Beiträge von WismutKumpel

Hallo Fritz,

bei Linux ist alles ein klein wenig anders ... .
Die zu installierenden Programme werden alle in den so genannten "Repositories" (=> "Programmsammlungen") bereitgestellt. Da gibt es zum einen die offiziellen, von openSUSE bereitgestellten Repos mit den stabilen und getesteten Versionen. Diese kannst du bedenkenlos ins System einbinden, und von dort die gewünschten Programme und Betriebssystem-Bestandteile installieren bzw. aktualisieren. Dann hast du ein stabiles und problemlos laufendes System.

Dann gibt es noch eine Reihe als "Community-Repos" bezeichnete Repositories. (Zum Bsp.: http://download.opensuse.org/repositories/m…/openSUSE_13.1/ ) Auch diese kannst du (meistens) als stabil betrachten, und von dort kannst du aber auch neuere Versionen installieren, die es noch nicht in den offiziellen stabilen Zweig gebracht haben. Sie heißen beim Firefox ggw. alle 29.0.1 - gefolgt mit sich fast täglich geänderten weiterfolgenden Versionsnummern. Bei wichtigen Programmen kommen fast täglich neue Versionen! Aber alles zum Bsp. unter Firefox 29.0.1 .
=> Das bedeutet, dass du im stabilen Zweig ggw. "nur" diese Version findest.

Und dann gibt es noch die "unstable"-Zweige. Hier tummeln sich Entwicklerversionen aller Art. Vieles auch schon compiliert und zum .rpm paketiert. Und natürlich kannst du dir auch die offiziellen Quellcode-Pakete herunterladen und selber compilieren.

Du musst dich jetzt entscheiden, ob du ein stabil laufendes System haben möchtest - oder ob du durch die Einbindung von unstable-Repos bestimmte Risiken eingehen möchtest.
Was relativ unproblematisch ist, ist aus den Quellen aktuelle von Mozilla freigegebene (aber eben nicht von openSUSE getestete) Versionen selbst zu kompilieren. Wenn du darauf achtest, dass diese Programme dann in gesonderte Verzeichnisse kopiert werden, kannst du diese unabhängig von den offiziellen Programmen aus den Repos mit deren vollständigem Pfad aufrufen und nutzen.

HTH!

MfG WK

edit: Gegenwärtig kam dein "Nachschlag".
Was hast du denn jetzt für eine Version? Ich habe soeben aktualisiert, bei mir ist es immer noch die Version. 29.0.1-24.1

Ich könnte mir vorstellen, dass damit dieses Problem gemeint ist: Sicherheit: Schadsoftware in Computermäusen

MfG WK

Dann sind WIR uns ja wieder einig.

Zitat von WismutKumpel

... Oder eher doch nicht?

Kannst du das als Mod. nicht sehen? :-???

Die Aktion "Fake-Daten an Webseiten senden mit Firefox" macht genau so viel "Sinn", wie SPAM an die angezeigten Absender zurück zu schicken.
Nämlich gar keinen.

BTW: Ich nutze gerade den Internet-Explorer 6 und als Betriebssystem Windows 95. Oder eher doch nicht?

MfG WK

Wenn ich mich recht erinnere, ging es dem TE um die Funktion seiner Tastatur, oder?

qrg?

Ich will das noch deutlicher sagen: er wird sich exakt genau so verhalten.
Mögliche Lösung : der TB bietet die Möglichkeit, mehrere smtp - Einträge anzulegen und einen davon dem jeweiligen Konto zuzuordnen. Du hast doch einen lokalen Provider. Richte dessen smtp-Server ein und ordne diesen dem Mailkonto zu. Auch Gmail soll da sehr kulant sein. Einfach testen. Du kannst dann beliebig umschalten.

OK?

MfG WK

BTW Feuervogel:
Ich bin mir nicht sicher, ob wirklich der Provider des Gastlandes den "grenzüberschreitenden gehenden smtp-Traffic" blockiert. Ich denke eher, dass der dt. Provider wegen SPAM - Schutz keinen smtp-Traffic von ausländischen IP - Bereichen annimmt.

