedingt zu identifizieren bin?

Richtig.

Sofern keine dedizierten Google-Dienste (z.B. G-Mail, Google-Chrome, etc.) bei Dir zur Anwendung kommen, ist eine eindeutige Identifikation durch die Auswertung der einzelnen IP-Adressen nicht möglich, da diese zustandslosen Adressen nicht authentifiziert (also nicht persönlich bestätigt) sind. Darüberhinaus lassen sich die Informationen des IP-Headers (also die Beschreibung der übertragenen Informationen) unbemerkt verfälschen, da diese Header-Informationen in den herkömmlichen IP-Kommunikationsprotokollen bisher nicht verschlüsselt werden.

IP-basierte Aktionen sind somit ohne Zusatzmassnahmen als nicht verbindlich (und daher als abstreitbar) zu betrachten.

Oliver

marcuswader fragte u.A. Folgendes:

Zitat

[...]Angst macht mir, dass ich dieses Add-On nicht selber installiert habe, es nicht löschen kann[...]

Microsoft kann i.d.T. den Microsoft .NET Framework Assistant ungefragt als eine Erweiterung für den Firefox installieren, um dann im Anschluss bloss die Möglichkeit bereitzustellen diesen wieder zu deaktivieren – nicht jedoch zu deinstallieren. Diese Erweiterung installiert sich – meines Wissens nach – jedoch stets nur auf Administrator-Ebene (engl. Machine-Level), sofern im Vorfeld keine definierte Benutzerkontensteuerung (UAC´s) innerhalb des Betriebssystems selber realisiert wurde.

marcuswader fragte darüberhinaus Folgendes:

Zitat

[...]Spioniert mich Microsoft mit diesem Add-On aus?[...]

Nein. Der „Microsoft .NET Framework Assistant“ erlaubt nur die Installation von Software (ClickOnce) durch diverse Webseiten mit dem Anwählen einer integrierten Verlinkung auf solchen Seiten zur automatischen Programminstallation. Dieses „Verhalten“ kann jedoch nur unter administrativen Rechten umgesetzt werden (z.B. Surfen im privilegierten Modus), sofern auf so einem lokalen System keine Rechteverwaltung und darüberhinaus auch keine Zugriffskontrolle realisiert wurde.

Oliver

Jareth fragte Folgendes:

Zitat

[...]Aber das heißt ja, das ich jetzt die formate selbst einpflegen muss.

Richtig. Das sog. „Taskbar-Programmierungsmodell“ stellt Entwicklern unter Windows 7 diverse API´s - vergleichbar mit jeder anderen Windows-Shell – zur Verfügung.

Oliver

http://blogs.msdn.com/coding4fun/arc…09/9933039.aspx
c4fjumplist.codeplex.com/

Jareth erklärte Folgendes:

Zitat

[...]Aber Windows sollte mit Office eigentlich klarkommen.[...]

Nein.

MS-Applikationen fügen sich nicht immer den zugrundeliegenden MS-Betriebssystemen selber. Microsoft hat - zumindest im Privat-Konsumer Bereich – niemals eine Garantie auf die Funktionalität seiner Programme innerhalb des eigenen Betriebssystemkontextes selber erheben müssen.

Jareth erklärte darüberhinaus Folgendes:

Zitat

Als Admin geht es (die Jump-Lists) nicht, als Benutzer funktionierst.[...]

Dann funktioniert es.

Jump-Lists unter Windows 7 sind – nach meinem bisherigen Verständnis – primär dem Start-Menü (also dem Launch-Surface) untergeordnet, welches wiederum Bestandteil der User-Task-List (AddUserTasks) des Betriebssystems 7 selber ist. Diese User-Task-List untersteht ab > Windows XP jedoch einer separaten Berechtigung i.B. auf die Programmierung solcher Tasks. Das würde bedeuten, dass die sog. „JumpListLink-Objekte“ unter konventioneller Programmierung (C# 3.0 Syntax) der sog. „UserTask“ Gruppierung ohne „Separator“ zugeordnet werden müssten, solange kein sog. „IshellLink-Interface“ erfolgte.

Angeblich soll eine Anpassung der Interoperabilität durch das: „Windows API Code Pack for Microsoft NET Framework „ diesbezüglich eine Erleichterung für Entwickler schaffen.

