Beiträge von WismutKumpel

    Guten Morgen allerseits!


    Wenn ich nun schon mal "namentlich" erwähnt wurde, will ich auch noch meinen Senf dazugeben.


    Zuerst einmal, ich danke Boersenfeger für die Eröffnung dieses Threads. Seine geäußerte Meinung und auch die Meinungen, welche danach gepostet wurden, entsprechen völlig meiner eigenen Meinung.
    Es kann im Internet keine sichere Anonymität geben!
    (Ich sehe persönlich für mich auch keinen Sinn darin, TOR zu nutzen.)


    Unter einer "sicheren Anonymität" verstehe ich, dass eben auch jener erwähnte Systemkritiker ohne Gefahr für Leib und Leben in einer nicht demokratischen Gesellschaft seine kritische Meinung posten kann, ohne dass er erwarten muss, enttarnt zu werden.
    (An dieser Stelle bitte keine Diskussion über "demokratische Gesellschaften" und "Systemkritik".)


    Ich sehe nicht nur systembedingte technische Schwachstellen (es ist für die "Dienste" überhaupt kein Problem, dass TOR-Netzwerk mit eigenen Knoten zu überschwemmen, und natürlich die immer wieder bekannten - vlt. sogar bewusst eingebauten - Schwachstellen in der Kryptologie). Heutzutage sind nicht nur die "Dienste", sondern auch bekannte Firmen und auch genau hinschauende User sehr wohl in der Lage einzelne User zu identifizieren. Dazu bedarf es nicht mal die Methoden und Prozesse von "Big DATA". Jemand der meine Beiträge liest, erkennt sehr schnell an bestimmten Merkmalen wie die von mir erfolgte Begrüßung in fast allen meinen Forenbeiträgen und auch die Verabschiedung am Ende eines Beitrages - und auch an meinen langen Sätzen ;) sehr schnell Gemeinsamkeiten an meinen Beiträgen in diversen anderen Foren.


    JA, ich bin der festen Überzeugung, dass es gut ist, in einem Forum unter einem (oder mehreren) Nicknamen aufzutreten. Ich weiß aber auch, dass es Kräfte gibt, denen das nicht passt und die dagegen Politik machen. Aber ich erwarte durch meine Forennamen keinerlei echte Anonymität oder gar Schutz. Aber nachdem mich zum Bsp. in einigen Foren die Nutzer mit PN voller Probleme - die ins Forum gehören! - überhäufen, will ich unbedingt vermeiden, dass ich auch noch von denen angerufen werde.


    Bislang konnten wir auf unsere deutschen Datenschutzgesetze sogar richtig Stolz sein. Solche erkämpften (!) Grundrechte wie die Prinzipien der Datensparsamkeit und der Zweckbindung von über uns gesammelten Daten waren schon gut und wichtig. (Zumindest theoretisch.)
    Wie ich gestern kurz bei heise gelesen habe, sind diese deutschen Errungenschaften in dem neuen europäischen Datenschutzrecht wohl kaum noch vorhanden. Und die "berechtigten Interessen Dritter" an unseren Daten wurden erwartungsgemäß gestärkt. (Auch hier von mir kein Kommentar dazu ...)
    Ich sage mal, wir werden auch das nicht vermeiden können - aber wir können es zumindest etwas erschweren.
    (Aber will das überhaupt noch jemand? Ich sage nur "<zensiert>" - ich will die alte Diskussion zu diesem Thema nicht wieder anwerfen.)


    Zum Thema VPN:
    Noch vor zwei Jahren war ich richtig stolz auf bestimmte deutsche Entwicklungen, welche uns gestatten, Daten mit allen Geheimhaltungsstufen sicher über unsichere Netze zu übertragen. Ich hatte ja auch einen winzigkleinen Anteil daran ... .
    Heute - "nach Snowden" - bin ich mir da noch nicht mal so 100pro sicher mit dieser Aussage und meiner damaligen Überzeugung.
    Was will ich damit sagen: Auch bei einem VPN, und wenn dieses noch so sachgerecht entwickelt wurde, sollte man immer im Kopf haben, dass auch da Schwachstellen drin sein können.


