In meinem Vortrag in Chemnitz bin ich u.a. auch auf den Verlust der Daten eingegangen. Die vergangenen Monate waren doch immer reich an Meldungen über Firmen, die Kreditkarten-, Versicherungs- und andere Daten verloren. Ein schönes Beispiel sah ich heute wieder bei Netzpolitik. Die Firma iBill erledigt Kreditkartentransaktionen in der Pornobranche. Hier sind nun insgesamt 17 Millionen Datensätze von Kunden der Pornoindustrie verlustig gegangen. Das sind zwar “nur” Adressen. Aber jetzt wird sicher der eine oder andere eine große Schweißperle auf der Stirn haben. 
siehe auch die Meldung bei Wired
Scott Squires hat eine nette Erweiterung für den Firefox geschrieben. Der Torbutton bietet die Möglichkeit, Tor schnell zu aktivieren oder deaktivieren. Dazu gibt es ein kleines Panel in der Statuszeile. Dort wird dann Tor enabled
oder Tor disabled
angedruckt. Getestet ist die Erweiterung mit der Version 1.5
Wer noch eine alte Firefox-Version sein eigen nennt, sollte also den Download anwerfen.
Während meines Vortrages über Tor meinte jemand, dass er auf Symlink gelesen habe, dass jemand diverse Passworte über Tor gesnifft und veröffentlicht habe. Natürlich wurde ich auch gebeten, dazu Stellung zu nehmen. Zu dem Zeitpunkt hatte ich die Nachricht jedoch nicht gelesen und konnte daher auch keinen Kommentar abgeben. Das will ich auf diesem Wege nachholen.
Offensichtlich meinte der Fragesteller den Artikel Drastisch dargelegt: Tor schützt nicht vor Sniffing
. Der Nachricht zufolge hat es Stephan Schmieder geschafft, diverse Passworte zu erschnüffeln und diese auf seiner Webseite veröffentlicht. Wie kann das sein, wenn doch angeblich die Pakete verschlüsselt werden? Das lässt sich ganz einfach erklären. Zwischen den einzelnen Torknoten werden die Pakete natürlich verschlüsselt und können nicht von anderen Personen oder Programmen gelesen werden. Aber wenn das Paket am Ende der Kette ankommt (beim sog. Exitknoten), hat der letzte Server Zugriff auf die Inhalte der Pakete. Denn diese werden dann an den eigentlichen Empfänger weitergegeben. Wenn nun ein Klartextprotokoll genutzt wurde, kann der Exitknoten auch alle Klartextinformationen auslesen.
Somit ist dies keine Schwäche des Torprotokolls bzw. der Software, sondern der Fehler ist hier eher bei den Anwendern zu suchen. Wie ich auch im Vortrag betont habe, lässt Tor die Inhalte der Pakete unangetastet und es können weiterhin Cookies gesetzt werden, Javascript ausgeführt werden, etc. Hier ist es Aufgabe des Nutzers sich weiterführende Gedanken zu dem Thema zu machen und sich gegen evtl. weiterführende Gefahren zu sichern.