Mageia Forum

Da es ja auchhier einige Tor-Benutzer gibt:

Tor-Nutzer über Firefox-Lücke verfolgt

http://heise.de/-1930154

Zwar betrifft es wohl nur Windows-Anwender, aber das muss ja nicht so bleiben.

Gleiche Thematik und auch lesenswert:
http://www.computerbase.de/news/2013-08/firefox-exploit-stellt-nutzer-paedophiler-angebote-fest/

Pitti hat geschrieben:Gleiche Thematik und auch lesenswert:
http://www.computerbase.de/news/2013-08/firefox-exploit-stellt-nutzer-paedophiler-angebote-fest/

Krasses Ding.
Aber das passt mit dem anderen Artikel zusammen. Wenn der Zielserver der abgegriffenen Informationen im "FBI-Umfeld" angesiedelt ist ...

Andererseits stellt sich dann die Frage inwieweit Tor noch einen Sinn macht.

Das Tor zusammen mit JS wenig Sinn macht ist eigentlich bekannt.
http://anonymous.livelyblog.com/how-to- ... onymously/ (Warnung von 1011)
https://bitcointalk.org/index.php?topic=78041.0 (Hier hat jemand mehr oder weniger das gleiche beschrieben (2012))

Wer automatisiert Programme von fremden Webseiten ausführt muss sich eigentlich nicht über sowas nicht wundern.

Hoffe, dass die vom Tor Browserbundle da auch wieder umdenken. Wurde früher ausdrücklich vor der Nutzung von JS gewarnt, ist es heute per default an. Im FAQ antwortet man auf die Frage ob das nicht unsicher sei damit, das aber sonst viele Webseiten nicht funktionieren würden.
Mag sein – aber wenn ich Tor nutze will ich eher sicher sein und lege vielleicht nicht so viel wert darauf, dass alle Werbeeinblendungen einwandfrei funktionieren.

Edit: Sehr Zweifelhafte Aussage von Anonymus entfernt

wanne hat geschrieben:Mag sein – aber wenn ich Tor nutze will ich eher sicher sein und lege vielleicht nicht so viel wert darauf, dass alle Werbeeinblendungen einwandfrei funktionieren.

Womit wir schlussendlich wieder bei dem zweifelhaften Nutzen von Tor und - ein wenig genereller - beim zweifelhaften Nutzen ähnlicher "Sicherheitsmaßnahmen" anlangen. Eine meiner Ikonen des vorigen Jahrtausends sang in einem Lied, dass wahre Freiheit nur im Verlust jeglichen Besitzes liegt. Genauso ist es hier: wahre Sicherheit existiert nur in der Nicht-Existenz.

Auf das Internet bezogen lautet der Satz ebenso wie das Sicherheitszertifikat, das Microsoft einmal erhielt: Das Zertifikat ist nur gültig solange das System nicht mit anderen Systemen in Kontakt kommt. Auf die persönliche Sicherheit bezogen existiert die wirkliche Sicherheit nur dann, wenn ich mich aus jeglicher Koexistenz mit anderen Menschen zurückziehe, nicht am Verkehr teilnehme und nur das esse, was ich auf einem nicht verseuchten Grundstück selbst anbaue.

Das "ein wenig sicher", das Maßnahmen wie Tor vermitteln, klingt mir ebenso sinnfrei wie die Verlässlichkeit eines Aufdrucks auf Beuteln mit Industrienahrung. Für diesen zweifelhaften Schutz lohnt sich kein Verzicht.

Die einzige Sicherheitsmaßnahme, die ich verwende, ist die Verschlüsselung des Inhalts bei einer sehr privaten Korrespondenz - und das hat weder mit PRISM noch mit der NSA zu tun.