Oliver

Jareth fragte Folgendes:

Zitat

[...]Unter Windows 7 (hier Pro) gibt es Sprunglisten für die einzelnen Programme. Allerdings funktionieren die bei mir nicht so, wie sie sollten.[...]

Bisherige Anwendungen müssen - meinen Informationen nach - für dieses neue Feature (Jump-Lists) erst angepasst werden. Da Windows 7 einige Neuerungen mitbringt, ist somit auch wie immer ein neues Code Pack erforderlich, welches somit für Entwickler diverse API´s bezüglich der neuen Programmierschnittstelle mitbringt.

Oliver

http://msdn.microsoft.com/en-us/library/cc144148(VS.85).aspx
http://msdn.microsoft.com/en-us/magazine….aspx#id0420086

prägnanz fragte u.A. Folgendes:

Zitat

[...]Wenn man sich etwas einfangen würde, könnte die aktivierte Firewall im Router mit deaktiviertem upnp Sicherheitseinstellungen den aktivierten Port unterdrücken?

Nein – sofern kein restriktives „Port-Blacklisting-Verfahren“ (also sequentielle Filterregelungen) auf so einem Router / Gateway bei Dir zum Einsatz kommt.

Die von Dir angestrebte dienstbezogene Zugriffskontrolle (Schicht „vier“ des OSI-Modells / Transportschicht) bedarf zusätzlich auch einer IP-Adressierung (Schicht „drei“ des OSI-Modells), um somit in Kombination aus diesen beiden Eingangs-Informationen eine Verbesserung der portbasierten (Ende-zu-Ende) Filterung zu erreichen.

UnpN sollte dagegen nicht deaktiviert werden, sofern auf ein dynamisches Port Mapping (also Aufteilung einer einzigen öffentlichen IP-Adresse an mehrere lokale Subsysteme) innerhalb Deines Netzwerkes zurückgegriffen werden muss.

prägnanz fragte darüberhinaus Folgendes:

Zitat

Was passiert, wenn sich ein Schädling gar nicht für die Firewall in der Hardware interessiert, sondern den ganzen Datenverkehr einfach tls geschützt, wie bei dem Prinzip Teamveawer überträgt?

Richtig. Das SSL-Protokoll kann nicht ohne weiteres mit Applikationsfilter-Firewalls betrieben werden. Ein dedizierter Proxy-Server so eines Applikationsfilters würde von so einem SSL-Verfahren als MITM-Angriff (Man in the Middle-Angriff) interpretiert werden, so dass der Verbindungsaufbau bereits im Vorfeld scheitern würde. Die einzige Möglichkeit ergäbe sich aus der Realisierung eines generischen Filter-Proxy (z.B. SOCKS) oder auch eines Paketfilters, der dabei die einzelnen Datenpakete nur an reservierte SSL-Ports weiterreichen würde.

prägnanz fragte zu guter Letzt Folgendes:

Zitat

Hier wäre doch die einzigste Möglichkeit permanent auf seine Sicherheitsvorkehrungen zu achten oder eine Software-Firewall zu installieren, die bei einer ausgehenden Serververbindung eine Warnmeldung abgeben würde.

Dein genanntes Verfahren ist – meiner Ansicht nach - nur auf solchen lokalen Systemen sinnvoll anwendbar, die bezüglich ihrer spezifizierten Anforderungen obendrein noch separat konfiguriert werden müssen. Eine einzige Hardware-Firewall zur Absicherung mehrerer Subnetzwerke kann sich bezüglich ihrer Funktion i.d.T. als zu trivial und grobgranular erweisen.

Oliver

st1519 fragte u.A. Folgendes:

Zitat

[...]Könntest Du bitte Quellen nennen, die belegen, dass das Potential [des nutzbaren Schlüsselraumes] weitgehendst ungenutzt bleibt?

Das Verfahren zur Authentifikation innerhalb elektronischer Zahlungssysteme (Anmeldung / Identifikation) wird in Germany u.A. über feststehende Parameter in zufällige systemgenerierte Passwörter (z.B. PIN / EC-Karten, etc.) umgesetzt.

Aus diesem Kontext alleine ergibt sich bereits schon ein Widerspruch, auch wenn Finanzinstitutionen in veröffentlichen Pressemitteilungen anderes behaupten.

