Vor ein paar Tagen verlinkte ein Witzenewsletter auf eine meiner Unterseiten. Interessanterweise führte das zu einen großen Anstieg in den Seitenabrufen und ich bekam doch einige Kommentare per Webformular bzw. E-Mail, was sonst eher selten ist. Auf der Seite geht es um ein fiktives Apple-Produkt, die iToilet.
Einer fand die Seite nicht lustig und beschwerte sich lauthals bei mir, dass das so überflüssig wie ein Kropf sei und ich die Seite abmelden solle usw. Das schlimmste Schimpfwort, was ihm dazu einfiel, war: Windowsdepp. Hmm, was sagte sein User-Agent gleich nochmal?
Mozilla/5.0 (Windows; U; Windows NT 6.0; de; rv:1.8.1.14) Gecko/20080404 Firefox/2.0.0.14
Beim gestrigen Grillen der LUG Jena kam die Frage auf, welche Plugins ich für den Firefox nutze. Mir wollten zu dem Zeitpunkt nicht alle einfallen und so liefere ich die Liste hier nach:
- CookieCuller
- Mit CookieCuller kann ich selektiv Cookies vor dem Löschen schützen. Alle anderen angelegten Cookies werden beim Beenden des Browsers immer gelöscht.
- DOM Inspector
- Zum Betrachten des Document Object Model einer Seite
- Download Manager Tweak
- Das ist eine Anpassung an den eingebauten Download-Manager. Insbesondere mag ich hier, dass sich dieser in einem neuen Reiter öffnet.
- Fasterfox
- Das ist zur Verbesserung der Geschwindigkeit des Firefox.
- Flashblock
- Eine Plugin, welches Flash auf Webseiten blockiert. Dies ist zusätzlich zu NoScript, siehe unten, installiert.
- FoxyProxy
- Ein Plugin zum Verwalten von Proxys. Damit kann ich nach regulären Ausdrücken oder Wildcards festlegen, für welche URL welcher Proxy benutzt wird. Gerade wenn ich I2P, Tor und anderes nutze, finde ich das ganz sinnvoll.
- It’s all text
- Damit kann ich einen Texteditor festlegen. Dieser kann gestartet werden, wenn ich Textfelder bearbeite. Gerade wenn man viel bei Wikipedia oder anderen schreibt, ist das recht nützlich.
- LinkChecker
- prüft die Links einer Webseite und markiert diese entsprechend der HTTP-Statuscodes.
- NoScript
- NoScript erlaubt es, JavaScript und anderes spezifisch pro URL zu aktivieren oder zu deaktivieren. Das Plugin nutze ich sehr häufig und finde es auch sehr mächtig.
- ScrapBook
- Das Plugin ist nützlich, um Webseiten zu archivieren. Eine archivierte Webseite sieht immer so aus, wie sie gespeichert wurde. Das eignet sich recht gut zum offline-Lesen.
- Tab Mix Plus
- Ändert das Standardverhalten der Reiter im Firefox und hat eine Vielzahl an möglichen Einstellungen.
- Torbutton
- Torbutton schaltet einen Proxy mit einem Klick an oder aus. Die Entwicklerversion bietet noch an, beim Umschalten Cookies, History etc. zu löschen.
Das ist in etwa das, was ich auf verschiedenen Rechner fand. Einige der Erweiterungen nutze ich immer. Andere sind nur Überbleibsel,
Bei der Runde tauchte dann noch die Frage auf, ob es ein Plugin gibt, welches nach einer vorzugebenden Frist die privaten Daten löscht. Ich fand hier nur SecureBrowse, was in etwa in die Richtung geht. Jedoch scheint dort alles fest vorgegeben zu sein. Kennt jemand noch andere, besser Erweiterungen?
Der vorläufige Abschluss der Veranstaltungsreihe FREIstaat oder ÜBERWACHUNGsstaat? Meine Daten gehören mir! findet in der nächsten Woche statt. Am 8.Mai werde ich zusammen mit Johannes Lichdi, Nils Bergemann und Rafail Kühn eine Podiumsdiskussion zu den Themen öffentliche Sicherheit, Überwachung und Alternativen durchführen. Wir werden dabei sicher wieder einen kleinen Vortrag zur Einführung in die Thematik halten. Anschließend wollen wir mit dem Publikum die Themen diskutieren. Die Veranstaltung findet im Projekttheater in der Louisenstr. 47 statt. Beginn ist 20:00 Uhr.
Johannes Lichdi als MdL, Nils Bergemann vom Unabhängigen Landeszentrum für Datenschutz in Schleswig-Holstein und ich dürften euch sicher bekannt sein. Der “Neuling” in der Runde ist Rafael Kühn. Er hat den thematisch sehr gut zum Thema passenden Film “Das Verhör” gedreht. Im Rahmen unserer Vorträge haben wir desöfteren einen Vorfilm gezeigt. Dieser stammt auch von dem Regisseur und ist ein fiktiver Aufklärungsfilm des Ministeriums für Friedenserziehung. Es wäre wünschenswert, wenn der Film mehr Anklang und Publikum findet. Denn aus meiner Sicht ist er wesentlich besser geeignet, Aufmerksamkeit für bzw. gegen die Überwachung zu wecken als der Film “A scanner darkly”.
Ich würde mich freuen, wenn viele den Weg zu der Diskussion finden und es eine schöne Veranstaltung wird.
