Posts by Susi to visit

    Liebe Leute,


    was eine Stippvisite sein sollte, hat sich aufgrund der Einschränkungen in unser aller Freizeitaktivitäten viel länger gestaltet als ich es ursprünglich vorhatte. Nun ist es aber an der Zeit, meinen Besuch hier zu beenden oder ihn doch zumindest für eine ausgedehnte Sommerpause zu unterbrechen. Mal schauen, was der Herbst für uns bereithält.


    Ich erahne gerade einen Ausdruck der Freude und Erleichterung bei mindestens zwei oder drei Personen: Endlich schleicht sie sich wieder, die Spielverderberin, die streitende Goaß die! ;)

    Ja, wer Kanten hat, eckt an. Manchmal auch dort, wo es gar nicht beabsichtigt war. Vorwiegend aber, so hoffe ich, dort, wo ich es wollte: Wo sich falsche Behauptungen und Schmarrn so hoch stapeln, dass ich meine geliebten Berge schon nicht mehr sehen kann.


    Wenn ich die letzten Monate im Forum Revue passieren lassen, dann fällt mir zunächst ein fast unglaublicher Zufall ein.

    Die Hersteller von AV-Software müssen allesamt zur gleichen Zeit wahrhaft tiefgreifende Änderungen an ihren Produkten vorgenommen haben. Wie sonst sollte man den massiven Rückgang an notwendigen Deinstallationen erklären?

    Waren es noch vor einem Jahr 2 bis 3 solcher Fälle pro Woche, so tritt das Problem nun schon seit Monaten quasi gar nicht mehr auf. Das grenzt an ein Wunder. Oder sollte es doch einen anderen Grund geben? :mrgreen:

    Ich freue mich jedenfalls ehrlich für die statistisch etwa 100 Hilfesuchenden, denen dieses unnötige Theater seitdem erspart blieb und wünsche dem Publikum, dass dieses Stück zumindest auf der Bühne dieses Forums weiterhin ernsthaft und nicht wieder als Kinderprogramm der Augsburger Puppenkiste¹ aufgeführt wird.


    Dann waren da noch die hitzigen Debatten mit einem einzelnen Herrn. Oh weh ... .

    Offen gesagt, hätte ich mir dazu etwas Unterstützung aus dem Forum gewünscht, nicht nur per PN oder E-Mail. Spätestens, nachdem sich zwei andere aufgrund seiner halbgaren Vorschläge den Thunderbird ziemlich verwurschtelt hatten.

    Man muss die technischen Details gar nicht verstehen. Wenn jemand die Sicherheit angeblich so pedantisch ernst nimmt, aber nicht einmal seine Festplatte verschlüsselt und auch noch amateurhafte Hacks empfiehlt, die die Unterschrift einer E-Mail ungültig machen, dann bin ich mir recht sicher: Auch andere haben erkannt, dass da was nicht zusammengeht.

    Sei's drum. Ich wünsche euch, dass sich immer jemand mit genug Verstand und Selbstbewusstsein findet, der sich traut, deutlich zu widersprechen, wenn versucht wird, andere zu Unsinn zu verleiten oder technisch nicht haltbare "Verschwörungstheorien" zu verbreiten.


    Freuen würde ich mich, wenn jemand die Sammlung zu OpenPGP weiterführen könnte. Die war letztendlich meine Motivation, mich hier wieder anzumelden.


    Mein ausdrücklicher Dank geht an Thunder, der bei meinen frecheren Postings bestimmt das eine oder andere Mal ins Holz gebissen hat, und ganz besonders an graba. Der hat's einfach verdient. :)


    Servus derweil


    Susanne



    1: Nicht, dass jemand denkt, ich möchte mich über das Oehmiche Theater lustig machen. Keinesfalls. Ich schätze es sehr. Meine Kinder haben anstatt der Teletubbies und anderem Käse Jim Knopf, das Urmel und Kalle Wirsch schauen dürfen. Auch wenn das schon ganz alte Kisten waren.

