Ich bastel mir 'nen Aluhut und habe Fragen

[DrunkenSheep]

Alohahey,

das Thema ist ja aktuell und ich finde das alles auch recht spannend. Nur wird für meinen Geschmack beim Thema Informationssicherheit viel durcheinander- und aneinander vorbei diskutiert und Kommunikations- mit Datensicherheit und -Missbrauch vermixt. Zum Schluss wird dann noch ein Glaubenskrieg draus gemacht und damit jegliche konstruktive Diskussion an die Wand gefahren.

Deshalb hier mein Versuch, das alles etwas sachlicher in einem Thread zusammenzufassen.

Thema Kommunikationssicherheit: PGP.
Ich habe mir für Thunderbird GPG4Win und Enigmail installiert und eine Passphrase zusammengedacht. Zuerst dachte ich, dass diese Passphrase allein mein privater Key wird, aber die schützt ja anscheinend nur privaten und öffentlichen Key. Jetzt habe ich eine Passphrase mit weit über 20 Zeichen, die ich mir natürlich nicht merken kann. Da ich darüber nichts gefunden habe: Hängt die Länge bzw. die Komplexität des privaten und öffentlichen Keys mit der Länge oder Komplexität der Passphrase zusammen?

Thema Datensicherheit: Weg von Dropbox.
Gibt es Cloudprogramme für den eigenen Webspace, mit denen man verschlüsselte Ordner automatisch synchronisieren kann bzw. die grundsätzlich Verschlüsselungsoptionen haben? Optimal wäre noch die Funktion, dass man einzelne Verzeichnisse für andere Nutzer bzw. generell freigeben kann.

Thema Surf-Tracking: Erweiterungen.
Ich nutze Adblock und Ghostery, um nicht ganz so viele Daten im Internet zu verstreuen. Gibt es (für Chome) bessere Alternativen?


Nachsatz: Ich will mir einen moderaten Aluhut basteln. Heisst, bestimmte Kommunikation und generell alle Dateien sollen verschlüsselt werden. Trotzdem will ich auf Facebook auch weiterhin nicht verzichten, will aber sichergehen, dass möglichst auch nur die Daten, die ich freiwillig freigebe, in fremde Hände fallen.

[fireball]

Hängt die Länge bzw. die Komplexität des privaten und öffentlichen Keys mit der Länge oder Komplexität der Passphrase zusammen?

Nein.

Gibt es Cloudprogramme für den eigenen Webspace, mit denen man verschlüsselte Ordner automatisch synchronisieren kann bzw. die grundsätzlich Verschlüsselungsoptionen haben? Optimal wäre noch die Funktion, dass man einzelne Verzeichnisse für andere Nutzer bzw. generell freigeben kann.

Ja. ownCloud.

Thema Surf-Tracking: Erweiterungen.
Ich nutze Adblock und Ghostery, um nicht ganz so viele Daten im Internet zu verstreuen. Gibt es (für Chome) bessere Alternativen?

Meines Wissens nicht - habe ich auch in der Kombination im Einsatz.

[JPK]

Wobei ich Chrome (aus dem Hause google) auch mit allen Addons nur trauen würde, wenn der Rechner nie online geht
Zum Thema Surftracking teste ich die Tage einfach mal ein OS rein zum Surfen, was vom schreibgeschützten USB-Stick booten wird. Ich traue da keiner Seite mehr. Da lassen sich anhand einfacher Parameter wie Desktop-Auflösung, Browserkennung, etc., schon 95% aller Surf-Rechner identifizeren (ohne ein einziges Bit auf den Rechner ablegen zu müssen). Ich finde nur den Link nicht mehr. Da mache ich mir auch noch Gedanken, wie man das verschleiern kann.

Password merken einfach gemacht : http://xkcd.com/936/

owncloud habe ich nicht im Einsatz, suche aber auch noch Alternativen, da ich öfter von Problemen beim Update gelsene habe : http://www.heise.de/download/owncloud-1185372.html

[DrunkenSheep]

Danke. ownCloud werde ich mal testen. FTPBox hatte ich schonmal installiert, da gibt es aber nur sehr umständlich Möglichkeiten, um einzelne Verzeichnisse freizugeben.

