Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen der Seite angezeigt.

--- browser [2014-05-26 19:00] – thomasm
+++ browser [2014-06-02 10:43] – changed title; added date, location and topic thomasm
@@ Zeile 1: / Zeile 1: @@
-Notizensammlung vom „How-to CryptoParty“ vom 2014-05-12
+====== CryptoParty 21 ======
+  * Datum: Montag 26. Mai 2014, ab 19:00 Uhr
+  * Ort: Metalab,
+  * Thema: Webbrowser und Sicherheit. Einstellungen, Plug-Ins, Add-Ons, Extensions
 Ursprüngliches Titanpad [[http://titanpad.com/DJQI8XQJj0]]
-Browser Sachen:
+===== Browser Sachen =====
 Cookies, wo finden wir sie und wie werden wir sie los.
 Do-Not-Track (Wird inzwischen von Yahoo völlig ignoriert)
@@ Zeile 9: / Zeile 14: @@
 OCSP/CRL
-Wie funktionieren URLs?
+==== Wie funktionieren URLs? ====
   * worauf sollte ich achten?
   * was heißt das grüne schlosssymbol da?
   * wie erkenne ich, ob ich mich auf der richtigen seite befinde? (also nicht erstebank.at.phishing.com)
-Was heißt "Private Mode"? Und wie wird der in den unterschiedlichen Browsern genannt?
+==== Private-Mode ====
+Browser speichern üblicherweise Cookies von geöffneten Websites und tragen alle aufgerufenen Adressen
+in den Verlauf ein. Außerdem werden geöffnete Seiten im Cache zwischengespeichert, um sie bei erneutem
+Öffnen schneller zu laden.
+Der Private-Mode löscht all diese Daten, wenn das Browserfenster geschlossen wird. Dadurch können andere Benutzer
+eines Gerätes nicht erfahren, welche Websites vorher angesehen und verwendet wurden.
+**Der Private-Mode macht einen nicht anonym und verhindert auch nicht, dass Verbindungen überwacht werden
+oder dass der Browser getrackt wird. Der Private-Mode verhindert nur Spuren am eigenen Gerät.**
+Der Private-Mode wird in unterschiedlichen Browsern unterschiedlich bezeichnet.
+**Firefox: Privates Fenster**
+  * Im Menü (drei horizontale Striche rechts oben): Privates Fenster
+  * oder: Datei > Neues Privates Fenster
+**Safari: Privates Surfen**
+  * Mac OS X: Menüleiste > Safari > Privates Surfen
+**Chrome: Inkognito-Fenster**
+  * Im Menü (drei horizontale Striche rechts oben): Neues Inkognito-Fenster
+  * oder: Datei > Neues Inkognito-Fenster
+**Opera: Privates Fenster**
+  * Mac OS X: Ablage > Neues Privates Fenster
+  * Windows: Opera-Button (links oben) > Neues privates Fenster
+**Internet Explorer: InPrivate**
+  * Extras (Zahnrad-Symbol) > Sicherheit > InPrivate-Browsen
+==== Was ist eine Certificate-Authority (CA, Zertifizierungsstelle für digitale Zertifikate)? ====
-**Was ist eine Certificate-Authority (CA, Zertifizierungsstelle für digitale Zertifikate)?**
 Eine Firma/Organisation die digitale Zertifiakte ausstellt und unterschreibt. Dein Browser bzw. Dein Betriebssystem kommt mit einer Liste solcher Stellen denen „vertraut wird“.
 Beim Aufruf einer Webseite über https überprüft Dein Browser den „Ausweis“ (das Zertifikat der Seite) anhand dieser Liste. Wird ein Zertifikat als gültig erkannt und kann überprüft werden kommt die Verbindung zustande. In anderen Fällen gibt es eine Fehlermeldung.
-**Was ist eine CRL?**
+==== Was ist eine CRL? ====
 Certificate Revocation List. Manchmal müssen Zertifikate vor ihrem eigentlichen Ablaufdatum zurückgezogen werden. Beispielsweise wenn ein Webserver kompromittiert wurde wie es beispielsweise bei der Heartbleed Sicherheitslücke der Fall war.