    Nachdem du inzwischen in anderen Themen geschrieben hast, hier aber nicht antwortest, schließe ich, dass du keine Fakten vorbringen kannst, die einen Fehler in meinen Erklärungen zu DNS, DoH und ODoH aufzeigen würden.


    Und da selbst die von dir verlinkte Studie zu dem selben Schluss kommt wie ich, reche ich auch nicht damit, dass du noch ein belastbares Argument lieferst.


    Somit bleibt es beim gegenwärtigen Stand der Spezifikationen dabei: Im Vergleich zu den bisherigen Methoden bietet ODoH ein Plus an Schutz.


    Die Vorwürfe in Richtung Google, Apple und Mozilla sowie all den Leuten, die weltweit an der Spezifikation arbeiten, sind nicht haltbar. Es ist gut, dass diese Leute sich Gedanken machen, wie der Schutz der Privatsphäre verbessert werden kann. Das sollten wir uns durch fadenscheinige Thesen nicht schlechtreden lassen.

    "Unbekannte Problem" - diese Fehlermeldung ist tatsächlich alles andere als hilfreich. Ich kann auf den ersten Blick keinen Fehler in deiner Vorgehensweise sehen.

    Was mir spontan einfällt: Sind die beiden GMX-Konten eigenständige Konten, oder handelt es sich um Aliase? Tritt das Problem in beiden Richtungen auf oder nur von Konto A nach B aber nicht von B nach A? Steht der Wert der pref security.enterprise_roots.enabled bei beiden Rechner auf false?

    Dann rück mal raus mit deinen vorliegenden Fakten. Ich habe die technischen Zusammenhänge erklärt. Sollte daran etwas nicht stimmen, dann höre ich gern zu und lasse mich eines Besseren belehren.
    Bitte ohne Nebelkerzen und Ablenkungen auf andere Themen. Welche der angeführten Punkten stimmen nicht?


    Jetzt hab' ich zu schnell gespeichert. Ich wollte doch noch schreiben, dass selbst die von dir verlinkte Studie zu dem Schluss kommt:


    Quote

    In this paper, we perform the first implementation, deployment, and evaluation of an IETF-proposed practical privacy enhancing technique called ODoH, with the aim to provide both security and privacy guarantees for users’ DNS traffic by encrypting both the message and transport [50].

    [...]

    We show that the proposed protocol is feasible and a practical replacement for DoH, improving user privacy and achieving minimal performance losses. We conclude with the limitations of our study, possible ethical implications, and sketch an adoption roadmap.


    Es scheint fast, als hättest du sie gar nicht gelesen.

    Da irrst du dich. Den Smiley habe ich wohl ich wohl gesehen. In dieser Form, also mit Zwinkern, hätte der Satz sogar von mir stammen können. Obwohl ich plattes Windows-Bashing gar nicht mag.

    Meine Frage hat aber deinem Satz zu Windows gar nichts zu tun. Wenn du magst, darfst du die Angabe auch gern durch irgendein Linux ersetzen. Mir ging es vielmehr um

    Nein im Ernst - deine Sorge ist schon berechtigt. Daten, die garnicht erst vorhanden sind, können auch nicht mißbraucht werden.


    Ich wollte darauf hinaus, dass die hier abgefragten Informationen völlig ungefährlich sind. Sie enthalten nichts privates. Andere Leser können damit nichts anfangen, außer dass sie besser bei der Problemlösung helfen können. Die Sorge ist hier nicht berechtigt.

