Beiträge von WismutKumpel

Guten Morgen!

Vielleicht mal einige Hinweise, wie ich in solchen Fällen reagiere (kein Dogma, nur meine Erfahrungen!):

Zuerst:

Alle meine Mobilgeräte sind dauerhaft (also auch zu Hause) über mein eigenes WireGuard-Netz mit dem Internet verbunden, und darüber erfolgt auch dauerhaft die DNS-Auflösung über meinen recht streng eingestellten pihole. Und unsere Smartphones werden beide vor der Nachtruhe grundsätzlich in den Flugmodus geschickt. Ich muss ja glücklicherweise nicht mehr 24/7 erreichbar sein …

Bei Störungen bei der Erreichbarkeit von Zielen, welche ja sehr oft auf ein DNS-Problem hindeuten, versuche ich immer zuerst nach dem Ausschlussprinzip vorzugehen. Also alles, was die Quelle einer Störung darstellen könnte, testweise deaktivieren und natürlich die entsprechenden Neustarts zum Löschen der DNS-Caches durchführen:

• ausnahmsweise das VPN deaktivieren
• den Filtermodus des pihole deaktivieren
• im Router die DNS-Auflösung von pihole auf Router-intern umstellen (und auch sämtliche Einstellung der F!B überprüfen!)
• auch mal dort einen anderen DNS-Server (bspw. 9.9.9.9) einstellen
• DOH usw. deaktivieren
• dann versuche ich auf der Linux-Konsole (ja, auch der Androide hat eine selbige!) die Namensauflösung einiger Ziele durchzuführen und auch das Routing dorthin sowie mit "ip address s" das Standardgateway und den eingestellten DNS-Server anzuzeigen.

Ja, entweder ich entdecke einen Fehler, oder - warum auch immer - funktioniert es dann wieder.

vy 73 de Peter

Guten Tag KringelBrot73!

Ich möchte dir meine persönliche und keinesfalls maßgebliche Meinung zu deinem "Problem" schreiben:

Ich freue mich, wenn ein Softwareprodukt dafür sorgt, dass es immer in der aktuellen Version installiert ist und auch bestimmte Hinweise dazu gibt. Für mich ist das auch keinesfalls eine "Bevormundung", sondern eher als eine Art "Fürsorge" gegenüber dem Anwender zu bezeichnen.

Zumal die zitierte Meldung ja äußerst selten und nur in bestimmten (von Sören sehr gut erklärten!) Situationen stattfindet.

Ich erlaube mir, hier einen (garantiert nicht gern gelesenen) Spruch anzubringen:

Nicht alles, was man nicht versteht, ist unbedingt falsch!

vy 73 de Peter

Hallo .DeJaVu!

Zuerst einmal vielen Dank für deinen (wie eigentlich immer …) sehr guten Beitrag #15.

Wenn ich (im ip-phone-forum oder in anderen technischen Foren) einem User den oft hilfreichen Tipp mit dem Neustart des Routers gebe, dann ergänze ich das grundsätzlich mit dem Hinweis, dass man dies nicht allzu oft hintereinander oder nur mit entsprechender Wartezeit tun sollte. Verbunden mit dem Hinweis, dass sonst das DLM angeregt werden kann, seine vorgesehene Aufgabe der Bereitstellung einer stabilen Verbindung mit dem Drosseln der Bandbreite zu erfüllen - was ja in diesem Fall garantiert nicht gewünscht ist.

Das o.g. sollte natürlich nur ein Hinweis sein.

vy 73 de Peter

Könnte es eventuell sein …

… dass da jemand zum Ausblenden bestimmter unerwünschter Bilder einen Werbeblocker benutzt, und mit dessen Bedienung überfordert ist?

Ich frage ja nur …

edit: Hier eine vor dem Anklicken nicht überprüfbare "tinyurl" zu posten ist eine sehr üble Art. Ein sicherheitsbewusster Nutzer sollte niemals (ohne Not) auf eine derartige URL klicken.

vy 73 de Peter

Das einzige, was ich sehe, ist, dass du für eine lokal gehostete Seite (auf 192.168.2.15) eine Webseite (woher auch immer) gespeichert hast und beim Öffnen dieser Seite eben jenen Fehler angezeigt bekommst.

Die erste Frage dazu ist, warum du eine lokal gespeicherte Seite unbedingt mit https:// aufrufst.

Bei diesen "blöden Zertifikaten" (Bezeichnung von dir!) kommt es nämlich auf große Exaktheit an. Stimmt irgendetwas nicht, wird das als Fehler gewertet - und das ist auch gut so!

Da du ja keine näheren Angaben gemacht hast, kann ich nur mit einigen Hinweisen dienen, wonach du suchen musst.

