Re: Anonymitaet im Internet
Am Freitag, 14. April 2006 11:10 schrieb Jan Luehr: Wenn du Trivialkennwörter verhindern willst implementiere eine Komplexitätsüberwachung. warum nicht einfach unsinnge system endlich wegwerfen? passwörter taugen einfach nicht. bei ssh verteile ich meinen public key dorthin, wo ich zugang habe. bei ssl könnte ich auch mein zertifikat dem server geben und mich so verifizieren. und solange ich in beiden systemen meine authorisierungsdaten austauschen kann, braucht es auch keine complexen verwaltungssysteme wie crl, ocsp etc. wenn ich neue schlüssel habe, schiebe ich den halt überall hin, wo ich zugang habe und fertig. die passwort problematik ist nun wirklich nicht neu, in vielen jahren hat sich die situation eher weiter verschlechtert, und trotzdem denkt kaum einer über systemwechsel nach. schade. Andreas -- To unsubscribe, e-mail: [EMAIL PROTECTED] For additional commands, e-mail: [EMAIL PROTECTED]
Re: Anonymitaet im Internet
* Jan Luehr: ja hallo erstmal,... Am Freitag, 14. April 2006 10:18 schrieben Sie: * Jan Luehr: Es ist noch weniger witzig, sensible Daten (wie z.B. Kennwörter) unverschlüsselt per Mail zu versenden. Das ist kein echtes Problem. Derzeit lecken die Paßwörter bei HTTP GET/POST (egal ob über SSL/TLS oder nicht) -v bitte für den POST-SSL/TLS-Fall. Die Daten werden per Malware direkt aus dem Browser ausgeleitet. Ggf. werden zuvor noch die Seiteninhalte verändert. Wie gesagt, selbst ausprobieren bildet. -- To unsubscribe, e-mail: [EMAIL PROTECTED] For additional commands, e-mail: [EMAIL PROTECTED]
Re: Anonymitaet im Internet
ja hallo erstmal,... Am Freitag, 14. April 2006 19:29 schrieben Sie: * Jan Luehr: ja hallo erstmal,... Am Freitag, 14. April 2006 10:18 schrieben Sie: * Jan Luehr: Es ist noch weniger witzig, sensible Daten (wie z.B. Kennwörter) unverschlüsselt per Mail zu versenden. Das ist kein echtes Problem. Derzeit lecken die Paßwörter bei HTTP GET/POST (egal ob über SSL/TLS oder nicht) -v bitte für den POST-SSL/TLS-Fall. Die Daten werden per Malware direkt aus dem Browser ausgeleitet. Ggf. werden zuvor noch die Seiteninhalte verändert. Wie gesagt, selbst ausprobieren bildet. Wenn wir eine Kompromittierung der Clients miteinbeziehen, dann hat der User sich sein OTP gefälligst pers. abzuholen. Wenn wir aber - was ich für eine realistische Annahme halte - davon ausgehen, dass der Client eben nicht kompromittiert ist, sehe ich nicht wie das Kennwort dort verloren gehen könnte. Offen gesagt ist dies das einzig denkbare Szenario, für das es überhaupt Sinn macht Lösungen zu suchen und zu Implementieren - wenn wir uns auf der Ebene von webforen, communities, etc. bewegen. Leep smiling yanosz -- To unsubscribe, e-mail: [EMAIL PROTECTED] For additional commands, e-mail: [EMAIL PROTECTED]
Re: Anonymitaet im Internet
ja hallo erstmal,.. Am Freitag, 14. April 2006 15:18 schrieb Andreas Jellinghaus: Am Freitag, 14. April 2006 11:10 schrieb Jan Luehr: Wenn du Trivialkennwörter verhindern willst implementiere eine Komplexitätsüberwachung. warum nicht einfach unsinnge system endlich wegwerfen? passwörter taugen einfach nicht. bei ssh verteile ich meinen public key dorthin, wo ich zugang habe. bei ssl könnte ich auch mein zertifikat dem server geben und mich so verifizieren. und solange ich in beiden systemen meine authorisierungsdaten austauschen kann, braucht es auch keine complexen verwaltungssysteme wie crl, ocsp etc. wenn ich neue schlüssel habe, schiebe ich den halt überall hin, wo ich zugang habe und fertig. die passwort problematik ist nun wirklich nicht neu, in vielen jahren hat sich die situation eher weiter verschlechtert, und trotzdem denkt kaum einer über systemwechsel nach. schade. Es gibt (leider) nur sehr wenige Systeme im Webbereich, die SSL-Client-Zertifikate nutzen. So wie ich Arnold verstehe geht es ihm darum eine praktikable Lösung zu finden und nicht ein krypt. hartes System zu entwerfen. Dass Passwörter an sich nichts taugen wage ich zu bezweifelen, da es eine sinnvolle Praxis ist, private Schlüssel mit einer Passphrase zu versehen. Keep smiling yanosz -- To unsubscribe, e-mail: [EMAIL PROTECTED] For additional commands, e-mail: [EMAIL PROTECTED]
