1. Man resettet es und verliert alle damit verschlüsselten Passworter.
Dazu einfach chrome://pippki/content/resetpassword.xul in die Adressleiste eingeben und bestätigen.

2. Man läd sich FireMaster herunter und nimmt sich 5 Minuten Zeit um mit den Teilen seines Passworts, an die man sich noch erinnert, eine Bruteforce- oder Hybridatacke zu starten.
Gesichert werden die Passwörter in der key3.db im Firefox-Profilordner. Bei meinem Windows 7 mit Firefox 4 unter: C:\Users\\AppData\Roaming\Mozilla\Firefox\Profiles\.default.

Ich kann nur sagen, dass Mehode 2 viel zu leicht funktioniert hat

Wenn man in PuTTY bereits ein Profil gespeichert hat, kann man dieses später mit einem an die Verknüpfung zur putty.exe angehängtes -load wieder aufrufen. Damit auch der Loginname übergeben wird, kann man noch -l angeben. (Natürlich ohne die <> Klammern).

Bsp.:  "C:\Program Files (x86)\Putty\putty.exe" -load -l


Weitere Optionen findet man in der Dokumentation, ab Punkt 3.8.  “The PuTTY commandline”. Es ist sogar möglich, ein Passwort zu übergeben, worauf ich sicherheitshalber verzichte.

Wer sich häufig verbindet, dem ist eher zu empfehlen, den Puttyagent zu nutzen. Hier reicht es, wenn der PrivateKey einmal freigeschaltet wird. Bis der Agent wieder geschlossen wird, merkt sich pagent.exe die Passphrase und es reicht, wenn in der nächsten SSH-Session nur der Username angegeben wird.

Für Pagent sieht die Verknüpfung mit Pfad zum Key so aus:

"C:\Program Files (x86)\Putty\pageant.exe"

Wer ein SSL-Zertifikat von einer anerkannten Autorität haben wollte, musste dafür bisher, auch wenn es nur um ein Hobbyprojekt ging, tief in die Tasche greifen.

Einen guten Ansatz hat die spendenfinanzierte Gemeinschaft CAcert.org verfolgt, konnte es aber bisher nicht in die Stammzertifikatslisten schaffen.
Jetzt bietet der kommerzielle Anbieter StarCom mit StarSSL kostenlose SSL-Zertifikate an, die bis auf Opera allen wichtigen Browsern bekannt sind.

Die Anmeldung ist etwas gewöhnungsbedürftig. Zuerst einmal bekommt man kein Passwort, sondern ein Client-Zertifikat, mit dem man sich in seinem Account anmeldet (und was man gut aufheben sollte). Zum Anderen fand ich die Menüführung kompliziert.

Vor allem sollte man sich bewusst sein, dass die erstellten Zertifikate nach einem Jahr erneuert werden müssen und es keine kostenlosen Wildcard-Zertifikate gibt.

Während der Installation wird zwar angeboten, ein Schlüsselpaar generieren zu lassen, es ist aber empfehlenswert seinen Privaten Schlüssel selbst zu erstellen.

Eine sehr gut bebilderte Anleitung habe ich bei Lernschmiede.de – kostenfreie Zertifikate gefunden.
Bei heise.de gibt es ebenfalls eine kurze Anleitung.
Auch das StarCom Wiki bietet eine ausführliche Installationshilfe.

Dazu sind folgende Schritte sinnvoll und können an der /etc/ssh/sshd_config durchgeführt werden:

1. Default SSH Port ändern
2. Root Login verbieten
3. Nur einem User den Login erlauben
4. Diesem User alle Rechte, bis auf su entziehen
5. Fail2ban oder DenyHosts installieren
6. Evtl. SSH Key Auth statt Passwort nutzen
7. Evtl. SSH per IPTables nur für DynDNS IP erlauben

Die meisten der oben aufgeführten Schritte werden auf wiki.debianforum.de erklärt.

