ubuntuusers.de

Du betrachtest eine alte Revision dieser Wikiseite.

Sicheres Surfen

Man kann fragen: Warum sicheres Surfen? Wir arbeiten ja mit Linux und mit Firefox. Da kann ja nichts mehr passieren. Natürlich hat man mit dieser Aussage an sich Recht, Gravierendes kann eigentlich nicht passieren. Vor Windows-Würmern und -Viren, die durch ActiveX das System infiltrieren, kann unter Linux nicht die Rede sein. Trotzdem braucht man sich ja nicht auf die faule Haut zu legen. Durch Cookies kann man schöne Nutzerprofile anlegen, und auch über JavaScript lassen sich Informationen auslesen, die manch einer vielleicht doch nicht preisgeben möchte.

./cookieculler.png

Cookies 🇩🇪 haben ihre Vor- und Nachteile. Sie machen einem das Surferleben leichter, indem man sich z.B. nicht permanent bei Foren oder anderen Webseiten anmelden muss. Sie erlauben jedoch auch Rückschlüsse auf das Surfverhalten eines Internetbenutzers.

Firefox bietet einige Optionen, um mit Cookies umzugehen. Zuerst ob überhaupt Cookies gesetzt werden dürfen:

  • Cookies immer akzeptieren (→ unsicher)

  • Cookies immer ablehnen (→ kein Komfort)

  • Bei jedem neuen Cookie nachfragen (→ lästig)

Und wie lange Cookies aufgehoben werden sollen:

  • Cookies bis zum Ablaufdatum speichern

  • Beim Beenden von Firefox Cookies löschen

Und zusätzlich nach Domains, welchen es verboten bzw. erlaubt werden soll Cookies zu setzen:

  • Eine Liste von Webseiten, die Cookies setzen oder nicht setzen dürfen

Warum reicht dies nicht aus? Websurfer sind faule Menschen 😉 Ein Websurfer möchte nicht bei jeder neuen Webseite gefragt werden, ob er einen Cookie annehmen will. Man will aber auch automatisch in den Lieblingsforen angemeldet werden usw. Daher kann man Cookies nicht komplett deaktivieren, bzw. beim Beenden des Browsers komplett löschen lassen.

Hier setzt nun Cookie Culler an. Diese Erweiterung erlaubt es, einzelne Cookies als geschützt zu markieren und alle anderen Cookies beim Beenden des Browsers löschen zu lassen. Dazu löscht man am besten nach der Installation der Erweiterung alle Cookies und surft anschließend alle wichtigen Webseiten ab, von denen man weiß: "ja ich brauche die Cookies dieser Webseiten". Anschließend markiert man diese wichtigen Cookies als geschützt.

Nun kann man problemlos und komfortabel im Netz surfen und alle Cookies, denen man begegnet einsammeln. Nach einem Neustart des Firefox sind alle unwichtigen Cookies gelöscht, und man kann wieder "unbefleckt" weitersurfen.

NoScript

./noscript.png

JavaScript 🇩🇪 ist eine objektbasierte Skriptsprache, die von der Firma Netscape entwickelt wurde, um statische HTML-Seiten dynamisch zu gestalten. Damit lassen sich praktische Dinge wie interaktive Menüs gestalten, aber auch nervende und prozessorlaststeigernde Werbeticker und animierte Schneeflocken erzeugen, die speziell zur Weihnachtszeit zu einem Muss für schlechte Webseiten werden. Obendrauf gab es auch schon Schwachstellen in der Einbindung von JS in Webbrowser, so dass auch echte Sicherheitslecks durch JS bestanden.

Firefox bietet nur die Möglichkeit JavaScript für alle Webseiten zu aktivieren bzw. zu deaktivieren. Das hat zur Folge, dass man bei jedem Besuch einer Webseite mit einem nützlichen JS-Skript in die Browsereinstellungen gehen und JS aktivieren müsste, wenn man diese Webseite richtig nutzen möchte.

Die Firefox-Erweiterung NoScript bietet nun die Möglichkeit eine JavaScript Whitelist (auf gut deutsch: eine Positiv-Liste) aufzubauen. In dieser Liste werden alle Webseiten aufgeführt, die JavaScript ausführen dürfen. Auf allen anderen Webseiten wird JavaScript geblockt. Diese Whitelist macht durchaus Sinn, da die Webseiten, bei denen man JS braucht, wohl an einer Hand abgezählt werden können.

Durch Linksklick auf das Noscript-Symbol und auf "xyz erlauben" wird die Seite xyz automatisch (und auch zukünftig!) mit den neuen Einstellungen neu geladen - ein manuelles Einfügen in die Whitelist ist daher unnötig. Sofern auf der Seite auch Links bzw. Frames enthalten sind, die auf Fremdseiten verweisen, sind diese im Noscript-Menü extra erwähnt. Häufig handelt es sich dabei um "Datensammler" wie doubleclick.net oder googleanalytics - diese Seiten müssen üblicherweise nicht in die Whitelist aufgenommen werden, da die eigentliche Webseite trotzdem funktioniert. In diesem Fall wird von Noscript in der Firefox-Statusleiste die Meldung ausgegeben: "Skripte sind teilweise erlaubt".