Da lassen sich anhand einfacher Parameter wie Desktop-Auflösung, Browserkennung, etc., schon 95% aller Surf-Rechner identifizeren (ohne ein einziges Bit auf den Rechner ablegen zu müssen)

Ja gut, das sind aber kaum persönliche Daten, es sei denn, Du hast (bzw. der Rechner hat) Alleinstellungsmerkmale in diesen Bereichen. Wie gesagt: moderat.
Aber es gibt doch diverse Agent Switcher? Und im Zusammenhang mit chinesischen Websperren habe ich mal von einem Service gelesen, der Screenshots von Webseiten macht und diese dann anzeigt. Dafür bräuchte man nur bedingt Displaydaten. Sowas wäre mir dann aber zuviel.

Ich finde das Thema aber auch allgemein interessant. Wenn da jemand Literatur hat, darf er die gerne kundtun. Beispielsweise würde mich interessieren, wie Sicherheitsmenschen Gefahren für die Systemsicherheit einschätzen, wenn es um Sicherheitshürden und Größe des Service geht. Ob jetzt ein selbstgehosteter Service mit privaten Sicherungsmöglichkeiten als sicherer eingestuft wird als ein großer kommerzieller Service mit entsprechendem Know-How, weil letzterer viel mehr im Fokus von Angriffen steht. Dass es entscheidend auf das Know-How ankommt, ist mir natürlich auch klar.

[fireball]

owncloud habe ich nicht im Einsatz, suche aber auch noch Alternativen, da ich öfter von Problemen beim Update gelsene habe

Zwischen den Major Versionen musste man in der Vergangenheit in der Tat immer mal etwas fummeln, speziell, wenn man 3rd-Party-Addons drin hat. Ansonsten bin ich aber zufrieden und habe sogra meine Kontakte und Kalender von Google weggeholt und synce meine Geräte mit ownCloud.

[JPK]

Genau wegen des Kalender- und Adress-Sync fand ich ownCloud schon seehhr interessant.
Gut, dann wird mal ein kleiner Server aufgesetzt (sollte ja ein Atom der ersten Generation ausreichend sein ?)

btw - ich den Link wieder gefunden: http://www.heise.de/newsticker/meldu...r-1002375.html
Mein aktuelles Ergebnis :

Within our dataset of several million visitors, only one in 27,327 browsers have the same fingerprint as yours.

Auf anderen Rechnern hatte ich aber schon Ergebnisse im 500-1000er Bereich.

[bnh]

Genau wegen des Kalender- und Adress-Sync fand ich ownCloud schon seehhr interessant.
Gut, dann wird mal ein kleiner Server aufgesetzt (sollte ja ein Atom der ersten Generation ausreichend sein ?)

Läuft hier auf meiner Seagate Dockstar mit Debian ziemlich gut, einzig das Webinterface ist nen bissel träge. Stört mich nicht weiter, ich bediene ownCloud fast ausschließlich mit den ClientApps... auf den Androids noch mit foldersync, caldav und carddav und da läuft Alles rund...

Marc

[DrunkenSheep]

Ich habe meinen Webspace bei all-inkl, mit deren Service ich seit Jahren zufrieden bin. Deshalb mal ab von der Erreichbarkeit des Servers: Habe ich da (Sicherheits-)Nachteile, wenn ich nur deren ssl-proxy nutze anstatt eines eigenen Zertifikats? Die entsprechende ssl-Leitung würde ich nicht öffentlich nutzen wollen, sondern für Cloud und Kalenderzeugs, weshalb mich das "ssl-account" vor der Domain nicht sonderlich stört.

An der ownCloud bin ich übrigens verzweifelt, vielmehr am Windows-Clienten. Den habe ich einfach nicht zum Laufen bringen können, bin dabei aber auch nicht der einzige.
Jetzt wurschtel ich zwecks Kalender gerade mit Baikal rum. Das funktioniert gut.