Stichwort "Anonymität" - da hab ich auch noch einen :
http://www.pennys-wochenrueckblicke.com

@pitti, wo ist denn hier der +1-Button

wobo hat geschrieben:Das "ein wenig sicher", das Maßnahmen wie Tor vermitteln, klingt mir ebenso sinnfrei wie die Verlässlichkeit eines Aufdrucks auf Beuteln mit Industrienahrung. Für diesen zweifelhaften Schutz lohnt sich kein Verzicht.

Das ist Bullshit. Tor kann durchaus das i-Typfelchen für anonymes Internet sein. Und ist da auch seher sicher. (Weit mehr als der Airbag im Nachfolgenden Beispiel.) Ohne die grundliegenden Masnahmen um typisches Tracking zu verhindern aber total sinnlos.
Wie der Airbag die letzten Verkehrstoten nochmal dezimeirt hat, ohne den Komfort einzuschränken. Wer aber mit nem Auto ohne Dach und Knautschzohne unangeschnallt ohne Kopflehne mit 300 über die eisglatte Fahrbahn fährt, weil das viel bequemer und schneller ist, für den ist der Airbag lächerlich.

wobo hat geschrieben:Die einzige Sicherheitsmaßnahme, die ich verwende, ist die Verschlüsselung des Inhalts bei einer sehr privaten Korrespondenz

Das ist aber schon wieder quatsch Verschlüsslung einmalig selektiv auf bestimmte Kommunikationan anzuwenden ist bis heute so aufwändig das das doch wirklich niemand macht. Eimal dem Mailprogramm sagen, dass es einfach alles verschlüsseln soll ist einfach – aber für einzelne Kommunikationen estmal anfangen Schlüssel auszutauschen und das ganze dann manuell zu verschlüsseln macht doch kein Mensch.

wobo hat geschrieben:Womit wir schlussendlich wieder bei dem zweifelhaften Nutzen von Tor und - ein wenig genereller - beim zweifelhaften Nutzen ähnlicher "Sicherheitsmaßnahmen" anlangen. Eine meiner Ikonen des vorigen Jahrtausends sang in einem Lied, dass wahre Freiheit nur im Verlust jeglichen Besitzes liegt. Genauso ist es hier: wahre Sicherheit existiert nur in der Nicht-Existenz.

Bis auf ein paar ganz wenige sachen (Etherpad, Chatroulette...) lässt sich fast alles mit wirklich sehr wenig aufwand so verändern dass es auch ohne JS oder Flash auskommt. (Ich würde sagen die Enwicklungskosten würden sogar stark sinken dafür würde so manche Animation etwas abgespeckt.) Aber solange das keiner will passiert das natürlich nicht. Bis vor ca. 2 Jahren haben eigentlich praktisch alle Seiten auch ohne JS funktioniert und Meistens hat man's nur and der nicht gar so nerfigen werbung gemerkt.

wobo hat geschrieben:Eine meiner Ikonen des vorigen Jahrtausends sang in einem Lied, dass wahre Freiheit nur im Verlust jeglichen Besitzes liegt.

Hieß es nicht schon viel früher "Der Preis der Freiheit ist ewige Wachsamkeit" ?

wanne hat geschrieben:Das ist Bullshit. Tor kann durchaus das i-Typfelchen für anonymes Internet sein.

Und wer will das wirklich? Vielleicht Leute, die gleichzeitig 20 Payback-Karten in der Tasche haben, jeden Einkauf mit Kreditkarte zahlen und den größten Teil des Konsums über Onlinehändler beziehen - es dafür aber für hip oder was auch immer halten, jedem mitzuteilen, dass man ja jetzt "anonym" unterwegs ist.
Aber ich gebe zu, es kommt hier sehr auf die individuellen Gepflogenheiten an, will sagen: die Offenheit des Einzelnen, zu dem zu stehen, was er so im Internet macht. Ich kenne keine einzige Website, für deren Besuch ich mich bei irgendjemandem schämen müsste (obwohl, letztens war ich mal kurz auf der Website von BILD, aber nur ganz kurz, ehrlich!).