    • Thunderbird-Version (konkrete Versionsnummer:( 78.11.0 64 Bit
    • Betriebssystem + Version: WIN10, 20H2
    • Kontenart (POP / IMAP): IMAP
    • Postfach-Anbieter (z.B. GMX): T-Online, GMX
    • Eingesetzte Antiviren-Software: Defender
    • Firewall (Betriebssystem-intern/Externe Software): intern
    • Router-Modellbezeichnung (bei Sende-Problemen): Fritzbox 7590

    B. Mueller , ich hätte gern gewusst, welchen konkreten Missbrauch dir diese Daten meiner Windows Installation ermöglichen. Ich gebe dir gern auch noch meine gegenwärtige interne IP dazu: 192.168.178.61. (Eine ähnlich Frage dazu ist von dir bisher unbeantwortet.)

    Mitleser mögen sich bitte nur nicht bange machen lassen. Schon gar nicht sollte man deshalb glauben, Mozilla würde sich aktiv daran beteiligen, Sicherheit und Privatsphäre auszuhebeln. Das sind, leider nicht zum ersten Mal, unhaltbare, schwere Vorwürfe seitens B. Mueller.


    ODoH hat Chancen, ein offizieller und offener Standard der IETF zu werden. Mit Google, Apple und Cloudflare hat es einige namhafte Unterstützer. ¹

    Man kann ein paar Punkte an ODoH kritisieren, z.B. dass es immer noch nicht weit genug geht oder dass es (laut der verlinkten Studie absolut vernachlässigbare) Performance-Verluste mit sich bringt.

    Eines ist aber unstrittig: Es erhöht den Schutz der Privatsphäre. Es verschlechtert ihn nicht. Siehe auch den Blog von Bruce Schneier.

    Schauen wir mal auf die technischen Fakten dazu.


    Normales DNS:

    Derjenige, der den Nameserver betreibt, erfährt welcher Benutzer welche Adresse aufgerufen hat. Deshalb ist wichtig, sich genau zu überlegen, welchen ISP oder DNS-Provider man sich aussucht.

    Da die Anfragen unverschlüsselt sind, kann hier zusätzlich auch jemand in der Mitte diese Informationen abfangen.

    Namensauflösung über unverschlüsseltes DNS trifft bisher noch auf die weitaus meisten der Anwender zu.


    DoH:

    Die Anfragen an den Nameserver werden hier verschlüsselt. Ein Man-in-the-Middle kann nun nicht mehr so einfach mitlesen.

    Nach wie vor hat aber derjenige, der den Nameserver betreibt, immer noch die Information darüber, wer welche Adresse aufgerufen hat.


    ODoH:

    DNS-Abfragen werden wie bei DoH verschlüsselt an den Nameserver gesendet. Allerdings nicht direkt sondern über einen zwischengeschalteten Proxy.

    Der Betreiber des Proxys erfährt die IP des anfragenden Benutzers. Er kennt aber nicht die Adresse, der er aufrufen will. Diese ist mit dem Schlüssel des Nameservers verschlüsselt und kann auf dem Proxy nicht gelesen werden.

    Der Betreiber des Nameservers erfährt weiterhin, welche Adresse aufgerufen werden soll. Er weiß aber nicht von wem, denn die Anfrage kommt nicht vom Anwender sondern vom Proxy.


    Solange die beiden Betreiber nicht gemeinsame Sache machen, ist der Schutz also spürbar besser als nur mit DoH.

    Selbstverständlich kann der Anwender sich sowohl den Proxy als auch den Nameserver frei wählen.


    Die Vorwürfe, der Proxy würde einen Man-in-the-Middle-Angriff durchführen und Zensur ermöglichen, sind nicht haltbar. Denn

    1. Können Schurkenstaaten und Sicherheitsbehörden das sowieso, weil sie auf jeden Punkt ihrer Infrastruktur zugreifen können. Sie können Verbindungen sogar physikalisch kappen.
      Mitlesen können sie auch, zur Not installieren sie einen Trojaner. Manche Staaten wären in der Lage, die Hintertüren direkt in das Betriebssystem zu integrieren oder sogar auch gleich in die Hardware.
    2. Könnten sie über den Proxy keine ausgesuchten Webseiten sperren sondern nur bestimmte Nameserver. Sie würde dann aber nicht erfahren, welche Seite jemand versucht hat aufzurufen.
      Kapern sie wiederum den Nameserver, erfahren Sie, um welche "verbotenen Seiten" es ging, aber nicht, wer sie aufgerufen hat. Sie müssten schon die Kontrolle über beide haben. Also letztendlich über sehr viele oder alle, denn der Anwender hat ja freie Wahl.
    3. Sind die bisherigen Verfahren in puncto Schutz der Privatsphäre per se schlechter und viel leichter zu "hacken".