 Dein Browser holt sich regelmäßig eine Liste an solchen zurückgezogenen (revokten) Zertifikaten. Bei einer https Verbindung wird geprüft ob das vom Server präsentierte Zertifikat in dieser Liste enthalten ist. Wenn sehr viele Zertifikate zurückgezogen werden, dann werden diese Listen sehr lange was sich als probematisch erwiesen hat.
-**Was ist OCSP?**
+==== Was ist OCSP? ====
 Um dem Problem länger werdender CRLs entgegenzuwirken wurde OCSP entwickelt. Dein Browser fragt dazu bei jedem https Aufruf bei der CA nach ob das jeweilige Zertifikat zurückgezogen wurde. Dies verlängert die Zeit die eine Seite zum Aufrufen benötigt und bringt auch Privatsphäre Probleme mit sich da die CA nun von allen https Seiten erfährt die aufgerufen werden.
 In vielen Browsern/Betriebssystemen ist OCSP enthalten aber leider deaktiviert. Das gleiche gilt für CRL.
@@ Zeile 47: / Zeile 88: @@
   * Midori
-Was kann mein Browser?
+==== Was kann mein Browser? ====
-    TLS/SSL Fähigkeiten: https://www.howsmytls.com
+  * TLS/SSL Fähigkeiten: https://www.howsmytls.com
-    TLS, Mixed Content handling, Elliptische Kurven, Protokolle, Ciphers, OCSP-Stapling, TLS-Compression, etc:  https://www.ssllabs.com/ssltest/viewMyClient.html
+  * TLS, Mixed Content handling, Elliptische Kurven, Protokolle, Ciphers, OCSP-Stapling, TLS-Compression, etc:  [[https://www.ssllabs.com/ssltest/viewMyClient.html]]
-    OCSP Stapling: https://www.vpnhosting.cz/ocsp/
+  * OCSP Stapling: [[https://www.vpnhosting.cz/ocsp/]]
-    Überprüft mein Browser, ob Zertifikate zurückgezogen wurden?
+  * Überprüft mein Browser, ob Zertifikate zurückgezogen wurden? [[https://www.cloudflarechallenge.com/]] **Die Seite sollte nicht angezeigt werden!**
-    https://www.cloudflarechallenge.com/
-    Die Seite sollte nicht angezeigt werden!
-Womit kann mein Browser getrackt/verfolgt/identifiziert werden?
+==== Womit kann mein Browser getrackt/verfolgt/identifiziert werden? ====
-    User Agent
-    Cookies
-    Flash-Cookies / Plugins allgemein (siehe auch Verhalten von TOR)
-    Evercookie
-    Browser-Fingerprint
-    Panopticlick ( https://panopticlick.eff.org/ )
-    JonDonym ( http://ip-check.info )
-Plug-Ins
+  * User Agent
-    Flash
+  * Cookies
-    Java / IcedTea
+  * Flash-Cookies / Plugins allgemein (siehe auch Verhalten von TOR)
-    Flip4Mac
+  * Evercookie
-    iPhoto Plug-In
+  * Browser-Fingerprint:
-    Unity Web Player
+    * Panopticlick ( https://panopticlick.eff.org/ )
-    Acrobat PDF Viewer
+    * JonDonym ( http://ip-check.info )
-    MS Office Connect
+  * Plug-Ins
-    QuickTime
+    * Flash
-    DiVX
+    * Java / IcedTea
-    Windows Media
+    * Flip4Mac
-    Microsoft Silverlight
+    * iPhoto Plug-In
-    ActiveX Controls?
+    * Unity Web Player
+    * Acrobat PDF Viewer
+    * MS Office Connect
+    * QuickTime
+    * DiVX
+    * Windows Media
+    * Microsoft Silverlight
+    * ActiveX Controls?
 Grundsätzlich solltest Du alle Plug-Ins abschalten.
-Add-Ons/Extensions
+==== Add-Ons/Extensions ====
 Firefox, Tor Browser Bundle nennen diese Erweiterungen Add-On
 Safari, Chrome/Chromium, Opera nennen diese Erweiterungen: Extension
-    Ghostery
+  * Ghostery
-    Disconnect.me
+  * Disconnect.me
-    CertPatrol
+  * CertPatrol
-    Request Policy (nur Firefox)
+  * Request Policy (nur Firefox)
-    Adblock Edge und andere Adblocker
+  * Adblock Edge und andere Adblocker
-    HTTPS-„Everywhere“ https://www.eff.org/https-everywhere
+  * HTTPS-„Everywhere“ https://www.eff.org/https-everywhere
-    NoScript
+  * NoScript
-    Privacy Badger (Alpha)
+  * Privacy Badger (Alpha)
-    Collusion / Lightbeam
+  * Collusion / Lightbeam
-    BetterPrivacy (Firefox) soll Super-Cookies löschen, löscht nur Flash-Cookies?