Re: Anonymitaet im Internet
* Jan Luehr: Wenn wir eine Kompromittierung der Clients miteinbeziehen, dann hat der User sich sein OTP gefälligst pers. abzuholen. Das OTP hilft ihm dann auch nicht mehr. Wenn dem so wäre, wäre z.B. auch Internet-Banking mit Einmalpaßwörtern sicher. Wenn wir aber - was ich für eine realistische Annahme halte - davon ausgehen, dass der Client eben nicht kompromittiert ist, sehe ich nicht wie das Kennwort dort verloren gehen könnte. Ich kenne die Argumentation: Wenn der Client kompromittiert ist, haben wir sowieso verloren. Das heißt aber in Wirklichkeit nur: Dann ist mein Produkt wertlos bzw. mein Steckenpferd sinnlos. Das tut natürlich weh, weswegen es niemand so recht wahrhaben will. Das ändert aber nichts daran, daß sich die Leute so etwas trotzdem einfangen und man ihnen als Diensteanbieter u.U. die Schäden ersetzen muß und ggf. gezwungen ist, über den Tellerrand präventiver Maßnahmen wie Zugriffskontrolle hinauszuschauen. -- To unsubscribe, e-mail: [EMAIL PROTECTED] For additional commands, e-mail: [EMAIL PROTECTED]
Re: Anonymitaet im Internet
ja hallo erstmal,... Am Freitag, 14. April 2006 20:09 schrieben Sie: * Jan Luehr: Wenn wir eine Kompromittierung der Clients miteinbeziehen, dann hat der User sich sein OTP gefälligst pers. abzuholen. Das OTP hilft ihm dann auch nicht mehr. Wenn dem so wäre, wäre z.B. auch Internet-Banking mit Einmalpaßwörtern sicher. Natürlich hat man auchbei OTP Designprobleme und natürlich erfüllen hier die Banken (die hauptsächlich OTP anwenden) ihre Aufgabe teilweise eher schlecht. Btw. es wäre natürlich denkbar, OTP Systeme zu entwickeln die so komplex sind, dass sie nur noch schwer zu überlisten wären, praktisch wäre dies aber sehr schwer umzusetzen. Generell haben OTP-Systeme aber immer noch den Vorteil, dass sie nur schwer im Nachhinein geknackt werden können. Wenn wir aber - was ich für eine realistische Annahme halte - davon ausgehen, dass der Client eben nicht kompromittiert ist, sehe ich nicht wie das Kennwort dort verloren gehen könnte. Ich kenne die Argumentation: Wenn der Client kompromittiert ist, haben wir sowieso verloren. Das heißt aber in Wirklichkeit nur: Dann ist mein Produkt wertlos bzw. mein Steckenpferd sinnlos. Das tut natürlich weh, weswegen es niemand so recht wahrhaben will. Bedingt. Natürlich ist ein nicht komprommitierter Client ein Element in einer Sicherungskette. Maßnahmen, die verhindern sollen, dass sich kompromittierte Clients in einem Netzwerk anmelden werden zur Zeit von Cisco, M$, etc. entwickelt. (Ob sie was taugen, wage ich zur Zeit nicht zu sagen). Ich denke aber, dass es in vielen Fällen zu viel des Guten wäre, bei einer Webanwendung Maßnahmen zur Sicherstellung in diesem Gebiet zu ergreifen. (Homebanking wäre hier imho ein Grenzfall) Das ändert aber nichts daran, daß sich die Leute so etwas trotzdem einfangen und man ihnen als Diensteanbieter u.U. die Schäden ersetzen muß und ggf. gezwungen ist, über den Tellerrand präventiver Maßnahmen wie Zugriffskontrolle hinauszuschauen. Klar. Lassen wir aber mal die Kirche aber im Dorf. Dass es böse ist, Kennwörter per Mail (im Klartext) zu verschicken, bestreitest du doch nicht, oder? Keep smiling yanosz -- To unsubscribe, e-mail: [EMAIL PROTECTED] For additional commands, e-mail: [EMAIL PROTECTED]
Re: Anonymitaet im Internet