Falls du mich meinen solltest:

Meine "Besonderheiten":
1.) Da ich so gut wie alle meine Mails mit S/MIME verschlüsselt sende und empfange, habe ich in meinem Thunderbird (und nur dort) mehrere eigene X.509-Zertifikate mit privaten Schlüsseln gespeichert. Deshalb nutze ich im Thunderbird den eingebauten Passwort-Manager, mit dessen Masterpasswort auch die privaten Schlüssel wie beschrieben geschützt werden.
Wer wie ich seine Mails mit S/MIME verschlüsselt und signiert, sollte auf diesen Schutz nicht verzichten! (Und das trotz der umfangreichen Sicherheitsmaßnahmen, mit welchen ich meine Linux-Rechner härte bzw. zu härten versuche.)
Würde ich in meinem PW-Manager lediglich meine Kontenpasswörter speichern, würde ich hier auf das Master-PW verzichten. (Aus gewissen Gründen kann man diese seit dem 01.07.2013 leider nicht mehr als "Geheimnis" bezeichnen.)

2.) Für den Firefox nutze ich nicht den integrierten PW-Manager, sondern den zentralen PW-Manager meines Betriebssystems mit Namen "KWallet". Dieser speichert systemweit sämtliche Passwörter und Zugangsdaten, und das mit einer für unsere kleinen privaten "Geheimnisse" sehr guten kryptologischen Härte. Leider speichert er noch nicht die S/MIME-Schlüssel. Und selbstverständlich nutze ich hier ein Masterpasswort.
KWallet spielt in einer Liga mit anderen guten Passwortmanagern, wie KeePass u.a.
Der für mich einzige Grund, nicht den PW-Manager des Firefox zu verwenden ist nicht etwa, dass ich diesem nicht vertraue, sondern einzig und allein, dass die anderen PW-Manager systemweit speichern können, und nicht nur die PW eines einzigen Programms. Den Kryptocontainer meines KWallet hoste ich in meiner Owncloud (so was wie Dropbox, aber eben nicht im Amiland, sondern bei mir zu Hause), und somit nutze ich auf allen meinen Rechnern die gleiche Datei. Meine Linksammlung synchronisiere ich mit der eingebauten Funktion des Fx - und bin damit voll zufrieden.

MfG Peter

Palli:
Du musst genau zwischen den "Zertifikaten" (richtiger: "X.509-Zertifikaten") und den eventuell (aber sehr unwahrscheinlich!) auf deinem Rechner vorhandenen privaten Schlüsseln zu Zertifikaten unterscheiden.

Die Zertifikate sind die öffentlichen Schlüssel und ein paar weitere Zertifikatsdaten wie Gültigkeitsdauer, Servername usw. diverser SSL nutzender Server oder der Herausgeber von Zertifikaten, also der TrustCenter. => alles öffentlich, nicht verschlüsselungswürdig und auch jederzeit wiederherstellbar.
Private Schlüssel ("private key" oder auch "geheime Schlüssel" genannt) hast du auf deinem Rechner nur vorhanden, wenn du selbst deine Mails mit S/MIME verschlüsselst (dann aber eher im Zertifikatsspeicher des Thunderbird) oder wenn du dich mit dem Browser an entsprechend gesicherten Servern mit Hilfe der bewusst selbst beschafften eigenen Zertifikate (hier sprechen wir eher von "Schlüsseldateien" = Zertifikat + private key) anmelden oder verschlüsselt kommunizieren kannst. Aber das würdest du garantiert wissen, wenn das zutreffen würde.

Und, zum Thema zurück, diese privaten Schlüssel werden bei Fx und TB in der Datei "key3.db" gespeichert. Und diese wird ebenfalls mit einem aus dem Masterpasswort abgeleiteten Schlüssel geschützt.

OK?

MfG WK

Hallo Toxie62,

vielleicht helfen dir folgende Informationen:
Du musst zuerst einmal zwischen den "offiziellen" IP, welche du dynamisch von deinem Provider zugeordnet bekommst, und den so genannten "privaten IP" unterscheiden, welche dein Router intern vergibt.
Dein Provider hat einen größeren IP-Bereich gekauft, und aus diesem bekommst du bei jeder Einwahl (z. Bsp. nach der Zwangstrennung) eine IP zugeordnet. Dadurch resultiert dann auch, dass bei dieser dann in der Regel die ersten Zahlen gleich sein können. Mitunter passiert auch, dass du die gleiche IP wieder bekommst. Kann dir aber letzendlich egal sein.