+  * BetterPrivacy (Firefox) soll Super-Cookies löschen, löscht nur Flash-Cookies?
+===== Settings =====
-Settings
 Wo finde ich die Settings in welchem Browser?
-Safari 7.0.3 (OS X 10.9.2)
+==== Safari 7.0.3 (OS X 10.9.2) ====
     Einstellungen > Allgemein:
         „Sichere Dateien nach dem Runterladen automatisch öffnen“. (abdrehen).
@@ Zeile 111: / Zeile 155: @@
         Cookies können hier gelöscht werden, 3rd Party Cookies können unterbunden werden, Ortdungsdienste können eingestellt werden; Do not track einschalten, Suchfeld preload abdrehen, Suchmaschinene Vorschläge unterbinden aufdrehen.
-Firefox:
+==== Firefox ====
     Addons > Plugins > Ask to activate
     Einstellungen > Datenschutz > Chronik:
@@ Zeile 135: / Zeile 180: @@
         "about:config" (In URL-Zeile eingeben):
             "browser.urlbar.trimURLs" durch Doppelklick auf "false" setzen.
-Thunderbird:
+==== Thunderbird ====
     fast alles wie Firefox, außer:
     Kann keine Plugins on-demand aktivieren
     Thunderbird speichert per default keine Cookies :)
-Chrome / Chromium
+==== Chrome / Chromium ====
-    Einstellungen / Erweiterte Einstellungen:
-    deaktivieren:
+        Einstellungen / Erweiterte Einstellungen:
-  * Navigationsfehler mithilfe eines Webdienstes beheben
+        deaktivieren:
-  * Vervollständigung von Suchanfragen und URLs bei der Eingabe in die Adressleiste verwenden
+      * Navigationsfehler mithilfe eines Webdienstes beheben
-  * Netzwerkaktionen voraussehen, um die Ladegeschwindigkeit zu verbessern
+      * Vervollständigung von Suchanfragen und URLs bei der Eingabe in die Adressleiste verwenden
-  * Rechtschreibfehler mithilfe eines Webdienstes korrigieren
+      * Netzwerkaktionen voraussehen, um die Ladegeschwindigkeit zu verbessern
-  * Nutzungsstatistiken und Absturzberichte automatisch an Google senden
+      * Rechtschreibfehler mithilfe eines Webdienstes korrigieren
-DNT:
+      * Nutzungsstatistiken und Absturzberichte automatisch an Google senden
-    Einstellungen / Erweiterte Einstellungen:
+    DNT:
-    "Mit Browserzugriffen eine "Do Not Track"-Anforderung senden" aktivieren
+        Einstellungen / Erweiterte Einstellungen:
-OCSP:
+        "Mit Browserzugriffen eine "Do Not Track"-Anforderung senden" aktivieren
-    Einstellungen > Erweiterte Einstellungen > HTTPS/SSL:
+    OCSP:
-    "Serverzertifikate auf Sperrung prüfen" aktivieren
+        Einstellungen > Erweiterte Einstellungen > HTTPS/SSL:
+        "Serverzertifikate auf Sperrung prüfen" aktivieren
-Cookies:
+    Cookies:
-    Einstellungen > Datenschutz > Erweiterte Einstellungen > Inhaltseinstellungen:
+        Einstellungen > Datenschutz > Erweiterte Einstellungen > Inhaltseinstellungen:
-    "Drittanbieter-Cookies und Websitedaten blockieren" aktivieren
+        "Drittanbieter-Cookies und Websitedaten blockieren" aktivieren
-    Button "Alle Cookies und Websitedaten":
+        Button "Alle Cookies und Websitedaten":
-    Hier werden sämtliche Cookies angezeigt.
+        Hier werden sämtliche Cookies angezeigt.
-    Es können einzelne/alle Cookies gelöscht werden.
+        Es können einzelne/alle Cookies gelöscht werden.