Am Thursday 13 April 2006 21:00 schrieb Jan Luehr: Es ist noch weniger witzig, sensible Daten (wie z.B. Kennwörter) unverschlüsselt per Mail zu versenden. Eine Idee wie das zu automatisieren wäre? Abgesehen davon, dass viele Anwender noch nicht einmal einen PGP-Key haben. Grüße, Arnold pgpJck5wgRcHL.pgp Description: PGP signature
Re: Anonymitaet im Internet
Am Thursday 13 April 2006 23:54 schrieb Jan Luehr: Ehm, der Anwender gibt bei seiner Anmeldung sein Kennwort an - dieses kennt er. Eine weitere Übermittlung des von ihm gesetzten Kennworts ist nicht mehr notwendig. Und weil es ja leicht zu merken sein soll, lautet dieses dann blabla oder ist gleich die Emailadresse oder lautet test. Ich möchte nicht wissen wieviele Anmeldungen es gibt, bei denen du mit Benutzername Test und Kennwort Test dich einloggen kannst. Grüße, Arnold pgp4ysJQHL546.pgp Description: PGP signature
Re: Anonymitaet im Internet
Hallo, Andreas Jellinghaus schrieb: macht aber noch weniger sinn für jeden furz sich mit name, email und passwort irgendwo registrieren zu müssen. mich nerven da die diversen formulare um test versionen runterladen zu können, um web foren zu nutzen, oder auch das leider viel zu beliebte bugzilla tool zur bug verwaltung und vieles mehr. von datensparsamkeit und den datenschutzvorschriften, nach denen man nicht mehr verlangen _darf_ als notwendig, haben die betreiber solcher webseiten meist nichts gehöhrt. dafür verwende ich gerne das BugMeNot Plugin für Firefox http://roachfiend.com/archives/2005/02/07/bugmenot/ Gruß Alex -- To unsubscribe, e-mail: [EMAIL PROTECTED] For additional commands, e-mail: [EMAIL PROTECTED]
Re: Anonymitaet im Internet
Gruß aus Kiel, als Teilnehmer am Projekt kann ich natürlich JAP (bzw. AN.ON) empfehlen: www.anon-online.de. Eigener Client und kostenlos. Einige Artikel hierzu findet man auf der o.g. Projektseite. Achtung Eigenwerbung: auf meiner Seite www.anonymitaet.com habe ich zusätzlich Artikel aus DANA (Datenschutznachrichten) und MacLife zum Thema Anonymität im Volltext. Gruß Henry Krasemann Am Montag, 10. April 2006 22:52 schrieb Gert Doering: Hi, (Re-Send, weil die erste Mail es scheinbar nicht geschafft hat, vermutlich lokal vertrottelt - sorry, falls es doppelt ankommt) Hallo Debate, Ihr koennt mir doch bestimmt ein paar Links zum Thema Anonymitaet im Internet (von wenig Aufwand, fuer Arme bis zu wenn man's richtig erst meint) zuwerfen... Zielgruppe sind Kuenstler, die von Internet keine Ahnung haben, und jetzt bei mir gelandet sind (Du kennst Dich doch mit Internet aus) - und von *Anonymitaet* im Netz habe ich auch nicht so *richtig* viel, zugegebener- weise... Bitte keine Wertediskussion an dieser Stelle, sondern primaer Referenzen, also z.B. http://tor.eff.org/, evtl. auf den deutschen Anonymizer, und evtl. auch, wenn es das gibt, auf Studien zu diesem Thema. Gerne privat - dann schreib' ich eine Summary - oder auf die Liste, dann isses gleich verlinkt und der Page-Rank der Zielseite steigt :-) danke, gert -- To unsubscribe, e-mail: [EMAIL PROTECTED] For additional commands, e-mail: [EMAIL PROTECTED]
Re: Anonymitaet im Internet
* Gert Doering schrieb am 2006-04-10 um 22:52 Uhr: Ihr koennt mir doch bestimmt ein paar Links zum Thema Anonymitaet im Internet (von wenig Aufwand, fuer Arme bis zu wenn man's richtig erst meint) zuwerfen... Auf URL:http://kai.iks-jena.de/ finden sich zahlreiche Informationen mit weiteren Links. Weiterhin findest du auf URL:http://freehaven.net/anonbib/topic.html#Anonymous_20communication viele Veröffentlichungen zu anonymer Kommunikation. Falls du etwas grundsätzlich anderes suchst, muss ich nochmal in diversen Bookmarklisten graben. -- Jens Kubieziel http://www.kubieziel.de -- To unsubscribe, e-mail: [EMAIL PROTECTED] For additional commands, e-mail: [EMAIL PROTECTED]
Re: Anonymitaet im Internet