  Foto CC by Croila

Es ist schon irre. Kaum ein Tag vergeht ohne News über Google. Entweder ein neuer Dienst wird angekündigt oder ein Rechtsstreit angefangen.
Klar, große Firmen haben es bei all den Patenten und Gesetzten selbst mit einer großen Rechtsabteilung nicht leicht.

Das tolle an Google: Alles ist umsonst. Wirklich?

Googles Haupteinnahmequelle, die Werbung, ist ja bekannt. Also nicht ganz umsonst.
Viel höher ist für den Nutzer aber der Preis für den Verlust seiner Privatsphäre. Wer garantiert mir, dass Google mein Nutzungsprofil irgendwann wieder löscht und nicht gar mit anderen Google-Diensten abgleicht.
Sollte dies eines Tages geschehen, wären wir für Google wirklich gläserne Nutzer.

Hier einmal eine Liste was im Worst Case alles über uns bekannt ist:

Google Suche: Alles was wir ins Suchfeld tippen und anklicken und weil man oft nach dem Schmökern wieder zurückkehrt und einen weiteren Begriff sucht oder eine andere Ergebnisseite anklickt auch welche Themen uns besonders interessieren.
Mit der IP-Änderung und Löschung der Cookies lässt sich der Nutzer dann nicht weiter tracken.

Anders sieht das aus, wenn man den Google Chrome Browser nutzt.

Google Chrome: Hier hat der Browser eine eindeutige ID, die den Benutzer auch bei einer Änderung der IP immer identifizierbar macht. Selbst wenn man die ID abschaltet werden alle aufgerufenen Adressen und Suchen an Google übermittelt.
Wenn jetzt jede 2. Website Google Analytics verwendet ist einem mit einem anderen Browser allerdings auch nicht geholfen, sollte Google auf die Idee kommen, die Daten abzugleichen.

Google Earth / Maps: Bei diesem Dienst habe ich weniger Bedenken, allerdings könnte Google erfassen, welche Orte man sich öfter anschaut und natürlich bei Maps geplante Routen auswerten und so sehen, wo man hinfährt. Auch bei Google Earth gibt es einige Satellitenfotos von Leuten, die nackt im Garten liegen o.ä. was allerdings bei der geringen Auflösung unkritisch ist.
Problematischer ist StreetView, was zwar gerade für die geplanten 3D-Autonavigationsgeräte eine kinderleichte Orientierung ermöglicht, oft aber auch den vielleicht lieber geheim gewussten Aufenthaltsort von Passanten verrät oder Blicke durch Wohnzimmerfenster erlaubt.
Oft weiß man gar nicht, dass man fotografiert wurde und findet sich im schlimmsten Fall in zahlreichen Blog- und Foreneinträgen wieder (z.B. http://www.streetviewfun.com/).

Google Powermeter: Tolle Idee. Man ersetzt seinen alten Stromzähler durch einen mit Internetanbindung und Google bereitet die Verbrauchsdaten grafisch hübsch auf. So kann man Online sehen, wenn die Kaffeemaschine eingeschaltet wird oder das Licht angeht. Leider nicht nur Stromsparhilfe, sondern auch perfektes Überwachungstool. Dafür gabs vor kurzem erst den BigBrother Award

Google Picasa: Hier werden einem momentan 1GB Onlinespeicher geschenkt, um seine Fotos hochzuladen und zu tauschen. So hätte Google nicht nur eine IP, sondern dank Tags auch ein Gesicht dazu.

Google DNS: Seit der Stoppschildkampagne ist das Thema Fremd-DNS wieder etwas bekannter geworden. Google macht nun dem bisher größten freien DNS-Anbieter OpenDNS Konkurrenz. Geld lässt sich hier natürlich über Werbung auf Fehlerseiten die bei Falscheingabe von Adressen erscheinen verdienen. Die Sache ist aber, dass Google so auch den Gesamten Internetverkehr überwachen kann und nicht an die Datenschutzbestimmungen des eigenen deutschen Internetproviders gebunden ist.