Nach meinen bisherigen Informationen wird im Zuge des Authentifikations-Verfahrens aus den einzelnen Kontonummern der Kunden, sowie der entsprechenden Bankleitzahl + einstelliger Kartensequenznummer ein 64 Bit Wert kodiert, der jedoch – zusammen mit dem 56 Bit Institutionsschlüssel der Bank - als komplexer Eingabeblock eine unzureichende Basis für das von Dir angesprochene 3DES-Verfahren bildet.

Obwohl die einzelnen PIN-Generierungen (der ausgestellten EC-Karten) vor dem Hintergrund dieses Verfahrens i.d.T zwar „zufällig“ erzeugt werden, kann diese „Zufälligkeit“ jedoch nicht dem Prinzip des zugrunde liegenden math. Verschlüsselungs-Protokolls selber entsprechen, da die Anforderungen an „Zufälligkeit“ und „Länge“ des (PIN)-Schlüssels definitiv (noch) nicht erfüllt werden.

Oliver

http://www.bmoeller.de/pdf/pin.pdf

cheater2 erklärte u.A. Folgendes:

Zitat

[...]wobei ich entweder falsch verstehe, was ihr schreibt, oder zig und hunderte von Webseiten falsch liegen, was Tor betrifft - denn nach euren Aussagen nutzt es ja nichts ausser Geschwindigkeitsveringerung - wobei ich mich dann frage, warum es überhaupt (von so vielen) genutzt wird bzw existiert.

Unter der Voraussetzung, dass Du in Europa lebst und arbeitest, mache Dir einmal Gedanken darüber, ob die eingeschränkte Kapazität des TOR-Netzwerkes nicht eher für solche Subjekte (Anwender) reserviert verbleiben sollte, welche in restriktiven Ländern (östlich des Nullmeridians (UTC > 2) / z.B. Russland oder China, etc.) leben müssen - wobei Anwender in solchen kontrollierenden Ländern einer komplexen Daten-Zugriffsbeschränkung (also allg. Zensur) ausgesetzt sind, die in Germany / Europa in dieser Ausgestaltung so nicht bekannt und somit auch nicht so einfach in dieser Form nachvollziehbar ist.

Meiner Ansicht nach, sollte die vordringliche Datenschutz-Diskussion in Germany nicht unbedingt einer verklärten „Hippiromantik“ folgen – von daher geht es bei diesem TOR-Projekt auch nicht nur um eine deutsche Diskussion - und somit ganz bestimmt auch nicht um Deine pers. Beweggründe.

Versuche einmal über den „Tellerrand“ zu schauen – ohne es dabei böse mit Dir zu meinen...

cheater2 fragte u.A. Folgendes:

Zitat

[...]Was genau damit gemeint ist, weiß ich noch immer nicht -> klar, es gehen nicht alle Anwenungen automatisch über Tor, aber wir reden ja von einem für Tor eingerichteten Firefox und den von ihm übertragenen Daten[...]

Nein. Wir sprechen von einem Browser (z.B Firefox), der sich wiederum über einen wie auch immer gearteten lokalen Proxie (z.B. Privoxy) gegenüber dem ersten Entry-Node (also Eingangsserver) des TOR-Netzwerkes authentifizieren muss. Die Authentifikation gegenüber dem TOR-Netzwerk erfolgt bei dieser Konstellation somit über Privoxy – da über diesen Proxy auch eine Verschleierung der Metadaten (also der Beschreibungsdaten (Auflösung, Browsertyp, etc.)) erfolgen kann.

Für SSL / SHA gelten – meines Wissens nach - (unabhängig dieser TOR-Verfügung) jedoch folgende Einschränkungen:

a. Das SSL / TSL (Tunneling) Protokoll verschlüsselt - im Zuge eines vertraulichen Verbindungskonzeptes – nur die Transportwege der Datenkommunikation zweier Server. Die vertraulichen Sitzungsdaten werden jedoch auf den einzelnen Zielsystemen (i.d.F. den einzelnen Etappen der TOR-Nodes) einzelnd im Klartext abgelegt.

b. Der im TOR-Netzwerk zum Einsatz kommende SHA-1 (Secure Hash Algorithm) lässt im Zuge eines differenzierten Angriffes eine „errechenbare Kollision“ von bereits 2^63 Schritten zu (statt der ursprünglichen 2^80) mit der Konsequenz, dass sich die zugrunde liegenden Algorithmen bereits jetzt schon „beugen“ lassen.

Die US-amerikanische Behörde reagierte daraufhin mit einer sofortigen Implementation (Einbindung) der SHA-2 Spezifikation, die bis 2010 umzusetzen sei. Die deutsche Bundesnetzagentur folgt treu diesem Weg.