[fireball]

Das Zertifikat ist "nur" dafür da, dich gegenüber anderen und Dir selbst als der Server auszuweisen, der da stehen soll (funktioniert eigentlich auch nur, wenn der Client auch mal nörgelt, wenn das Zertifikat sich ändert und nicht nur die Chain of Trust blind glaubt...)

Ob Du die Leitung anderweitig benutzt oder nicht, ist egal. SSL-Übertragung ist dann halt bis zum Proxy verschlüsselt, dahinter dann nicht mehr, und trauen kannst Du letzten Endes nur dem Proxy.

[DrunkenSheep]

Ich kann meine owncloud-Instanz über das Webinterface problemlos via ssl (https://cloud.domain.tld) erreichen. Aber weder der Windows Desktop-Client noch CalDav (Lightning) kann verbinden. Nach Eingabe der url im Client werde ich auf die ssl-Verbindung hingewiesen und klicke weiter. Dann fängt er ohne Fehlermeldung an zu rödeln, hört aber nicht mehr auf und zeigt mir auch keine Maske zur Nutzerdateneingabe.
Kann man aus dem Client-log entnehmen, wo es hakt?:

04-02 16:11:47:936 SocketApi: ctor: "\\.\pipe\"
04-02 16:11:47:938 SocketApi: can't start server
04-02 16:11:47:940 No configured folders yet, starting setup wizard
04-02 16:11:48:760 Current Wizard page changed to 0
04-02 16:11:49:731 !!! Mirall::CheckQuotaJob created for QUrl( "" ) querying "/"
04-02 16:11:49:739 void Mirall::AbstractNetworkJob::slotFinished() 301 "Das Protokoll "" ist unbekannt"
04-02 16:11:52:060 Client is on latest version!
04-02 16:11:54:745 !!! Mirall::CheckQuotaJob created for QUrl( "" ) querying "/"
04-02 16:11:54:746 void Mirall::AbstractNetworkJob::slotFinished() 301 "Das Protokoll "" ist unbekannt"
04-02 16:11:57:321 void Mirall::AbstractNetworkJob::setTimeout(qint64) 10000
04-02 16:11:57:321 !!! Mirall::CheckServerJob created for QUrl( "https://cloud.domain.de" ) querying "status.php"
04-02 16:11:57:560 SSL-Errors happened for url "https://cloud.domain.de/status.php"
04-02 16:11:57:561 Error in QSslCertificate( "3" , "c6:3c:d7:61:ed:da:be:b8:d8:a2:24:aa:f6:fc:1a: e2" , "DIdXxIdrVlZij3DVTvdHMg==" , "COMODO CA Limited" , "kasserver.com" , QMap((1, "kasserver.com")(1, "*.kasserver.com")) , QDateTime("Mo 4. Jun 00:00:00 2012") , QDateTime("Mi 2. Jul 23:59:59 2014") ) : "Der Name des Hosts ist keiner aus der Liste der für dieses Zertifikat gültigen Hosts" ( "Der Name des Hosts ist keiner aus der Liste der für dieses Zertifikat gültigen Hosts" )
04-02 16:11:57:563 # # # # # #
04-02 16:11:57:564 "<html><head><link rel='stylesheet' type='text/css' href='format.css'></head><body><h3>Warnungen zur aktuellen SSL-Verbindung</h3><div id="ca_errors"><div id="ca_error"><p>Der Name des Hosts ist keiner aus der Liste der für dieses Zertifikat gültigen Hosts</p></div><div id="cert"><h3>mit Zertifikat *.kasserver.com</h3><div id="ccert"><p>Organisation: kasserver.com<br/>Einheit: PremiumSSL Wildcard<br/>Land: DE</p><p>Fingerabdruck (MD5): <tt>0c:87:57:c4:87:6b:56:56:62:8f:70:d5:4e:f7:47:3 2</tt><br/>Fingerabdruck (SHA1): <tt>85:8b:39:51:1c:29:4b:ab:e8:4a:2d:66:16:44:1c:f a:06:36:89:95</tt><br/><br/>Aktuelles Datum: Mo 4. Jun 00:00:00 2012<br/>Auslaufdatum: Mi 2. Jul 23:59:59 2014</p></div><h3>Aussteller: COMODO High-Assurance Secure Server CA</h3><div id="issuer"><p>Organisation: COMODO CA Limited<br/>Einheit: <br/>Land: GB</p></div></div></div></body></html>"
04-02 16:11:57:566 Style: "#cert {margin-left: 5px;} #ca_error { color:#a00011; margin-left:5px; margin-right:5px; }#ca_error p { margin-top: 2px; margin-bottom:2px; }#ccert { margin-left: 5px; }#issuer { margin-left: 5px; }tt { font-size: small; }"
04-02 16:11:59:744 !!! Mirall::CheckQuotaJob created for QUrl( "https://cloud.domain.de" ) querying "/"
//// Zeitpunkt, ab dem man "ssl-Verbindung trotzdem trauen" anklickt ////
04-02 16:12:01:770 SSL-Connection is trusted: true
04-02 16:12:01:771 Certs are already known and trusted, Errors are not valid.
04-02 16:12:01:835 virtual void Mirall::CheckServerJob::finished() HTTPS->HTTP downgrade detected!
04-02 16:12:01:836 status.php from server is not valid JSON!
04-02 16:12:01:836 status.php returns: QMap() 0 Reply: QNetworkReplyImpl(0x4a16610)
04-02 16:12:01:836 No proper answer on QUrl( "https://cloud.domain.de/status.php" )

