Über die schwere Sicherheitslücke im OpenSSL-Paket von Debian wurde in verschiedenen Quellen berichtet. Wer mehr Informationen haben will, findet im Debian-Wiki Anweisungen. Außerdem stehen bei Zak B. Elep Hinweise und HD Moore stellte auch eine nette Seite zusammen. Doch was bedeutet diese Lücke für Tor? Gibt es da überhaupt Probleme?
In der Tat gibt es da richtig große Probleme, wie auch das Advisory
zeigt. Tor nutzt für seine Krypto sehr intensiv OpenSSL und ist damit
direkt betroffen. Roger Dingledine, einer der Entwickler, hat in einem
längeren
Artikel im Blog zu Problemen Stellung genommen.
Eines der entstandenen Probleme sind Tor-Server, die schwache
Schlüssel einsetzen. Insgesamt handelt es sich um mindestens ein
Siebtel aller Server. Angreifer können hier alle möglichen Attacken
fahren und insbesondere auch unten bestimmten Bedingungen in die
Pakete schauen. Effektiv wird also die Verschlüsselung aufgehoben. Die
Tor-Entwickler haben daher alle derartigen Schlüssel gesperrt und ein
Server mit einem veralteten Schlüssel kann in Zukunft nicht mehr als
Server agieren.
Weiterhin verteilen Verzeichnisserver die Informationen über
Tor-Server an die Tor-Clients. Die neueste Protokollversion ist die
V3. Wer dies nutzt, könnte ein Problem bekommen. Hier schafft die
neueste Tor-Entwicklerversion 0.2.0.26-rc Abhilfe. Dort werden
ausschließlich korrekte Schlüssel ausgeliefert und die schwachen sind
gesperrt.
Peter Palfrader hat sehr schnell reagiert und eine neue Version des
Debian-Paketes hochgeladen. Wenn du also Debian, Ubuntu oder ähnliches
nutzt, solltest du schnellstens die aktuellste Version
installieren, um dich vor den obigen Problemen zu schützen.
Beim gestrigen Grillen der LUG Jena kam die Frage auf, welche Plugins ich für den Firefox nutze. Mir wollten zu dem Zeitpunkt nicht alle einfallen und so liefere ich die Liste hier nach:
- CookieCuller
- Mit CookieCuller kann ich selektiv Cookies vor dem Löschen schützen. Alle anderen angelegten Cookies werden beim Beenden des Browsers immer gelöscht.
- DOM Inspector
- Zum Betrachten des Document Object Model einer Seite
- Download Manager Tweak
- Das ist eine Anpassung an den eingebauten Download-Manager. Insbesondere mag ich hier, dass sich dieser in einem neuen Reiter öffnet.
- Fasterfox
- Das ist zur Verbesserung der Geschwindigkeit des Firefox.
- Flashblock
- Eine Plugin, welches Flash auf Webseiten blockiert. Dies ist zusätzlich zu NoScript, siehe unten, installiert.
- FoxyProxy
- Ein Plugin zum Verwalten von Proxys. Damit kann ich nach regulären Ausdrücken oder Wildcards festlegen, für welche URL welcher Proxy benutzt wird. Gerade wenn ich I2P, Tor und anderes nutze, finde ich das ganz sinnvoll.
- It’s all text
- Damit kann ich einen Texteditor festlegen. Dieser kann gestartet werden, wenn ich Textfelder bearbeite. Gerade wenn man viel bei Wikipedia oder anderen schreibt, ist das recht nützlich.
- LinkChecker
- prüft die Links einer Webseite und markiert diese entsprechend der HTTP-Statuscodes.
- NoScript
- NoScript erlaubt es, JavaScript und anderes spezifisch pro URL zu aktivieren oder zu deaktivieren. Das Plugin nutze ich sehr häufig und finde es auch sehr mächtig.
- ScrapBook
- Das Plugin ist nützlich, um Webseiten zu archivieren. Eine archivierte Webseite sieht immer so aus, wie sie gespeichert wurde. Das eignet sich recht gut zum offline-Lesen.
- Tab Mix Plus
- Ändert das Standardverhalten der Reiter im Firefox und hat eine Vielzahl an möglichen Einstellungen.
- Torbutton
- Torbutton schaltet einen Proxy mit einem Klick an oder aus. Die Entwicklerversion bietet noch an, beim Umschalten Cookies, History etc. zu löschen.
Das ist in etwa das, was ich auf verschiedenen Rechner fand. Einige der Erweiterungen nutze ich immer. Andere sind nur Überbleibsel,
Bei der Runde tauchte dann noch die Frage auf, ob es ein Plugin gibt, welches nach einer vorzugebenden Frist die privaten Daten löscht. Ich fand hier nur SecureBrowse, was in etwa in die Richtung geht. Jedoch scheint dort alles fest vorgegeben zu sein. Kennt jemand noch andere, besser Erweiterungen?