Oliver

cheater2 fragte Folgendes:

Zitat

[...]kann man nicht irgendwie einfach solche "kompromitierenden" Funktionen [Java-Script] deaktivieren, da inzwischen doch sehr viele Websites JavaScript brauchen.....

Dafür gibt es lokale Proxies (z.B. Valida), um somit die routergeführten Verkehrsdaten im Zuge ihrer Wegewahl zu verschleiern.

a. JS ist für sich genommen nicht in der Lage Deine IP-Adresse zu ermitteln und somit weiterzutragen.

b. Browser-Erweiterungen können jedoch JS-Scripte erlauben dies zu tun.

Frage Dich dagegen eher einmal, was eine IP-Adresse überhaupt ist und wer ausgerechnet ein Interesse an dieser entwickeln könnte, denn als paketvermittelndes und verbindungsloses Protokoll wird Dein Zugang bereits schon hundertfach auf unterschiedlichen Servern repliziert, bevor Deine Anfrage überhaupt das anonymisierende TOR-Netzwerk erreicht.

cheater2 erklärte Folgendes:

Zitat

Im Zeitalter der Voratsdatenspeicherung und Internetsperren verwende ich eben Tor, auch wenn es etwas langsamer ist.

Vor soviel Naivität vermag ich mich nur noch ehrfürchtig zu verneigen!

Oliver

st1519 erklärte Folgendes:

Zitat

[...]Ja, 112 bit statt [DES] 56, das erhöht den Aufwand von brute-force-Angriffen um ca. 2^56 (2^56 ist sehr viel: 72.057.594.037.927.936).[...]

Zustimmung. Die „effektive“ (also die real verwertbare) Schlüssellänge, bezüglich des Triple-DES-Verfahrens - abzüglich des errechenbaren „stochastischen Schwundes“ (durch Meet-in the Middle-Angriffe auf das Verschlüsselungs-Protokoll) ergibt – meines Wissens nach – ungefähr 2^112 Kombinationsmöglichkeiten des zur Verfügung stehenden Schlüsselraumes. Somit würde sich – gemäss meiner Informationen – zwar ein ausreichendes Berechnungsintervall zur Schlüsselerzeugung selber ergeben, dessen Potential leider jedoch durch sicherheitskritische Anbieter (z.B. Online-Banken, E-Zahlungsdienstleister, etc.) weitgehendst ungenutzt verbleibt.

st1519 erklärte darüberhinaus:

Zitat

[...]Soweit mir bekannt ist 3DES für elektronische Banktransaktionen international zugelassen und üblich; im deutschen Netz sicherlich der am weitaus am häufigsten verwendete Algorithmus.[...]

Richtig. Dieser Verschlüsselungs-Standard wurde bereits in der Vergangenheit überregional eingeführt – und entsprach damals schon nicht mehr den gestellten Vorgaben an elektronisch-sicherheitsrelevante Infrastrukturen. (Trapdoors / Hintertüren)?

st1519 fragte Folgendes:

Zitat

Ohh, was meinst Du damit?

Du hattest Dir durch Deinen obigen Beitrag, im Zuge des letzten Absatzes, die Frage bereits selber schon beantwortet.

Teilnehmer eines digitalen Signatur-Verfahrens müssen sich nur gegenüber einer wie auch immer gearteten übergeordneten Zertifizierungsstelle ausweisen können. Diese Zertifizierungsstelle (Root CA) muss deshalb nicht unbedingt zwangsläufig in Germany oder Europa ansässig sein. Es gibt keine „Grenzen“ für CA´s. Es ist somit durchaus möglich, als Betreiber einer Webseite zwar in Deutschland zu operieren, die Verifikationen der geforderten Zertifikate jedoch in einem anderen Land (somit innerhalb eines anderen „Rechtsraumes“) akkreditieren zu lassen.

Somit würde auch die SigG-Konformität - in Bezug auf CA´s in Germany / Europe – als „Vertrauensanker“ ausgehebelt werden können.

Zertifikate, die überregional in unterschiedlichen administrativen Domänen ausgestellt werden, stellen darüberhinaus – meinen Informationen nach – ein nicht ganz unerhebliches Sicherheitsrisiko dar. (siehe z.B. Diskussion um die neuen Reisepässe.).