-Click 2 Play (Plugins):
+    Click 2 Play (Plugins):
-    Einstellungen > Datenschutz > Erweiterte Einstellungen > Inhaltseinstellungen > Plug-ins:
+        Einstellungen > Datenschutz > Erweiterte Einstellungen > Inhaltseinstellungen > Plug-ins:
-        "Click-to-Play" auswählen.
+            "Click-to-Play" auswählen.
-Pop-ups
+    Pop-ups
-    Einstellungen > Datenschutz > Erweiterte Einstellungen > Inhaltseinstellungen > Pop-ups
+        Einstellungen > Datenschutz > Erweiterte Einstellungen > Inhaltseinstellungen > Pop-ups
         "Anzeige von Pop-ups für keine Website zulassen (empfohlen)" auswählen.
-Opera
-Einstellungen > Browser (ganz unten): Erweiterte Einstellungen zeigen
+==== Opera ====
-Einstellungen > Browser > Benutzeroberfläche:
-    "Vollständige URL der kombinierten Such- und Adressleiste anzeigen" aktivieren
+    Einstellungen > Browser (ganz unten): Erweiterte Einstellungen zeigen
+    Einstellungen > Browser > Benutzeroberfläche:
+        "Vollständige URL der kombinierten Such- und Adressleiste anzeigen" aktivieren
-Einstellungen > Datenschutz & Sicherheit > Privatsphäre:
+    Einstellungen > Datenschutz & Sicherheit > Privatsphäre:
-deaktivieren:
+    deaktivieren:
-- "Vorhersageservice zur Vervollständigung von Suchanfragen und URLs bei der Eingabe in die Adressleiste verwenden"
+    - "Vorhersageservice zur Vervollständigung von Suchanfragen und URLs bei der Eingabe in die Adressleiste verwenden"
-- Netzwerkaktionen voraussehen, um die Seitenladegeschwindigkeit zu verbessern"
+    - Netzwerkaktionen voraussehen, um die Seitenladegeschwindigkeit zu verbessern"
-- "Netzwerkaktionen voraussehen, um die Seitenladegeschwindigkeit zu verbessern"
+    - "Netzwerkaktionen voraussehen, um die Seitenladegeschwindigkeit zu verbessern"
-- "Automatisch Absturz-Berichte an Opera senden"
+    - "Automatisch Absturz-Berichte an Opera senden"
-aktivieren:
+    aktivieren:
-"Eine »Do Not Track«-Anforderung bei Browserzugriffen mitsenden"
+    "Eine »Do Not Track«-Anforderung bei Browserzugriffen mitsenden"
-Plugins: Click to Play
-Einstellungen > Websites > Plug-ins:
+    Plugins: Click to Play
-"Zum Abspielen klicken" auswählen.
+    Einstellungen > Websites > Plug-ins:
-Pop-ups:
+    "Zum Abspielen klicken" auswählen.
-Einstellungen > Websites > Pop-ups:
-"Keine Website darf Pop-ups öffnen (empfohlen)" auswählen.
+    Pop-ups:
-Einstellungen > Datenschutz & Sicherheit > Cookies:
+    Einstellungen > Websites > Pop-ups:
-"Cookies und Websitedaten von Drittabietern blockieren" aktivieren.
+    "Keine Website darf Pop-ups öffnen (empfohlen)" auswählen.
-Button "Alle Cookies und Websitedaten…":
-Cookies auflisten & löschen.
+    Cookies:
-Internet Explorer 11
+    Einstellungen > Datenschutz & Sicherheit > Cookies:
-Extras > Internetoptionen > Datenschutz:
+    "Cookies und Websitedaten von Drittabietern blockieren" aktivieren.
-    Button "Erweitert":
+    Button "Alle Cookies und Websitedaten…":
-        "Automatische Cookieverarbeitung außer Kraft setzen" aktivieren
+    Cookies auflisten & löschen.
