Liomans Blog - Erweiterung

HTTPS Everywhere in neuer Version und für Chromium

Lioman — Mon, 23 Apr 2012 16:15:00 +0200

HTTPS Everywhere ist für
mich eine absolute Must-Have-Erweiterung für den Firefox-Browser.
Sie nistet sich oben in der Leiste ein und sorgt anhand
tausender
Regeln dafür, dass (falls verfügbar) nur die verschlüsselte Seite
aufgerufen wird. Das erhöht die Sicherheit deutlich, denn so können
nicht so einfach Passwörter und Nutzerdaten abgegriffen werden. Der
Name ist leider ein bisschen irreführend, denn HTTPS gibt es eben
nicht überall, sondern nur für Domains die
https überhaupt anbieten und
auch durch ein “Ruleset” definiert sind (Was man jedoch sehr einfach
auch selbst hinzufügen kann).
Die neuste Version ([STRIKEOUT:2.0.2] 2.0.3) gilt als stabil und
enthält keine neuen Funktionalitäten, sondern beschränkt sich auf
einige Bugfixes..
Neu ist jedoch eine Beta-Version für Chromium/Google Chrome, denn
derzeit gab es noch keine Erweiterung, die ähnliches wie HTTPS
Everywhere bewerkstelligen konnte. KB SSL
Enforcer
soll laut EFF nicht können, da http vor https genutz wird. Sicherheit
ist nur gewährleistet, wenn alles nurüber eine verschlüsselte
Verbindung geladen wird. Wie immer sind solche Betas mit vorsicht zu
genießen, da sie noch nicht vollkommen fertig sind und daher auch noch
nicht 100%ig stabil funktionieren.

Piwik Login geht nicht

Lioman — Thu, 09 Dec 2010 16:05:00 +0100

Letztens kam ich nicht mehr auf meine Piwikinstallation. Nach Eingabe des Passworts kam nur folgende Nachricht in einem roten Kasten:

Fehler: Der Sicherheitsschlüssel des Formulars ist ungültig oder abgelaufen. Bitte aktualisieren Sie das Formular und überprüfen Sie, dass Cookies aktiviert sind.

Oder bei einer englischen Installation wäre es :

Form security key is invalid or has expired. Please reload the form and check that your cookies are enabled.

Ich konnte mir das nicht erklären, da bisher alles wunderbar klappte und die Daten auch über andere Kanäle abrufbar waren. Nach einer Weile habe ich des Rätsels Lösung gefunden: Das Piwikfrontend braucht anscheinend den Referrer und die kürzlich hier Vorgestellte Erweiterung RefControl verhinderte das natürlich. Erstellt man für die Piwikinstanz eine Regel, die den Referrer sendet, funktioniert alles wieder normal.

Den Referrer kontrollieren

Lioman — Mon, 06 Dec 2010 15:10:00 +0100

Viele Seiten, sammeln alle möglichen Daten und man weiß nie genau, was alles damit angestellt wird. Im Grunde geht es aber immer darum Profile zu erstellen. Die IP ist nicht immer ohne weiteres zu verschleiern (nimmt man Geschwindigkeitseinbusen hin geht es recht gut über TOR). Aber es gibt ja noch ein paar andere Daten, die der Browser an jede Website übermittelt.

Im Referrer steht immer die letzte Seite drin, also von woher man gekommen ist. Das möchte man aber nicht jeden Webmaster wissen lassen und so gilt es dies zu kontrollieren. Das Problem dabei: Einfach ausschalten ist nicht wirklich sinnvoll, da es für manche Funktionen sogar benötigt wird.

Für den Firefox gibt es ein nützliches Add-On: RefControl

Die Erweiterung nistet sich in der Statuszeile ein und kann so einfach an und ausgeschaltet werden. Klickt man rechts drauf, kommt man in die Optionen.

Zuerst sollte man den Standard auf <Ersetzten> stellen. Dann sieht es für jede Seite so aus, als habe man die Adresse direkt eingegeben. Nun kann man noch für bestimmte Seiten Extraregeln erstellen, die Meisten Seiten werden aber mit dieser Einstellung keine Probleme haben.

Mails ein Gesicht geben

Lioman — Fri, 03 Dec 2010 13:24:00 +0100

Vor kurzem schrieb ich über die Hovercards von Gravatar.com und wie man sie ins Blog einbaut. Ich habe sie gleich wieder rausgeschmissen. Das Skript ist einfach doch sehr groß und die Kommentare auf dieser Seite gehen gegen Null. Habe also all das was nur bei vielen Kommentaren nützt deinstalliert, um die Seite schneller zu machen. Aber nun zum eigentlichen Thema.

Ich bin auf ein kleines Add-on für das Mailprogramm Thunderbird gestoßen - dass es ermöglicht jedem Absender ein Gesicht zu geben. Das geht einmal mit selbst eingestellten Bildern, aber auch mit Gravatars. So muss man sich um nichts kümmern und die, die keines haben kann man mit einem automatisch generierten Bild versehen.

Möchte man dies muss man in den Einstellungen des Add-ons zuerst im Reiter “Internetfotos” den Haken bei “Gravatar aktivieren” klicken und dann im Reiter “Allgemeine Einstellungen” unten als Standardfoto Gravatar einstellen.

