Vor kurzem war ich zu Vorträgen bei der Stoyschule in Jena eingeladen. Dabei ging es zumeist um Datenschutz und Überwachung. Unter anderem kam ich dabei auch auf den Tor Browser zu sprechen. Als ich auf die Webseite des Tor-Projekts gehen wollte, scheiterte ich an einem Filter. Seitens jena.de wird ein Webfilter betrieben, der unter anderem die Webseite blockiert und auch TLS-Verbindungen aufbricht (Man-in-the-middle-Angriff). Leider hatte ich keine eigene Kopie des Tor Browser einstecken und wollte auch keine Zeit mit weiteren (eventuell erfolglosen) Versuchen verbringen. Aber seit ein paar Tagen gibt es mehr Möglichkeiten, an eine Kopie der Software zu kommen.
Das Tor-Projekt erklärte heute in einem Blogbeitrag, welche neuen Wege existieren. Die Grundlage hierfür ist das Projekt GetTor. Dort sollen alternative Methoden entwickelt werden und die Ergebnisse sind:
- Twitter: Schickt eine Direktnachricht (DM) an den Account @get_tor. Anfangs reicht es help zu schicken und der Bot schickt euch Anleitungen zurück. Derzeit könnt ihr den Namen des Betriebssystems (windows,linux,osx oder android) oder das Wort mirrors zu schicken. Ihr bekommt dann Downloadlinks zu verschiedenen Seiten oder eine Liste von alternativen Downloadseiten (Mirrors) zurück.
- XMPP/Jabber: Das XMPP-Konto get_tor@riseup.net nimmt ebenfalls die obigen Anweisungen entgegen.
Falls ihr also Probleme habt, an die Software zu kommen, so nutzt die obigen Wege oder sucht einen funktionierenden Mirror. Viel Spaß beim sicheren und anonymen Surfen!
In meinem Beitrag zur sicheren Einstellung von SSL/TLS im Browser fragte ich, ob ihr Seiten bemerkt, die nicht mit TLS 1.1 oder 1.2 funktionieren. In den Kommentaren und bei Twitter meldeten sich einige. Irgendwann entschied ich, eine eigene Webseite hierfür anzulegen. Die Seite SSL/TLS im Browser dokumentiert Seiten, die nur TLS in der Version 1.0 oder schlechter anbieten. Beim Testen fielen mir sogar einige Seiten auf, die auf das komplett unsichere SSL 2 setzen.
Weitere Seiten könnt ihr mir gern melden. Ich habe ein Pad angelegt. Wenn dort ein neuer Domainname auftaucht, teste ich den und nehme den mit in die Seite auf. Git-Nutzer können die Datei SSL-TLS.org bei Github editieren und mir einen Pull-Request schicken.
Die Daten sollen natürlich nicht ungenutzt liegen. Ich möchte in einem zweiten Schritt die Betreiber der Webseiten anschreiben und diese bitten, auf neuere Protokollversionen zu aktualisieren. Hier würde ich mich über eure Hilfe freuen. Bitte schreibt eure Textvorschläge ins Pad. So können wir gemeinsam ein Schreiben entwickeln und das dann in die Welt schicken. Hoffentlich erreichen wir dadurch eine kleine Verbesserung beim Schutz unserer Daten.
Nachdem es schon den Vimperator für den Firefox gibt, können sich nun Nutzer von Chromium glücklich schätzen. Für sie gibt es Vimium, eine Erweiterung, die die Tastenkombination auf die vom Vim gewohnten legt:
Vor vielen Jahren berichtete ich über Banken, die sicheres Login (SSL) abschalten. Sebastian twitterte über Truecrypt, die den Aufruf von https://truecrypt.org auf die HTTP-Seite umleiten. Gerade TrueCrypt als Anbieter von Sicherheitslösungen (Verschlüsselung der Festplatte) ist da ein schlechtes Beispiel. Einige weitere Beispiele nannte Sebastian in einer weiteren Nachricht. Ich habe das mal auf der Seite BadHTTPS gesammelt. Wenn euch weitere Beispiele einfallen, so hinterlasst entweder hier einen Kommentar oder schreibt es direkt auf die obige Wikiseite. Es wäre sehr interessant, weitere Beispiele zu kennen. Solch eine Sammlung liess sich in einem weiteren Schritt nutzen, um die betreffenden Firmen anzusprechen und auf eine Verbesserung der Situation hinzuwirken.
