Diese Ausnahme dauerhaft speichern?
Wenn man eine HTTPS Verschlüsselte Seite mit dem Firefox besucht kennt jeder diese Meldung welche den Nutzer sensibilisieren sollte sich das Zertifikat anzuschauen bevor man es akzeptiert.
Normalerweise gibt es eine Box die Versichert das Firefox sich dieses Zertifikat auch über längere Zeit merken kann und beim nächstem mal nicht mehr nachfragt sofern es sich um dasselbe Zertifikat handelt wie jenes im Speicher.
Seit einem Update irgendwo zwischen Firefox 3.x und 3.6.13 war diese Option/Dialog nicht mehr verfügbar. Als Ursache vermute ich eine bestimmte Konstellation der Firefox Einstellungen denn es ist ebenfalls mit einem jungfräulichen ~/.mozilla Konfigurationsverzeichnis möglich.
In dieser Situation bleiben nur zwei Möglichkeiten:
1. Man exportiert die Bookmarks erstellt eine Liste der Plugins und deren Einstellungen und benennt das .mozilla um.
2. Man behält seine Einstellungen, Bookmarks und Plugins und stößt den Dialog der "Langfristigen Zertifikatübernahme auf dem System" manuell an. Diese Einstellung versteckt sich dort: Bearbeiten → Einstellungen → Erweitert:Verschlüsselungen → Zertifikate anzeigen: Server, Ausnahme Hinzufügen
Was sollte man sich zusätzlich Bewusst machen?
Ein Zertifikat wird durch diese Einstellung wie schon erwähnt sofort verwendet ohne das ein Dialog erscheint, bei dem man das Zertifikatsmuster/Fußabdruck nochmal sieht. Das gute daran ist man verwendet häufiger Verschlüsselte Verbindungen zu den Servern, da die Abfrage nicht jedes mal 20 Sekunden in Anspruch nimmt.
Die Gefahr dabei ist allerdings die Gewohnheit. Am Besten überprüft man regelmäßig, z.B. bei jedem größeren Firfox-Update (oder in der Mittagspause) noch mal alle Zertifikate einzeln ob die Zertifikatsmuster/Fingerabdrücke noch stimmen und wann diese Ablaufen.
Der Hintergrund ist folgender: Angenommen Mr. Evil möchte meine https Kommunikation belauschen kann er dies nur auf meinem System, auf dem Verbindungsweg oder auf dem Server mit dem ich Kommuniziere. Gehe ich davon aus das mein System (OS, Tastatur, keine aktiven Verbindung aus meinem Zimmer heraus die meinen Schreibtisch belauschen) vertrauenswürdig ist und das meines Gegenübers (das Serversystem), kann Mr. Evil nur die Kommunikation abhören.
Natürlich hat man HTTPS entworfen damit man auf TCP/IP-Ebene nicht die Kommunikation belauschen kann. Doch versucht sich Mr. Evil nun durch zwei https Verbindungen als Mann in der Mitte (Man in the Middle) könnte es ihm Gelingen die Kommunikation zu belauschen. Wenn er dies versucht, poppt bei meinem Firefox eine neue Zertifikatsmeldung auf, entweder mit einer Leeren Signatur ("Dem Zertifikat wird nicht vertraut, weil es vom Aussteller selbst signiert wurde", localhost.localdomane, etc..) oder einem Gefälschten Namen, ganz bestimmt aber mit einem ganz anderen Zertifikatsmuster/Fingerabdruck.
An dieser Stelle sollten die Alarmglocken vom User klingeln und man die Kommunikation abbrechen. Meine vorheriger Ratschlag die Zertifikate regelmäßig zu prüfen basiert nun darauf das es Mr. Evil sehr gelegen käme wenn er es vollbringt mir sein Zertifikat als "Diese Ausnahme dauerhaft speichern" in meinen Firefox unterjubelt. Beim Surfen würde es mir dann nicht auffallen da hier keine Unregelmäßigkeit auftritt wohl aber bei meiner Prüfung, denn dann ist dort ein neues unbekanntes Zertifikat in der Liste.
Anmerkung: Auch ohne Trojaner aber mit physikalischem unbeobachtetem Zugang zu meinem System ("Darf ich mal kurz eine Telefonnummer nachschlagen?") könnte Mr. Evil in 2 Sekunden sein Zertifikat hinzufügen.
Firefox SSL Zertifikat dauerhaft speichern - nicht möglich?