Dein Router vergibt für dein eigenes Netz selbständig und automatisch jedem angemeldeten Gerät eine so genannte "private IP" aus einem in den Routereinstellungen festgelegten Bereich und für einen festgelegten Zeitraum. Dieser Bereich ist zum Beispiel bei der originalen Fritz-Box: 192.168.178.0. Privat bedeutet hier zum einen, dass IP aus diesem Bereich nicht über das Internet geroutet werden können, sie sind also nicht über das Internet direkt erreichbar. Und zum anderen bedeutet das, dass diese privaten IP-Bereiche mehrfach vergeben werden können.
Im Endeffekt kann es dir normalerweise auch völlig egal sein, welche IP deine internen Geräte bekommen. Und ja, diese IP kann sich auch mal ändern. Einen Grund hat dir ja Palli genannt. Aber auch wenn ein Gerät oder im Urlaub der ganze Router mal ein Weilchen ausgeschaltet war, kann dies vorkommen. Dann ist eben der Zeitraum (auch "Lease" genannt) abgelaufen, und der Router ordnet die IP neu zu.
Es gibt eine kleine Ausnahme, wo dich die IP deiner Geräte interessiert: wenn du nach außen bestimmte Dienste anbieten würdest (meinetwegen einen Serverdienst wie ssh oder ftp o.ä.). Dann ist es wichtig, dass die betreffenden Geräte immer die gleiche IP erhalten. Dann bietet dir die Fritz-Box (und auch andere Router) die Möglichkeit, auch mit DHCP (der dynamischen Adressvergabe) den Geräten dauerhafte IP zuzuweisen.

Fazit: Alles normal und identisch mit dem, was Palli in seinem letzen Satz geschrieben hat.

MfG WK

Ist doch interessant, wie lange sich so ein IMHO sinnfreier Thread hält und welche Ressourcen er bindet.
(BTW: Beim Warten im Auto getippt, Also "ressourcenfrei".)

Wobei ich sogar bezweifele, dass ohne Verwendung eines Master-PW überhaupt eine Verschlüsselung stattfindet.
Als vor einigen Jahren in den Mozilla-Produkten noch keine sqlite-Datenbanken genutzt wurden, sondern die PW-Datei noch "signons.txt" hieß, da konnte man mit einem schnöden Texteditor ganz einfach sehen: Ohne Master-PW => Passwort im Klartext, mit Master-PW => PW verschlüsselt.

Welchen Sinn sollte es machen, irgendwelche Daten ohne PW zu verschlüsseln? Mit dem Hashwert von NULL? Oder mit dem vielleicht eingebauten Standard-Passwort "mozilla"? Aber möglich ist das schon, um eine Verschlüsselung für ONU zu erreichen, auch wenn diese Verschlüsselung eigentlich völlig sinnfrei ist. Die Masse der hier mitlesenden Nutzer wird wohl eine Standardcodierung mit meinetwegen Base64 auch als "Verschlüsselung" akzeptieren weil es kein lesbarer Klartext ist.

Ich habe auf diesem Rechner keinen sqlite-Browser, kann mir den Inhalt der sqlite-Datenbanken ggw. leider nicht ansehen.
Aber warum sollte sich ein "Angreifer" unbedingt in das Thema "sqlite" einarbeiten, wenn der Thunderbird mit dem PW-Manager eine genau darauf abgestimmte GUI liefert?

Die Datei "key3.db" ist meines Wissens die "Schlüsseldatei für Zertifikate", also die Datei, in welcher die privaten Schlüssel der eigenen X.509-Zertifikate gespeichert werden. Und die installierten (fremden root- oder Server- oder Nutzer-) Zertifikate (also ohne private Schlüssel) werden in der "cert8.db" gespeichert. Dürfte also nur für User relevant sein, die eigene X.505 Schlüsseldateien (.p12, .pfx) importiert haben, und vor allem beim Fx auf die allerwenigsten zutreffen. Beim TB betrifft das die Nutzer, die wie ich auf S/MIME setzen.