Jacob Appelbaum hat das Tor-Browser-Paket weiter entwickelt. Bisher war das ein Paket für Microsoft Windows, welches Tor, Vidalia, Polipo und Torbutton (und auch das Chatprogramm Pidgin) enthält. Das Paket lässt sich auf einen USB-Stick speichern und auf einem beliebigen Rechner ohne Installation starten. Jake hat das Paket für GNU/Linux (im speziellen Fall zunächst nur Debian) weiterentwickelt und bittet um ausführliche Tests. Falls du also Lust hast, kannst du das Paket von Jakes Seite runterladen. Wenn das passiert ist, kannst du es entpacken und kannst es starten. Weiterhin kannst du es auch direkt aus dem SVN auschecken und bauen:
svn co https://tor-svn.freehaven.net/svn/torbrowser/trunk/
cd build-scripts
time make -f Makefile.linux build-all-binaries
time make -f Makefile.linux all-compressed-bundles
Bitte testet fleißig und gebt Rückmeldungen an das Projekt.
Stellt euch vor, ihr sitzt gerade in einer wichtigen Präsentation. Die Geschäftsführer und Strategen sitzen zusammen und beraten die neue Strategie für das Internet. Zentraler Bestandteil ist die neue Seite Powerportal.firma. Der Vortragende öffnet seinen Browser und gibt die URL ein: http://www.po. Da er den Firefox 3.x verwendet, erscheint nach der Eingabe eine Liste der oft angesurften Seiten. Bei ihm steht auf der Liste www.pornoseiten.foo, www.porno4all.cem usw. und sorgt bei den Teilnehmern für einiges Schmunzeln. Diese oder ähnliche Situationen scheinen sich recht oft zu passieren. Daher gibt es eine immer größere Schicht an Nutzern, die einen Porno-kompatiblen Browser verwenden.
Das Mozilla-Projekt stellte vor kurzem fest, dass viele noch die Version 2 ihres Browsers nutzen und wissen, warum dies so ist. Etwa ein Viertel nannte als Grund die oben beschriebene so genannte Location Bar. PC Pro vermutet die obige Situation als Hauptgrund. Was kann der ungeübte Pornogucker tun, wenn er Firefox 3 haben will und seine Linkliste nicht allen “weitergeben” will? Die praktikabelste Lösung ist aus meiner Sicht ein eigenes Profil. Das bedeutet, es gibt für “privates Surfen” ein Profil und für Firmenbelange ein zweites. Weiterhin bietet die allerletzte Firefoxversion Optionen, um dem Problem zu begegnen. Aber ihr könnt natürlich auch weiter Firefox 2 als Pornobrowser nehmen.
via Pressetext: Pornolinks: Hemmschuh für Browserupgrade
Das lange Warten hat sich gelohnt. Einer der besten Browser, wo es gibt, ist heute in einer neuen, stabilen Version veröffentlicht worden. Dillo gibt es ab sofort in Version 2.0 mit Tabbed Browsing, verbessertem Rendering von Tabellen, Anti-Aliasing und und und.
In der Vergangenheit war die Entwicklung der Software etwas eingeschlafen. Seit einiger Zeit gibt es nun wieder rege Aktivität im Projekt. Ich werde jetzt gleich mal den Compiler anwerfen und schauen, wie sich die neue Version anfühlt. Bisher hatte ich immer das Problem, dass die FLTK2-Bibliotheken hier nicht bauen wollten. Hoffentlich wurde das besser. Falls nicht, verbringe ich die Nacht mit Bugsuche.
Beim gestrigen Grillen der LUG Jena kam die Frage auf, welche Plugins ich für den Firefox nutze. Mir wollten zu dem Zeitpunkt nicht alle einfallen und so liefere ich die Liste hier nach:
- CookieCuller
- Mit CookieCuller kann ich selektiv Cookies vor dem Löschen schützen. Alle anderen angelegten Cookies werden beim Beenden des Browsers immer gelöscht.