    Man darf von ODoH nicht denselben Schutzgrad erwarten, wie ihn das Tor-Netzwerk bietet. Das ist auch nicht die Intention.

    Es gibt auch diskutierte und mögliche Angriffsscenarien. Dazu sollte man aber bedenken, dass solche Angriffe ohne den Schutz von DoH/DoT/ODoH noch wesentlicher einfacher zu fahren sind.


    Es bleibt: Im Vergleich zu den bisherigen Methoden bietet ODoH ein Plus an Schutz. Es wäre besser als alles, was wir derzeit haben. Ich kann deshalb überhaupt nichts Schlimmes darin sehen, wenn Mozilla sich darauf vorbereitet.

    Ganz im Gegenteil. Hier könnten unabhängige Sicherheitsexperten überprüfen, ob die Implementation hält, was sie verspricht. Allein deshalb würde ich die Phantasien von oben ins Reich der Fabeln und Verschwörungstheorien verweisen.




    ¹: Diesen Anbietern darf am sicherlich zurecht ein Eigeninteresse unterstellen. Sollte es ein Standard werden, wird er offen sein. Und Mozilla wird gewiss niemanden zwingen, einen dieser Provider zu wählen.

    Ad-/Trackingblocker z. B. auf der Basis von PI-Hole haben keine Chance mehr, ausgehende Verbindungen zu unerwünschten Servern zu erkennen und zu unterbinden.

    Das hat nichts mit dem Protokoll DoH zu tun sondern trifft nur zu wenn es direkt in der Anwendung, wie Firefox oder Thunderbird einstellt.

    DOT an zentraler Stelle halte ich für den besseren Ansatz, sofern man dem Anwender die Wahl vertrauenswürdiger DNS-Server läßt.

    DoH lässt sich ebenso zentral nutzen wie DoT, z.B. auch und gerade mit dem von dir erwähnten pi-hole. Das kann dann auch weiterhin brav seinen Job verrichten.


    Ein Anwender kann derzeit wählen zwischen Verschlüsselung direkt in der Anwendung (beim Thunderbird DoH) oder zentral über den Router. Im Falle der Fritzbox wäre das dann DoT. Es gibt aber auch Router, die machen das über DoH. Es gibt beides.

    Und den DNS-Server kannst du, wie oben längst erwähnt, selbstverständlich ebenfalls frei wählen.


    Für das Ergebnis bleibt es egal, ob man DoH verwendet oder DoT. Nur die Art, ob zentral oder dezentral macht den Unterschied.


    Du siehst, deine Punkte betreffen gar nicht den Unterschied zwischen DoT und DoH. Sie beziehen sich lediglich darauf, ob man das Verfahren zentral anwendet oder in der einzelnen Anwendung. Soweit waren wir schon in Beitrag #14.


    Das Thema Tor-Netzwerk ist noch ein ganz anderes. In diese Nebelwand werde ich an dieser Stelle nicht folgen.

    Ich sehe schon, es geht wieder los. Bleib' doch einfach mal auf dem Teppich. Die Protokolle sind für das Thema hier und den Anwender völlig egal. Entweder jemand möchte verschlüsseltes DNS oder nicht. So einfach ist das.

    Wenn er es nicht möchte, dann hilft das Abschalten des DoH im Thunderbird oder Firefox nichts, solange an der Fritzbox DoT aktiviert ist.