Oliver

st1519 fragte Folgendes:

Zitat

[...]Etliche Punkte sehen für mich nach teils ziemlich unverständlichen Bugs aus (wie z.B. kann nach einer Extended Verification weiterhin ein "grüner Zustand" angezeigt werden, wenn eine neue SSL/TLS Verbindung mit anderen Zertifikaten ausgehandelt wurde?[...]

Dieser Umstand stellt – meinen Informationen nach - ein eigenständiges Sicherheitskonzept des Browsers dar, da über die Betriebssysteminstallationen (z.B. Windows), i.d.R. diverse Voreinstellungen von Zertifizierungsinstanzen automatisch im Vorfeld übernommen werden müssen, ohne dabei dem Subjekt (Anwender) die Möglichkeit einzuräumen, die Vertrauenswürdigkeit solcher Zertifikate im Einzelnen überprüfen zu können. Aus diesem Grunde verwendet der Browser seine eigene Zertifizierungsdatenbank.

Sofern solche „Zertifikatsaushandlungen“ gleichberechtigten Zertifizierungsstellen (also gleichen CA´s) entspringen, lassen sich somit auch die Validierungen der einzelnen Zertifikate - als „rekursiver“ Prozess -auf die ausstellende Institution / CA hin rückverfolgen, wobei Firefox bei diesem Verfahren seiner eigenen Datenbank (Firefox Certificate Store), zur Bewertung solcher „Trusted Root Certificates“ folgt. Eine Datenbank die – meiner Ansicht nach - jedoch kompromittierbar ist.

st1519 fragte Folgendes:

Zitat

[...]Etliche solcher CAs fand ich in der root-CA-Zertifikat-Datenbank, die Firefox automatisch installiert.Wie wird diese Liste eigentlich zusammengestellt?[...]

PKCS11 Konfigurations-Datei (Java / SunPKCS11)?

st1519 erklärte darüberhinaus Folgendes:

Zitat

[...]Ich persönlich akzeptiere nicht, wenn sich der Name einer Gegenstelle, dessen Zertifikatsverifizierungspfad oder die verwendete Kryptographie grundlegend (also z.B. plötzlich DES statt 3DES) ändert (und das am besten auch noch während einer logischen Verbindung)?[...]

Das wirst Du leider akzeptieren müssen. Bezüglich vielfältiger Verschlüsselungsverfahren zweier kommunikativer Gegenstellen (Client < > Server) gilt eine Abwärtskompatibilität bezüglich des ausgehandelten Protokolls, sonst würde der Datenaustausch zweier unterschiedlich abgesicherter Systeme erschwert, bzw. unmöglich gemacht werden. Triple-DES (3 DES) nutzt im Vergleich zum konventionellen DES – meines Wissens nach - letztendlich auch nur eine effektive Schlüssellänge von 112 Bit, was zwar den Schlüsselraum (also das Berechnungsintervall) selber vergrössert, einem sicherheitskritischem Umfeld (z.B. elektronische Banktransaktionen) jedoch genau dann nicht gerecht werden kann, sofern keine sinnvolle Erneuerungsstrategie zum Generieren neuer Schlüssel initiiert wird.

st1519 erklärte darüberhinaus u.A. Folgendes:

Zitat

[...]Nun gibt es bereits erste Probleme mit Seiten, die nicht mehr mit Firefox 2 funktionieren, so daß ich möglicherweise zu einem Update gezwungen sein werde.[...]

Die Seiten funktionieren nicht???
Bezogen auf die Zertifizierungen, ergäbe sich u.U. die Möglichkeit, die Zertifikatskette (ab DFN-PKI-CA / also Telekom in Germany) erneut in den FF2 einzuspeisen. Zertifikate und ihre Zwischeninstanzen sind dabei jedoch „volatil“ (flüchtig) und nicht „statisch“ ausgestaltet. Das macht sie gerade so unsicher.

Theoretisch könntest Du Deine eigene CA austellen und im Anschluss auch gleichzeitig verifizieren.

O.T.
Entscheidend in Bezug auf Zertifikatsüberprüfungen ist meiner Ansicht nach dabei:

a. Ob zwei Teilnehmer der gleichen übergeordneten CA ( Certificate Authority / Zertifizierungsstelle) zugeordnet sind.

b. Ob diese übergeordnete Zertifizierungsstelle vertrauenswürdig ist.

c. Ob sich der „Validierungspfad“ (Überprüfungskette) der einzelnen Zwischeninstanzen bei (rechtlich überregionalen) unterschiedlichen CA´s immer noch „integer“ verhält. Was bedauerlicherweise nicht immer der Fall ist.

