PCFreak Logo (c) Der PCFreak

Archive for the 'Security' Category

Firefox – nützliche Container-Tabs Kommentare deaktiviert für Firefox – nützliche Container-Tabs

Aktuelle Versionen von Mozilla Firefox (getestet mit Version 53.0.2) unterstützen nun das Feature „Container-Tabs“. Diese „Container“ stellen jedem (als Container geöffnetem) Browser-Tab eine isolierte Umgebung für Cookies, Local Storage und die IndexedDB bereit.

Wozu kann man das brauchen?
Ein mögliches Szenario ist z.B. die Anmeldung mit 2 unterschiedlichen Accounts beim gleichen Anbieter, z.B. Facebook, Google usw. Einige werden das Feature auch beruflich brauchen können, es ermöglicht zum Beispiel Administratoren sich in einem Tab als „normaler“ und in einem weiteren Tab als „administrativer“ Benutzer anzumelden.

Wie aktiviert man das derzeit noch als Beta eingestufte Feature?

  1. Öffnen sie die Advanced Features (about:config)

  2. Suchen sie nach „privacy.userContext.enabled“ und aktivieren die Einstellung (true)

  3. Nun können sie mit Container-Tabs arbeiten

Get A+ rating on Apache by ssllabs.com with a free cert from StartSSL Kommentare deaktiviert für Get A+ rating on Apache by ssllabs.com with a free cert from StartSSL


It is very easy to get an A+ rating at https://www.ssllabs.com with Apache for your website by using a free SSL certificate from https://www.startssl.com/ if you correctly generate the servers private key and add some simple configurations to your ssl.conf file. I tested this on Apache/2.2.15 running on CentOS 6.6.

Generate public/private key
First of all generate a private key with 4096 bits for your server. Let’s call it server2015.key

openssl genrsa -out server2015.key 4096


Generate the certificate signing request for a sha512bit certificate (CSR)
openssl req -sha512 -new -key server2015.key -out server2015.csr

Give CSR to startssl and receive certificate(s)
You will receive your certificate from startssl (let’s assume it is named server2015.crt. Please make sure you also download the sub.class1.server.ca.pem intermediate certificate from startssl. Don’t use their bundle (ca-bundle.pem), it contains some certificates with „weak“ algrorithms!

Place the certicates in the correct folders

server2015.crt –> /etc/pki/tls/certs/
sub.class1.server.ca.pem –> /etc/pki/tls/certs
server2015.key –> /etc/pki/tls/private <— DIFFERENT FOLDER !!!

Generate symbolic links
I recommend using symbolic links for the certificates so you can easily change them (next year) just by changing the symbolic links and reloading Apache.

cd /etc/pki/tls/certs
ln -s sub.class1.server.ca.pem current-ca-chain.pem
ln -s server2015.crt current.crt

Configure the use of the certificates in /etc/httpd/conf.d/ssl.conf
The following configuration paramters in ssl.conf will use the above certificates (symbolic links)

SSLCertificateFile /etc/pki/tls/certs/current.crt
SSLCertificateChainFile /etc/pki/tls/certs/current-ca-chain.pem
SSLCertificateKeyFile /etc/pki/tls/private/current.key

Change cipher suites (remove weak ciphers) from ssl.conf
Set the following in ssl.conf to only use strong ciphers

SSLProtocol all -SSLv2 -SSLv3
SSLHonorCipherOrder on

If you want to know which ciphers are used with the above configuration, just enter the string from „SSLCIpherSuite“ into openssl for an output of all ciphers:

openssl ciphers -v ‚ALL:!RC4:!MD5:!ADH:!EXP:!SSLv2:!LOW:!IDEA:RSA:+HIGH:+MEDIUM‘

With this configuration you should already get an „A“ at https://www.ssllabs.com

Enable HSTS for A+
If you enable HSTS on your site, a client (browser) that visited your site once via https will automatically switch to https even if it tries to connect via http. (works with Firefox and Chrome but not IE). This is needed to get an „A+“ rating!

