Software | Entries from September 2005

Mehr Anonymität beim Browsen

Posted by Jens Kubieziel on Tuesday, 6. September 2005

Im Blog haben sich mittlerweile schon einige Hinweise zum anonymen Surfen gesammelt. Erst zuletzt habe ich meine Kurzanleitung veröffentlicht. Doch wie bekannt sein dürfte, schützt Tor nicht vor allen Risiken. Insbesondere Cookies und die Browserkennung werden mit verschickt. Die Browserkennung kann man entweder manuell verstellen (about:config in die Adresszeile eingeben und nach useragent suchen) oder aber z.B. beim Firefox die Erweiterung User Agent Switcher installieren.

Doch was schreibt man hier nun rein? Einige sind kreativ und bringen hier eigene Ideen mit. Doch wenn man dann mit der Kennung “Moozilla Feuerfuchs” eine Webseite besucht, macht das eher noch mehr beobachtbar. Und vielleicht vergisst man ja doch mal Tor o.ä. einzuschalten ... Auch die Kennung auszuXen bringt meiner Meinung nach nichts. Aus meiner Sicht sollte es ein Plugin geben, dass eine kleine Datenbank von Browserkennungen mitbringt und diese in kurzen, zufällig gewählten Zeiträumen rotiert. Somit ist man mal als Internet Explodierer, mal als Lynx und auch mal als Googlebot unterwegs. Dies bietet aus meiner Sicht ein Verbesserung der Anonymität. Liege ich da asclfh? Was meint ihr und wer programmiert das Teil?

Kein SSL im Firefox

Posted by Jens Kubieziel on Monday, 5. September 2005

Naja, fast zumindest. Heise und Golem berichten heute, dass es in den zukünftigen Versionen des Firefox keine Unterstützung für SSL 2.0 geben wird. Diese Version wurde von einem Entwickler bei Netscape ausgedacht und über die Zeit entdeckte man hier zahlreiche Lücken im Protokoll. Daher wurde das zu SSL v3.1 aka TLS weiter entwickelt. Mittlerweile gibt es nach einer Umfrage des Entwicklers Gervase Markham nur noch 2.000 Seiten, die nur SSLv2 nutzen. Daher ruft er dazu auf, SSLv2 im Browser abzuschalten und diese Seiten zu testen. Bei Problemen kann man dies ~~in seinem Blog~~im Bugtracker von Mozilla melden. Bitte füge deine Meldung an die Bugs #116168 oder #116169 an. (Änderung laut einem Blogeintrag von FC).

Ich selbst surfe ausschliesslich ohne die Unterstützung von SSLv2 (Dies schalte ich meist bei der Erstkonfiguration aus.). Bislang gab es hier keinerlei Probleme. Aber mir ist auch nicht bekannt, dass ich Seiten, die nur SSLv2 anbieten, nutzen würde.

Problematisch wird es dann, wenn die Banken ihre Zertifikatserzeugung nicht mehr im Griff haben. Besim Karadeniz hat es bei der Sparkasse gesehen.