    Überhaupt, es ist völlig egal ob DoH oder DoT. Das sind in dem Zusammenhang hier reine Spitzwendigkeiten von dir. Für den Anwender sind allein der Nutzen und die Auswirkung interessant. Und die sind in beiden Fällen gleich. Nur darum geht es hier.

    Es ist sicher nur eine Frage der Zeit, bis DNS over HTTPS (DoH) von Mozilla auch bei uns ausgerollt wird, und dann wird dieser Schlüssel wichtig werden.

    Diesen Satz kann ich noch so oft lesen, ich weiß nicht, was du uns damit sagen möchtest. Niemand zwingt dich, die von Mozilla vorgeschlagenen Provider zu wählen. Du hast die freie Wahl. Außerdem klingt dein Posting ein wenig so als als würdest du DoH/DoT grundsätzlich nicht wollen. Dabei hast doch gerade du uns doch nun schon mehrmals erklärt, wie das ist, wenn man Verschlüsselung ernst nimmt.

    Wenn man einen Provider hat, der es unterstützt, wüsste ich keinen vernünftigen Grund, es nicht zu benutzen.

    Ist es Taktik, dem Anwender nur ein GUI zu präsentieren und ihn immer weiter zu entmündigen …?

    Ich glaube für Verschwörungstheorien ist das hier das falsche Forum.


    P.S.: Rein proaktiv, ich bin gespannt, ob es auf ein ganz bestimmtes Insider-Wort eine ganz bestimmte Reaktion gibt.

    Das macht nichts anderes, als die folgenden Schlüssel zu setzen:

    Das weiß ich. Meine Frage war allerdings, ob diese prefs auch wirken und nicht nur vom Firefox übernommen wurden. Damit, dass sie sich über das Menü erreichen lassen, hat sich die Frage im Prinzip erledigt. Außerdem habe ich das wie erwähnt inzwischen selbst überprüft.

    DNS over TLS[1] (DoT) (wie in der Fritzbox) und DNS over HTTPS[2] (DoH) (wie in Thunderbird) sind zwei Paar Schuhe!

    Auch das ist mir bekannt. In den Beiträgen hier war allerdings stets von beiden die Rede, ohne sie explizit zu unterscheiden. Das ergibt hier auch durchaus Sinn, denn die Schuhe sind sich sehr ähnlich. Erstens haben beiden die selbe Auswirkung: Die Kommunikation mit einem DNS-Server wird verschlüsselt. Zweitens ist selbst der technische Unterschied hier aus Anwendersicht unerheblich, dann das Kommunikationsprotokoll https benutzt das darunterliegende Verschlüsselungsprotokoll TLS.


    Der tatsächliche Unterschied für den Benutzer ist der, dass sich die Einstellung im Firefox und im Thunderbird nur auf das jeweilige Programm auswirken, weil man dort - ähnlich zu einem Proxy - explizit einen DNS-Server angibt.

    Im Gegensatz dazu wirkt sich die Einstellung an der Fritzbox auf sämtliche Programme auf allen Rechnern aus, die die Namensauflösung über die Fritzbox bekommen.


    Das bedeutet auch, dass dies

    Wer das auf jeden Fall deaktivieren möchte, setzt network.trr.mode = 5.

    eben nicht für jeden Fall gültig ist.


    Ferner sind die Einstellungen, sowohl in der Fritzbox als auch in den Mozillen, derzeit immer noch standardmäßig nicht aktiviert. Das liegt u.a. schlicht daran, dass es von vielen Providern noch nicht unterstützt wird. Wer es nicht benutzen will, muss also gar nichts deaktivieren und schon gar nicht in der prefs.js rumfummeln.

    Danke. Auf die Idee, einfach mal die Menüs auf Änderungen zu checken, bin ich nicht gekommen. War wohl zu naheliegend. ;)


    Jedenfalls habe ich das mit dem DoH-Server der Telekom ausprobiert. Funktioniert.

