Beiträge von boardraider

  • Zertifizierungsstelle hinzufügen?

    cheater2 wrote:

    Zitat

    Wie ist es möglich, im Firefox 3 eine Zertifizierungsstelle als "vertrauenswürdig" zu speichern?

    In dem du deren CA-Zertifikat importierst.

    Zitat

    Das Zertifikat wird mit "unbekannte Identität" angezeigt, daher fürchte ich bei dauerhaftem akzeptieren, dass vieleicht jedes zertifikat unbekannter Identität akzeptiert wird?!

    Welches Zertifikat versuchst du wie zu importieren?

  • NoScript-AddOn vs. Flashblock-AddOn

    Warten kannst du da wohl noch lange, es gibt gewisse Bugs für die sich bei den Entwicklern keiner interessiert. Die liegen dann Jahre lang brach.
    In der Zwischenzeit musst du dich entscheiden, was dir wichtiger ist. Selektiv JS (und Plugins) zuzulassen oder dich auf das Blockieren von Flash-Elementen zu beschränken.

  • Abstand von Listenelementen

    Junker Jörg wrote:

    Zitat

    Also ich nutze hier WinXP Pro SP3 und habe dasselbe Ergebnis

    In der VM zeigt Windows XP das selbe. Hätte mich auch ansonsten stark gewundert.

    Zitat

    Eine Navigation ist für mich eine Liste von Links und wird deshalb semantisch korrekt durch eine Liste dargestellt.

    Ich sehe in einer Liste eine strukturelle Form der Informationsdarstellung innerhalb eines Textes. Diesen Wert hat eine Navigationsleiste nicht. Diese dient eben der Navigation und nicht der struktuierten Darstellung von Textinformation in einem Kontext. Allerdings ist diese Unterscheidung debattierbar und ich bezeichne deine Ansicht auch nicht als die falsche.

    Die Navigation kann man allerdings bequem über diverse neutrale Elemente definieren. Bei Listen hat man das Problem, dass man zunächst die potentiell unterschiedlichen Default-Stylesheets der verschiedenen Browser überschreiben muss.

    Zitat

    Und wozu gibt es dann die CSS-Eigenschaft display? Genau dazu, damit man etwas anders darstellen kann, als das HTML-Tag impliziert.

    Dann stellt sich für mich die Frage, warum man nicht gleich ein anderes Element verwendet. Statt also eine Liste mit CSS umzuformen, damit sie in eine horizontale Darstellung passt, kann man gleich ein div-Element mit spans füllen und hat bereits den gewünschten Effekt ohne erst eine andere Darstellung über CSS erzwingen zu müssen.

  • FireGPG und PGP/MIME

    egolein wrote:

    Zitat

    Dann verstehe ich die Funktion von FireGPG falsch. Also ich bekomme von Web.de einen verschlüsselten Text und entschlüssel den hier in meinem Browser anschließend.

    So falsch verstehst du das nicht.
    Um es einfach zu formulieren:
    Die Frage ist, wo wird das Ergebnis der Entschlüsselung angezeigt? Wenn dir das in einem gesonderten FireGPG-Fenster (allgemein "im Chrome") angezeigt wird, ist soweit alles ok. Wenn die entschlüsselte Nachricht allerdings direkt in die Seite geschrieben wird, kann es u.U. zu einer Schwachstelle kommen.
    Angenommen der "geheime Text" wird unmittelbar in den DOM geschrieben, kann JavaScript-Code auf der Seite den Text auslesen, er ist dann nicht mehr geheim.
    Um das zu verhindern, nutzt FireGPG eigentlich einen Chrome-Iframe, den es in beliebige Webseiten an Stelle des verschlüsselten Text-Blocks einbettet. Wird innerhalb des Iframes der Text entschlüsselt, kann JS-Code auf der Seite den Text nicht lesen, da dies durch die Sicherheitsfunktionen des Fx verhindert wird.
    Im Falle von GMail und dem neuen Interface verzichtet FireGPG aber auf diesen IFrame, der entschlüsselte Text wird unmittelbar in ein div-Element geschrieben und ist somit für JS-Code auf der Seite lesbar (und damit vor Google prinzipiell nicht mehr geheim).

    Für web.de stellt FireGPG keine so starke aber gefährliche Integration bereit. Daher ist es dort gegenwärtig sicherer.

  • FireGPG und PGP/MIME

    Das hat mit dem Anbieter nichts zu tun, das ist eine Frage der Implementierung in FireGPG. Das ließe sich auch bei web.de so realisieren. Inwieweit man dem einen oder anderen Anbieter vertraut ist eine persönliche Entscheidung. Aber solange FireGPG sich derart in die Seite integriert, ist es weder bei GMail noch bei web.de sicher.