-        Cookies von Erstanbietern (Annehmen/Blocken/Bestätigen, nach belieben)
-        Cookies von Drittanbietern Blocken
+==== Internet Explorer 11 ====
-    Popupblocker erinschalten
- Extras > Internetoptionen > Erweitert > Sicherheit:
+    Extras > Internetoptionen > Datenschutz:
-    "An mit Internet Explorer besuchte Websites 'Do Not Track'-Requests senden" aktivieren
+        Button "Erweitert":
-    "Auf gesperrte Serverzertifikate überprüfen" aktivieren
+            "Automatische Cookieverarbeitung außer Kraft setzen" aktivieren
-    "Auf gesperrte Zertifikate von Herausgebern überprüfen" aktivieren
+            Cookies von Erstanbietern (Annehmen/Blocken/Bestätigen, nach belieben)
-    "SSL 2.0 verwenden" deaktivieren
+            Cookies von Drittanbietern Blocken
-    "SSL 3.0 verwenden" deaktivieren
+        Popupblocker erinschalten
-Cookies:
+     Extras > Internetoptionen > Erweitert > Sicherheit:
-    Cookies können nicht aufgelistet / angezeigt werden.
+        "An mit Internet Explorer besuchte Websites 'Do Not Track'-Requests senden" aktivieren
-    Es ist nicht möglich, einzelne Cookies zu löschen.
+        "Auf gesperrte Serverzertifikate überprüfen" aktivieren
-    Alle Cookies löschen:
+        "Auf gesperrte Zertifikate von Herausgebern überprüfen" aktivieren
-    Extras > Internetoptionen > Allgemein > Browserverlauf:
+        "SSL 2.0 verwenden" deaktivieren
-    Button "Löschen…"
+        "SSL 3.0 verwenden" deaktivieren
-    (oder Extras > Sicherheit > Browserverlauf löschen"
+    Cookies:
-        "Cookies und Websitedaten" auswählen
+        Cookies können nicht aufgelistet / angezeigt werden.
-        Button "Löschen" anklicken
+        Es ist nicht möglich, einzelne Cookies zu löschen.
-"Datennutzung reduzieren"
+        Alle Cookies löschen:
+        Extras > Internetoptionen > Allgemein > Browserverlauf:
+        Button "Löschen…"
+        (oder Extras > Sicherheit > Browserverlauf löschen"
+            "Cookies und Websitedaten" auswählen
+            Button "Löschen" anklicken
+==== "Datennutzung reduzieren" ====
 Google Chrome (Mobilversion) und Opera haben können den gesamten Datenverkehr über Google- bzw. Opera-Server zu leiten um Verbindungsdaten dort zu komprimieren und so Datenvolumen zu sparen. Diese Funktionen sollten nicht verwendet werden!
-Google Chrome (Mobilversion):
+=== Google Chrome (Mobilversion) ===
     Einstellungen > Bandbreitenverwaltung > Datennutzung reduzieren: Aus
-Opera
+=== Opera ===
     OS X: Menubar > Opera > Offroad-Modus (daneben sollte kein Hakerl sein)
     Windows: "Opera"-Button links oben > Offroad-Modus (daneben sollte kein Hakerl sein)
-Windows:
+==== Windows ====
 Ciphers, PCT, SSLv2 und SSLv3 deaktivieren:
 iiscypto.exe
 https://www.nartac.com/Products/IISCrypto/
-Erklärungen:
-Was ist ein Browser Plug-In?
+===== Erklärungen =====
+==== Was ist ein Browser Plug-In? ====
 Ein Stück Software mit dem ein installiertes Programm seine Funktionen in einem Browser zur Verfügung stellen kann. Ein Plug-In kann auf Deinem Rechner quasi alles tun und wird dabei von einer Webseite gesteuert.
-Was ist ein Browser Add-On bzw. eine Browser Extension?
+==== Was ist ein Browser Add-On bzw. eine Browser Extension? ====
 Eine Erweiterung die direkt im Browser installiert wird und die Darstellung von Webseiten beeinflussen kann sowie auf die lokalen Daten des Browsers zugreifen kann. (zB Lesezeichen, Cookies, etc.)
 Was ist der Unterschied zwischen einem Browser Plug-In und einem Add-On/Extension?
 Ein Plug-In verbindet ein Programm mit einem Browser, ein Add-On/Extension läuft nur im Browser selbst und kann nicht auf die Daten anderer Programme zugreifen.
-Was ist ein Bookmarklet:
+==== Was ist ein Bookmarklet ====
 Ein Lesezeichen in dem keine Web-Adresse drinnen steht, sondern ein Javascript Programm welches beim Anklicken im Kontext der aktuellen Webseite ausgeführt wird.