Gert Doering [EMAIL PROTECTED] writes: Bitte keine Wertediskussion an dieser Stelle, sondern primaer Referenzen, also z.B. http://tor.eff.org/, evtl. auf den deutschen Anonymizer, und evtl. auch, wenn es das gibt, auf Studien zu diesem Thema. Zu Tor habe ich letztens was geschrieben: http://www.osreviews.net/reviews/security/tor Hendrik -- To unsubscribe, e-mail: [EMAIL PROTECTED] For additional commands, e-mail: [EMAIL PROTECTED]
Re: Anonymitaet im Internet
www.mailinator.com finde ich klasse. für wegwerfregistrierungen nehme ich immer eine beliebige @mailinator.com addresse, und kann dann die mail dort auf der webseite lesen. meist btaucht man ja nur eine mail, mit registrierdaten oder sowas, und wenn andere leute die email addresse erraten und auch den inhalt lesen - was solls. ich verwende es ja nur für unwichtige sachen / spam vermeidung. Andreas -- To unsubscribe, e-mail: [EMAIL PROTECTED] For additional commands, e-mail: [EMAIL PROTECTED]
Re: Anonymitaet im Internet
Am Monday 10 April 2006 23:24 schrieb Andreas Jellinghaus: für wegwerfregistrierungen nehme ich immer eine beliebige @mailinator.com addresse, und kann dann die mail dort auf der webseite lesen. meist btaucht man ja nur eine mail, mit registrierdaten oder sowas, und wenn andere leute die email addresse erraten und auch den inhalt lesen - was solls. ich verwende es ja nur für unwichtige sachen / spam vermeidung. Accounts mit diesen Adressen lösche ich in der Zwischenzeit bei den Diensten die ich unter Kontrolle habe in der Zwischenzeit ohne jegliche Mitteilung. Es ist nicht witzig, wenn Passwörter öffentlich im Internet für jeden zugänglich sind. Da der Anmelderobot das Passwort automatisch verschickt, ist die Konsequenz solche Mailadressen sofort wieder zu löschen. Macht wenig Sinn ein Passwort zu vergeben, wenn es dann für jeden öffentlich im Internet einsehbar ist. Grüße, Arnold pgpHVqOOaqSla.pgp Description: PGP signature
Re: Anonymitaet im Internet
Am Dienstag, 11. April 2006 00:23 schrieb Arnold Schiller: Accounts mit diesen Adressen lösche ich in der Zwischenzeit bei den Diensten die ich unter Kontrolle habe in der Zwischenzeit ohne jegliche Mitteilung. Es ist nicht witzig, wenn Passwörter öffentlich im Internet für jeden zugänglich sind. Da der Anmelderobot das Passwort automatisch verschickt, ist die Konsequenz solche Mailadressen sofort wieder zu löschen. Macht wenig Sinn ein Passwort zu vergeben, wenn es dann für jeden öffentlich im Internet einsehbar ist. macht aber noch weniger sinn für jeden furz sich mit name, email und passwort irgendwo registrieren zu müssen. mich nerven da die diversen formulare um test versionen runterladen zu können, um web foren zu nutzen, oder auch das leider viel zu beliebte bugzilla tool zur bug verwaltung und vieles mehr. von datensparsamkeit und den datenschutzvorschriften, nach denen man nicht mehr verlangen _darf_ als notwendig, haben die betreiber solcher webseiten meist nichts gehöhrt. naja, was solls. ich tippe mal, das mailinator sich schneller weitere domain namen zulegen kann, als jemand diese und andere domains filtern kann. im übrigen bedeuted mailinator nicht notwendigerweise, das passwörter öffentlich im internet für jeden zugänglich sind. die meisten versenden emails mit einmal urls, da hat ein zweiter gar nichts von. zudem muss man die email addresse erstmal erraten. wenn man das kann (oder eine forum zum beispiel die emails öffentlich macht), dann kann man nachlesen, und oft auch ohne kenntnis des benutzernamens sich ein password reminder zuschicken lassen / das passwort zurück setzen / etc. aber mir gehts ja nicht um sicherheit, mailinator verwende ich wo immer aus meiner sicht total unnötig email verifikationen zum zug kommen. da kann ich mir meist auch recht sicher sein, das ich in folge mit werbung und newslettern etc. gespammt werde, und das ohne opt out. nein danke. Grüße, Andreas -- To unsubscribe, e-mail: [EMAIL PROTECTED] For additional commands, e-mail: [EMAIL PROTECTED]