Ich vertraue dabei keinem einzigen Zertifikat...

Oliver

captain chaos fragte u.A. Folgendes

Zitat

[...]Ein RAID-ähnliches Spiegeln zweier Platten auf eine im laufenden Betrieb ist wohl nicht so zu empfehlen, oder?

Doch, sofern Du einen dafür geeigneten RAID-Controller nutzt. Der gilt für Dein Vorhaben eigentlich als Hardware-Systemvoraussetzung und ist somit andersartigen implementierten BIOS oder auch Softwarelösungen (z.B. Betriebssystemfunktionen i.B. auf RAID-Paritätsprüfungen) grundsätzlich vorzuziehen.

captain chaos fragte darüberhinaus Folgendes

Zitat

[...]In meinem Rechner werkeln eine 500GB- (Windows, Programme etc.) und eine 1,5 TB-Platte (Daten).
Diese beiden Platten will ich nun auf eine 2TB-Platte automatisiert spiegeln[...]

Soweit ich das zu beurteilen vermag, böte es sich u.U. an, den kleinsten Datenträger (0,5 TB) als logisches Laufwerk bloss für die Betriebssystemdaten selber einzurichten, um dann im Anschluss die beiden anderen physikalischen Laufwerke (1,5 und 2 TB) als RAID 1 zwecks Datensicherung zu realisieren. Bei diesem relativ sicheren Speicherungs-Verfahren würde jedoch eine redundante Datensicherung dieser beiden verbleibenden Datenträger (also eine ausfallsichere Datenspeicherung), mit dem sog. „minimalen Konformitätsprinzip“ bezahlt werden müssen.

Platt ausgedrückt: Der Gesamtspeicherplatz des RAID 1–Verfahrens dieser beiden Datenträger wird somit stets durch die kleinste Festplatte in diesem Verbund bestimmt. (In diesem Beispiel also die 1,5 TB im Stripset). Du müsstest bezüglich dieses Verfahrens somit 0,5 TB als Differenz zum grösseren Datenträger „abschreiben“.

Beachte dabei jedoch, dass eine Paritätskontrollcodierung (also Fehlerkorrektur der geschriebenen/gespeicherten Daten) als Sicherheitsdienst nur auf separater Hardware in akzeptabler Geschwindigkeit umzusetzen ist, da so eine Paritätsprüfung i.d.R. sehr viel zu berechnenden „Overhead“ erzeugt.

Oliver

giles fragte u.A. Folgendes:

Zitat

[...]Ich habe mehrere PCs, die ich zur Zeit mehreren Leuten zur Verfügung stellen muss.[...]Ich muss dringendst verhindern, dass die Leute ein Firefox-Update von Version 2.xx auf 3.xx durchführen können.[...9

Schränke die Privilegien der einzelnen Subjekte (also der einzelnen Anwender) in Deinem Netzwerk durch lokale Zugriffskontrollen ein.

Erst eine sog. objektspezifische Rechteverteilung (also eingeschränkte Lese-/Schreibrechte des Firefoxes und seiner Prozesse) ermöglicht eine sinnvolle Vergabe von Zugriffsrechten, welche auf die von Subjekten (Anwendern) durchzuführenden Aufgaben zugeschnitten wären.

Die für solche „Zugriffs-Schutzmassnahmen“ (Write / Read-Rechte) notwendige Implementierung (Einbindung) würde dann logischerweise „ a priori“ nur durch Dein zugrundeliegendes Betriebssystem selber realisiert werden können.

a. Ein Domain-User Account (Admin) ist genau dann privilegiert Firefox-Updates durchzuführen, sofern dieser Nutzer auf einem System auch über die uneingeschränkten Schreibrechte innerhalb des Firefox-Ordners verfügt.

b. Ein Domain-User-Account (Admin) ist genau dann privilegiert Firefox-Updates durchzuführen, sofern dieser Nutzer auf einem System auch über die uneingeschränkten Rechte am Firefox-Update-Prozess verfügt.

Meiner Beurteilung nach, erfordert Deine ursprüngliche Anfrage (oben) somit eine „systembestimmte Zugriffskontrollstrategie“.