• Der im Zertifikat stehende (und zu überprüfende!) Name (cn) muss exakt mit der aufgerufenen Seite übereinstimmen. Steht da wirklich die o.g. IP als cn drin?
• Der Herausgeber des Zertifikates (also die Stelle, welche das Zertifikat signiert hat) muss im Browser als vertrauenswürdiger Herausgeber bekannt sein. Das trifft in der Regel (ohne dein Zutun) nur für die etablierten Herausgeber (Zertifizierungsstellen) zu. Mitunter, bspw. bei von Druckern oder Routern selbst erstellte Zertifikate, können diese auch als Herausgeber importiert werden. Auch bei selbst generierten Zertifikate (eigen CA) kannst du deren root-Zertifikat hinzufügen.
  
• Wichtig ist auch die aktuelle Methode der durchgeführten Signatur. Es gibt Signaturalgorithmen, welche (aus gutem Grund!) von modernen Browsern nicht mehr unterstützt werden.
• Wichtig ist auch die Gültigkeitsdauer des Zertifikates - und natürlich auch die exakte Uhrzeit deiner Systemuhr.

vy 73 de Peter

Ich frage noch einmal nach: du schreibst etwas mit "eigenen Zertifikaten". Kannst du da etwas deutlicher werden?

Hallo bibo!

Die Suchmaschine meines geringsten Misstrauens spuckt mir (einschließlich deines eigenen Beitrages) acht Links zu dieser Thematik aus. Hast du dieser alle mal "abgearbeitet"?

vy 73 de Peter

Hallo Kadettin!

Ich bedanke mich für dein Verständnis.

Gleichzeitig möchte ich mich den letzten beiden Sätzen von .DeJaVu anschließen. Will dich natürlich auch keinesfalls mit meiner persönlichen Backup-Strategie zuschütten. Die einfachste habe ich ja erwähnt.

Nur ein einziger Satz noch zum Thema: das beste Backup ist nur so viel wert, wie sein (getestetes!) Restore.

Ich wünsche dir, dass du alles wiederhergestellt bekommst.

vy 73 de Peter

Hallo Luna-1 ,

Wetten, wenn du deine Anfrage etwas klarer gestellt hättest, dann hätte es nicht so viele Irritationen und dir nicht unbedingt helfende Hinweise gegeben. Deine Frage klang mehr danach, dass bestimmte Personen (vermutlich Familienangehörige) gegen deine Willen amazon aufrufen.

Dein Problem ist aber eher im Zusammenhang mit der Funktion der bei dir/euch eingestellten Suchmaschine zu sehen. Und dort solltest du auch ansetzen. Ob das Verhindern des Aufrufs einer Seite dieser Firma dein Problem wirklich lösen wird, wage ich zu bezweifeln. Es könnte sogar sein, dass jetzt bestimmte Fehlermeldungen zunehmen.

BTW: Deine gute Absicht kann ich auf jeden Fall verstehen!

vy 73 de Peter

Hallo Kadettin!

Auch wenn du mich jetzt verfluchen wirst, ich sehe das, was dir passiert ist, als eine für dich gute und wertvolle Erfahrung an!

Ich liebe die Bemerkung, welche .DeJaVu gebracht hat, will diese aber nicht wiederholen, um dich nicht allzu sehr zu ärgern.

Vielleicht hilft dir (als Vorsorge für garantiert eintretende zukünftige Pannen) eine ähnliche Methode, wie ich sie seit Beginn meiner eigenen Beschäftigung mit der IT (irgendwann mal in den 80 Jahren des vorigen Jahrhunderts …) bewusst und konsequent nutze.

Die erste Methode nennt sich "Datensicherung". Egal, welche du nutzt, selbst die Methode des "Backup für arme Leute" (wichtige Daten regelmäßig abwechselnd auf zwei verschiedene USB-Sticks kopieren) ist viel besser als überhaupt kein Backup.

Und was die Passwörter betrifft (selbstverständlich immer komplexe und lange PW und niemals eines davon mehrfach!), so führe ich eine lange strukturierte Liste mit folgendem Inhalt:

Name des Accounts ##### Anmeldename ##### Passwort ##### Startcode 2FA <= wenn vorhanden

Und immer wenn ich einen neuen Account anlege, wird zuerst diese Liste mit den zu verwendenden Daten ausgefüllt.

Erst dann werden diese Daten über die Zwischenablage und den Browser zum jeweiligen Dienst geschickt.

Diese Liste kann dann entweder ausgedruckt und "im Banksafe" hinterlegt oder auf einem USB-Stick gespeichert oder sonst wo "sicher" gelagert werden. (Ich will hier nicht einmal unbedingt erwähnen, dass sie auch vom Rechner sicher gelöscht werden kann).

So kann es mir niemals passieren, dass mir bei einem Hardwareverlust meine Passwörter abhandenkommen und ich jetzt ein Problem mit der Wiederherstellung habe.