    Aber trotzdem: Ich nutze grundsätzlich bei allen Datenübertragungen aus und in mein eigenes Netz diverse VPN. So ist mein eigenes Homenetz mit dem meines Sohnes über ein IPsec-VPN verbunden. Mein außerhäusig betriebenes Notebook und mein Smartphone (auch wenn ich natürlich weiß, dass Android von Hause aus ein unsicheres System ist, aber das sind ja wohl die anderen auch!) nutzen das Internet nur über VPN und dann über meinen Router zu Hause. Meine Kalender und Adressbücher werden nur über VPN synchronisiert. Es gibt bei mir keinen direkten Zugriff über Portweiterleitungen - wozu auch?
    Sicherlich, alles das kann "man" knacken. Aber ich übertrage ja nur "Pillepalle privat", und wer da eindringt, wird dann sagen, dass es schade um Zeit und sonstige Ressourcen war. Aber ich biete eben den WLAN-Mitlauschern in der VIP-Lounge der Bahn oder im Cafe keine Möglichkeit zum Mitlesen. (So mancher "Schlipsträger" war schon sehr erstaunt - und auch dankbar!, als ich ihn darauf hingewiesen und gezeigt habe, was sein iDinges da gerade an sensiblen Daten übertragen hat.)


    Ich möchte aber auch einen anderen Gedanken nicht unerwähnt lassen:
    Wer so wie ich von Anfang an sämtliche E-Mails verschlüsselt, VPN (oder auch TOR) benutzt, der fällt erst mal auf. Und wer manchmal ein paar kritische Äußerungen in Foren schreibt, ebenfalls.
    Aber die Nutzung privater Verschlüsselung ist in Deutschlang (noch) gestattet. Und so lange eine geäußerte Kritik keine Hetze oder Anstiftung zu Straftaten uws. ist, ist sie ebenfalls legal.


    So, genug gelabert ... .



    MfG WK

    Hallo,


    ich bitte mal, mir eine grundsätzliche Frage zur Thematik des Signierens von Add-ons nicht allzusehr übel zu nehmen - und vlt. sogar durch einen der anwesenden Mozilla-Experten zu beantworten.


    Ich habe in den letzten 15 Jahren (so lange ich noch Arbeiten ging ;-)) in "meinem" TrustCenter auch Dutzende X.509-Zertifikate mit dem Verwendungszweck "CodeSigning" herstellen lassen. Unter CS verstehe ich, dass ein dafür ausgebildeter und geprüfter Fachmann den Programmcode gründlich hinsichtlich Funktionalität aber auch auf Freiheit von irgendwelchen "Nebenwirkungen" untersucht, mit seinem persönlichen CS-Zertifikat signiert, und damit den Anwendern innerhalb unserer Organisation zeigt, dass es sich eben um entsprechend geprüfte Software handelt, welche bedenkenlos eingesetzt werden darf. Entsprechend hoch waren die Kriterien!
    Auch bei uns wurde mit technischen Mitteln verhindert, dass unsignierte und auch NICHT von eben diesen CS-Berechtigten signierte Anwendungen angewendet wurden. Letztere wurden ebenfalls geprüft und neu signiert.


    Jetzt lese ich (zu meiner Freude!), dass auch Mozilla Add-ons signiert. Aber das pure Signieren ist das eine - und eine wie oben beschriebene Überprüfung das andere. Und wenn ich jetzt lese, dass dieses Signieren automatisch erfolgt, kommen mir doch gewisse Zweifel. Kann die jemand von den anwesenden Experten ausräumen?