Google Books: Google digitalisiert und Kauft elektronische Bibliothekenbestände auf, um sie online lesbar zu machen. Schmökert man in den Büchern, erfasst Google, welche Seiten gelesen werden und was am Rand notiert wird. Für viel User eher unproblematisch, urheberrechtlich aber heikel. Dennoch ein Modell, was bisherige Bibliotheken mit verstaubten Büchern dank augenschonender E-Book-Reader und Volltextsuche zügig ablösen wird.

Youtube: Wurde von Google wegen Scheiterns des eigenen Videodienstes gekauft und musste vor einiger Zeit in einem Urheberrechtsstreit IP-Adressen und Nutzernamen derjenigen herausgeben, die Videos des Medienkonzerns Viacom angesehen hatten.

Google Docs: Der Ersatz MS-Office, allerdings liegen alle Dokumente bei Google. Dass auch Google nicht unfehlbar ist zeigt ein Datenleck des Dienstes im letzten Monat, wo fremde Zugang zu den eigentlich als “privat” markierten Dokumenten erhalten hatten.

Chrome OS: Ein Betriebssystem, dessen Hauptfunktion es ist, den Internetzugang bereitzustellen. Sinn der Aktion ist klar. Die Daten liegen vollständig bei Google und der User muss darauf vertrauen, dass Internetverbindung und Google-Server funktionieren. Dafür startet der Rechner ein paar Sekunden schneller.

Google Calendar: Wenn Google durch seine anderen Dienste nicht schon weiß, was man so den lieben langen Tag treibt, dann spätestens, wenn man dort alle Termine speichert und evtl noch mit seinem Handy oder Notebook über Internetzugänge an verschiedenen Orten synchronisiert. Ein Datenleck, wie bei Google Docs ist hier ebensowenig ausgeschlossen.

Dies ist bei weitem noch keine vollständige Liste. Eins aber wird klar. Je mehr persönliche Daten man einem Fremden anvertraut, desto besser sollte man ihn kennen und ihm vertrauen. Wer bei Google speichert, speichert meist auf einem Server in den USA. Dort gilt ein lockereres Datenschutzgesetz. Vor menschlichem Versagen und Sicherheitslecks ist Google auch nicht sicher. Ich speichere den Großteil meiner Daten daher doch lieber auf meinem Eigenen Rechner und nicht in der Wolke.

Google geht mit dem Thema Datenschutz sehr offensiv um und hat kürzlich den Dashboard Dienst gestartet, wo man sich einen Überblick über alle gesammelten Daten verschaffen kann.
Ob aber mein Webprotokoll oder der Index meiner Mails, nachdem ich auf entfernen geklickt habe, oder das Mailkonto lösche, weiter auf irgendeinem Server schlummert, wird nur Google beantworten können.

Zum Thema Vorratsdatenspeicherung hatte Google mit einer Schließung von Google Mail in Deutschland gedroht, wobei Google mit der Erfüllung der Auflagen die geringsten Probleme haben dürfte.

Ich habe jetzt zumindest ein Mailhosting, bei dem ich sicher sein kann, dass, sollte es nicht gehackt werden, höchstens die Betreffzeile per richterlichem Beschluss öffentlich wird.

Von der Google Suche konnte ich mich allerdings nicht trennen, da Bing zwar Fortschritte macht, aber mangels Benutzern einfach noch keine so relevanten Ergebnisse wie Google liefert. Vielleicht bringt die Allianz mit Yahoo ja die Wende.

Hosteurope bietet die Zertifikate in seiner FAQ zum Download an:
http://faq.hosteurope.de/index.php?cpid=14507

Ansonten hilft auch ein Speichern unter und Öffnen des Zertifikats und unter Details -> in Datei kopieren wählen und im DER Format mit der Endung .crt exportieren und bei redelijkheid.com hochladen, und mit dem Handy den angegebenen Link ansteuern. Natürlich kann man die Datei alternativ auf seinen eigenen Server stellen und in die .htaccess folgenden Mimetyp eintragen: AddType application/x-x509-ca

Hier die entscheidende Stelle:

Wenn Sie bei uns Produkte betreiben, mit denen Sie selbst derartige Dienste anbieten, z.B. dedizierte oder virtuelle Serverprodukte, führen wir selbst keine Speicherung durch. Diese liegt dann in Ihrem Aufgabenbereich.