  • FireGPG und PGP/MIME

    egolein wrote:

    Zitat

    OpenSSL gibt es auch für Windows

    War nur ein Beispiel. Ich habe nicht geprüft, ob es vielleicht bequemere Lösungen (für Windows) gibt. Schau einfach mal bei Google diesbezüglich.

    Zitat

    zumal eine solche Internetseite ja die Verschlüsselung pervertiert (kann ja jeder mitlesen).

    Richtig, daher auch nur zum Testen vorgeschlagen.
    Bzgl. GMail muss man das an der Stelle aber auch bedenken! Da die Erweiterung im Falle der neuen Google-Oberfläche direkt mit dem Google-eignen Seiten-Content arbeitet und kein eigenes chrome-Dokument verwendet, könnte die GMail-Seite den geheimen Text nach der Entschlüsselung via JS einsehen. Gegenüber GMail unter der neuen Oberfläche wäre eine Entschlüsselung über FireGPG gegenwärtig nicht gesichert!

  • Automatisches Anzeigen von Text- und Quelldateien verhindern

    Um welche Dateien es prinzipiell ging, war klar. Die Nachfrage sollte nur der Überprüfung der Serverkonfiguration dienen. Was ich oben schrieb hast du selbst offensichtlich auch bemerkt.

    Der Server schickt keinen "falschen" MIME-Type. Da es sich um Source-Code handelt, ist text/plain vollkommen korrekt. Das Anzeigen der Text-Dateien kannst du durch Änderung des MIME-Types erreichen. Wenn du nicht selbst den den Server beeinflussen kannst, müsstest du dich eines Proxys bedienen.

    Ansonsten:
    https://addons.mozilla.org/en-US/firefox/addon/81
    https://addons.mozilla.org/en-US/firefox/addon/394

  • FireGPG und PGP/MIME

    Zitat

    Was ist denn hier nun zu tun?

    Das ist jetzt der Fall, den ich oben beschrieb. Die Binärdatei wird vor der Übertragung base64-kodiert. Was du also entschlüsselt siehst, ist die so kodierte Datei.
    Du kannst zum Testen bspw. diese Seite verwenden, die wandelt dir den base64-String bei passender Einstellung auch zu einer Binärdatei zurück.
    Ansonsten müsstest du den String in eine Text-Datei kopieren und dann von einem Konverter umwandeln lassen. Da gibt es je nach OS verschiedene Tools. Unter Linux geht das auch mit OpenSSL.
    Ist natürlich eklig umständlich. Daher ist es wirklich besser GMail+FireGPG für solche Zwecke zu verwenden oder einen vorhandenen OpenPGP/MIME-fähigen Mailclient (zur Not eben portable).
    Als Alternative bliebe auch noch die Anhänge getrennt und den Nachrichtentext inline zu verschlüsseln.

  • FireGPG und PGP/MIME

    egolein wrote:

    Zitat

    Soweit ich weiß, ist FireGPG aber auch auf GMail angepasst, oder? Das macht es natürlich bequemer.

    Ja, mit der neuen Oberfläche von GMail lassen sich OpenPGP/MIME-Mails recht bequem entschlüsseln. Auch die Anhänge lassen sich anschließend sauber downloaden. Allerdings klappt das gegenwärtig nur eben bei GMail und der neuen Oberfläche. Weder die alte Oberfläche noch andere Dienste werden unterstützt.

    Das scheint mir aber nicht die Datei openvpn-2.0.9-install.exe zu sein, sondern die Text-Datei Signatur openvpn-2.0.9-install.exe.asc. Insofern steht die Datei schon im Klartext dort:

    Zitat

    -----BEGIN PGP SIGNATURE-----
    Version: GnuPG v1.2.4 (GNU/Linux)

    iD8DBQBFH7kGHQtJlh+/UfMRAr2uAJ9V4EbtrzEkG6S+31vgRQ5r870h/gCfWAGG
    7NsE5Q1Q+H54qssRdAhhZDU=3D
    =3DEnbd
    -----END PGP SIGNATURE-----


    Das sollte der Inhalt der Datei Signatur openvpn-2.0.9-install.exe.asc sein.

    Zitat

    Welche Schritte sind dafür notwendig?

    In dem Fall keine mehr.

  • Abstand von Listenelementen

    Zitat

    Trotzdem ist mir immer noch unklar, was das eigentlich für ein Abstand ist.

    Nach meinem Verständnis von
    http://www.w3.org/TR/html401/struct/lists.html
    ist die Darstellung von Listen vom UA abhängig.

    Zitat

    The exact presentation of the three list types depends on the user agent.

    Imho ist es auch nicht vorgesehen eine solche horizontale "Navigationsleiste" mit li-Elementen aufzuziehen. Dafür kann man sich auf div und span beschränken, die sich auch ohne Nebeneffekte dem Box-Modell unterordnen.