Tor (oder Ähnliches) macht für mich nur Sinn, wenn ich einen Grund hätte, meine Spuren zu verbergen. Ich gebe zu, dass ich noch nicht in einer solchen Lage war und ich mir daher kein wirkliches Urteil erlauben kann.

Das ist aber schon wieder quatsch Verschlüsslung einmalig selektiv auf bestimmte Kommunikationan anzuwenden ist bis heute so aufwändig das das doch wirklich niemand macht. Eimal dem Mailprogramm sagen, dass es einfach alles verschlüsseln soll ist einfach – aber für einzelne Kommunikation...

Völlig realitätsfern. Wieso sollte ich jemanden anderen dazu zwingen, sich meinen Schlüssel zu besorgen nur um zu lesen, dass ich morgen eine halbe Stunde später zum Treffen kommen werde? Einfache Regel: was ich auf eine Postkarte schreiebn würde, muss ich nicht verschlüsseln. Im Übrigen solltest Du Dir moderne Mailprogramme mal ansehen, da ist der Unterschied zwischen "verschlüsselt senden" und normal senden nur ein Mausklick, also keinerlei Aufwand. Ganz zu schweigen von Mailinglisten, die man ja nach Deinem Modell umständlich von der Vershclüsselung ausnehmen müsste.

wobo hat geschrieben:Völlig realitätsfern.

Zu ner 23 stelligen E-Mail Adresse (Das ist der schnitt in meinem Adressbuch) auch gleich noch ne 8 stellige Key-ID auszutauschen ist kaum Aufwand. Und wenn man das mal mit den ersten 10 Leuten gemacht hat ist das Web of Trust groß genug als das man eigentlich jedem ohne austauschen schon vertraut. Das sind 10 mal 3 Sekunden => Eine halbe Minute für immer.
Wenn du aber erstmal nicht verschlüsselst, dann hast du keien Key und du wirst auch niemals verschlüsseln. (Ich fahr dann vorbei und frag dann nach dem Key um ihm dann ne Mail zu schicken macht doch kein Mensch) => mehrere Stunden für eine einzelne Mail. Mal ehrlich was ist realitätsfern?!!
Wenn man nicht ganz so paranoid ist sagt man zum Mailprogramm, dass man einfach allem trustet, was im Internet steht, fängt damit bei ner trivialen Mail an zu verschlüsseln und nimmt dann an, dass wenn das dritte mal darauf geantwortet wurde nicht jedes mal jemand in der Leitung saß und kann den Key dann auch für nicht triviale Mails benutzten. => Gar kein aufwand mehr.

Einfache Regel: was ich auf eine Postkarte schreiebn würde, muss ich nicht verschlüsseln.

Muss man nicht kann man aber. Und es macht einem dann das verschlüsseln für da wo man wirklich will einfacher. Im übrigen auch weil einem dann nicht gleich die Geheimdienste auf die Füße stehen, sobald man mal verschlüsselt, wie das mittlerweile bei tor der Fall ist. So du hast Tor genutzt als Kinderpornografie hochgeladen wurde dürften wir mal sehen, was du da gemacht hast? Das machen die jetzt noch ne weile bei jedem der das legitim benutzt und dann haben sie schön die Menge der Kriminellen als Tor Nutzer.

Im Übrigen solltest Du Dir moderne Mailprogramme mal ansehen, da ist der Unterschied zwischen "verschlüsselt senden" und normal senden nur ein Mausklick, also keinerlei Aufwand.

Und warum um himmels willen immer hin und herschalten, wo man das auch gedrückt lassen kann? Warum um himmels willen extra Aufwand treiben (Auch wenn es nur 2 Klicks sind.), nur damit die mail nicht verschlüsselt ist. (Einstellung automatisch verschlüsseln gegen ich klick jedes mal an wenn ich verschlüsslen will.) Btw. ist es eben nicht so einfach.

