Mozilla: Updates für Firefox und Thunderbird

Angreifer konnten Mozillas Browser Firefox und dem Mailclient Thunderbird Schadcode unterjubeln und damit eigene Befehle auf fremden Rechnern ausführen. Deshalb hat Hersteller Mozilla jetzt beide Programme abgesichert. Das von den geschlossenen Sicherheitslücken ausgehende Risiko wurde als „hoch“ eingestuft. Darüber hinaus hat Mozilla auch noch eine Funktion zur Erhöhung der Sicherheit beim Surfen in den Firefox eingebaut, welche aber in der Voreinstellung nicht aktiviert ist. Die abgesicherten Versionen Firefox 83, Firefox ESR 78.5 und Thunderbird 78.5 gibt es jetzt für alle Systeme. Nur noch verschlüsselt ins Internet Ab sofort besitzt Firefox 83 einen HTTPS-only-Modus. Ist dieser Modus aktiviert, dann baut der Browser immer eine verschlüsselte Verbindung via HTTPS zu den aufgerufenen Internetseiten auf. Das geschieht zum Beispiel automatisch, wenn man eine URL mit HTTP beginnend eingibt oder einen HTTP-Link anklickt. Unterstützt eine Internetseite kein HTTPS, zeigt der Browser eine Warnmeldung an, dass Dritte auf dieser  Seite zum Beispiel von Nutzern eingebene Kreditkartendaten mitschneiden könnten. Wer das Risiko einschätzen kann, der kann aber solche Seiten trotzdem besuchen. HTTPS-only ist dann für dieseeine Seite temporär deaktiviert. In einigen Fällen laden Internetseiten noch Ressourcen über HTTP nach, was zu sogenanntem „mixed content“ führt. Dabei kann es dann Darstellungsfehlern auf diesen Internetseiten geben. HTTPS-only muss in den Einstellungen aktiviert werden In den Einstellungen von Firefox [...]

2020-11-18T11:10:24+02:00November 18th, 2020|Browser, Sicherheit|Kommentare deaktiviert für Mozilla: Updates für Firefox und Thunderbird
Weiterlesen

Cloudflares neue DNS-Server sind online

Ab sofort können die DNS-Server beziehungsweise Resolver des US-Unternehmens Cloudflare unter den öffentlichen IP-Adressen 1.1.1.1 und 1.0.0.1 genutzt werden. Das kündigt das Unternehmen in einem Blogeintrag an. Die beiden Server sind für rekursive Domainauflösung ausgelegt, wie es im Internet normalerweise Standard ist. Außerdem unterstützen beide Server DNS-over-HTTPS und DNS-over-TLS, wodurch die DNS-Abfragen selbst verschlüsselt werden können. Cloudflare weist besonders auf die schnellen Reaktionszeiten und auf die Sicherheit dieses DNS-Systemes hin. Die Server haben sehr geringe Latenzzeiten Das Unternehmen hat den DNS-Dienst im März 2018 auf 31 Rechenzentren weltweit verteilt. Ein Großteil der Standorte befindet sich in Europa, in China und in den USA, deshalb sind kurze Latenzzeiten zumindest für diese Kontinente und Länder nicht erstaunlich. Erste Tests zeigen gute Resultate. Nykolas Z vom Medium-Blog hat auch die Leistung verglichen. Danach kann keiner der dabei getesteten DNS-Dienste einen großen Geschwindigkeitsvorsprung erreichen, aber Cloudflare ist immer an erster Stelle dabei. Verglichen wurde die Cloudflare-DNS mit den Servern von Google (8.8.8.8), von Quad9 (9.9.9.9 ) und von OpenDNS (208.67.222.222). Eine Frage der Datensicherheit Für die dauerhafte Nutzung stellt sich die Frage, ob man als Nutzer seine über das Internet gesendeten Daten an ein unreguliertes Unternehmen, insbesondere aus Staaten wie den USA, übertragen sollte. Denn DNS-Server speichern zum Beispiel aufgerufene Domains [...]

