merkwürdiger Verbindungsaufbau

    Hallo Com,

    mir ist heute Abend durch Zufall bzw. beim lesen eines LOG Files der Kaspersky Kindersicherung aufgefallen, das beim Start von FF 10.0.2 ( +Wörterbuch und NoScript) eine Verbindung zur URL http://ocsp.godaddy.com abgefragt bzw intern aufgebaut wird. Er zeigt mir am Rechner meines Sohnes ganz normal die richtige Startseite " FragFin.de" an aber KIS teilt mir mit ,das eine Verbindung zur genannten URL aufgebaut werden sollte,diese aber geblockt wurde.

    Was genau ist das eigentlich für eine Seite und warum wird beim Start dorthin eine Verbindung aufgebaut ?

    Beim IE ist das nicht der FALL lediglich beim FF.
    Das System ist allerdings sauber ,trotzdem weiß ich nicht warum diese Verbindung zustande kommt.

    Habt ihr mit der URL Erfahrungen oder wisst was da genau passiert ? Kaspersky blockt sie unter der Kategorie "Online Shop "

    Zitat von Nemisis

    NoScript

    Deaktiviere mal bei den Einstellungen -> Erweitert -> ABE die WAN-IP.

    Vielen Dank für Eure Infos.
    Ok es geht um SSL Zertifikate aber warum muss NoScript eine Verbindung( und dann noch unbemerkt) zu dieser Seite aufbauen? Jedoch benötigt NoScript doch keinen Dienst von dieser Seite so das eine Verbindung relevant wäre ?

    @ Ulli


    was genau passiert eigentlich wenn man den Haken bei WAN IP entfernt? Ich habe mich um ehrlich zu sein mit der ABE Funktion unter NoScript noch gar nicht beschäftigt. ich verwende das Addon zwar schon sehr lange aber die Funktion von ABE war mir bisher noch nicht geläufig. Die Erklärungen auf http://noscript.net/abe/index.html waren mir auch nicht sonderlich hilfreich bzw habe ich die Beschreibung dort nicht ganz verstanden.

    Zitat

    Ohne Haken baut NoScript keine gesicherte Verbindung auf um die IP des Routers / Modems zu erfahren

    nutzt NoScript daher einen Dienst von http://ocsp.godaddy.com ?

    aber geht NoScript dann erst ins Netz um über einen externen Dienst sich eine sichere Verbindung geben zu lassen und dann erst wieder zum Host ?

    Hallo @ TO, NoScript ist eine Art Firewall/Filter für den Browser. Das eine Erweiterung eine verschlüsselte Verbindung aufbaut ist nicht zu erwarten und schon gar nicht, wenn diese Verbindung zu einer "privaten" Website führt. Des Weiteren sind Erweiterungen nicht fähig, selbständig Verbindungen aufzubauen, sie müssen gesteuert werden. Ein Add-on ist befähigt, Kontakt zum Updateserver aufzunehmen aber nicht zu einer fremden Website. Wenn du sicher bist, dass NoScript diese Verbindung aufbauen wollte (was du im Eingangspost mit keinem Wort erwähntest)-entferne es und lade über den Add-on Manager erneut.
    Das ein Add-on jemals getunnelt wurde ist mir nicht bekannt.

    Hi Nemesis,

    Zitat

    URL http://ocsp.godaddy.com .....
    Was genau ist das eigentlich für eine Seite und warum wird beim Start dorthin eine Verbindung aufgebaut ?

    Ein oscp-Responder ist ein Server, welcher einem anfragenden Client eine eindeutige Antwort darauf gibt, ob ein bestimmtes X.509-Zertifikat:
    - good (also gültig und nicht widerrufen)
    - bad (also durch den Herausgeber des Zertifikates innerhalb der Gültigkeit des Zertifikates widerrufen) oder
    - unknown (also dem ocsp-Server unbekannt)
    ist.

    Dieser Server nutzt das "OnlineCertificateStatusProtokoll" und ist in der Regel in der Lage, mehrere Tausend Anfragen in der Sekunde zu beantworten und er liefert dir bzw. der durch dich genutzten Anwendung blitzschnell eine Bestätigung, über die Gültigkeit des zur Verschlüsselung und/oder Authentifizierung genutzen Zertifikates. Also ein echter Sicherheitsgewinn für dich!

    Fazit: Es ist eine "Seite", welche du nicht blockieren solltest.

    MfG WK

    3 Mal editiert, zuletzt von WismutKumpel (23. Februar 2012 um 13:26)

    Das gesamte Verfahren wird aber nur dazu benutzt, die reale, vom Provider vergebene, IP zu erfahren. In irgendeiner der Antworten ist diese enthalten.

    In der Regel kann NoScript besagte IP nicht erfahren, weil der PC sich im Subnetz befindet und vom Router via NAT abgeschirmt ist. Es wäre einfach, einen Server anzusteuern, der die Quell-IP / Router-IP in der Antwort offen lesbar zurück gibt. Eine Übertragung, von für den Anwender transparente Daten, innerhalb einer verschlüsselten Verbindung ist dagegen angesagt.