Place the following lines in ssl.conf inside the <VirtualHost>…</VirtualHost> directive
The max-age is in seconds. In the example below it is 340days

# enable HSTS (client will automatically choose https in the future if once connected via https
<IfModule headers_module>
Header always set Strict-Transport-Security „max-age=29376000“

Sample ssl.conf (without comments)

LoadModule ssl_module modules/mod_ssl.so
Listen 443
SSLPassPhraseDialog builtin
SSLSessionCache shmcb:/var/cache/mod_ssl/scache(512000)
SSLSessionCacheTimeout 300
SSLMutex default
SSLRandomSeed startup file:/dev/urandom 256
SSLRandomSeed connect builtin
SSLCryptoDevice builtin
<VirtualHost _default_:443>
ErrorLog logs/ssl_error_log
TransferLog logs/ssl_access_log
LogLevel warn
SSLEngine on
SSLProtocol all -SSLv2 -SSLv3
SSLHonorCipherOrder on
<IfModule headers_module>
Header always set Strict-Transport-Security „max-age=29376000“
SSLCertificateFile /etc/pki/tls/certs/current.crt
SSLCertificateKeyFile /etc/pki/tls/private/current.key
SSLCertificateChainFile /etc/pki/tls/certs/current-ca-chain.pem
<Files ~ „\.(cgi|shtml|phtml|php3?)$“>
SSLOptions +StdEnvVars
<Directory „/var/www/cgi-bin“>
SSLOptions +StdEnvVars
SetEnvIf User-Agent „.*MSIE.*“ \
nokeepalive ssl-unclean-shutdown \
downgrade-1.0 force-response-1.0
CustomLog logs/ssl_request_log \
„%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \“%r\“ %b“

Voila, you have an A+ rating at absolutely no cost! – Nice!

If you don’t get an A+ rating, please check the following part at https://www.ssllabs.com


ShellShock – some CGI entry points Kommentare deaktiviert für ShellShock – some CGI entry points

Just for documentation, here is a list of CGI-Scripts that may allow the execution of bash and so will allow to exploit the ShellShock bug in Bash.

  bug[120] = „GET/cgi-bin/ezshopper/search.cgi

PayPal – kostenlose 2-Faktor-Authentifizierung mit Verisign VIP Access App 2

Viele meiner Online-Accounts sichere ich durch 2-Faktor-Authentifizierung ab, so auch PayPal. Für diesen Dienst gibt es 3 verschiedene Möglichkeiten der 2-Faktor-Authentifizierung:

Bisher benutzte ich immer den kostenpflichtigen „Sicherheitsschlüssel“, den man für 23 Euro bei PayPal erwerben kann. Im Gegensatz zur früheren Version in der Form eines amerikanischen Footballs ist er heute eine Scheckkarte mit eingebautem Display:

neu links - alt rechts

Der „Sicherheitsschlüssel“ hat übrigens eine Lieferzeit von 3-4 Wochen.

Die 2-Faktor-Authentifizierung per SMS lässt sich sehr einfach in den Accounteinstellungen aktivieren. Man muss aber dann natürlich auch seine Mobilfunknummer hinterlegen.

VIP Access App
Die Verisign VIP Access App ist letztendlich die Software-Emulation eines „Sicherheitsschlüssels“, aber glücklicherweise kostenlos. D.h. man lädt die App herunter (verfügbar für iOS, Android, Blackberry, Windows Phone uvm.), startet sie und registriert die automatisch generierte Identifikationsdaten-ID genauso, als wäre sie ein „Sicherheitsschlüssel“ durch Eingabe der ID und der Eingabe 2 aufeinanderfolgender (durch die App berechneter Codes.

VIP Access App

Da mir diese Variante bis heute nicht bekannt war, entstand dieser Blog-Eintrag, damit viele Nutzer auf die Möglichkeit der 2-Faktor-Authentifizierung bei PayPal aufmerksam werden. Mir persönlich gefällt die App-Variante am besten.

