IP-Exploits verhinderbar ohne VPN?

Gibt es eine Möglichkeit die eigene IP im FF zu verschleiern ohne VPN zu nutzen und ohne Java, Flash oder wenigstens Javascript komplett abschalten zu müssen? Also nur Tor nutzen und zB mit einer Extension verhindern dass FF die echte IP leakt? IP-Seiten, bei denen man sich die eigene IP anzeigen läßt, lassen sich ja recht einfach austricksen aber die Exploits existieren ja trotzdem und funktionieren wenn man nur Tor nutzt.

Vielleicht habe ich die Worte einfach falsch benutzt. Was ich meine ist dass man die echte IP eines Users rausfinden kann auch wenn er Tor benutzt. Dazu braucht man nur bestimmte Skripte in Javascript, Flash usw nutzen. Halt Sachen die normal auf dem Browser ausgeführt werden.

Ich hatte letztens ein paar Emailadressen auf web.de registriert und dabei eigentlich Tor aktiviert. Meine IP-Adresse wurde auch so angezeigt auf entsprechenden Seiten. Aber web.de hat trotzdem meine echte IP gewußt. Ich vermute mal dass sie das entweder per Javascript oder über einen anderen Weg rausgefunden haben. Ich hatte früher mal mit sowas experimentiert und das funktionierte weil Browser das nicht automatisch blocken.

Daher die Frage. Es dürfte ja nicht unendlich viele Wege geben die IP per Javascript usw rauszufinden. Vielleicht kann eine Extension diese speziellen Skripte blocken.

Ja, einfacher wäre es VPN zu nutzen oder gleich JS, Java usw abschalten.

Da ich eh AdvTor laufen habe hatte ich nur den Proxy eingestellt, keine extra Extension. Tor habe ich benutzt weil ich 8 Emailadressen für Verwandte erstellen wollte und nach 5 oder 6 erstellten Email bekam ich die Meldung dass es nicht mehr geht weil von dieser Email schon zu viele Adressen erstellt wurden. Dabei wurde meine echte Adresse angezeigt obwohl ich zwischenzeitlich ab und zu eine neue Tor-IP genommen hatte und diese auch über whatismyip.com angezeigt wurde.

Also muss web.de die echte IP rausgefunden haben. Ich glaube XMLHttpRequest ist das richtige Stichwort bei Javascript. Am Ende kommt es doch darauf an ob die echte IP geleakt werden kann. Ich weiß aber nicht was für einen Unterschied du da machst. Klar, es muss ein Skript auf dem eigenen Browser laufen dass das ermöglicht, web.de kann es nicht irgendwie erzwingen. Meinst du das?

Mag sein ich verwechsel da was aber ich meine früher hieß es immer dass, wenn man Tor nutzt, man auch Javascript, Flash und Java deaktivieren müsse weil sonst Skripte ausgeführt werden könnten die die echte IP leaken. Da gab es auch einen FF-Browser... ich glaub Torpark? der auch davor warnte wenn man etwas davon anschalten wollte. Soweit ich weiß ist Tor nur sehr bedingt sicher solange Skriptsprachen usw laufen.
Verwechsel ich was? Kann ja eigentlich nicht wirklich sein wenn web.de genau weiß was passiert obwohl ich Tor benutzt und die Ips gewechselt habe.

Ich habe Tor benutzt weil ich mir gedacht habe dass web.de verhindern wird wollen dass Spammer automatisiert Emails erstellen. Bei 8 emails hatte ich erwartet Probleme zu bekommen und deshalb Tor benutzt. Web.de hat aber trotzdem meine echte IP gekannt und daraufhin verhindert dass ich alle 8 Emails erstellen kann.

Du scheinst zu glauben Tor muss man einfach nur aktivieren und dann ist man sicher. Das ist definitiv nicht so. Lies mal hier unter der zweiten Nebenunterschrift über Javascript usw. Es gibt einen Grund warum das abgeschaltet ist. Man braucht als Webseitenbetreiber zB nur ein Javascript nutzen dass direkt Content vom Server anfragt und dabei nicht den Torproxy nutzt. Das ist möglich. Noch einfacher ist es mit Flash usw da das kein wirklicher Teil des Browsers ist sondern ein externes Programm. Und das muss sich schon gar nicht daran halten was im FF festgelegt wurde.