Wozu das ganze?

Schreibt man Kommentare bei verschiedenen Blogs und abonniert weitere per E-Mail kann man leicht den Überblick verlieren. Ein Bild ist ein einfacher Anhaltspunkt und es ist doch auch schön, wenn einem die Liebste über ihrer Mail anlächelt.

Facebook Like und Share blockieren

Lioman — Mon, 29 Nov 2010 18:22:00 +0100

Überall im Netz tauchen die Like und Share-Knöpfe des Sozialen Netzwerkes Facebook auf. Und das ist problematisch, denn mit diesen können die Datensammler sehr genau sagen, welche Seiten man ansurft - ob man in FB eingeloggt ist oder nicht. Obwohl ich das Netzwerk selbst nutze möchte ich eigentlich immer die Kontrolle darüber haben, welche Daten ich dort veröffentliche und an die Server schicke. Deswegen blocke ich Facebook ab jetzt überall - außer auf Facebook.

Für Chromium/Chrome gibt es die netter Erweiterung Facebook Disconnect

Surft man meistens mit dem Firefox ist es einfacher einen Filter in AdblockPlus einzustellen.

Einfach folgende Zeilen eintragen:

||fbcdn.net$domain=~www.facebook.com

||facebook.net$domain=~www.facebook.com

||facebook.com$domain=~www.facebook.com

Schlimme, schlimme LSOs

Lioman — Thu, 25 Nov 2010 14:28:00 +0100

LSO steht für Local Shared Objects und dies sind nichts anderes als Flash-Cookies (auch Super-Cookie genannt), in denen Flashobjekte von beliebigen Websiten Informationen ablegen. Manches ist ganz praktisch, da eine Videoseiten, dann alle Videos immer in der gewünschten Qualitätsstufe zeigt, oder das kleine Pausenflashspiel den Nutzernamen sich merken kann. Aber LSOs sind gefährlich, sehr sogar viel schlimmer als die normalen HTTP-Cookies, die man als aufmerksamer Internetsurfer immer mal wieder löscht.

Warum sind LSOs so gefährlich?

LSOs haben eine unendliche Laufzeit
sie können bis zu 100kb Daten speichern
diese können Seitenaufrufe, Einstellungen, Betriebssystem, Nutzernamen enthalten
Flashobjekte sind manchmal “unsichtbar” dennoch können sie gespeicherte Inhalte senden
Man kann nicht 1 zu 1 sagen welcher Cookie welcher Trackingdomain gehört (erfordert genaue Analysen)
LSOs werden in gesonderten Ordnern gespeichert d.h.
1. der Browser löscht sie nicht und
2. egal welcher Browser genutzt wird die Daten landen immer in der gleichen Datei
Die Daten können aus einem LSO ausgelesen und in ein traditionelles (schon gelöschtes ) Cookie wieder eingeschrieben werden

Was das heißt zeigt ein Screenshot der bei mir gespeicherten LSOs. Dazu muss man sagen, dass ich in der Zeit mein System + Plugin mehrfach auf den neusten Stand gebracht habe und den PC gewechselt habe. Doch die LSOs habe ich immer brav mitgenommen.

Über elf Monate - das finde ich ziemlich erschreckend, vor allen Dingen wenn man bedenkt, was alles in 100kb passt: genau 99990 Zeichen!

Wie werde ich sie Los?

Für den Firefox existiert eine exzellente (auf Deutsch dokumentiertes) Erweiterung : BetterPrivacy

Hat man diese Erweiterung installiert ermöglicht sie eine einfache Löschung der Cookies.

Das Plugin ist ziemlich selbsterklärend, man kann die LSOs richtig verwalten und z.B. bestimmte schützen oder alle automatisch beim beenden des Browsers über die Klinge springen lassen. Diese Einstellungen empfehle ich, denn der Mehrwert dieser Dateien ist sehr gering.

Außerdem kann man mit dieser Erweiterung gleich noch die DOM-Storage-Datei (eine andere Art von Super-Cookie) loswerden, was die Sicherheit des Browsers noch ein wenig erhöht.

Nutzt man andere Browser oder möchte nicht noch eine Erweiterung ist auch eine manuelle Löschung des Ordners möglich.

Laut Wikipedia findet man die LSOs in folgenden Ordnern:

Betriebssystem	Speicherort	Anmerkung
Microsoft Windows	%AppData%\Macromedia\Flash Player\#SharedObjects %APPDATA%\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys %APPDATA%\[AIR Paket ID]\Local Store\#SharedObjects\	%AppData% steht für das Benutzerverzeichnis Adobe-AIR-Anwendungen speichern separat in eigenen Ordner
Mac OS X	~/Library/Preferences/Macromedia/Flash Player/#SharedObjects ~/Library/Preferences/[AIR Paket ID] ~/Library/Preferences/Macromedia/FlashPlayer/macromedia.com/Support/flashplayer/sys	~ steht für das Benutzerverzeichnis Adobe-AIR-Anwendungen speichern separat in eigenen Ordner
Linux	~/.macromedia/Macromedia/Flash Player ~/.macromedia/Flash_Player/#SharedObjects	~ steht für das Benutzerverzeichnis

Table: Standard Speicherorte