    MfG
    WK

    Zitat von Darklord666

    Dieses Sicherheitsdebakel zeigt leider wieder einmal die Unfähigkeit, Desinteressiertheit und Nutzlosigkeit der Regierung und Ihrer Organe in dieser Materie, allen voran das BSI.


    Auch wenn wir jetzt in diesem Thread total nach [OT] laufen, muss ich einfach noch einmal auf diese IMHO sehr dummen Bemerkungen deinerseits antworten.
    Informiere dich bitte anhand der geltenden Gesetze (oder einfach auf der Webseite des BSI) über die Aufgaben und Befugnisse dieses Bundesamtes. Da wirst du kein Wort darüber finden, dass diese Behörde dafür zuständig ist, wie dein Browser zu arbeiten hat. Es ist sogar so, dass diese Behörde mit https://www.bsi-fuer-buerger.de mehr tut, als wofür sie gesetzlich verpflichtet ist. Frage von mir: Wie oft schaust du dort rein?


    Und auch unsere Regierung wird kein Gesetz erlassen, welches verbietet, dass (außerhalb ihres Hoheitsgebietet) vorhandene Schwachstellen in Soft- und Hardware erkannt und ausgenutzt werden.


    Also bitte:
    - erst nachdenken
    - dann gründlich informieren, und
    - erst dann losschreiben.



    MfG WK

    Hallo Darklord666,


    Zitat von Darklord666


    EDIT: Der ssl3 Tip funktioniert doch. ... Dennoch frage ich mich ob diese Einstellung in Zukunft Probleme bereiten kann. :?


    Ja selbstverständlich wird dir diese Einstellung "Probleme" bereiten. Und zwar dann, wenn ein Serverbetreiber noch immer dieses unsichere Verfahren benutzt.
    Du hast dann ganz genau zwei Möglichkeiten zur Reaktion auf dieses "Problem":
    1.) Du verzichtest auf den Besuch dieser Webseite (und erreichst vlt. dadurch ein "Umdenken wegen Missachtung" beim Betreiber
    2.) Du änderst bewusst und temporär diese Einstellung bei den betreffenden Webseiten.


    Aber ich denke mal, es wird nicht lange dauern, bis das bei allen Browsern "per se" gefixt ist. Und wer dann seinen Server nicht umgestellt hat, muss eben mit der Einsamkeit leben.



    MfG WK

    Also beim root-2 der Telekom handelt es sich um das Zertifikat mit der Nummer 26 und der Gültigkeit ab 09.07.1999 bis zum 10.07.2019


    Dieses Zertifikat ist im aktuellen Thunderbird (31.7.0), im aktuellen Fx (38.0.1) und auch in dessen Vorgänger, (mit dem ich den Screenshot angefertigt habe) enthalten. Es handelt sich bei allen drei Zertifikaten um die identische Datei.


    Im 31er Thunderbird und im 36er Firefox wurden die Prüfsummen noch in dem veralteten Format MD5 sowie mit SHA1 angegeben, welches man besser auch nicht mehr verwenden sollte. Im aktuellen 38er Fx wurde MD5 endlich entsorgt und dafür SHA256 hinzugefügt. Für die Erzeugung der Prüfsummen wurde der Export im der-Format (einem binär codierten Ausgabeformat) verwendet.:

    Code
    peter@erde:~> md5sum DeutscheTelekomRootCA2.der  
    74014a91b108c458ce47cdf0dd115308  DeutscheTelekomRootCA2.der
    peter@erde:~> sha1sum DeutscheTelekomRootCA2.der  
    85a408c09c193e5d51587dcdd61330fd8cde37bf  DeutscheTelekomRootCA2.der
    peter@erde:~> sha256sum DeutscheTelekomRootCA2.der  
    b6191a50d0c3977f7da99bcdaac86a227daeb9679ec70ba3b0c9d92271c170d3  DeutscheTelekomRootCA2.der


    Nimmst du allerdings den Export im pem-Format (.crt, einem ASCII-Format), dann sieht es so aus:

    Code
    peter@erde:~> sha256sum DeutscheTelekomRootCA2.crt 
    1b7f274b12b3959aebc24ae280d687982d1cf368eb206ec67b7580645805fc8d  DeutscheTelekomRootCA2.crt
    peter@erde:~>

    - eine Zahlenfolge, welche dir bekannt vorkommen dürfte.


