Beiträge von WismutKumpel

Ich frage noch einmal nach: du schreibst etwas mit "eigenen Zertifikaten". Kannst du da etwas deutlicher werden?

Hallo bibo!

Die Suchmaschine meines geringsten Misstrauens spuckt mir (einschließlich deines eigenen Beitrages) acht Links zu dieser Thematik aus. Hast du dieser alle mal "abgearbeitet"?

vy 73 de Peter

Hallo Kadettin!

Ich bedanke mich für dein Verständnis.

Gleichzeitig möchte ich mich den letzten beiden Sätzen von .DeJaVu anschließen. Will dich natürlich auch keinesfalls mit meiner persönlichen Backup-Strategie zuschütten. Die einfachste habe ich ja erwähnt.

Nur ein einziger Satz noch zum Thema: das beste Backup ist nur so viel wert, wie sein (getestetes!) Restore.

Ich wünsche dir, dass du alles wiederhergestellt bekommst.

vy 73 de Peter

Hallo Luna-1 ,

Wetten, wenn du deine Anfrage etwas klarer gestellt hättest, dann hätte es nicht so viele Irritationen und dir nicht unbedingt helfende Hinweise gegeben. Deine Frage klang mehr danach, dass bestimmte Personen (vermutlich Familienangehörige) gegen deine Willen amazon aufrufen.

Dein Problem ist aber eher im Zusammenhang mit der Funktion der bei dir/euch eingestellten Suchmaschine zu sehen. Und dort solltest du auch ansetzen. Ob das Verhindern des Aufrufs einer Seite dieser Firma dein Problem wirklich lösen wird, wage ich zu bezweifeln. Es könnte sogar sein, dass jetzt bestimmte Fehlermeldungen zunehmen.

BTW: Deine gute Absicht kann ich auf jeden Fall verstehen!

vy 73 de Peter

Hallo Kadettin!

Auch wenn du mich jetzt verfluchen wirst, ich sehe das, was dir passiert ist, als eine für dich gute und wertvolle Erfahrung an!

Ich liebe die Bemerkung, welche .DeJaVu gebracht hat, will diese aber nicht wiederholen, um dich nicht allzu sehr zu ärgern.

Vielleicht hilft dir (als Vorsorge für garantiert eintretende zukünftige Pannen) eine ähnliche Methode, wie ich sie seit Beginn meiner eigenen Beschäftigung mit der IT (irgendwann mal in den 80 Jahren des vorigen Jahrhunderts …) bewusst und konsequent nutze.

Die erste Methode nennt sich "Datensicherung". Egal, welche du nutzt, selbst die Methode des "Backup für arme Leute" (wichtige Daten regelmäßig abwechselnd auf zwei verschiedene USB-Sticks kopieren) ist viel besser als überhaupt kein Backup.

Und was die Passwörter betrifft (selbstverständlich immer komplexe und lange PW und niemals eines davon mehrfach!), so führe ich eine lange strukturierte Liste mit folgendem Inhalt:

Name des Accounts ##### Anmeldename ##### Passwort ##### Startcode 2FA <= wenn vorhanden

Und immer wenn ich einen neuen Account anlege, wird zuerst diese Liste mit den zu verwendenden Daten ausgefüllt.

Erst dann werden diese Daten über die Zwischenablage und den Browser zum jeweiligen Dienst geschickt.

Diese Liste kann dann entweder ausgedruckt und "im Banksafe" hinterlegt oder auf einem USB-Stick gespeichert oder sonst wo "sicher" gelagert werden. (Ich will hier nicht einmal unbedingt erwähnen, dass sie auch vom Rechner sicher gelöscht werden kann).

So kann es mir niemals passieren, dass mir bei einem Hardwareverlust meine Passwörter abhandenkommen und ich jetzt ein Problem mit der Wiederherstellung habe.

Und, sollte es zur Kompromittierung irgendeines PW beim Dienstanbieter kommen, dann ist diese Liste auch eine gute Grundlage für den problemlosen Wechsel meiner Passwörter (was für mich auch sonst Routine ist).

Und ja, so mancher benötigt eben eine entsprechende Erfahrung …

BTW:

Bevor jemand mit dem entsprechenden Hinweis kommt: Ich nutze selbstverständlich unabhängig davon einen guten Passwort-Manager (KeepassXC), welcher viel mehr als meine Authentisierungsdaten speichert und dessen verschlüsselte Datenbank selbstverständlich auch Bestandteil meiner automatisierten Datensicherung ist. Ja, hier schlägt meine ehemalige berufliche Tätigkeit durch - was aber keinesfalls ein Maßstab sein muss.

vy 73 de Peter

Hallo!