Wieso sollte ich jemanden anderen dazu zwingen, sich meinen Schlüssel zu besorgen nur um zu lesen, dass ich morgen eine halbe Stunde

Dein gegenüber muss deinen Schlüssel gar nicht haben um verschlüsselte Mails von dir zu empfangen.

Ganz zu schweigen von Mailinglisten, die man ja nach Deinem Modell umständlich von der Vershclüsselung ausnehmen müsste.

Ebenfalls mist: Wo kein schlüssel ist kann auch nicht verschlüsselt werden jedes Mailprogramm ist so inteligent die automatisch raus zu nehmen.

Als letztes belibt anzmerken, dass die eigenltich viel wichtigere Sache als das nicht lesen können ist, dass man eben keinen Mist von anderen bekommt. Wenn man sich drauf verlassen könnte dass man nur signierte Mails bekommt könnte man alles andere Wegwerfen. Spam; Phishing... Alles Geschichte. Und vor allem damit auch die noch nerfigeren Spamfilter und Virenscanner, die die ganze Zeit meine Mails wegwerfen.

Oftopic: Googlemail schmeißt bei mir seit 2 Woachen alles in den Spam ordner weiß jemand wie man das wieder losbekommt?

nur um zu lesen, dass ich morgen eine halbe Stunde später zum Treffen kommen werde?

Kompliziertere Mails kapiert die NSA eh nicht. Aber das ist ein anderes Thema. (Die suchen sowieso nur wer unterhält sich wie privat mit wem und wo.)

@wanne: Dann Zeig mir mal eine Firma, die auf deine verschlüsselte Mail antwortet, wenn du per Mail eine Anfrage stellst. Wohl keine, weil 99% gar keine Verschlüsselungssoftware haben und der Rest für vermutlich einmalige Anfragen deinen Schlüssel nicht verwalten.

Alf1967 hat geschrieben: Wohl keine, weil 99% gar keine Verschlüsselungssoftware haben und der Rest für vermutlich einmalige Anfragen deinen Schlüssel nicht verwalten.

Nein, die meisten firmen, die ich kenne setzen verschlüsslung in ihrer internen Kommunikation ein. (OK, bin da aber natürlich etwas IT vorbelastet) Nur mit Kunden nicht. Undwenn ich als Kunde mit ner Firma kommuniziere gibt's sowieso nur wegwerfadressen.

Hier ne Satistik:

http://www.heise.de/ix/umfrage/iX_8_201 ... 22294.html
Dnach verschlüsseltetwa die hälfte nicht.

Was ich an Deinen Ausführungen nicht verstehe ist Dein dauernder Bezug zum Schlüsselaustausch. Ich habe seit weit über 10 Jahren mehrere vielfach signierte und dadurch vertrauenswürdige PublicKeys auf Schlüsselservern liegen, da muss nur jemand die sehr einfache Integration meines zur Mailadresse passenden Schlüssels anwenden und fertig. Wie gesagt, ich sehe zwischen verschlüsseln und unverschlüsselt senden keinen großen Unterschied in der Handhabung und nutze im Gegensatz zu Dir eben die weniger restriktive und an die Praxis angepasste Opt-in-Lösung.

Aber das ist weit entfernt von der Tor-Frage, um die es eigentlich geht. Dazu kann ich nur das anfügen, was ich auch in Bezug auf die Frage zur Nutzung von Clouds antworte: es gibt in meinem gesamten Bild-Bestand von mehreren GigaByte kein einziges Bild, das ich nicht sofort in irgendeinem Netzwerk öffentlich machen könnte, so es denn jemanden interessieren würde. So gesehen erledigt sich also auch diese Frage sehr einfach.

So hat halt jeder seinen eigenen Paranoia-Level und ich würde mich damit schwertun, solcherart motivierte Meinungen einfach als "Bullshit", "Mist" oder Ähnliches zu bezeichnen. Aber auch das ist halt individuell unterschiedlich.