Neue Animation gegen Überwachung: Reclaim Our Privacy Kommentare deaktiviert für Neue Animation gegen Überwachung: Reclaim Our Privacy

Neue Videoanimation zum Thema Privacy bei „La Quadrature du Net“



Weitere Info hier auf laquadrature.net.

via netzpolitik.org

CSIS Heimdal Security Agent Kommentare deaktiviert für CSIS Heimdal Security Agent



Der „CSIS Heimdal Security Agent“ ist ein kleines Programm der dänischen „CIS Security Gruppe“, welches das lästige Updaten sicherheitsrelevanter Software in Windows automatisiert. Heimdal wacht wie der Gott aus der nordischen Mythologie über den Zugang zu Ihrem PC und verhindert, dass Exploits Ihre Daten bedrohen.

Es gibt 2 Versionen, die kostenlose Free Version und die kostenpflichtige Pro Version.


Die Free-Version kann schon sehr viel und hält z.B. Java und andere Browser-Plugins aktuell. In der Pro-Version kann man den Rechner auch noch vor anderen Gefahren schützen.

Wer endlich seine Java-Installation automatisiert aktuell halten will, für den reicht der Download der kostenlosen Version völlig. Wenn man die kostenlose Version über den Shop herunterlädt, bekommt man sogar einen 30 Tage gültigen Lizenschlüssel für die Pro-Version gratis dazu um mal alle Funktionen testen zu können.

Heimdal arbeitet mit dem deutschen „Anti-Botnet Beratungszentrum“ zusammen.

Direkt-Download der Free-Version

Download der Free-Version über den Shop (+ 30 Tage Trial der Pro)

CryptoLocker in Action Kommentare deaktiviert für CryptoLocker in Action

Sophos hat ein schönes Video veröffentlicht, die live eine Infektion mit dem CryptoLocker Virus zeigt.

Kurz zur Info.
CryptoLocker ist ein neuartiger Virus, der Dokumente verschlüsselt. Der private Schlüssel, mit dem verschlüsselt wurde, wird exportiert und nur gegen Zahlung eines Betrages (ca. 300 $US) innerhalb von 72 Stunden erhält man den Schlüssel, den man braucht um die Dateien wieder zu entschlüsseln. Dabei verschlüsselt der Virus wirklich alles was er über Laufwerksbuchstaben erreicht, also auch Netzlaufwerke.
Aktuelle Virenscanner sollten keine Probleme haben, den Virus zu erkennen. Es gibt auch einen Anbieter, der für Firmen mit einem Active Directory eine zentrale GroupPolicy (gegen Geld) bereitstellt, um so eine Infektion innerhalb einer Firma zu vermeiden.

Hier das Video bei Youtube:

How the Government Tracks You: NSA Surveillance Kommentare deaktiviert für How the Government Tracks You: NSA Surveillance

The U.S. Government has turned the Internet into something it was never intended to be: a system for spying on us in our most private moments. Take action: http://TheNSAvideo.com


Überwachungsstaat – Was ist das? Kommentare deaktiviert für Überwachungsstaat – Was ist das?

via pregos blog

Eine sehr gute Illustration, die auch den „Ich habe nichts zu verbergen“-Typen erklärt, warum permanente Überwachung sehr problematisch ist. – Bitte weiterposten!

Metadaten sind doch interessant! Kommentare deaktiviert für Metadaten sind doch interessant!

Quelle: Google/GeoBasis-DE/BKG


Der Politiker Malte Spitz (Die Grünen), hat sich von der Deutschen Telekom seine Telefon-Funkzellen-Verbindungsdaten von 6 Monaten geben lassen. Durch die Kombination dieser Daten mit während eiser Zeit getätigten Twitter Posts, Blog-Einträgen und Webseitenbesuchen (welche frei im Internet verfügbar sind), lässt sich ein sehr detailiertes Bewegungsprofil anfertigen.

Die Zeitung „ZEIT ONLINE“ hat dafür die entsprechenden Daten kombiniert und visualisiert. Sie können auf dieser Seite den kompletten Zeitraum in Zeitraffer ansehen und dabei „live“ eine Karte mitverfolgen!



Nächste Seite »