    Die Abfrage der WAN-IP findet bei jedem Start des Fx statt und danach in regelmäßigen Abständen, da sich die IP durch Abwahl / Anwahl geändert haben kann.

    P.S. hier ist der Haken bei WAN-IP entfernt, da ich nicht jeden Start des Fx der Welt mitteilen möchte.

    @ Alive,

    ich glaube hier missverstehst du mich . Das Addon habe ich direkt über den Addon Manager geladen und egal wie oft man es neu installiert ( samt FF ) , die Verbindung wird bei jedem Start nachgefragt bzw. aufgebaut.
    Das Addon stammt also nicht von einer " nicht vertrauenswürdigen Seite " oder enthält Schadcode.
    Diese Verbindung wird auch bei dir ,sofern du NoScript verwendest aufgebaut.
    Das Problem ist nur,das merkwürdigerweise meine normale Firewall ( Kaspersky Internet Security ) bisher nie diese Verbindung bemerkt oder bemängelt hat. Sie wurde zugelassen. Erst als ich gestern den PC meines Sohnes neu aufgesetzt habe , FF neu installiert und auch NoScript integriert habe, meldete sich das Kaspersky Kinderschutzmodul ( dort ist unter anderem die Kategorie Internet Shop Seiten sperren aktiviert) und teile mir bei jedem Start mit, das eine Verbindung zu http://ocsp.godaddy.com/ aufgebaut wird aber diese von der Kindersicherung( unter der Kategorie Internet Shop) blockiert wurde.
    Mir ist also die Verbindung zuvor nie aufgefallen.

    @ WismutKumpel

    wenn ich dich richtig verstehe, wird also von NoScript die Verbindung aufgebaut weil NoScript gern verschlüsselt die WAN IP abfragen möchte?
    Ulli riet mir zwar schon den Haken zu entfernen ( dann kommt im übrigen auch keine Meldung mehr von der Kindersicherung) aber dann fragt er doch Daten unverschlüsselt ab. Dies wollte ich dann aber auch nicht.

    Zitat

    und er liefert dir bzw. der durch dich genutzten Anwendung blitzschnell eine Bestätigung, über die Gültigkeit des zur Verschlüsselung und/oder Authentifizierung genutze Zertifikat.

    ok , soweit habe ich das jetzt verstanden aber leider sagt es mir noch immer nicht WARUM die Verbindung aufgebaut wird....nur wegen der Abfrage der WAN IP und deren Übertragung zurück an den Host?
    Versteh mich bitte nicht falsch aber mir ist der Grund für die Verbindung nicht ganz klar.
    Aber irgend eine Gültigkeit scheint es ja zu haben denn sonst würden doch auch die Firewalls anspringen.
    Nur ist scheinbar nichts darüber belegt was NS hier genau macht.


    @ Ulli

    Zitat

    Eine Übertragung, von für den Anwender transparente Daten, innerhalb einer verschlüsselten Verbindung ist dagegen angesagt


    ja so könnte man wenigstens nachvollziehen WAS übertragen wird.


    Zitat

    Die Abfrage der WAN-IP findet bei jedem Start des Fx statt und danach in regelmäßigen Abständen, da sich die IP durch Abwahl / Anwahl geändert haben kann.


    Firefox alleine baut aber keine Verbindung oder Abfrage zu "Drittanbieter" Seiten auf...zumindest ist mir darüber nichts bekannt. Ohne das Addon erhalte ich keine Meldung. Erst wenn NoScript installiert ist .
    Oder kontrolliert NoScript hier vielmehr die Abfrage der WAN IP für Firefox???
    Denn wozu sollte NS die WAN IP benötigen?


    Mich macht das hier noch ganz Meschucke ^^ mit NoScript

    Zitat von Nemisis

    aber dann fragt er doch Daten unverschlüsselt ab

    Er fragt gar nichts ab.
    Es ist ein rein statisches Konstrukt.

    Du brauchst doch nicht gleich meschugge / verrückt zu werden. Das Gehampel mit WAN-IP ist eine private Eigenschaft dieser Erweiterung, Der Fx braucht diese IP nicht.

    Manche Intentionen eines Entwicklers sind nicht einfach nachvollziehbar. Wenn man die bereits erwähnte Hilfeseite aufruft, erkennt man doch klar die Problematik des Entwicklers das ABE verständlich zu darzulegen.

    Er wird nicht ohne Grund diese WAN-IP für das ABE eingeführt haben, aber den Sinn habe ich noch nicht verstanden.