Habt ihr schonmal E-Mails mit der Reply-To-Adresse blablabla@donotreply.com bekommen? Nach den Worten von Securityfix scheint das bei amerikanischen Unternehmen üblich zu sein. Ein Unternehmen sendet eine E-Mail raus und möchte keine Antwort bekommen. Also nutzen sie halt als Returnadresse meinunternehmen@donotreply.com. Aber wie das nun mal mit Domainnamen so ist, gehört diese einer anderen Person. Chet Faliszek, der Eigentümer von donotreply.com, postet in seinem Blog They Told You Not To Reply
einige interessante E-Mails, die er erhielt. In einigen Fällen versucht er auch die Unternehmen zu warnen, nicht derartige Reply-To-Adressen zu verwenden und erhält merkwürdige Reaktionen:
I’ve had people yell at me, saying these e-mails are marked private and that I shouldn’t read them
Vielleicht sollten die Unternehmen lieber über ihre eigenen Methoden nachdenken.
Gerade ein Vim-Mapping angelegt:
map ,gm <ESC>ggfjdwxepagmx<ESC>
Das sieht wirklich nach Voodoo aus. Doch was macht es? Es wandelt die Zeile From: Jens Kubieziel <jens@kubieziel.de> in From: Jens Kubieziel <kubieziel@gmx.de> um. Wie es funktioniert? siehe unten
Continue reading "Vim-Voodoo"
Du hast ein Konto bei Google Mail? Du loggst dich immer per SSL ein? Du denkst, niemand sonst kann deine E-Mails lesen? Falsch!
Bereits im letzten Jahr zählte der Hack zu den Top 5. Dabei ist es im Allgemeinen so, dass man von der Webseite, bei der man sich einloggt, einen Session-Cookie bekommt. Ein Angreifer fängt diesen ab und kann nun selbst mit dem Account arbeiten. Eigentlich sollte die Verschlüsselung per SSL/TLS die Sachen geheim halten. Aber:
[...] The JavaScript code uses an XMLHttpRequest object to make HTTP requests in the background. These are also SSL encrypted by default - but they become unencrypted if SSL fails.
When you open your laptop and connect to a WiFi hotspot, it usually presents you with a login page, or a page that forces you to accept their terms and conditions. During this time, SSL will be blocked. Gmail will therefore backoff and attempt non-SSL connections. These also fail - but not before disclosing the cookie information that allow hackers to sidejack your account.
Dies schreibt Rober Graham in seinem Eintrag More SideJacking
. Mike Perry, einer der Entwickler von Torbutton, fand heraus, dass einzig der Cookie mit dem Namen GX zur Authentifizierung benötigt wird. Dieser wird unabhängig von vorhandener Verschlüsselung gesendet. Weiter lässt sich der Cookie durch einen CSRF-Angriff über eine beliebige Webseite abfragen. Daher ist es äußerst empfehlenswert, die Cookies direkt nach Beenden von Google Mail zu löschen.
Die Forscher haben Google Mail als Beispiel benutzt. Natürlich gibt es viele andere Webseiten da draußen bei denen ein ähnlicher Angriff genauso gut funktioniert.
via Wired Blog
Nachdem du I2p installiert und einige Webseiten besucht hast, wird es Zeit, E-Mails zu schreiben. Du musst dir hierfür einen Namen aussuchen und kannst dann mit anderen I2Pler kommunizieren. Weiterhin existiert auch ein Gateway, welches deine E-Mail-Adresse umschreibt. Somit kannst du auch mit der Außenwelt E-Mails austauschen.
Deine E-Mail-Adresse hat die Form nutzername@mail.i2p. Um dir den Nutzernamen zu registrieren, besuche die Seite Postman.i2p. Dort gibt es ein Formular, in dem du deinen gewünschten Namen, Passwort sowie eventuell weitere Informationen angeben kannst.
Nachdem die Registrierung abgeschlossen ist, könnt ihr E-Mails senden und empfangen. Ein Weg ist, das mitgelieferte Webmail-Programm susimail zu nutzen. Nachdem ihr euch eingeloggt habt, seht ihr auf der Seite Buttons zum Versenden, Beantworten oder anderer Aufgaben. Du schreibst, wie gewohnt deine Nachrichten und versendest diese. Neue E-Mail wird automatisch angezeigt.
Nachrichten können sowohl an I2P-Adressen wie auch an externe Adressen versandt werden. Im letzteren Fall wird der Hostname von mail.i2p in i2pmail.org geändert. Dies erlaubt es, die E-Mail im Internet weiter zu versenden und der Empfänger kann auch wieder antworten. Im Falle der Antwort ändert das empfangende Gateway den Hostnamen wieder zurück.
Zu beachten ist dabei, dass die Anzahl der Empfänger auf 20 pro Tag beschränkt ist. Dies soll Spamming von I2P aus verhindern.
Natürlich kannst du auch ein richtiges E-Mail-Programm zum Senden und Versenden nutzen. Hierbei musst du aufpassen, dass das Programm nicht versehentlich mehr Informationen preisgibt, als du willst. Die Postman-Seite hat Informationen zu verschiedenen Mailern. I2P macht nach der Installation verschiedene Ports auf. Dazu gehören unter anderem 7659 und 7660. Dort lauscht ein SMTP- bzw. POP3-Prozess. Lege also in deinem E-Mail-Programm ein neues Konto an. Stelle das den POP3-Server auf die IP-Adresse 127.0.0.1 mit dem Port 7660 (überlicherweils als 127.0.0.1:7660 eingegeben) und den SMTP-Server auf 127.0.0.1 mit dem Port 7659 ein. Nun solltest du in der Lage sein, E-Mails mit dem Programm zu senden und zu empfangen.
Die zwei obigen Dialoge zeigen die Einstellungen von Evolution.
