Manche Leute könnten es vielleicht mitbekommen haben, aber falls nicht, dann hier die kurze Info: In letzter Zeit war das Blog in Bezug auf SSL leicht kaputt, weil das Caching gesponnen hat. Das dürfte sich jetzt aber erledigt haben. (more…)
10.11.2013
16.06.2013
Hürdenlauf beim Firefox in Sicher
Nachdem man inzwischen niemandem mehr trauen kann, ist eine der häufigsten Fragen, wie man sich beim Surfen im Web absichern kann. Nun mag die Verwendung von SSL naheliegen, da aber auch den CAs nicht zu trauen ist – ganz abgesehen davon, dass das zu Grunde liegende zentralistische und hierarchische System kaputt ist – bleibt einem nicht viel Übrig, als jedem Website-Zertifikat einzeln zu vertrauen. Wie das geht, und welche Fallstricke es dabei gibt, möchte ich an dieser Stelle einmal zusammenfassen. Wer jedoch keine fundierten Kenntnisse über Kryptographie und die ganzen Zusammenhänge hat, sei ausdrücklich darauf hingewiesen, dass diese Anleitung eine Umgehung des in Firefox integrierten Trust Models darstellt und man daher nachfolgend vollständig auf sich selbst gestellt ist!
WARNUNG: Finger weg, wenn man sich nicht sicher ist!!! (more…)
15.09.2010
Inkompatible Addons unter Firefox 4 nutzbar machen
Ich benutze nun schon seit etwas längerem im Testbetrieb den Firefox 4 und die zugehörigen Betas, um die Verbesseungen mir anzuschauen und beim Suchen nach Fehlern zu Helfen. Ein Problem, was man hierbei als „Extremely Early Adopter“ hat, ist, dass gefühlte 100% der Extensions aus vorigen Firefox-Versionen nicht gehen. Um diesem Eindruck entgegen zu wirken, lässt sich jedoch beim Firefox 4 ein neu hinzugekommenes Setting setzen, mit dessen Hilfe der Firefox die Kompatibilität von Addons ignoriert – mit allen damit verbundenen Auswirkungen. Die Verwendung von Beta-Versionen erfolgt IMMER auf eigene Gefahr! (more…)
01.04.2010
Client-Zertifikate leichtgemacht
Wenn man sich im Internet umschaut, findet man zu Hauf Anleitungen, wie man SSL-Zertifikate für Server generieren kann. Leider gehen viele dieser Anleitungen als erstes auf die Variante mit Self-Signed-Zertifikaten ein, ohne auf die zahlreichen Nachteile dieser hinzuweisen. Auch fehlt in vielen Howtos leider die Beleuchtung der Zusammenhänge zwischen den verschiedenen Schritten und was jeder einzelne von ihnen bewirkt. Daher möchte ich mit dieser Anleitung einmal versuchen, ein wenig Licht in’s Dunkel der Zertifikate zubringen.
Eine sehr häufig genutzte, aber bei weitem nicht die einzige, Möglichkeit, um solche Zertifikate zu erstellen, ist OpenSSL. Dieses wird an zahlreichen Stellen eingesetzt und ist zudem auf vielen Plattformen verfügbar. Zudem genießt OpenSSL den Bonus, sich durch seine Unhandlichkeit auf faszinierende Weise von der Konkurrenz abzuheben, um nicht die gnadenlose Eignung als Geschenk für Sadisten zu betonen. Und genau daher werde ich es im Folgenden zur Erklärung des Sachverhaltes nutzen. (more…)
21.01.2010
Cross-Domain XmlHttpRequest-Foo mit Custom HTTP Methods
Kleine Vorwarnung vorweg: Es wird technisch! Wem die Überschrift nichts sagt, empfehle ich vor dem Fortsetzen in diesem Post das Studium diverser Standards. Zudem sei bereits hier angemerkt: Die hier vorgestellte Technik funktioniert auf Grund der Same Origin Policy nicht mit allen Browsern. Getestet (und als Funktionierend bekannt) ist aber mindestens alles, was FF 3.5.X oder besser heißt. Aber genug der Vorrede, fangen wir an. (more…)
01.01.2009
Firefox und SSL
Erstmal hoffe ich, dass alle meine LEser gut in’s neue Jahr 1984v2 gekommen sind und man sich nun nach den etwas stressigen letzten Tagen des alten Jahres gut erholt hat. Aber halt! Da war ja der 25C3 mit einer ganzen Reihe interessanter Vorträge zum Thema Sicherheit, u.a. in Bezug auf verschiedene Protokolle wie DNS und TCP, aber auch in Bezug auf eine ganze Reihe neuer Angriffe, die wie eigentlich in jedem Jahr, auf dem Kongress vorgestellt wurden, darunter Cold Boot Attacks gegen den Speicher frisch ausgeschalteter Computer, Angriffe gegen Web Services, aber auch Angriffe gegen verschlüsselte PHP-Anwendungen.
Nein, ich möchte jetzt nicht den gesamten Kongress im Detail wiedergeben – zu dem ich ohnehin aus verschiedenen Gründen leider nicht fahren konnte: ich möchtee eher ein anderes Problem hervorheben, wo der Kongress einmal mehr überaus deutlich gezeigt hat, dass ein Umdenken und eine alternative Lösung mehr als notwendig ist, da die vorhandenen Mittel auf lange Sicht nicht weiter vor einer Katastrophe schützen können, wie der Vortrag zu SSL und der Erstellung eines gültig-unterschriebenen CA-Zertifikates gezeigt haben. (more…)
21.11.2008
Firefox 3.1 Schnelltest
Es gab vor nun schon gut einer Woche bei der PC-Welt einen Artikel, der das Erscheinen der ersten Beta-Version des Firefox 3.1 ankündigte. Also heut mal die Zeit genommen, heruntergeladen und die neue Version getestet. (more…)