Und, sollte es zur Kompromittierung irgendeines PW beim Dienstanbieter kommen, dann ist diese Liste auch eine gute Grundlage für den problemlosen Wechsel meiner Passwörter (was für mich auch sonst Routine ist).

Und ja, so mancher benötigt eben eine entsprechende Erfahrung …

BTW:

Bevor jemand mit dem entsprechenden Hinweis kommt: Ich nutze selbstverständlich unabhängig davon einen guten Passwort-Manager (KeepassXC), welcher viel mehr als meine Authentisierungsdaten speichert und dessen verschlüsselte Datenbank selbstverständlich auch Bestandteil meiner automatisierten Datensicherung ist. Ja, hier schlägt meine ehemalige berufliche Tätigkeit durch - was aber keinesfalls ein Maßstab sein muss.

vy 73 de Peter

Hallo!

Ich erlaube mir mal eine etwas anders geartete Antwort.

Für mich (Vater und Großvater von mittlerweile erwachsenen Enkeln und viele Jahre beruflich mit IT-Sicherheit in einem sehr sensiblen Bereich befasst gewesen) gilt immer noch eine alte Regel:

Menschliche Probleme sind nicht (oder kaum mit einem vertretbaren Aufwand) ausschließlich mit technischen Mitteln zu lösen .

Ja, alles kann mit einem entsprechenden Aufwand geblockt werden. Und alles ist irgendwie immer nachweisbar und kann (zumindest im sicherheitskritischen behördlichen oder Firmenumfeld) nach entsprechender Belehrung zu harten Sanktionen führen.

Aber im familiären Umfeld oder in einem KMU ohne entsprechend ausgebildetes und auch befugtes Fachpersonal (und auch einem Juristen!) wird der "Hilfsadministrator" immer den Kürzeren ziehen. Ja, so mancher Mensch wird seine Maßnahmen sogar als eine Kampfansage gegen seine "persönlichen Freiheiten" ansehen und alles unternehmen, um letztendlich in dieser Sache der "Sieger" zu sein. Und das fast immer mit großem Erfolg!

Ich habe also immer auf ein zweigleisiges Verfahren gesetzt:

- auf technische Mittel (privat: mein pi-hole kann da schon einiges - auch melden, wer da was des Öfteren versucht)

- auf Mittel der Überzeugung.

Gerade letzteres hat immer den Ausschlag gegeben. Auch in der Familie … .

vy 73 de Peter

Hallo Boy2006!

Diese, von Sören richtig als sinnlos bezeichnete Diskussion würde ich jetzt mit den folgenden Worten beenden:

"Sorry Leute! Ja, ich habe Sch<zensiert>e gebaut, weil ich zu <ehrlich den Inhalt einsetzen> war, um die richtige Version des Firefox zu ermitteln. Bitte nehmt mir das nicht allzu übel, wird nicht mehr vorkommen!"

Man kann sich natürlich auch einfach wegducken und in die Schmollecke gehen.

Oder den "harten Hund" raushängen lassen und bis zum St. Nimmerleinstag diskutieren.

Such dir bitte einen sauberen Abgang aus.

vy 73 de Peter

Zitat von Pit_ff

Die Zeit auf dem Laptop war ca. 2 Minuten in der "Zukunft"...

Ja, Kryptologie (hier: die Verwendung der Zertifikate für TLS) ist eben eine sehr exakte Wissenschaft. WOWEREIT!

Die Frage ist, wieso wird die RTC deines Rechners nicht ständig automatisch mit einem NTP-Server synchronisiert? Es gibt keinen Grund, dieses zu verhindern. Ganz im Gegenteil …

vy 73 de Peter

edit: Verschenke ein "W". Danke an milupo.

Hallo charlie!

Auch wenn sich unsere Meinungen zu einem Konzern wie Facebook garantiert sehr ähneln, so schließe ich mich zu 100% der Meinung von Sören an: Eine Verunglimpfung mit einem "anderen" Namen ist nicht gut. Macht man einfach nicht!

Trotzdem einen Tipp:

Schau dir mal das Add-on "Facebook Container" an. Anhand der Beschreibung sollte dieses Tool schon einiges von dem tun, was du möchtest. (Ich selbst konnte zwar davon bislang noch nichts bemerken, aber das liegt wohl eher daran, dass ich mein Netz durch ein "vorgeschaltetes Gerät" sauber halte.)

vy 73 de Peter

Hallo hans67,

spätestens jetzt, wo mehrere User bestätigt haben, dass das bei ihnen nicht der Fall ist, würde ich bei mir selbst nach den Ursachen suchen.