Message
- ChrisJumper
- Advocate
- Posts: 2419
- Joined: Sat Mar 12, 2005 1:42 pm
- Location: Germany
Frage zu https und Firefox-Add-on
Hallo Leute,
heutzutage muss alles immer sicher sein so auch Online-Shops. Nun habe ich aber auch schon öfter entdeckt, dass aus dem http plötzlich ein https wird. Über Wikipedia habe ich erfahren, dass https (Hypertext) ein Protokoll der Übertragung ist. Ich weiß, dass das ein Zeichen für eine sichere Übertragung ist.
Etwas verwirrt bin ich dennoch, denn auf http://www.globalsign.de/ssl-informatio ... t-ssl.html lese ich etwas von einem Schloss. Sobald eine sichere Verbindung besteht, soll das Schloss dargestellt werden. Aber egal auf welcher Website ich surfe, dieses Symbol erscheint nicht. Soll das heißen, dass bisher alle Verbindung unsicher waren? Dieses SSL wird auf der Website auch erwähnt. Unterscheidet sich das irgendwie von https?
Im Firefox ist mir die Identitätsanzeige aufgefallen. Was soll das sein? Die Anzeige ist direkt mit dem Favicon verbunden. Es erscheint nichts, wenn man einfach darauf klickt. Wenn ich mich jetzt aber irgendwo einloggen möchte, wird das Favicon größer. Ich kann dann die Mitteilung sehen, dass ich jetzt mit www.facebook.com, www.amazon.de, www.neu.de, www.ebay.de oder www.google.de verbunden bin. Soll das auch etwas mit einer gesicherten Verbindung zu tun haben?
Jetzt habe ich nur noch eine Frage. Es betrifft das Plugin HTTPS Everywhere für den Firefox von http://www.chip.de/downloads/HTTPS-Ever ... 21096.html. Angeblich soll jede Website anonym besucht werden können. Wirklich anonym? Ich dachte eigentlich, dass ich immer zurückverfolgbar bin. Welchen Zweck hat das Plugin? Was bewirkt das Add-on sonst noch alles? Auf der Website vom Mozilla Firefox https://addons.mozilla.org/de/firefox/ ist das Add-on gar nicht aufgelistet. Ist es veraltet und nicht mehr kompatibel?
Vielleicht weiß der ein oder andere besser bescheid als ich.
Beste Grüße
heutzutage muss alles immer sicher sein so auch Online-Shops. Nun habe ich aber auch schon öfter entdeckt, dass aus dem http plötzlich ein https wird. Über Wikipedia habe ich erfahren, dass https (Hypertext) ein Protokoll der Übertragung ist. Ich weiß, dass das ein Zeichen für eine sichere Übertragung ist.
Etwas verwirrt bin ich dennoch, denn auf http://www.globalsign.de/ssl-informatio ... t-ssl.html lese ich etwas von einem Schloss. Sobald eine sichere Verbindung besteht, soll das Schloss dargestellt werden. Aber egal auf welcher Website ich surfe, dieses Symbol erscheint nicht. Soll das heißen, dass bisher alle Verbindung unsicher waren? Dieses SSL wird auf der Website auch erwähnt. Unterscheidet sich das irgendwie von https?
Im Firefox ist mir die Identitätsanzeige aufgefallen. Was soll das sein? Die Anzeige ist direkt mit dem Favicon verbunden. Es erscheint nichts, wenn man einfach darauf klickt. Wenn ich mich jetzt aber irgendwo einloggen möchte, wird das Favicon größer. Ich kann dann die Mitteilung sehen, dass ich jetzt mit www.facebook.com, www.amazon.de, www.neu.de, www.ebay.de oder www.google.de verbunden bin. Soll das auch etwas mit einer gesicherten Verbindung zu tun haben?
Jetzt habe ich nur noch eine Frage. Es betrifft das Plugin HTTPS Everywhere für den Firefox von http://www.chip.de/downloads/HTTPS-Ever ... 21096.html. Angeblich soll jede Website anonym besucht werden können. Wirklich anonym? Ich dachte eigentlich, dass ich immer zurückverfolgbar bin. Welchen Zweck hat das Plugin? Was bewirkt das Add-on sonst noch alles? Auf der Website vom Mozilla Firefox https://addons.mozilla.org/de/firefox/ ist das Add-on gar nicht aufgelistet. Ist es veraltet und nicht mehr kompatibel?
Vielleicht weiß der ein oder andere besser bescheid als ich.
Beste Grüße