Beiträge von WismutKumpel

Hi Creepy666,

Vermutung (!) nach Lesen deines Beitrages:

Du warst auf einer Seite, wo du dich authentifizieren musstest (Bank, Shop o.ä.).
Diese Seite wird aus gutem Grund nicht im Cache gehalten, sondern ist wieder neu nach entsprechender Authentifizierung herunter zu laden.
Oder es werden zur Identifizierung bestimmte Session-Cookies geladen, welche dich gegenüber der Seite authentifizieren. Diese sind entweder abgelaufen oder wurden gelöscht.
Oder beides kombiniert.

- Tritt das regelmäßig auf, bei allen/vielen Seiten oder nur bei bestimmten (Bank usw.)
- Tritt das nur beim Zurückblättern auf?
- Restriktive Cookie-Einstellungen oder Add-ons, welche gegenüber Cookies sehr restriktiv sind?
- Privater Modus aktiv?
- Was passiert, wenn du den Fx im Safe-Mode startest (also ohne aktive Add-ons)?
- Hast du sonst irgend welche Sicherheits-Einstellungen "überzogen"?

Das sind, wie geschrieben, Vermutungen. Aber zumindest Anhaltspunkte, wo du suchen kannst.

MfG WK

... du hast sie nur wegen des Brummschädels nicht mehr gespürt.
Meine Stimme erhält die Lösung vom Boersenfeger.

MfG WK
BTW: ich hoffe mal, dass die Mod eine kleine OT-Blödelei dulden

Hi,

Das stimmt doch alles mit dem überein, was ich dazu geschrieben habe:
- eine verschlüsselte Verbindung zu einem bestimmten Service
- Nutzung des X.509-Zertifikates eines etablierten TrustCenters
- welches dir auch noch bei jeder Nutzung des Zertifikates eine Gültigkeitsprüfung anbietet.
=> Was DIESE Verbindung betrifft, wurde hinsichtlich Sicherheit alles getan, was technisch möglich ist!

Was die von dir genannte Funktion von NoScript betrifft, muss ich mich mangels Kenntnis zurückhalten.
Ich weiß nur, dass NoScript sehr tief in die Kommunikation eingreift. Nur so ist ja auch die recht umfassende Funktion des Add-ons möglich. Und wie jedes Medikament hat auch jedes (!) Add-on bestimmte Nebenwirkungen. Aber so lange die gewollte Wirkung - wegen der wir das Medikament (das Add-on) einsetzen - überwiegt ... .

BTW: Noch schlimmer ist es IMHO mit den modernen Hosentaschenspielzeugen. Entweder ich verkaufe meine Seele an den angebissenen Apfel oder an eine Firma, der ich ohne Not nie persönliche Daten anvertrauen würde. Und trotzdem trage ich eines mit mir herum. Ich ignoriere also bewusst das Risiko ... .

MfG WK

Hi Nemesis,

ich habe dir nur auf deine Frage nach der dir unbekannten "Seite" geantwortet.
Von wem (von welchem Programm) und wozu dieses Programm den OCSP-Responer abfragt, kann ich dir nicht sagen. Oder konkreter, ich könnte das schon durch Sniffen des Traffics herausbekommen, aber mich interessiert es einfach nicht.
Immer wenn ein Server eine SSL- oder TLS-verschlüsselte Verbindung anbietet, betrachte ich diese Liveprüfung durch den OCSP-Responder des zuständigen Zertifikatsdiensteanbieter (ZDA) als einen Sicherheitsgewinn. Wie will ein Programm sonst mitbekommen, wenn ein Zertifikat vor Ablauf seiner Gültigkeit zurückgezogen wurde?
Das OCSP sendet lediglich die betreffende Zertifikats-ID an den Responder, und dieser antwortet mit "good", "bad" oder "unknown". Diese Antwort ist immer durch den ZDA signiert. Dass dabei die offizielle IP deines Clients (Routers) übertragen wird, ist nun mal notwendig.

MfG WK

Hi Nemesis,

Zitat

URL http://ocsp.godaddy.com .....
Was genau ist das eigentlich für eine Seite und warum wird beim Start dorthin eine Verbindung aufgebaut ?

Ein oscp-Responder ist ein Server, welcher einem anfragenden Client eine eindeutige Antwort darauf gibt, ob ein bestimmtes X.509-Zertifikat:
- good (also gültig und nicht widerrufen)
- bad (also durch den Herausgeber des Zertifikates innerhalb der Gültigkeit des Zertifikates widerrufen) oder
- unknown (also dem ocsp-Server unbekannt)
ist.

Dieser Server nutzt das "OnlineCertificateStatusProtokoll" und ist in der Regel in der Lage, mehrere Tausend Anfragen in der Sekunde zu beantworten und er liefert dir bzw. der durch dich genutzten Anwendung blitzschnell eine Bestätigung, über die Gültigkeit des zur Verschlüsselung und/oder Authentifizierung genutzen Zertifikates. Also ein echter Sicherheitsgewinn für dich!