    OK?


    MfG Peter

    Hallo,


    also irgendwie verwundert es mich schon, dass nach dem Angebot einer funktionierenden Lösung durch Susanne hier noch einmal das gleiche Problem gepostet wird.


    Ich habe diesen Thread vom ersten Beitrag an verfolgt. Und als sich Susanne (die Fachfrau beim Thema GnuPG!) der Sache angenommen hat, mich auch weiterhin nur lesend beteiligt. Es gibt eine Lösung, und es gibt eine Begründung, warum das so ist.
    Was willst du mehr?


    BTW:
    In Firmen, wo es üblich ist, dass mehrere Mitarbeiter an bestimmten Vorgängen arbeiten, ist es nicht ungewöhnlich, wenn eine Gruppe bestimmter Mitarbeiter neben der eigenen auch eine gemeinsame Mailadresse (selbstverständlich mit IMAP verwaltet) und auch einen gemeinsamen, auf diese Adresse passenden, private Key nutzt. (Zum Signieren kann ja immer noch der eigene Key verwendet werden.)
    Auch wenn das beschriebene Problem mit PGP/MIME nicht auftreten sollte (es wurde sowohl durch Susanne als auch durch mich getestet), so kann man das zumindest auf dem o.g. Weg umgehen.



    MfG WK

    Hallo MaLuFi,


    zum Import in dein Smartphone kann ich dir leider mangesl "Masse" nichts sagen. Deshalb nur ganz allgemein:


    Das aktuelle Herausgeberzertifikat der betreffenden CA sieht so aus, wie in meinem Screenshot. => Vergleiche mal.
    In diesem Screenshot siehst du auch den Hashwert zur Prüfung der Integrität dieser Datei => mit einem geeigneten Prüftool kannst du überprüfen, ob der Hashwert deiner vorliegenden Datei mit dem vorgegebenen entspricht. Wenn ja, ist diese Datei "in Ordnung".


    Ich gehe mal davon aus, dass du dieses Zertifikat auch in FF-OS unter Herausgeberzertifikate importieren kannst. Es ist ein selbstsigniertes Zertifikat - wie es ja bei den root-Zertifikaten eines TrustCenters üblich ist. Es gibt also nichts "darüber".
    Ich gehe aber davon aus, dass das root-Zertifikat niemals direkt als Serverzertifikat genutzt wird. Derartige root-Zertifikate werden nur genutzt, um darunterliegende Herausgeberzertifikate zu signieren. (Und diese signieren dann die Nutzer- oder Server-Zertifikate.)


    Was ich allerdings nicht weiß bzw. nicht wissen kann ist, welche WLAN-Verbindung du mit diesem Zertifikat absichern willst. Hast du wirklich eine WLAN-Verbindung, welche mit einem X.509-Zertifikat abgesichert wird? :-???:-???


    HTH!


    MfG WK

    Hi,


    also wenn mal irgend einen "komischen Effekt" habe, dann gehe ich in das entsprechende Fachforum und versuche mit Hilfe der dortigen Suchfunktion herauszubekommen, ob genau dieses Problem schon bekannt ist. Mitunter auch noch einmal am nächsten Tag. Oder ich nutze die Suchmaschine meines geringsten Misstrauens.


    Finde ich Dutzende oder noch mehr passende Beiträge, finde ich meistens auch eine erfolgreiche Lösung.


    Stelle ich aber fest, dass ich (auch nach ein paar Tagen) der einzige mit diesem Problem bin - dann fange ich an, darüber nachzudenken... .