    Hi Nemesis,

    ich habe dir nur auf deine Frage nach der dir unbekannten "Seite" geantwortet.
    Von wem (von welchem Programm) und wozu dieses Programm den OCSP-Responer abfragt, kann ich dir nicht sagen. Oder konkreter, ich könnte das schon durch Sniffen des Traffics herausbekommen, aber mich interessiert es einfach nicht.
    Immer wenn ein Server eine SSL- oder TLS-verschlüsselte Verbindung anbietet, betrachte ich diese Liveprüfung durch den OCSP-Responder des zuständigen Zertifikatsdiensteanbieter (ZDA) als einen Sicherheitsgewinn. Wie will ein Programm sonst mitbekommen, wenn ein Zertifikat vor Ablauf seiner Gültigkeit zurückgezogen wurde?
    Das OCSP sendet lediglich die betreffende Zertifikats-ID an den Responder, und dieser antwortet mit "good", "bad" oder "unknown". Diese Antwort ist immer durch den ZDA signiert. Dass dabei die offizielle IP deines Clients (Routers) übertragen wird, ist nun mal notwendig.

    MfG WK

    Zitat von Nemisis

    beim lesen eines LOG Files der Kaspersky […]

    Ich kann nicht beurteilen, ob das Log vollständig ist oder der TO nicht alle Punkte gelesen / erkannt hat, aber die Kommunikation mit ocsp.godaddy.com ist für die reale Datenübertragung unwichtig.

    Zitat von WismutKumpel

    Dass dabei die offizielle IP deines Clients (Routers) übertragen wird, ist nun mal notwendig.

    Die manipulierbaren Header waren nicht gemeint.

    So, bin etwas voran gekommen...
    Um die ABE Funktion ( wie die ganz genau funktioniert habe ich aber noch nicht heraus bekommen) komplett zu nutzen, benötigt NoScript die WAN IP der Rechners/Router. Damit es diese bekommt, sendet NoScript eine Anfrage zum Webservice " https://secure.informaction.com/ipecho/ " .Die Anfrage und Rücksendung soll über eine gesicherte Verbindung laufen.Diese Seite verwendet ein SSL Zertifikat welches von Godaddy als CA überprüft wird. Daher also die Verbindung zu ocsp.godaddy.com.

    Wie Ulli richtig erwähnt hat, kann diese Funktion über NoScript Options|Advanced|ABE|WAN IP <-- LOCAL deaktiviert werden.
    Was dann aber nicht abgeglichen werden kann oder ob dann eine Funktion des ABE nicht unterstützt wird kann ich nicht sagen.

    Hi,

    Das stimmt doch alles mit dem überein, was ich dazu geschrieben habe:
    - eine verschlüsselte Verbindung zu einem bestimmten Service
    - Nutzung des X.509-Zertifikates eines etablierten TrustCenters
    - welches dir auch noch bei jeder Nutzung des Zertifikates eine Gültigkeitsprüfung anbietet.
    => Was DIESE Verbindung betrifft, wurde hinsichtlich Sicherheit alles getan, was technisch möglich ist!

    Was die von dir genannte Funktion von NoScript betrifft, muss ich mich mangels Kenntnis zurückhalten.
    Ich weiß nur, dass NoScript sehr tief in die Kommunikation eingreift. Nur so ist ja auch die recht umfassende Funktion des Add-ons möglich. Und wie jedes Medikament hat auch jedes (!) Add-on bestimmte Nebenwirkungen. Aber so lange die gewollte Wirkung - wegen der wir das Medikament (das Add-on) einsetzen - überwiegt ... .

    BTW: Noch schlimmer ist es IMHO mit den modernen Hosentaschenspielzeugen. Entweder ich verkaufe meine Seele an den angebissenen Apfel oder an eine Firma, der ich ohne Not nie persönliche Daten anvertrauen würde. Und trotzdem trage ich eines mit mir herum. Ich ignoriere also bewusst das Risiko ... .

    MfG WK

    Nach der mehr oder weniger "genauen" Übersetzung von ABE Application Boundaries Enforcer, könnte man nach Ermessen verstehen,:A) Anwendung-s-Anfrage, B) Grenz-Regelung (womit wohl der Bereich der Schnittstelle-wanIP gemeint ist) E) Durchsetzer der eingestellten Regel, also der sinn von NoScript, die Filterung der vom Browser angefragten Eingehenden Daten.
    Wie gesagt entziehe ich diese (für mich logische) Schlussfolgerung-einzig der Übersetzung von ABE.
    Sollten jetzt "berechtigte" Einwände kommen, bitte ich um Nachsicht !!

    Zitat von WismutKumpel

    ...
    BTW: Noch schlimmer ist es IMHO mit den modernen Hosentaschenspielzeugen. Entweder ich verkaufe meine Seele an den angebissenen Apfel oder an eine Firma, der ich ohne Not nie persönliche Daten anvertrauen würde. Und trotzdem trage ich eines mit mir herum. Ich ignoriere also bewusst das Risiko ... .

    MfG WK

    ahjo da hast Recht mit den Dingern ^^ Datenschutz scheint da aber bei den Leuten zu 90 % völlig "Latte" zu sein *G*

    Da wird alles eingetragen und die Apps schicken ohne den Benutzer zu fragen fröhlich ihre privaten Daten @ World ^^
    ..und alles für " Damit such die Leute in den Netzwerken schneller finden können" ja ne is klar .... ich weiß schon warum ich mir bisher noch kein SmartPhone geholt habe ^^... da bleib ich doch lieber bei meinem E71 ;)