Fazit: Es ist eine "Seite", welche du nicht blockieren solltest.

MfG WK

Hi Wolfgang,

- Der so genannte "private Modus" ist nicht zufällig eingeschaltet?
- Was passiert, wenn du den Fx im "Safe-Mode" startest?
- Benenne mal bei beendetem Fx die Datei "signons.sqlite" um. Diese Passwort-Datenbank wird beim nä. Start neu angelegt.

MfG Peter

Hi Phalstek,

selbstverständlich ist das möglich:
Du verschiebst dein Fx- (oder auch das TB-)Profil an einen Ort, auf welchen alle betreffenden User Vollzugriff haben. Empfehlenswert: ein Ordner auf einer reinen Datenpartition.
Und dann startest du das Programm mit dem Profilmanager, richtest ein neues Profil ein, und verweist dabei auf den neuen Ort des verschobenen Profils. Das musst du natürlich mit beiden Benutzerkonten machen. Damit greifen beide Benutzer (abwechselnd!!!) auf das gleiche Profil zu.
Nähere Hinweise dazu findest du in den Hilfe-Artikeln.

Aber ich empfehle dir, dich selbst zu erziehen, und das Adminkonto auschließlich zu dem zu benutzen, wofür es eingerichtet wurde: ausschließlich zum Administrieren!

MfG WK

Hi Waldschrat_70,

warum übernimmst du nicht einfach dein komplettes Fx-Profil?

Ergänzung zu deinen weiteren Fragen:
Oben rechts auf "Hilfe-Artikel" klicken und dann in der Suchmaske das Wort "Profil" eingeben. Dort ist alles in vielen Beiträgen gut erklärt. Was dein Fx-Profil ist, wo du es findest, und was die einzelnen Dateien beinhalten.

MfG WK

Selbstverständlich hast du damit Recht.
"Die Schlüssellänge von 3DES ist mit 168 Bits dreimal so groß wie bei DES (56 Bits), wodurch die Schlüsselkomplexität um den Faktor 2112 gesteigert wird. Die effektive Schlüssellänge liegt aber nur bei 112 Bits ..."

Ich hätte dem TE auch erklären können, wie der tatsächlich genutze Schlüssel aus dem PW abgeleitet wird. Aber mal ganz ehrlich, muss er das wirklich wissen? Manchmal sind "Vereinfachungen" für das Verständnis eines Sachverhaltes besser, als wenn ich ihm einen komplexen Vortrag über Kryptologie gehalten hätte. Letzteres habe ich in meinem Leben oft genug gemacht, muss hier im Forum nicht sein.

MfG WK

Hi CMP,

alles, was dir auf deine Frage geantwortet wurde, ist grundsätzlich richtig. Trotzdem noch einige Ergänzungen:

• Die Verschlüsselung der signons.sqlite (= Passwortdatenbank) erfolgt mit 3DES (*), einem uralten Algorithmus, welcher in den Jahrzehnen seiner Existenz nie kryptoanalytisch gebrochen wurde. (Dass man jede Verschlüsselung außer dem One-Time-Pad per Brute-Force mit genügend Zeit und Rechenpower brechen kann, dürfte bekannt sein.)
• Dein Master-PW ist der Schlüssel für diese symmetrische Verschlüsselung. Die Länge (=> Qualität) des Schlüssels bestimmst du.
• Es gibt die Möglichkeit, die Verschlüsselung nach "FIPS" zu aktivieren. Das ist der Standard für die Zulassung im behördlichen Bereich in den USA. Du kannst das in etwa (!) mit unserer BSI-Zulassung vergleichen. IMHO für den privaten Gebrauch nicht erforderlich.
• Wichtig ist, dass du eine leere Passwortdatei zuerst mit dem Masterpasswort schützt, und diese erst danach befüllst. Zumindest wird in der Quelle darauf hingewiesen.
• Und aus deinen Anmerkungen ist herauszulesen, dass du die Grundsätze des sicheren Betriebes eines Computers kennst und anwendest. Also hast du alles getan, um mit gutem Gewissen deine Passwörter in Verbindung mit einem guten Master-PW im Fx zu speichern.
• Das es Schadprogramme ("Trojaner", Keylogger usw.) aber auch besonders neugierige Menschen gibt, welche dir die in Benutzung befindliche Passwortdatenbank vom laufenden Rechner ziehen können, erwähne ich nur der Vollständigkeit halber. Aber wie schreibst du so schön: "So wichtig" bin ich nicht... ;)" - und genau so sehe ich das für mich auch.

(*) Die letzte Information, welche ich dazu gefunden habe.

Zum selber nachlesen:
http://luxsci.com/blog/master-pa…hunderbird.html und auch hier.

MfG WK