Zuerst (weil das am einfachsten ist), würde ich meinen Rechner einem Scan mit "desinfec't" unterziehen. Die paar €nen für die immer noch im Zeitungsfachhandel liegende aktuelle c't sollte es dir Wert sein und ein USB-Stick mit diesem Programm sollte iegentlich immer vorhanden sein. (Gerade, wenn man ein "etwas älteres" Betriebssystem wie Windows 1 benutzt )

Ziel des ganzen: ausschließen, dass Schadsoftware DNS-Umleitungen "eingebaut" hat.

Danach würde ich mal die DNS-Einstellungen genau unter die Lupe nehmen. Welche Einstellungen sind im Router eingetragen? Auch mal dort bewusst einen anderen (1.1.1.1 oder 9.9.9.9 usw.) eintragen. Im Rechner sollte immer der vorgeschaltete Router als DNS-Server eingetragen sein.

vy 73 de Peter

Ja, das kann es (für breeder) gewesen sein.

Da ich das aus meinem Job so gewohnt war, trage ich das "schon immer" so ein.

Danke für deine Aufmerksamkeit!

Hallo!

Auch wenn der Originalbeitrag (IMHO völlig zu Recht!) entfernt wurde, möchte ich dennoch die versprochene Antwort schreiben.

Gestern haben meine beiden Rechner (und vermutlich auch die Rechner meiner Partner) die aktuelle Version 101.0 (64-Bit) aus dem Repo gezogen.

Wie zu erwarten war, funktionierten alle von meiner eigenen XCA generierten (TSL-)Zertifikate auch unter dem Fx in der o.g. Version perfekt. Es handelt sich hier ausschließlich um aus dem "Heimnetz" (hier: Wireguard-VPN) erreichbare Geräte.

Konkret :

- das GUI von 8 Fritz-Boxen bzw. anderen Routern (einschließlich diverser Fritz-App Fon, die mal ein Problem mit selbst generierten Zertifikaten hatten)

- insgesamt 5 Synology-NAS

- alle meine 8 Wireguard-Server auf der Basis der F!B 4040 bzw. 7412 (natürlich nur deren GUI)

- 5 Raspberry Pi (pi-hole und Seafile-Server)

- und noch einiges anderes "Gerödel"

Auch von meinen Partnern habe ich keine Fehlermeldungen erhalten.

Fazit: Da muss wohl beim TE (breeder) etwas anderes nicht in Ordnung sein.

vy 73 de Peter

Zitat von landbastler

Aber ich brauche jetzt einen Tip wo ich unter "about:config" diese Meldung für diese Seite deaktiveren kann.

Ein derartiger "Tipp" wäre genau so viel wert, wie der, beim lästigen Leuchten irgend einer roten Anzeige im Auto die betreffende LED zu entfernen.

Denn genau so, wie du deinen Motor irgendwann kaputt fährst, besteht auch beim Deaktivieren der Warnung vor einer nicht durch das Zertifikat zu prüfenden Webseite/Verbindung die Gefahr auf einer gefakten oder mit Malware verseuchten Seite zu landen, ohne dass du das bemerkst.

Besser wäre, wie .DeJaVu schon gesagt hat, den Admin der Firma anzusprechen. Denn vermutlich betrifft das nicht nur deine Frau, sondern alle Mitarbeiter, welche im HomeOffice arbeiten.

Die Lösung ist ganz einfach: Der Admin übergibt dir das (öffentliche) Zertifikat seiner CA, welches du dann unter den vertrauenswürdigen Herausgebern importieren und ihm dann das Vertrauen aussprechen kannst.

Hallo P.Opel,

Schuss ins Blaue: Hat dein Smartphone wirklich die genaue Uhrzeit? Manchmal sind es "die kleinen Dinge".

Und auch wenn es dir bei deinem aktuellen Problem nicht helfen wird:

Ich nutze auch, wo auch immer möglich, eine 2FA. Entweder OTP, aber auch YubiKey und seit ein paar Tagen auch den ganz neuen NitroKey 3 NFC.

Beim "alten" OTP mache ich mir immer sofort eine Kopie des Startcodes (also des von der Webseite beim Einrichten angezeigten QR-Codes) mittels Screenshot und speichere diesen in einem gesicherten Bereich.

Was dein aktuelles Problem betrifft, wird Sören bestimmt eine Lösung für dich haben.

vy 73 de Peter

Gaaaanz vorsichtige Rückfrage (verursacht durch die Bemerkung "Online nicht zu erreichen"):

Könnte es vlt. sein, dass es sich bei deinem Serverzertifikat um ein selbst hergestelltes oder gar (wie bei bestimmten Druckern, NAS usw. üblich) vom Gerät selbst signierten und sogar als Root-Zertifikat deklariertes Zertifikat handelt?

Manche Browser, MUA u.a. schauen sehr genau hin, und manche schauen weg.

Selbstverständlich kannst du für nicht öffentlich erreichbare oder nur für einen begrenzten Teilnehmerkreis erreichbare Server Zertifikate selbst herstellen. Aber dann eben auch richtig.

vy 73 de Peter