Ich erlaube mir mal eine etwas anders geartete Antwort.

Für mich (Vater und Großvater von mittlerweile erwachsenen Enkeln und viele Jahre beruflich mit IT-Sicherheit in einem sehr sensiblen Bereich befasst gewesen) gilt immer noch eine alte Regel:

Menschliche Probleme sind nicht (oder kaum mit einem vertretbaren Aufwand) ausschließlich mit technischen Mitteln zu lösen .

Ja, alles kann mit einem entsprechenden Aufwand geblockt werden. Und alles ist irgendwie immer nachweisbar und kann (zumindest im sicherheitskritischen behördlichen oder Firmenumfeld) nach entsprechender Belehrung zu harten Sanktionen führen.

Aber im familiären Umfeld oder in einem KMU ohne entsprechend ausgebildetes und auch befugtes Fachpersonal (und auch einem Juristen!) wird der "Hilfsadministrator" immer den Kürzeren ziehen. Ja, so mancher Mensch wird seine Maßnahmen sogar als eine Kampfansage gegen seine "persönlichen Freiheiten" ansehen und alles unternehmen, um letztendlich in dieser Sache der "Sieger" zu sein. Und das fast immer mit großem Erfolg!

Ich habe also immer auf ein zweigleisiges Verfahren gesetzt:

- auf technische Mittel (privat: mein pi-hole kann da schon einiges - auch melden, wer da was des Öfteren versucht)

- auf Mittel der Überzeugung.

Gerade letzteres hat immer den Ausschlag gegeben. Auch in der Familie … .

vy 73 de Peter

Hallo Boy2006!

Diese, von Sören richtig als sinnlos bezeichnete Diskussion würde ich jetzt mit den folgenden Worten beenden:

"Sorry Leute! Ja, ich habe Sch<zensiert>e gebaut, weil ich zu <ehrlich den Inhalt einsetzen> war, um die richtige Version des Firefox zu ermitteln. Bitte nehmt mir das nicht allzu übel, wird nicht mehr vorkommen!"

Man kann sich natürlich auch einfach wegducken und in die Schmollecke gehen.

Oder den "harten Hund" raushängen lassen und bis zum St. Nimmerleinstag diskutieren.

Such dir bitte einen sauberen Abgang aus.

vy 73 de Peter

Zitat von Pit_ff

Die Zeit auf dem Laptop war ca. 2 Minuten in der "Zukunft"...

Ja, Kryptologie (hier: die Verwendung der Zertifikate für TLS) ist eben eine sehr exakte Wissenschaft. WOWEREIT!

Die Frage ist, wieso wird die RTC deines Rechners nicht ständig automatisch mit einem NTP-Server synchronisiert? Es gibt keinen Grund, dieses zu verhindern. Ganz im Gegenteil …

vy 73 de Peter

edit: Verschenke ein "W". Danke an milupo.

Hallo charlie!

Auch wenn sich unsere Meinungen zu einem Konzern wie Facebook garantiert sehr ähneln, so schließe ich mich zu 100% der Meinung von Sören an: Eine Verunglimpfung mit einem "anderen" Namen ist nicht gut. Macht man einfach nicht!

Trotzdem einen Tipp:

Schau dir mal das Add-on "Facebook Container" an. Anhand der Beschreibung sollte dieses Tool schon einiges von dem tun, was du möchtest. (Ich selbst konnte zwar davon bislang noch nichts bemerken, aber das liegt wohl eher daran, dass ich mein Netz durch ein "vorgeschaltetes Gerät" sauber halte.)

vy 73 de Peter

Hallo hans67,

spätestens jetzt, wo mehrere User bestätigt haben, dass das bei ihnen nicht der Fall ist, würde ich bei mir selbst nach den Ursachen suchen.

Zuerst (weil das am einfachsten ist), würde ich meinen Rechner einem Scan mit "desinfec't" unterziehen. Die paar €nen für die immer noch im Zeitungsfachhandel liegende aktuelle c't sollte es dir Wert sein und ein USB-Stick mit diesem Programm sollte iegentlich immer vorhanden sein. (Gerade, wenn man ein "etwas älteres" Betriebssystem wie Windows 1 benutzt )

Ziel des ganzen: ausschließen, dass Schadsoftware DNS-Umleitungen "eingebaut" hat.