    MfG WK

    Zitat von wos


    Ich habe oben ja geschrieben, dass ich eine EXE in C# geschrieben habe.
    Ich war mir jetzt doch nicht ganz sicher. Deshalb habe ich nochmal nachgesehen: Es ist Windows!


    wos: Dieser Punkt geht klar an dich :D
    Aber ich möchte fast wetten, dass jetzt gefragt wird, ob du Win 95, 98, 2000, Vista ... 10 benutzt ... .

    Ich mache dir hier folgenden Vorschlag:


    So wie das hier aussieht, ist dein Problem kein Problem mit dem Browser Firefox (welche hier im Firefox-Forum behandelt werden), sondern eher ein Problem mit dem dir wohl neuen Mailclient Thunderbird. Auch wenn du per Webmail (mit dem Firefox) Mails verschicken kannst, ist das ein völlig anderer Prozess, als wenn du das mit einem richtigen Mailclient (beispielsweise dem Thunderbird) machst.


    Deshalb werde dir bitte zuerst klar, ob du zukünftig deine Mails per Webmail und Browser oder per Thunderbird senden und empfangen willst. Beides hat Vor- und Nachteile, wobei für mich der einzige "Vorteil" von Webmail ist, dass du dir keine Gedanken über die Konfiguration machen musst. Anmelden und läuft ... . Bei einem Mailclient muss man gewisse kleine Kenntnisse mitbringen - was aber alles gut beschrieben ist. Nur lesen musst du erst einmal.


    Solltest du dich für den Thunderbird entscheiden, dann empfehle ich dir, dich gründlich in der Doku des Thunderbird-Forums einzulesen. Du musst nicht gleich alles verstehen, wir antworten gern auf Fragen. Es geht wirklich nur um Grundlagenwissen, was du mitbringen solltest.
    Und auf bestimmte Fragen (welcher SMTP-Eintrag, usw.) gibt die die Webseite deines Mailproviders Auskunft. Solche Daten, wie die Namen der beiden Server (Postein- und Ausgangsserver), die anzuwendende Verbindungssicherheit, die daraus resultierenden Ports, der Benutzername (das kann, muss aber keinesfalls die E-Mailadresse sein) und die Art der Authentisierung müssen vorher klar sein, wenn du einen Mailclient einrichten willst.
    Alles weiteres klären wir gern im Forum.


    OK?


    Jetzt mache ich mich aber schnell vom (Firefox-)Hof, bevor mich einer der hiesigen "Poweruser" wegen meiner [OT]-Beiträge des Hauses verweist ... .


    MfG WK

    Hallo XDARKPRINZESSX,


    wenn du mit einem Mailclient (hier: eben der Thunderbird) eine E-Mail an eine bestimmte Adresse verschickst, dann wird diese Mail auch nur an dieses Postfach bei diesem Provider, also an diese Adresse verschickt. WOWEREIT.


    Wenn du die von dir verschickte Mail zusätzlich noch an weitere Empfänger verschicken willst, kannst du in jedem Mailclient weitere Adressen als CC oder besser noch als BCC eintragen.
    Der Thunderbird besitzt noch das Feature, dass du mit einer einzigen Einstellung festlegen kannst, dass jede an eine beliebige Adresse gesendete E-Mail immer automatisch noch per BCC an eine deiner eigenen Adressen versandt wird. Wenn du also unbedingt neben dem Thunderbird noch irgend ein gruseliges Webmailfrontend benutzen willst, kannst du die Adresse dieses Kontos gerne dort eintragen.
    Bei BCC ("Blindcopy") bemerkt der Empfänger der Mail davon noch nicht mal etwas.


    HTH


    MfG WK

    d1d2:


    Das, was du als Lösung gepostet hast, war nichts anderes als das, wo ich dich hinführen wollte.
    Wenn du (auf niedrigster Ebene, also noch lange vor dem Firefox) beim "pingen" eine dir unbekannte IP als Auflösung deines DDNS-Namens bekommst, dann ... (ach das habe ich dir doch alles schon zu erklären versucht).