Wer einen privaten E-Mail Server betreibt, ist von der Pflicht zur Vorratsdatenspeicherung ausgenommen.
Wenn man bedenkt, dass man teilweise für 1,69€ einen für E-Mail ausreichenden V-Server bekommt…
Terroristen werden also nicht auf Kurierdienste umsteigen müssen.

Zum Betrieb eines Servers und den Spamproblemen, die man sich damit einhandelt, erfährt man einiges in CCC ausgabe 104.

Ob Google große Investitionen tätigen musste, um die Verkehrsdaten für so lange Zeit zu speichern?

Wer bei einem der “Großen”, also GMX, Google etc. ist, wird weniger Probleme mit Mailfiltern haben, da sich große Mailprovider untereinander zertifizieren. Ich hatte solche Möglichkeiten, wie Remote DNS Eintrag o.ä. aufgrund meiner dynamischen IP leider nicht. Was aber machbar ist, ist das Einrichten eines  SPF Records (Sender Policy Framework). Dieser wird beim Nameserver meist als txt gehostet und erlaubt allen Mailprovidern die Rückfrage, ob es den Absender wirklich gibt.
SpamAssassin bei Host Europe wertet einen solchen Eintrag mit -2.5 im Spamcount. Bei +5 wird eine Mail dort gefiltert. Da ich bei anderen Mailern ein ähnliches Vorgehen vermute lohnt ein solcher Eintrag allemal.

Selbst eintragen kann sich leider nur, wer volle Kontrolle über seine DNS-Einträge hat. Bei regfish war das problemlos möglich.

Die nötigen Daten für den Eintrag kann man mit Hilfe von Openspf.com generieren.

Der Eintrag i.d. folgenden Abbildung ist noch recht offen. Man kann zur weiteren Eingrenzung auch IPs/Ranges oder Hostnamen angeben. Google hat jedes Mal nachgefragt -> die TTL war unwirksam.

Vom Yahoo Support kam leider auf die Frage, warum die Mails gefiltert wurden erst eine Anleitung wie ich meinen Mailclienten konfiguriere und dann eine, wie ich Filtereinstellungen lösche – ich hatte keinen einzigen Filter eingerichtet. Da Yahoo leider auch keine Spamheader mitschickt, war nicht zu klären, weshalb die Mails gefiltert wurden. Auf die Vermutung hin, dass die dortigen Filter lernfähig sind habe ich mal auf “Kein Spam” geklickt und eine Mail an meine nicht weiter zu blockende Adresse gesendet.
Wenn man dann auch noch Text- und keine HTML  Mails sendet, bekommt man noch mal 0.1 Punkte gutgeschrieben .
Wer evtl. auch mal seinen E-Mail Header analysieren möchte, findet im Link die SpamAssassin Tags. Bei Googlemail findet man die Bemerkung zum SPF hinter Received-SPF. Hat man etwas falsch eingestellt erscheint dort “softfail”. So eine Mail wird natürlich trotzdem zugestellt.

Eine von Yahoo patentierte und unter GPL zertifizierte Alternative zu SPF sind Domainkeys. Bei diesem Verfahren wird ein öffentlicher Key beim DNS hinterlegt und ein privater an die Mail angehängt, womit man dann zusätzlich erkennen kann, ob der Inhalt der Mail verändert wurde.

Nun kann man nur noch hoffen, dass es bald einheitlichere Filterkriterien gibt. Auch sollten dynamische IPs die Chance bekommen, ihre Mails (evtl. per Signatur) vor Filtern zu schützen, was dem Gedanken der Dezentralisierung von Diensten (siehe Cloud Computing) zugute käme. Mal davon abesehen, dass Signaturen leider  zentral verwaltet werden müssen.

Folgenden Inhalt hatte die Textdatei:
zfxid.txt