Oliver

http://www.kb.mozillazine.org/Software_Updat…ot_be_installed
http://www.betanews.com/article/Recent…hole/1208442989

Unabhängig vom jeweiligen lokalen Verschlüsselungsverfahren, wäre die erste Hürde, die ein Angreifer für einen unautorisierten Zugriff auf ein lokales (NTFS) - bzw. entferntes (NFS) Dateisystem zu überwinden hätte – meiner Meinung nach – u.A. das Mounten (also das Einbinden von externen Datenträgern in eine bereits bestehende physisch verteilte und vertrauliche Dateiumgebung).

Sofern unsachgemäss administrierte NTFS/NFS Systeme (lokal oder extern) über keinerlei Mount-Beschränkungen verfügen - was leider sehr häufig vorkommt – würde die eigentlich sichere Zugriffskontrolle solcher Dateisysteme somit durch die Einbindungen externer Datenträgern „ausgehebelt“ werden können.

Dieser Umstand findet seine Fehler – nach meinem bisherigen Wissen - u.A. im zugrundeliegenden Protokolldesign. (also Implementierungsmängel i.B. auf das Mount-Protokoll selber).

Oliver

http://de.wikipedia.org/wiki/Mounten
http://de.wikipedia.org/wiki/Network_File_System

Beni erklärte Folgendes:

Zitat

[...]Um nach einem Login eine dauerhafte Session zu erzeugen, hatte ich zuerst daran gedacht Cookies zu verwenden. Diese sind, wenn FireFox geschlossen ist, sehr leicht zu lesen[...]

Richtig Sofern ich Dich hier richtig verstanden habe, können solche vertraulichen Zugangsdaten - meiner Ansicht nach - innerhalb so eines Cookie-Konzeptes, nur dann im Klartext vorliegen, sofern solche Zugangsinformationen nicht bereits durch diverse Verschlüsselungsverfahren eines externen Zugangs-Servers gehasht in so einer lokalen Cookie-Datei abgelegt wurden.

Beni fragte u.A. Folgendes:

Zitat

[...]jedoch kann ich mit einem externen SQLite Manager die Cookies nicht lesen, wenn der Firefox läuft.[...]

Der Firefox-Prozess - sowie auch seine unterprivilegierten Erweiterungen (z.B. CookieCuller) - unterliegen einer sog. objekt-orientierten Prozess-Paternität (i.d.F. Vererbung des Firefox-Dienstes auf seine untergeordneten Erweiterungen/Ordner).

Ein zu einem bestimmten Zeitpunkt t aktivierter Firefox-Prozess auf Deinem System, (also Deine Benutzung des Browsers zu einem bestimmten Zeitpunkt t), würde somit in Konsequenz nur Zugriffe auf die cookie.sqlite durch separate Programme innerhalb dieses Zeitpunktes t zu verhindern (zu schützen) vermögen. Ansonsten lägen solche Cookie-Daten - nach meinem Wissen - offen.

Lösche daher Deine Cookies regelmässig.

Oliver

O.T.
a. Sofern ein Subjekt (Anwender) das Setzen von Cookies nicht explizit einschränkt - oder verhindert - erfolgt ein Datenaustausch mittels Cookies im Hintergrund, ohne das dabei der Benutzer über Inhalte, Zweck und Umfang dieser Speicherungen informiert wird.

b. Gemäss des mittlerweile in der EU novellierten Multimediagesetzes ist - nach meinen Informationen - das Setzen von Cookies durch Dienstanbieter ohne Zustimmung des Anwenders jedoch inzwischen rechtlich umstritten. Die Anzeige einer Warnmeldung im Browser-Fensters zur Speicherung solcher Cookies, würde dabei nicht an die Erfüllung der Rechtsvorgaben heranreichen.

Seine (oschies) Eingangsfrage wurde noch nicht beantwortet.

oschies fragte Folgendes:

Zitat

Ich möchte nur für diesen Cleaner nicht jedesmal meine Zustimmung geben.
aber starten soll er trotzdem.

Eingedeutscht für Dich wie folgt:

Zitat

CCleaner > Einstellungen > Erweitert > [Verberge Warnmeldungen ∧ In das SystemTray minimieren ∧ Schliesst das Programm nach Bereinigung] aktivieren.

Das so konfigurierte Programm wäre dann - unter Einbeziehung der entsprechenden Parameter - noch in eine Batch-Datei zu implementieren.