2018-04-03T16:14:08+02:00April 3rd, 2018|Webwerkzeuge|Kommentare deaktiviert für Cloudflares neue DNS-Server sind online
Weiterlesen

Filezilla jetzt mit Master-Passwort

Die Nutzer des für diverse Betriebssysteme verfügbaren FTP-Clients Filezilla sollen die Passwörter für ihre FTP-Sites jetzt endlich mit einem Master-Passwort verschlüsselt auf der Festplatte speichern können. Bisher sind diese Daten in einer Textdatei ohne Verschlüsselung abgelegt, und wer sich Zugang zu dieser Datei verschafft, hat auch alle Passwörter für die von Filezilla gespeicherten FTP-Zugänge. Das neue Master-Passwort steht schon im Release Candidate der Betaversion 3.26.00 zur Verfügung. Das Master-Passwort muss der User in den Optionen erst aktivieren. Wie beispielsweise Bleepingcomputer.com und andere berichten, haben die Nutzer von Filezilla schon seit zehn Jahren immer wieder erfolglos gebeten, dass die FTP-Passwörter bei Filezilla durch ein Master-Passwort geschützt und nur noch verschlüsselt gespeichert werden. Ende 2016 hat nach dem Bericht dann ein frustierter Benutzer einen Fork des Filezilla-Programms mit einem solchen Master-Passwort erstellt, weil ihm durch Malware alle seine Passwörter kopiert und damit gestohlen wurden. Man vermutet, dass dieser Fork den Druck auf den Entwickler von Filezilla erhöht hat, jetzt endlich selbst tätig zu werden.

2017-05-29T07:24:45+02:00Mai 29th, 2017|Allgemein|Kommentare deaktiviert für Filezilla jetzt mit Master-Passwort
Weiterlesen

Quic – die schnelle Alternative zu HTTPS

Zeit ist Geld – und deshalb hat Google erfolgreich versucht, die Verschlüsselung über TCP-Verbindungen durch das Quic-Verfahren zu ersetzen. Denn das ist wesentlich schneller als die umständliche TCP-Variante, die zwischen das Transport Control Protol (TCP) zum reinen Datentransport und die Webanwendung mit ihrem Hypertext Transfer Protocol (HTTP) noch eine zusätzliche Transport Layer Security (TLS) eingesetzt wird – und das alles zusammen braucht weit mehr Zeit als das schnelle Quic (Quic UDP Internet Connections), das bei verschlüsselten Internetseiten deutlich schnellere Reaktionszeiten und letztlich auch viel schneller ladende Webseiten erlaubt. Die Internet Engineering Task Force will jetzt das neue Protokoll zum Internet-Standard führen. Für Webworker, die genauer wissen möchten, wie das funktioniert, hat Golem Quic in einem ausführlichen aktuellen Artikel erklärt. Foto: AndrewHart, Flickr, CC BY-SA 2.0

2016-11-08T00:52:51+02:00November 8th, 2016|Allgemein|Kommentare deaktiviert für Quic – die schnelle Alternative zu HTTPS
Weiterlesen

Politik plant Aktionsplan gegen Verschlüsselung

Wer bei Google mit seiner Homepage optimal punkten will, muss seine Seiten verschlüsselt ausliefern – sonst wird die Homepage nicht so weit vorn in den Suchergebnissen gezeigt, wie es sein könnte. Ähnlich schwierig sieht es auch schon mit unverschlüsselt transferierten Emails aus – bei so manchem Email-Provider geht das gar nicht mehr. Politik und Sicherheit – eine Posse auf großer Bühne Die Politik sieht Verschlüsselung aber offensichtlich eher kritisch, denn nach einem Bericht von Golem plant Frankreich gemeinsam mit Deutschland eine internationale Initiative zur Entschlüsselung verschlüsselter Kommunikation. "Das ist eine zentrale Frage im Kampf gegen den Terrorismus", sagte der französische Innenminister Bernard Cazeneuve am letzten Donnerstag in Paris. Zusammen mit seinem deutschen Amtskollegen Thomas de Maizière (CDU) wolle er am 23. August 2016 in Paris über eine gemeinsame europäische Initiative gegen Verschlüsselung sprechen. Das soll dann eine internationale Aktion vorbereiten, ergänzte Cazaneuve. Weiterhin und stärker verschlüsseln! Was will uns das sagen? De Maizière hatte sich im letzten Jahr mehrmals gegen Überlegungen gewandt, Hersteller von Handys oder Anbieter von Messengerdiensten zur Einrichtung von Hintertüren zu zwingen. Ganz im Gegenteil: Deutschland solle"Verschlüsselungsstandort Nr. 1 auf der Welt" werden, heißt es unter anderem beispielsweise in der Digitalen Agenda der Regierung. Offenbar nutzen die Politiker vor den anstehenden Wahlen einmal wieder [...]