Die Zwiebel an sich ist perfekt. Es nutzt nur nichts wenn der Browser Skripte ausführt die die Zwiebel umgehen. Vielleicht gibts auch Skripte die die echte IP abfragen und durch die Zwiebel verschicken, keine Ahnung. Das einzig wirklich sichere was man machen kann ist die Nutzung von VPNs da dort der gesamte Traffic durch den VPN muss. Dann gibt es keine Ausnahme da das auf einem grundlegenderen Level stattfindet.

Soweit ich weiß natürlich.

Klingt wie wenn es keine Extension gibt die das verhindern könnte. Dann nehm ich das nächste mal doch ein VPN dafür.

Falls du mir immer noch nicht glaubst... ich habe nachgesehen. 6 Emails konnte ich bei web.de erstellen. Ich war mit tor verbunden und trotzdem hat er mir meine echte IP genannt und wußte dass diese echte ip schon viele mails erstellt hat. Und obwohl whatismyip.com die tor-ip angezeigt hat.

Boersenfeger du klingst ein wenig wie wenn die gesamte Internetüberwachung an dir vorbeigegangen ist. Warum ich das in dem Fall wollte hab ich erklärt. Ich wollte eine Anzahl Emailadressen für Verwandte erstellen ohne für einen Emailspammer gehalten zu werden der da mal ein paar neue Mails zum spammen erstellt.

BS2000 Sören hat klar geschrieben er kann zu Tor nichts sagen. Ich aber schon. Ist zwar schon länger her aber ich habe sogar mal deswegen mit den Torentwicklern geschrieben gehabt. Eben wegen der Möglichkeit dass die Zwiebel vom eigenen Browser umgangen wird. Da hat man mir bestätigt dass es geht. Damals ging es um Java, Flash und ich glaube sogar Javascript war damals noch ein Problem dahingehend. Weshalb es bei Torpark auch abgeschaltet war standardmäßig. Das liegt einfach daran dass ein Proxy nur ein Kanal ist um von dem Rechner ins Netz zu gelangen. Der direkte Kanal bleibt weiterhin offen und kann genutzt werden. Bei VPN ist das wiederum nicht mehr so.

Ehrlich gesagt weiß ich auch gar nicht warum man da jetzt diskutieren muss. Es ist einfach so. Glaub es halt nicht aber dann wundere dich nicht wenn es schiefgeht. Einen extra Browser würde ich jetzt nicht wirklich dafür verwenden wollen, da wäre VPN am Ende einfacher. Ist ja nichts illegales. Auch der Torbrowser hat Flash nicht dabei und es wird empfohlen keine weiteren Extensions zu installieren: https://www.torproject.org/docs/faq.html.en#TBBFlash Wohl weil FF das nicht alles kontrollieren kann.

Na gut. Ich nehme mal an dass es da einfach nichts gibt dass das leaken verhindern kann ohne dass gewisse Sachen abgeschaltet wird. Ist auch schwer vorstellbar wie Firefox Javaplugins davon abhalten sollte zu tun was sie wollen. Im Javascript wäre das schon eher machbar da FF ja die Routinen bereitstellt. Aber wenn man von der Installation weiterer Extensions abrät wird das wohl heißen dass diese Extensions Routinen mitbringen könnten die das doch umgehen können ohne dass FF das abfangen kann.

madperson... That thought completely avoided me but i doubt it since i only opened web.de with torproxy enabled and web.de showed me my real ip as the one that created the emails. Though maybe theres a way i didnt thought about yet.

BS2000... ok, mag sein dass wir uns da mißverstanden haben. Ich hatte halt eher eine Extension gesucht die man zB aktivieren kann und die verhindert dass die IP weitergegeben wird. Nicht einen extra Browser weil es den Aufwand nicht wirklich lohnen würde. Dürfte theoretisch auch möglich sein wenn die Extension Tor aktiviert, Javascriptfunktionen blockiert die Tor umgehen könnten und Plugins und Extensions abschaltet. Letzteres würde allerdings schon wieder einen Neustart erfordern usw.
Macht also eher keinen Sinn. Einfacher wäre es dann VPN zu nutzen.