Oliver

Chris8080 erklärte u.A. Folgendes:

Zitat

[...]Ich hatte eine Seite über Tor gefunden auf die ich kurz (4 page impression lang) zugreifen konnte und plötzlich nicht mehr.[...]

Bezüglich der Filterinformationen, können solche überregional eingesetzten Paketfilter (s. China) – meines Wissens nach - nicht nur quantitativ nach Daten selektieren welche sich im Header-Teil befinden, sondern darüberhinaus auch qualitativ jene Informationen filtern, welche im sog. Payload des IP-Paketes selber stehen. (z.B. Filterung auf Basis lernfähiger Keywords, i.B. auf ungewollte Adressanfragen im Internet).

So ein überregionales Selektionssystem (Firewall/China) wäre dabei in der Lage, die Kommunikation zweier IP-Endpunkte zustandsbehaftet (also über die Speicherung der Kommunikation) durch eine bewusst in den Datenstrom eingespeiste sog. TCP-Überlaststeuerung (TCP-Reset) über längere Zeit hinweg zu „ersticken“, was im übertragenen Sinne somit einen manipulierten TCP-Verbindungsabbruch zweier Kommunikationsendpunkte zur Folge hätte.

Ich vermute, dass Deine Datenanfrage so einem Zustand unterlag.

Durch die "Kapselung" Deiner Kommunikation (z.B. TOR geführt), würdest Du - meines Erachtens - zumindest einen "Selektionsvektor" solcher FW ausschalten können.

Oliver

http://pvs.informatik.uni-heidelberg.de/Teaching/CSFP-0506/wentland.pdf

Chris8080 stellte Folgendes dar:

Zitat

[...]Ich bräuchte nur eine Anleitung [lokale TOR-Integration] - evtl. Screenshots von der Seite[...]

Bislang ist in China die Website des TOR-Projekts gesperrt - die dedizierten TOR-Server selber hingegen jedoch (noch) nicht. Ist der Downloadlink für Dich erreichbar? (Link weiter unten).

Chris8080 stellte darüberhinaus Folgendes dar:

Zitat

Nein, ich habe meinen Laptop und einen CDMA USB Stick.[...]

Du begibst Dich über die dortige „UMTS-Luftschnittstelle“ in das Internet?

http://www.torproject.org/torbrowser/dis….2.10_en-US.exe

In diesem Paket werden sowohl der Zugang zum TOR-Netzwerk selber, als auch der zugehörige Browser (Firefox) zusammen mit Valida vorkonfiguriert (z.B. auf USB) installiert.

In Deinem hier eingestellten Log (CMD-Konsole) vermag sich Valida vermutlich nicht im TOR-Netzwerk zu authentifizieren. Versuche daher unter Valida die Authentication auf "None" zu setzen. Melde Dich noch einmal zurück...

O.T.
a. TOR verschlüsselt bloss den „Transport“ Deiner Daten und „versetzt“ dabei die jeweiligen Kommunikationsendpunkte. Um obendrein noch die „Metainformationen“ Deines mobilen Terminals zu „verschleiern“, böte es sich an, einen lokalen Proxy-Server zu verwenden (z.B. Privoxy in Kombination mit TOR und einem Browser over USB).

b. China unterliegt – nach meinem bisherigen Wissensstand – i.B. seines digitalen Zugriffsschutzes - einer sog. RBAC – Modellierung (Roled Based Access Control). Dem liegt ein überregionales Zugriffsmatrix-Modell zugrunde, welches die Zugriffe so eines Subjekts (eines/aller Anwender(s)) durch seine/ihre bereits in der Vergangenheit getätigten Zugriffe lernfähig einschränken kann. Digitale TOR-Pakete wären somit - begrenzt auf den chinesischen Raum - durch ein „quantitatives Blacklisting“ der sog. Entry-Nodes (also der TOR-Eingangs-Server) blockbar, ohne das die gekapselten Pakete dabei auf ihren Inhalt selber hin überprüft werden müssen. Die Zulässigkeit einzelner Zugriffe würde in so einem System somit auch von der allg. Zugriffshistorie aller Subjekte vor Ort abhängen.

c. China scheint in der Zukunft obendrein bestrebt, die TOR-Einstiegspunkte über deren IP-Adressen weiterhin „quantitativ“ zu blockieren, was die dortige Zugänglichkeit in das anonyme Netzwerk vermutlich weiterhin erschweren dürfte.

Oliver