    Das für alle Verbindungen zentral an der Fritzbox zu ändern, ist mir noch ein wenig zu gewagt. Der Telekom Server läuft meines Wissens immer noch im Testbetrieb. Die angebotenen Server von Cloudflare und NextDNS werde ich keinesfalls nutzen.

    Danke Sehvornix , dass du dir die Mühe gemacht, eines der Tools/Scripts zu installieren, mit denen man Mozillas lz4 entpacken kann. (Wenn du es schon installiert hattest, trotzdem danke. Ich hätte das aus "Protest" nicht gemacht. ;-))

    Anscheinend betreffen die absoluten Pfade tatsächlich alles Globale, wie Lightning oder wetransfer, die Themes usw. . Deine 78er Version zeigt interessanterweise nur wetransfer und das default-theme mit einem absoluten Pfad.


    Bei einem Restore eines Backups kann es dann schief gehen wenn sich der Installationspfad geändert hat (z.B. bei einem Wechsel des OS, von 32 auf 64-bit, bei Installation auf eine andere Partition, ... )


    Könntest du zwei weitere Test machen? Wenn du lz4 löscht (besser umbenennst) und den Thunderbird neu startest, sieht sie dann genauso aus?

    Wenn du dann noch ein Language Pack installierst und eine normale Erweiterung, tauchen die dann mit einem absoluten Pfad auf?

    Dennoch bräuchte ich noch Rat bzgl. Servereinstellung strato.


    Poste doch mal Screenshots der Einstellungen. Dann können andere Stratokunden vergleichen.

    Das ist für mich zu schwierig, und wenn, warum funktionieren bestehende Systeme nach wie vor?

    Da hast du schon recht. Wenn du die Einstellungen zentral an der Fritzbox geändert hättest, dann wären die anderen Rechner davon auch betroffen.

    Der Firefox bietet die Möglichkeit, DoH direkt im Browser einzustellen. Weiß jemand, ob es diese Option über eine pref auch im Thunderbird gibt?


    Leider haben viele von uns den Reflex, alles zu aktivieren was nach Sicherheit klingt und dann zu Problemen führt.

    Es ist schon verrückt, was man dazu so alles lesen kann. Es gibt sogar Leute, die behaupten, das Internet sei dadurch schneller und anderen Unsinn. Dabei sollte es auch einem Laien einleuchten, dass eine zusätzliche Ver- und Entschlüsselung ganz gewiss nicht dazu führen kann, das etwas schneller wird. Und schon gar nicht, wenn die meisten DNS-Abfragen eh aus dem Cache beantwortet werden.


    Und was machen die Leute, die das leichtgläubig hinnehmen? Aus Angst vor Lauschern im DNS stellen sie ihren Browser oder gar den Router auf DNS-Provider wie Google oder Cloudflare um. Nach dem Motto: Schlimmer geht's doch immer. <X

    Sowohl Erweiterungen als auch Sprachpakete hatten sich (glaube ich) früher systemweit im Programmverzeichnis installieren lassen.

    Soweit ich weiß hat sich das nicht geändert, oder doch? Die Version, die über Ubuntu verteilt wird, installiert die Sprachpakete nach wie vor global.


    Auch wenn es mich im Grunde gar nicht direkt betrifft, das Thema um diese addonStartup.json.lz4 geistert mir noch ein wenig im Kopf herum.
    Die Datei mit der darin enthaltenen json lässt sich leider nicht so ohne weiteres öffnen. Soweit ich gelesen habe liegt das daran, dass Mozilla ein eigenes lz4-Format verwendet. Genauer habe ich mir das nicht angeschaut, weil ich das offen gestanden sehr ärgerlich finde. Falls jemand von euch sie entpackt bekommt, schaut doch mal, was so alles fehlerrelevantes drin steht.

    Vor allem in Hinblick auf das Thema Backup und die Anleitungen zum Profilumzug könnte das interessant sein. Denn offensichtlich genügt das einfache Kopieren eines Profils nicht in allen Fällen.