Zitat von Sören Hentzschel

Darum ist die Verschlüsselungsmethode der einzelnen Passwörter unwesentlich. Die Sicherheit steht und fällt mit dem Master-Passwort. Wenn das so gewählt wird, dass es leicht zu erraten ist, oder gar nicht verwendet wird, dann nützt auch die Verschlüsselung der Passwörter nichts.

Absolute Zustimmung!
Ich schrieb ja schon andeutungsweise, dass die "Dienste" seit dem 01.07.2013 unsere PW ohne größere juristischen Hürden bei den Providern anfordern können, und die Provider diese auf dem Silbertablett liefern müssen. Aus "gutem Grund" wurden als juristisches Hemmnis lediglich Ordnungswirdrigkeiten (!!) angegeben. Damit dürfte also bei jedem von uns die Genehmigung für das Liefern lassen der PW vorliegen. Also haben diejenigen, welche (eventuell!) über die nötige Hardware für das "Brechen" der Verschlüsselung verfügen, gar keinen Anlass, diese dazu zu nutzen.
Und was den "Rest" der Neugierigen betrifft, dann sollen die mir erst einmal beweisen, "wie schnell" sie eine mit 3DES und einem wörterbuchresistenten langen Zufallspasswort mit großem Zeichenumfang als PW verschlüsselte Datei entschlüsselt haben. Freiwillige vor!

Also noch einmal: Ich sehe es nicht als problematisch an, ob nun die Passwortdatei mit 3DES oder mit AES verschlüsselt ist! Beides ist für den "normalen Neugierigen" mit eingeschränkten materiellen und finanziellen Ressorcen jenseits von "gut und Böse".

MfG WK

Hallo. Jusar,

du hast ja völlig Recht, und was deine letzten Satze betrifft, da gehen wir auch völlig konform.
Das Problem mit den Passwörtern ist IMHO aber ein anderes. Für die Masse derjenigen, die kein Passwort setzen, ist es nämlich "absolut unzumutbar" dieses zu tun. Das bedeutet im Klartext, dass, wenn wir sie dazu zwingen würden, uns diese Leute in Scharen davonlaufen würden zu Browsern, die dieses nicht verlangen. Es würden also "Marktanteile" verloren gehen. Und das will ja keiner.

Zur symmetrischen Verschlüsselung:
3DES ist zwar ein sehr alter Algorithmus, aber er ist bis heute nicht kryptologisch (!) gebrochen worden. Und ein brute-force-Angriff darauf ist auch heute noch nicht so ohne weiteres "nebenbei" durchführbar. Diejenigen, die diese Ressourcen haben, brauchen Sie nicht mal zu nutzen, denn sie bekommen bei "Bedarf" unsere PW ja frei Haus von den Providern geliefert. Und der neugierige Sohn/Nachbar/Kollege, der sich deine signons.sqlite gezogen hat, soll das erst mal machen.

Ich sehe also, was die Passwortspeicherung in Fx und TB betrifft gegenwärtig noch keine Probleme.

Völlig anders sehe ich das bei der s/mime-Verschlüsselung im Thunderbird.
Es ist unumstritten, dass man sich mit der Einführung von s/mime auf einen Algorithmus einigen musste, den alle MUA beherrschen. Und damals gab es eben nur 3DES. Und das war auch noch der damals beste und sicherste Algorithmus.
Nur heute kann fast jeder MUA auch AES. Selbstverständlich auch der TB! Zumindest kann er damit verschlüsselte Mails lesen. Warum er diesen Algorithmus nicht selbst zum Senden nutzt, ist mir unverständlich. Manchmal frage ich mich schon, ob es daran liegen könnte, dass Mozilla.org gewisse US-Gesetze beachten muss.

MfG WK
Getippselt per Tapatalk 2 auf meinem SGS III

"Ihn", nicht "mich".

MfG WK

Und du verstehst jetzt auch, warum (Zitat deiner Überschrift) "Sicherheitswarnung nicht mehr anzeigen" niemals die Lösung sein kann?