[fireball]

Sieht bisschen danach aus als wenn die Verbindung ungewollt auf http zurückswitched...

Bleibt die https-Verbindung am Webinterface denn erhalten wenn du rumguckst? Oder schaltet die um?

[fireball]

http://forum.owncloud.org/viewtopic.php?f=14&t=18981

[DrunkenSheep]

Bleibt die https-Verbindung am Webinterface denn erhalten wenn du rumguckst? Oder schaltet die um?

Die bleibt erhalten.

Wegen der https-Nutzung muss mal bei owncloud ein wenig in der config.php und der .htaccess rumwurschteln, wenn man bei all-inkl.com Webspace hat.

[url=http://www.cy-man.de/?x=entry:entry131222-120247]:
.htaccess ergänzen

Code:

RewriteRule .* - [env=REMOTE_USER:%{HTTP:Authorization},last]
php_flag magic_quotes_gpc off
php_value magic_quotes_gpc off

config/config.php ergänzen:

Code:

'overwritehost' => 'ssl-account.com',
'overwriteprotocol' => 'https',
'overwritewebroot' => '/oc.eure-domain.de',
'overwritecondaddr' => '^ssl-account-ip$',
'forcessl' => 'true',

Sowie die lib/base.php ändern (wobei woanders steht, dass das bei Version 6 nicht nötig wäre, aber auch ohne Änderung gibt es keine Verbindung)

Ansonsten wurde nichts verändert.

Nur mit http-Verbindung funktioniert es, aber dann kann ich ja gleich bei Dropbox bleiben .

[DrunkenSheep]

Alohahey,

nochmals eine kurze Frage zu PGP: Kann der private Schlüssel missbraucht oder genutzt werden, ohne dass man die dafür vergebene Passphrase kennt? Mich wundert es ein wenig, dass man in den einschlägigen Programmen den privaten Schlüssel so einfach in einer Textdatei exportieren kann.

Nachtrag: In der Version 7.02 funktioniert Owncloud jetzt übrigens problemlos auch mit ssl-Verschlüsselung. Bei all-inkl gehostetem Webspace muss man nur die .htaccess erweitern.

[fireball]

Das war aber ein reines Hoster-Problem bei Dir...

Und: nein, der PGP Key kann ohne die Passphrase nicht genutzt werden.