Standardmäßig wird von Noscript auf allen Seiten, die nicht auf der Whitelist sind, lediglich Javascript geblockt. Da es jedoch auch bei "Java", "Flash" und anderen Browser-"Plugins" in der Vergangenheit Sicherheitslücken gegeben hat, ist es empfehlenswert, im Menüpunkt "Erweitert" auch bei "Java verbieten", "Macromedia Flash verbieten" und "Andere Plugins verbieten" einen Haken zu setzen, um das Ausnutzen solcher Sicherheitslücken durch böswillige Webseiten zu verhindern. Ist auch bei "Platzhaltersymbol anzeigen" ein Haken gesetzt, wird auf geblockten Seiten mit z.B. einer Flash-Animation an deren Stelle ein "Platzhalter" angezeigt, der ähnlich wie ein "Parkverbot"-Schild aussieht - ein Beispiel ist auf der Noscript-Homepage zu sehen. Ein Klick auf diesen Platzhalter erlaubt in diesem Falle Flash temporär, ohne dass die Seite in die Whitelist aufgenommen werden muss.

Was von Noscript geblockt wird, wird im Übrigen in der Firefox-Statusleiste angezeigt. Beispiel: [<script>: 38] [J+F+P: 1] bedeutet, dass 38 Javaskripte, 0 Java, 0 Flash, aber 1 Plugin geblockt werden.

Sichere Passwörter

./pwdhash.png

Jeder kennt das Problem, man registriert sich bei der x-ten Internetseite mit dem selben Login-Namen und dem selben Passwort. Unterschiedliche Logins zu verwenden ist ja unbequem und wer kann sich denn schon zig unterschiedliche Passwörter merken...

Am Ende nutzt man für unwichtige Webseiten das tolle Passwort "1234", wie 2,5% der Surfer einer Chat-Community, deren verschlüsselte Passwort-Datenbank frei zugänglich war [1]. Solch ein Passwort ist jedoch über eine Wörterbuchattacke [2] in Sekunden geknackt.

Aber was tun. Ein sicheres Passwort enthält Sonderzeichen, unterscheidet Groß- und Kleinschreibung ist garantiert in keinem Wörterbuch vertreten, doch 0aJ/4%(hGs$df"Y! kann sich niemand merken. Eine gute Möglichkeit sind die Anfangsbuchstaben der Wörter eines längeren Satzes zu nutzen. Also aus "Hinter den sieben Bergen sind die sieben Zwerge" das Passwort "Hd7Bsd7Z" zu bilden.

Doch auch hier stellt sich wieder das Problem, möchte man für jede Webseite ein eigenes Passwort nutzen hat man gegen die inflationäre Vergrößerung des eigenen Passwort-Pools zu kämpfen. Schließlich benutzt man doch immer wieder das eigene "sichere" Passwort auf unterschiedlichen Webseiten und setzt sich der Gefahr aus, dass ein schwarzes Schaf unter den Webseitenbetreibern, das übermittelte Passwort in Klartext abspeichert und somit ein für möglicherweise weitere Webseiten gültiges Passwort besitzt.

Hier setzt die Open-Source Lösung PwdHash 🇬🇧 der Mitarbeiter Blake Ross, Dan Boneh und John Mitchell des Stanford Security Lab an. Die Erweiterung PwdHash 🇬🇧 für Internetbrowser wie Firefox verwandelt das für eine Internetseite eingegebene Passwort zusammen mit der zugehörigen Domain automatisch in einen Hash-Wert 🇩🇪 .

Wie soll das Ganze nun funktionieren? Der User installiert das Plugin in seinen Browser und surft auf die die gewünschte Webseite (z.B. www.geheim.de), dort legt er sich einen neuen Account an, drückt jedoch vor der Eingabe des Passwortes "F2" bzw. setzt vor das eigentliche Passwort zwei "@" Zeichen.

Dies sagt dem Plugin, dass das eingegebene Kennwort als Hash übermittelt werden soll, woraufhin es aus der Domain "www.geheim.de" und dem Passwort "ganzgeheim" das für diese Kombination absolut einmalige Passwort "EBLc2MnbBd2y" generiert und übermittelt.

Will man sich später wieder auf der Webseite einloggen muss man nicht dieses komplizierte Passwort eingeben, sondern drückt vor der Eingabe des Passwortes wieder "F2" bzw. gibt "@@ganzgeheim" als Passwort an, was wieder PwdHash veranlasst den Hash zu übermitteln.

Möchte man existierenden Accounts mit besseren Passwörtern versehen, so loggt man sich einfach mit den bekannten Daten ein und ändert das Passwort, wobei man die schon genannten Methoden "F2" bzw. "@@" für das neue Passwort nutzt. Nach der Änderung ist das Hash-Passwort aktiv.

Sitz man also an einem Rechner auf dem ein Browser mit der PwdHash-Erweiterung installiert ist, muss man sich nur ein (oder natürlich auch mehrere) Passwörter merken, die man als Grundlage für die Hash-Codes verwendet, nicht jedoch kryptische Zeichenfolgen. Man hat also ohne ein Quentchen Komfort zu verlieren, ein Höchstmaß an Sicherheit!

  1. Passwörter wie EBLc2MnbBd2y, die nur durch extreme Gewalt (sprich Rechenzeit) zu knacken sind.

  2. Für jede Webseite ein eigenes Passwort.

Was aber wenn man am Arbeitsplatz oder an der Universität in einem Rechnerpool sitzt und die Erweiterung nicht installieren kann? Für diesen Fall wurde die Webseite www.pwdhash.com 🇬🇧 eingerichtet. Auf dieser Seite läuft ein JavaScript, in das man die gewünschte Webseite und das Passwort eingeben kann und so den Hash-Code erhält. Dieses Script läuft lokal auf dem Rechner des User, d.h. die Daten werden nicht an den Webserver übermittelt.


  • ["Kategorie/Internet"]

Diese Revision wurde am 8. November 2006 04:28 von Chrissss erstellt.
Die folgenden Schlagworte wurden dem Artikel zugewiesen: Internet, Sicherheit, Firefox, Übersicht