Danach würde ich mal die DNS-Einstellungen genau unter die Lupe nehmen. Welche Einstellungen sind im Router eingetragen? Auch mal dort bewusst einen anderen (1.1.1.1 oder 9.9.9.9 usw.) eintragen. Im Rechner sollte immer der vorgeschaltete Router als DNS-Server eingetragen sein.

vy 73 de Peter

Ja, das kann es (für breeder) gewesen sein.

Da ich das aus meinem Job so gewohnt war, trage ich das "schon immer" so ein.

Danke für deine Aufmerksamkeit!

Hallo!

Auch wenn der Originalbeitrag (IMHO völlig zu Recht!) entfernt wurde, möchte ich dennoch die versprochene Antwort schreiben.

Gestern haben meine beiden Rechner (und vermutlich auch die Rechner meiner Partner) die aktuelle Version 101.0 (64-Bit) aus dem Repo gezogen.

Wie zu erwarten war, funktionierten alle von meiner eigenen XCA generierten (TSL-)Zertifikate auch unter dem Fx in der o.g. Version perfekt. Es handelt sich hier ausschließlich um aus dem "Heimnetz" (hier: Wireguard-VPN) erreichbare Geräte.

Konkret :

- das GUI von 8 Fritz-Boxen bzw. anderen Routern (einschließlich diverser Fritz-App Fon, die mal ein Problem mit selbst generierten Zertifikaten hatten)

- insgesamt 5 Synology-NAS

- alle meine 8 Wireguard-Server auf der Basis der F!B 4040 bzw. 7412 (natürlich nur deren GUI)

- 5 Raspberry Pi (pi-hole und Seafile-Server)

- und noch einiges anderes "Gerödel"

Auch von meinen Partnern habe ich keine Fehlermeldungen erhalten.

Fazit: Da muss wohl beim TE (breeder) etwas anderes nicht in Ordnung sein.

vy 73 de Peter

Zitat von landbastler

Aber ich brauche jetzt einen Tip wo ich unter "about:config" diese Meldung für diese Seite deaktiveren kann.

Ein derartiger "Tipp" wäre genau so viel wert, wie der, beim lästigen Leuchten irgend einer roten Anzeige im Auto die betreffende LED zu entfernen.

Denn genau so, wie du deinen Motor irgendwann kaputt fährst, besteht auch beim Deaktivieren der Warnung vor einer nicht durch das Zertifikat zu prüfenden Webseite/Verbindung die Gefahr auf einer gefakten oder mit Malware verseuchten Seite zu landen, ohne dass du das bemerkst.

Besser wäre, wie .DeJaVu schon gesagt hat, den Admin der Firma anzusprechen. Denn vermutlich betrifft das nicht nur deine Frau, sondern alle Mitarbeiter, welche im HomeOffice arbeiten.

Die Lösung ist ganz einfach: Der Admin übergibt dir das (öffentliche) Zertifikat seiner CA, welches du dann unter den vertrauenswürdigen Herausgebern importieren und ihm dann das Vertrauen aussprechen kannst.

Hallo P.Opel,

Schuss ins Blaue: Hat dein Smartphone wirklich die genaue Uhrzeit? Manchmal sind es "die kleinen Dinge".

Und auch wenn es dir bei deinem aktuellen Problem nicht helfen wird:

Ich nutze auch, wo auch immer möglich, eine 2FA. Entweder OTP, aber auch YubiKey und seit ein paar Tagen auch den ganz neuen NitroKey 3 NFC.

Beim "alten" OTP mache ich mir immer sofort eine Kopie des Startcodes (also des von der Webseite beim Einrichten angezeigten QR-Codes) mittels Screenshot und speichere diesen in einem gesicherten Bereich.

Was dein aktuelles Problem betrifft, wird Sören bestimmt eine Lösung für dich haben.

vy 73 de Peter

Gaaaanz vorsichtige Rückfrage (verursacht durch die Bemerkung "Online nicht zu erreichen"):

Könnte es vlt. sein, dass es sich bei deinem Serverzertifikat um ein selbst hergestelltes oder gar (wie bei bestimmten Druckern, NAS usw. üblich) vom Gerät selbst signierten und sogar als Root-Zertifikat deklariertes Zertifikat handelt?

Manche Browser, MUA u.a. schauen sehr genau hin, und manche schauen weg.

Selbstverständlich kannst du für nicht öffentlich erreichbare oder nur für einen begrenzten Teilnehmerkreis erreichbare Server Zertifikate selbst herstellen. Aber dann eben auch richtig.

vy 73 de Peter

Ja, was Browser-freies-zum-Lachen. Geschichte aus dem wahren Leben ...