Ich versuche bei unverständigen Nutzern Sicherheitswarnungen in beliebiger Software immer mit dem kleinen roten "Lämpchen" im Auto zu vergleichen, welches ungenügenden Öldruck anzeigt.
Das rote Birnchen nervt doch nur!
Also rausdrehen und Ruhe ist!

MfG Peter

Zitat von Zitronella

Wat für ne schreckliche Hoster Seite,...

=> DANKE, Sören, dass du dir die Mühe gemacht hast...

Bitte poste mal die Zertifikatsdaten, welche auf den Rechnern gespeichert sind, welche keine Fehlermeldung hinsichtlich des Ablaufs der Gültigkeit bringen. Vergleiche auch mal mit den Daten des Z. auf dem Rechner mit der Fehlermeldung.
Ziel: herausfinden, ob das Zertifikat nun wirklich abgelaufen ist (wegen: wie ich oben gepostet habe), oder ob genau dieses Z. auf einem anderen Rechner als gültig angezeigt wird. Mich interessiert also die exakte Gültigkeit.
Weiterhin interessiert mich die Zertifikats-Seriennummer => für den nachfolgenden Test.

Was passiert, wenn du, so wie ich auch beschrieben habe, zumindest einmal die Fernwartung deaktivierst (Haken raus!), die Fritte neu startest und danach die Fernwartung erneut aktivierst? Dauert keine zwei Minuten ... .
Ziel: herausfinden, ob die Box bereits dadurch angeregt wird, ein neues Schlüsselpaar zu generieren. NEU bedeutet hier, ein anderes Gültigkeitsdatum (beginnend von heute) und eine andere Seriennummer.

Bei solchen Fehlern ist es immer notwendig die Ursache des Fehlers zu finden!
Und dafür kommen IMHO nur zwei in Betracht: Wirklich ein abgelaufenes Zertifikat (=> das würde bedeuten, dass bis auf den Rechner mit der Fehlermeldung die anderen Rechner die Gültigkeit des Zertifikates schlampig prüfen!) oder wirklich ein Problem bei dem Rechner mit der Fehlermeldung.
Andererseits zeigt diese Fehlermeldung ein zwar sinnloses, aber trotzdem deutlich zu sehendes Datum an.

Da ich (wegen besserer Möglichkeiten - ausschließlich Nutzung von VPN für den Fernzugriff!) diese einfache Fernwartungsfunktion nicht nutze, kann ich da leider bei mir nicht mitprüfen.

MfG WK

Hallo,

Die Fritz-Box generiert bei der ersten Freischaltung für den Fernzugang selbstständig ein Schlüsselpaar, welches auch selbst signiert wird. Klar, daher die Fehlermeldung betreffs Vertrauenswürdigkeit.

Vermutlich (!!) war zu genau dem Zeitpunkt des Signierens die Zeit der Box noch nicht synchronisiert und deshalb ist im Zertifikat ein Ablaufzeitpunkt wenige Jahre nach Beginn der Unix-Zeitrechnung eingetragen.
(korr: sogar eine absolut sinnlose Zeit!)

Ein Browser mit korrekt funktionierender Gültigkeitsprufung der Zertifikate bemerkt das, einer der schlampig prüft, merkt das nicht.

Ob du dieses abgelaufene Zertifikat bereits durch Deaktivierung des Fernzugangs (und Restart der Box sowie Neueinrichtung des Fernzugangs) los wirst, oder die ganze Box resetten musst, kann ich dir nicht sagen.

MfG WK
Getippselt per Tapatalk 2 auf meinem SGS III.

Zitat von sidre

Mein System ist nicht mit Viren oder Trojanern befallen (ich hatte in 25 Jahren noch keinen einzigen Befall....

Wo haben die Leute nur diese Sicherheit her? :-??

Wenn schon, dann bitte so:
Mein System ist höchstwahrscheinlich nicht mit Viren oder Trojanern befallen (die von mir eingesetzten AV-Scanner konnten in 25 Jahren noch keinen einzigen Befall feststellen .... ).

MfG WK