    Mein Rat: Wenn dir jemand helfen will, dann solltest du auch kooperativ sein.


    WK

    Nein, du hast dich nicht missverständlich ausgedrückt. Und ich habe das Problem auch verstanden ... .


    Ich wollte mit dieser Methode völlig unabhängig vom Thunderbird (!) feststellen, ob die Namensauflösung deines Rechners überhaupt richtig funktioniert.


    Wenn du in einem Client einen DNS-Namen eingibst, dann wird in mehreren Stufen (beginnend vom DNS-Cache deines Rechners, über den deines Routers, den DNS-Server deines eigenen Providers, eines weiteren übergeordneten DNS-Servers usw.) versucht, den eingegebenen Namen in die IP aufzulösen. Bei einem an eine feste IP gebundenen DNS-Namen ist das ja überhaupt kein Problem, bei DDNS dauert es auf jeden Fall eine ganze Weile, bis die neue IP (selbst wenn sie sofort an den DDNS-Anbieter gemeldet wurde!) wieder bis "ganz nach unten" durchrepliziert wurde. So lange wird dann auch bei einem "ping" die im System bekannte "alte" IP angezeigt (und je nachdem, ob die alte IP schon wieder vergeben wurde, auch ein Echo angezeigt - nur dann eben von einem völlig falschen Host). Wenn du den "ping" beendest, eine Weile wartest (=> neue DNS-Abfrage), funktioniert es dann. (Deswegen der Vergleich mit der tatsächlichen IP aus dem Router.)
    Und genau das kannst du unter Ausklammern evtl. falsch konfigurierter Clients (vom Browser bis hin zum VPN-Client) mit einem simplen "ping" herausbekommen. Und mitunter reicht es dann auch, nach einer Weile durch den Client (hier: den Browser) eine neue Anfrage zu starten. Vlt. ist es zufällig die Zeit, die vergeht, bis du den Cache usw. geleert hast ... .


    Falls es mit dem "ping" wie erwartet funktioniert, mit dem Browser aber nicht, musst du nach weiteren Ursachen suchen.


    OK?


    MfG WK


    @pencil: Das mit dem anderen Browser habe ICH geschrieben?

    Hallo d1d2,


    sende mal von dem externen Rechner einen ganz normalen "ping" an deine DDNS-Adresse und vergleiche die angezeigte IP mit der IP, welche dein Router anzeigt (oder welche du bekommst, wenn du http://www.whatismyip.com aus dem Homenet aufrufst.
    Sicherheitshalber das ganze wiederholen, nachdem du dir durch einen Reconnect des Routers eine neue (offizielle) IP geholt hast.
    Wird immer bei beiden Tests die gleiche IP angezeigt?


    MfG WK

    Hallo Fred-Feuerstein,


    nun, das ist ja schon mal eine Antwort, mit der ich etwas anfangen kann.
    Für dich (also für Otto-NormalUser) mag es damit stimmen, was du da geschrieben hast. Ich halte aber absolut nichts (!!!) von einem Webmail-Client und verlasse mich voll und ganz auf einen ordentlichen Mailclient. Und, ich schrieb ja schon, ich hatte wirklich bei diesem Provider noch nie auch nur das kleinste Problem mit irgend einem Datenverlust.
    Und trotzdem (100% Berufsparanoia!) sichere ich meine (mir) wertvollen Daten täglich. So weit musst du das ja nicht übertreiben.


    Ich schlage dir deshalb folgenden Weg vor:
    Melde dich im Thunderbird-Forum an, und poste dein Problem genau so, wie du das in deinem letzten Beitrag geschrieben hast. Ich verspreche dir, dass du dort hilfreiche und zielführende Antworten bekommst.



    MfG WK