Problem:

Egal, was ich auch für eine Anwendung offen hatte, der Cursor sauste immer ununterbrochen von links nach rechts.

Lösung nach doch einigem Suchen:

Ich hatte mir anlässlich des kommenden Weihnachtsfestes eine neue und auch recht teure Tastatur (Cherry mit mechanischen Tasten) gegönnt. Wunderbar, ein Traum ...

Die uralte ausgeleierte Tastatur mit der Gummimatte "flog" mit kühnem Schwung in mein Regal, um dort die Zeit bis zur Entsorgung zu verbringen.

Und nach ein paar Tagen landeten dann die ausgelesene c't und die iX ebenfalls in dieses Regal.

Und dann trat urplötzlich der o.g. Fehler auf.

Und wer will, darf jetzt gerne lachen ... .

vy 73 de Peter

gumbl:

Ich bin zwar auch 100%iger Linuxuser, aber ich kann dir das trotzdem erklären Hier also die Erklärung für "Mausschubser":

1. Auf dem "auswärts zu betreibenden Gerät" (Smartphone oder Laptop usw.) sicherstellen, dass dieses nicht direkt mit dem eigenen Heimnetz verbunden ist. Also bspw. dieses direkt über Mobilfunk (also ohne WLAN!) betreiben oder mal beim Nachbarn fragen, ob du mal in sein (W)LAN kannst. Dann sollte dazu aber das eigene WLAN temporär abgeschaltet werden.
2. Jetzt mit diesem (ohne Zugang zum eigenen Netz betriebenen!) Gerät die Seite http://www.whatismyip.com aufrufen. Dir wird jetzt die IP deines Nachbarn oder deines Mobilfunkzuganges angezeigt. In beiden Fällen kannst du auch deutlich sehen wenn dein Nachbar einen anderen Provider hat oder eben den Namen deines Mobilfunkproviders. => die angezeigte IP aufschreiben. Es reicht die angezeigte IPv4, denn das verkrüppelte AVM-VPN kann immer noch kein IPv6.
3. Nun das VPN aktivieren und die o.g. Seite erneut aufrufen oder neu laden lassen. Jetzt solltest du eine andere IP (die deines eigenen Internetzuganges) angezeigt bekommen. => ebenfalls aufschreiben und dann mit der Anzeige in der Fritz!Box vergleichen.
4. Jetzt kannst du auch über den aktivierten VPN-Tunnel einen der üblichen Speedtests für Mausschubser durchführen. Nicht wundern, wenn das Ergebnis nicht gerade prickelnd ist.

OK?

vy 73 de Peter

Zitat von gumbl

Was schlägst du vor?

Hallo,

ich wurde zwar in diesem Kontext nicht gefragt, antworte aber trotzdem.

Für ca. 15€nen erhältst du in der Bucht eine der aus nicht verständlichen Gründen ungeliebten F!B 7412. In Verbindung mit 1/2 Stunde Lesen im Netz (bspw. hier: Billige Fritzbox 7412: Wireguard-VPN und DNS-Verschlüsselung ...) und einer Stunde Bastelspaß hast du vor dir einen sehr gut funktionierenden Wireguard-VPN-Server vor dir zu stehen. Und Wireguard ist ist IMHO das beste VPN, was es aktuell gibt. Und diesem VPN ist es (im Gegensatz zum kastrierten AVM-VPN welches die Fritz!Box von zu Hause aus mitbringt) egal, ob dein Anschluss DS-lite oder DS mit einer routingfähigen IPv4 hat. Wireguard funktioniert mit beiden Protokollen. Und die zu erreichende Bandbreite des Tunnels entspricht fast der deines Uplinks (nun ja, nicht gerade mit der 7412, aber wenn du wesentlich mehr als 40Mbit/s haben solltest, dann eben mit der 4040).

Falls du dich dafür interessierst, kann ich dir gerne helfen.

Hier hat "jemand" auch etwas dazu geschrieben: #8

vy 73 de Peter

Ich bleibe bei meiner Aussage. (Nein, das Alter ist kein Verdienst. Und ich wäre auch gerne noch 5 Jahre jünger. Nicht mehr, denn täglich auf Arbeit gehen möchte ich jetzt nicht mehr. So gerne, wie ich meinen Job all die Jahre gemacht habe.)

BTW:

Mein erstes eigenes Auto war ein Skoda 105L. An meinem 30. Geburtstag war meine Warteliste endlich abgearbeitet. milupo wird verstehen, was ich damit meine.

vy 73 de Peter

Jaja, ist schon interessant, wie die jungschen Kerle hier über die alten Zeiten debattieren ... .