2016-08-15T10:04:49+02:00August 15th, 2016|Allgemein|Kommentare deaktiviert für Politik plant Aktionsplan gegen Verschlüsselung
Weiterlesen

Kostenlose SSL-Zertifikate von Let’s Encrypt

Eine Kooperation der Internetpioniere Mozilla, Cisco und Akamai hat sich zusammengefunden, um das Internet besser vor Mitlauschern wie BND, NSA, CIA, Konkurrenten oder Politikern zu schützen. Ziel ist, dass verschlüsselte Verbindungen zum Standard im Netz werden. Um das zu erreichen, stellt die gemeinsame Initiative "Let's Encrypt" kostenlos und auch unbürokratisch SSL-Zertifikate aus. Dazu gibt es auch ein Software-Werkzeug, das Internetservern im Handumdrehen https:// beibringt. Die gute Neuigkeit dazu für Internetschaffende: Let’s Encrypt startet am 3. Dezember einen öffentlichen Betatest. Ab übernächster Woche kann also jedermann ein solches kostenloses Zertifikat beantragen, das man zur TLS-Verschlüsselung von Internetseiten benutzen kann. Die bisherige Anforderung, sich für das Betaprogramm erst zu registrieren oder auf eine Einladung zu warten, entfällt damit. Das eigentliche Bonbon an SSL-verschlüsselten Seiten ist aber nicht unbedingt die kostenlose Abgabe der Zertifikate: Die Suchmaschine Google bewertet nämlich SSL-verschlüsselte Internetseiten deutlich höher als unverschlüsselte.

2015-11-17T19:31:37+02:00November 17th, 2015|Allgemein, Webwerkzeuge|Kommentare deaktiviert für Kostenlose SSL-Zertifikate von Let’s Encrypt
Weiterlesen

Neue Anzeige für HTTPS-Seiten mit Chrome 46

Google hat die Browserversion Chrome 46 veröffentlicht. Das Update auf Version 46.0.2490.71 vom 13. Oktober enthält Patches für 24 Sicherheitslücken – vier davon sogar von hoher Priorität. Als offensichtlichste Änderung hat die Suchmaschine aber die Anzeige des Sicherheitslevels von Webseiten überarbeitet. Bei verschlüsselten HTTPS -Seiten mit kleineren Fehlern erschien bisher über dem Schlosssymbol zusätzlich das bekannte gelbe Warndreieck. Diese Warnung soll laut Google die Nutzer verwirrt und letztlich sogar dazu geführt haben, dass viele Surfer fälschlicherweise dachten, fehlerhaft verschlüsselte Seiten seien unsicherer als Seiten, die HTTPS überhaupt nicht unterstützten (Anm. d. Autors: Das ist auch mein Feedback von vielen Surfern). Also hat Google das gelbe Warndreieck jetzt ersatzlos gestrichen. Sichere Webseiten bekommen wie bisher ein grünes Schloss, Webseiten mit abgelaufenem Sicherheitszertifikat oder groben Fehlern in HTTPS bekommen wie immer ein rotes X.

2015-10-16T22:13:40+02:00Oktober 16th, 2015|Allgemein, HTML|Kommentare deaktiviert für Neue Anzeige für HTTPS-Seiten mit Chrome 46
Weiterlesen

TLS-Zertifikate gratis aus China

Noch vor ein paar Jahren waren Zertifikate für verschlüsselte HTTPS-Webseiten noch relativ teuer. Inzwischen gibt es aber einen neuen Trend, TLS-Zertifikate mehr und mehr kostenlos verfügbar zu machen. Wosign ist jetzt zu dem Kreis der Zertifizierungsstellen gestoßen, die kostenlose Zertifikate ausstellen. Wosign hat seinen Sitz in Shenzhen / China, was vermutlich bei manchem für Vorbehalte sorgt. Aus technischer Sicht sind Vorbehalte gegen Wosign aber unbegründet. Das Problem ist eher das Interface für die Beantragung eines Zertifikats aus China. Wer kein Mandarin versteht, hat da eher schlechte Karten. Eine inoffizielle englischsprachige Anleitung mit Screenshots im Blog von Freerk Ohling hilft aber zusammen mit Google Translate, auch ohne Mandarin-Sprachkenntnisse ein Zertifikat zu bestellen. Alternativ liefert auch die israelische Firma StartSSL ebenfalls kostenlose TLS-Zertifikate. Die gelten allerdings nur ein Jahr lang und dürfen auch nicht für kommerzielle Projekte benutzt werden.  

2015-02-07T14:56:33+02:00Februar 7th, 2015|Allgemein, HTML|1 Kommentar
Weiterlesen
Nach oben