Heaven_69... ich hab sogar HMA-VPN... Nur wenn ich das anschalte fliege ich erstmal aus Chatrooms und in IRC-Chats dauert es bis mein User sein Timeout bekommt und ich ihn wiederhab. Und in anderen IRC-Rooms muss ich das Passwort neu schicken. (Gibt sicherlich auch Methoden das zu bessern aber es sollte ja schnell gehen.) Daher wollte ich eine schnelle Methode um das zu vermeiden.

Zitat von Boersenfeger

Nö, aber ich mache mir keine exzessiven Gedanken darüber... ich nutze kein Online-Banking, nutze mein Sicherheitskonzept (in meiner Signatur) und ansonsten schiebe ich keine Paranoia.

Wie soll ich mir das vorstellen? Ich nutze zum Beispiel Thunderbird und nicht direkt irgendwelche Webmailer.. ich würde also die Mailadressen zusammenstellen und diese via Thunderbird meinetwegen über freemail[add]web.de an die Empfänger schicken... wieso ich da als Spammer erkannt werden sollte kann ich nicht nachvollziehen.
BTW: Das meine Mails möglicherweise gelesen werden, ist mir bewusst... da ich aber keine Staatsgeheimnisse verwalte, ist es mir egal... ich kann es nicht ändern.. durch die von dir beschriebenen Umgehungs- und Verschleierungstaktiken machst du mögliche Spionageprogramme erst auf dich aufmerksam.
Das Motto heißt: in der Masse untertauchen... das klappt, wenn man sich so verhält wie der Schwarm.. :wink:
Vielleicht fehlt dir einfach auch nur die Gelassenheit des fortgeschrittenen Alters..

Ich wollte keine Emails versenden, ich wollte Emailaccounts erstellen. Die Zugangsdaten für die Accounts wollte ich dann meinen Verwandten geben damit das ihre Emailadressen werden. Die Email braucht es für eine bestimmte Seite auf denen ich ihnen etwas einrichten will. Dann schick ich ihnen alle Zugangsdaten und sie können schauen ob sie das so behalten wollen oder ändern.
Sagen wir mal so... ich will ihnen ein Thema nahebringen.

Naja... Gelassenheit in Computerfragen ist so eine Sache. Ich kenn Leute die sind so gelassen... wenn man den Virenscanner drüberlaufen läßt findet man 20+ Viren und Keylogger. Onlinebanking wird auf dem Rechner auch gemacht. Ist noch nie was passiert. Also was solls...

Ich sag nicht dass du das so machst aber Gelassenheit bei dem Thema finde ich riskant. Jetzt wird die NSA sich kaum für dich interessieren aber die Überwachung allein kann schon Probleme bringen. ZB wie der Wiener Kutscher der an der Grenze hochnotpeinlich untersucht wurde. Warum? Er hatte sich über eine Mitfahrgelegenheitsseite eine Mitfahrgelegenheit gesucht. Angerufen, Fahrt ausgemacht. Hinterher per Email abgesagt. Die Grenzer wußten vom Anruf aber nichts von der Mail. Und da der Fahrer zufällig ein bekannter Drogendealer war... tolle Sache... nur wegen der Überwachung.

Emailverschlüsselung soll schon noch sicher sein soweit ich Snowden verstanden habe. Ich glaube nicht dass die NSA jetzt jedes Mitglied der Piratenpartei überwacht oder deren PC knackt damit sie auch die verschlüsselten Mails lesen können.

Daten sind halt was wert. Und die Wenigsten realisieren wie viel wert sie sind und verkaufen sie für ein paar popelige Rabatte freiwillig. Schlimmer wirds wenn man per Simkarte und Metadaten eine Bombe auf den Kopf bekommt. Übrigens steigen in Afghanistan die zivilen Opferzahlen. Warum? Terroristen tauschen regelmäßig Simkarten mit Unschuldigen. Oder Simkarten kommen in einen Sack, mischen und jeder zieht eine. Tolle Sache. Und kein Grund damit aufzuhören das als Bombenziel zu nehmen.