- DOM Inspector
- Zum Betrachten des Document Object Model einer Seite
- Download Manager Tweak
- Das ist eine Anpassung an den eingebauten Download-Manager. Insbesondere mag ich hier, dass sich dieser in einem neuen Reiter öffnet.
- Fasterfox
- Das ist zur Verbesserung der Geschwindigkeit des Firefox.
- Flashblock
- Eine Plugin, welches Flash auf Webseiten blockiert. Dies ist zusätzlich zu NoScript, siehe unten, installiert.
- FoxyProxy
- Ein Plugin zum Verwalten von Proxys. Damit kann ich nach regulären Ausdrücken oder Wildcards festlegen, für welche URL welcher Proxy benutzt wird. Gerade wenn ich I2P, Tor und anderes nutze, finde ich das ganz sinnvoll.
- It’s all text
- Damit kann ich einen Texteditor festlegen. Dieser kann gestartet werden, wenn ich Textfelder bearbeite. Gerade wenn man viel bei Wikipedia oder anderen schreibt, ist das recht nützlich.
- LinkChecker
- prüft die Links einer Webseite und markiert diese entsprechend der HTTP-Statuscodes.
- NoScript
- NoScript erlaubt es, JavaScript und anderes spezifisch pro URL zu aktivieren oder zu deaktivieren. Das Plugin nutze ich sehr häufig und finde es auch sehr mächtig.
- ScrapBook
- Das Plugin ist nützlich, um Webseiten zu archivieren. Eine archivierte Webseite sieht immer so aus, wie sie gespeichert wurde. Das eignet sich recht gut zum offline-Lesen.
- Tab Mix Plus
- Ändert das Standardverhalten der Reiter im Firefox und hat eine Vielzahl an möglichen Einstellungen.
- Torbutton
- Torbutton schaltet einen Proxy mit einem Klick an oder aus. Die Entwicklerversion bietet noch an, beim Umschalten Cookies, History etc. zu löschen.
Das ist in etwa das, was ich auf verschiedenen Rechner fand. Einige der Erweiterungen nutze ich immer. Andere sind nur Überbleibsel,
Bei der Runde tauchte dann noch die Frage auf, ob es ein Plugin gibt, welches nach einer vorzugebenden Frist die privaten Daten löscht. Ich fand hier nur SecureBrowse, was in etwa in die Richtung geht. Jedoch scheint dort alles fest vorgegeben zu sein. Kennt jemand noch andere, besser Erweiterungen?
Nun habt ihr I2P installiert und es ist an der Zeit, die Software zu nutzen. Eine häufige Anwendung ist das Besuchen von Webseiten (Surfen). I2P bietet im eigenen Netz die so genannten eepsites an. Diese haben die Top-Level-Domain .i2p und können nur mit Hilfe der Software aufgesucht werden. Des Weiteren könnt ihr auch “externe” Seiten, wie z.B. kubieziel.de oder andere, besuchen. In beiden Fällen müsst ihr in den Einstellungen eures Browser den HTTP-Proxy ändern. I2P lauscht auf dem lokalen Rechner auf Port 4444. Also tragt ihr diese Werte in den Netzwerkeinstellungen ein.
Ich nutze neben I2P noch Tor und andere Proxys. Da das regelmäßige Ändern des Proxys nervig werden kann, setze ich FoxyProxy ein. Hiermit kann ich festlegen, welche URL-Muster mit welchen Proxy genutzt werden. Beispielsweise habe ich eine Regel, welche alle Adressen der Form http://*.i2p/ an den I2P-Proxy weitergibt. Eine andere übergibt alle Adressen der Form http://*.onion/ (versteckte Services von Tor) an Tor. Gerade wenn ihr aus vielen Proxys wählen müsst/könnt, ist FoxyProxy ein passendes Werkzeug.
Nun da die Einstellungen getroffen sind, könnt ihr I2P zum Surfen nutzen. Besucht beispielsweise die I2P-Webseite anonym. Auf der Startseite eures Routers finden sich einige Adressen mehr, die ihr besuchen könnt.