Archiv nach Schlagworten: Sicherheit

Alltag Überwachung

Es geistert eine wirklich nachdenklich machende Doku durch die Blogszene, welches wirklich nicht oft genug gezeigt werden kann.

Alltag Überwachung.
Zwischen Terror, Sicherheit und digitaler Kontrolle.

Eine Dokumentation von Roman Mischel und Fiete Stegers (2006). Zuerst veröffentlicht bei tagesschau.de.

Firefox 3.x – Probleme mit dem FIPS-140 Crypto-Modus beseitigen

Bei meinen Experimenten mit Mozilla Weave bin ich (wieder) auf ein plattformübergreifendes Problem gestossen, das zwar unterschiedliche Erscheinungsformen aber immer dieselbe Ursache hat. So verweigerte der Weave-Client im Firefox 3.5, als auch FF 3.6 sowohl unter Ubuntu, WindowsXP und Windows 7 zunächst seinen Dienst mit einer fast identischen Meldung (im Activity Log von Weave).

 
2010-02-20 13:26:21 Engine.Clients WARN Sync failed 
2010-02-20 13:26:21 Engine.Clients DEBUG Total (ms): sync 53, syncStartup 53 
2010-02-20 13:26:21 Service.Main CONFIG Starting backoff, next sync at:Sat Feb 20 2010 13:46:53 GMT+0100 
2010-02-20 13:26:21 Service.Main DEBUG Exception: Component returned failure code: 0x80004005 (NS_ERROR_FAILURE) [IWeaveCrypto.generateRandomKey]

Zuvor war mir das Problem (dieselbe Ursache) in einem anderen Zusammenhang begegnet. So war Anfang Januar ein Upgrade auf Firefox 3.6 stable nicht zufriedenstellend verlaufen. So konnte der neue FF3.6 unter Nutzung des alten Profils plötzlich keine SSL-Verbindungen mehr aufbauen, kannte keine Passwörter mehr und hatte die Historie vergessen. Damals hatte ich schon eine Vermutung das das auf das gesetzte Masterpasswort zurück zu führen wäre, konnte aber keine Abhilfe finden.

Aktuell bin ich aber auf den Hinweis gestossen, das viele Sachen im Firefox Probleme mit dem restriktiven FIPS-140 Krytomodus haben. Er ist eigentlich dazu gedacht den Browser in eine Art Hochsicherheitsmodus zu versetzen, in dem nur die beste Verschlüsselungstechnologie benutzt werden. Das dieser Modus aktiv ist kann man daran erkennen das man beim erstmaligen Aufbau einer SSL-Verbindung das Master-Passwort eingeben muss.

Firefox FIPS Problem - Passwort Eingabe

Wie es scheint sorgt dieser Modus allerding auch dafür das möglicherweise spezielle kryptografische Funktionen nicht zur Verfügung stehen, was obige Probleme mit Mozilla Weave verursacht. Allerdings kann man als Workaround den FIPS-140 Modus abschalten. Dazu muss man zunächst ins Menu Einstellungen –> Tab Erweitert –> Subtab Verschlüsselung und dort auf den Button "Kryptographie-Module" klicken.

Firefox FIPS Problem - Kryptographie Einstellungen

Im Modul-Manage schliesslich wählt man das FIPS-140 Modul und NSS Internal aus und deaktiviert den Modus durch Klick auf  "FIPS deaktivieren" Das Master-Passwort und alle Daten sind dadurch nicht betroffen. Allerdings sollten die anfänglich beschriebenen Probleme nun verschwunden sein, da nun alle Funktionen uneingeschränkt zur Verfügung stehen

Firefox FIPS Problem - Kryptographie Modulmanager

 

 

Links

http://support.mozilla.com/tiki-view_forum_thread.php?comments_parentId=126835&forumId=1

https://developer.mozilla.org/FIPS_Mode_-_an_explanation

Mozilla Weave – Ubiquitous Browsing mit Firefox 3.5

Ubiquitous bedeutet soviel wie allgegenwärtig und genau das ist es was eine neue Browser-Erweiterung von Mozilla ereichen will. Die Entwickler der Mozilla Foundation haben dazu am 28.01.2010 die Version 1.0 des Synchronisierungsdienstes Weave Sync veröffentlicht. Ein Firefox-Addon gleicht dabei Daten wie Bookmarks, Passworte, Browser History (zu deutsch Verlauf) und die geöffneten Tabs zwischen mehreren Browsern auf unterschiedlichen Systemen (z.B. Desktop und Smartphone) oder auch unterschiedlichsten Architekuren (z.B. Windows 32Bit und Linux 64Bit) ab. Der Aufwand eine beliebige Zahl von installierten Webbrowsern miteinander abzugleichen reduziert sich also auf quasi null.

 

Mozilla Weave Sync

Weiterlesen »

Bundesamt warnt vor Benutzung von Internet Explorer

AP

Bonn (apn) Wegen einer Sicherheitslücke sollten Computernutzer nach Einschätzung von Experten den Internet Explorer von Microsoft nicht mehr benutzen. «Die Schwachstelle ermöglicht Angreifern, über eine manipulierte Webseite Schadcode in einen Windows-Rechner zu schleusen und zu starten», teilte das Bundesamt für Sicherheit in der Informationstechnik am Freitag in Bonn mit.

Betroffen sind die Versionen 6, 7 und 8 des Internet Explorers auf den Windows-Systemen XP, Vista und 7. Bislang gibt es noch keine Software-Aktualisierung, so dass die Experten vorerst andere Browser empfehlen. «Das BSI erwartet, dass diese Schwachstelle in kurzer Zeit für Angriffe im Internet eingesetzt wird.»

Nach Analyse des BSI erschwert zwar das Ausführen des Explorers im geschützten Modus Angriffe, kann sie jedoch nicht verhindern. Dasselbe gilt für Skriptprogramme (Active Scripting). Deshalb sollten PC-Nutzer vorerst auf einen anderen Browser umsteigen. Zur Wahl stehen unter anderen die Programme Chrome, Safari oder Firefox.

© 2010 The Associated Press. Alle Rechte Vorbehalten – All Rights Reserved

Seite 1 von 11