Um die Daten in der Cloud zu sichern kann mit Truecrypt ein verschlüsselter Container angelegt werden, der dann als zusätzliche Festplatte in das System eingehängt wird. Da Dropbox neue Dateien automatisch abgleicht, muss in Truecrypt eingestellt werden, dass der Zeitstempel der Container-Datei nicht geändert werden soll. Dann überträgt Dropbox nicht mehr die komplette Datei, sonder nur die Teile die sich geändert haben. Eine genaue Anleitung ist auf diesem Blog zu finden.

Um die Daten zu synchronisieren darf der Container nicht geöffnet sein. Die verschlüsselte Festplatte sollte also ausgehängt werden, bevor der Computer in den Ruhezustand gesetzt wird.

Mit dieser einfachen Änderung sind die Daten auf jedem Computer verfügbar und sicher. Leider können die Daten nun nicht mehr über das Webinterface von Dropbox bearbeitet werden. Was meiner Meinung aber für die zusätzliche Sicherheit eine hinnehmbare Einschränkung ist.

Im heute veröffentlichtem Firefox 4 ist zum Schutz vor Webtracking eine neue Funktion eingebaut.  Beim Aufruf einer Seite wird dem Server mitgeteilt, dass der Besucher nicht verfolgt werden will. Zur Zeit werden in den USA Webtracking-Anbieter unter Druck gesetzt, da eine lückenlose Überwachung aller Internetseiten befürchtet wird. Daher wird der Wunsch der Besucher nicht verfolgt zu werden bald von den größten Webtracking-Anbietern unterstützt werden.

Um die „Do not Track“ genannte Option zu aktivieren muss bei den Einstellungen nur der Hacken bei der Option „Webseiten mitteilen, dass ich nicht verfolgt werden möchte“ gesetzt werden. Diese Einstellung befindet sich bei den Einstellungen unter „Erweitert“ >> „Allgemein“.

Beim Aufrufen einer Internetseite sendet der Browser eine Identifikationsstring mit. Dieser enthält den Namen des Browser mit der Versionsnummer und dem Betriebssystem. Mit Hilfe von JavaScript lassen sich die Bildschirmbreite, -höhe und -auflösung auslesen.

Unter https://panopticlick.eff.org ist ein Test, der ein paar Informationen über den Besucher sammelt und die gewonnen Informationen mit mehrere hunderttausend gespeicherten Daten vergleicht. Somit kann festgestellt werden, wie einzigartig der eigene Browser ist.

Erweiterungen wie NoScript für Firefox deaktivieren JavaScript und verhindert dadurch das auslesen der Bildschirmwerte und der installierten Browsererweiterungen.

In Firefox gibt es ein nützliches Plugin, dass die Weitergabe des Referers steuert. So kann der Referer ausgeschaltet oder durch eine beliebige Internetadresse ersetzt werden.

Das Plugin heißt RefControl und ist über die Seite für Firefox Plugins herunter zu laden.

Nach der Installation erscheint ein zusätzliches Symbol am unteren rechten Fensterrand.

In den Standarteinstellungen wird der Referer wie bisher übermittelt. Nach einen Doppelklick auf das Symbol öffnen sich die Einstellungen. Dort kann man das Verhalten für einzelne Internetseiten festlegen. Wenn die Seite keine besondere Regel besitzt, orientiert sich Firefox an des im unteren Teil des Fenster einstellbaren Standard.

Nach längerem Suchen im Netz, habe ich den Grund gefunden. Thawte hat neue Zertifikate Anfang des Jahres erstellt um die Schlüssellänge von 1024 auf 2048 Bit zu  erhöhen. Die neuen Zertifikate sind wohl noch nicht bei allen Clients installiert.

Bei Thawte können die neue Zertifikate herunter geladen werden. Dieses Zertifikat muss dann in den Server eingebunden werde, damit es mit dem Server-Zertifikat an den Client gesendet wird. Das Thawte-Root-Zertifikat ist noch bis 2038 gültig, daher reicht es das Zwischenzertifikat mitzusenden.

Ich habe das CA Bundle für SSL123 heruntergeladen. Bei Apache kann das CA Bundle mit dem Kommando SSLCertificateChainFile in die SSL-Konfiguration eingebunden werden.

Bei dem Cyrus Imap Server hilft der Befehl tls_ca_file.

Damit dürfte bis zum Ablauf des Zwischenzertifikats am 17.02.2020 um 23:59:59 GMT Ruhe sein.

Auch wenn die Bedienung einzelner Seiten von den kleinen Programmen profitiert, sind doch die meisten Webseiten auch ohne Javascript und Flash nutzbar. NoScript verbietet in seiner Standarteinstellung allen Internetseiten das Ausführen von Java, Javascript und das Benutzen von Firefox Erweiterungen wie Flash oder den integrierten PDF-Leser.

Für vertrauenswürdige Seiten können über das Symbol unten rechts im Firefox-Fenster Ausnahmen hinzugefügt werden. Diese Ausnahmen können dauerhaft oder nur temporär gespeichert werden. Temporäre Ausnahmen gelten nur bis zum nächsten Neustart von Firefox, wogegen dauerhafte Ausnahmen auch nach dem Neustart weiterhin gelten. So kann der Benutzer selbst entscheiden, welche Seiten Javascript ausführen dürfen und welche nicht.

Da auch viele Angriffe auf Firefox über Erweiterungen oder mit Hilfe von Javascript oder Java erfolgen, erhält der Nutzer mit NoScript zusätzliche Sicherheit beim Surfen im Netz.

Als Mitte der 80er das erste Mal E-Mails verschickt wurden, wurde der Benutzername und das Passwort noch für alle Leute lesbar unverschlüsselt an den Mail-Server gesendet. Da inzwischen der Anspruch an Datensicherheit gestiegen ist, wurden andere Methoden gesucht, wie der Benutzer sich am Mail-Server anmelden kann, ohne dass jeder das Passwort mitlesen kann.

Ein Beispiel für ein solches Verfahren ist CRAM-MD5 (Challenge-Response Authentication Mechanism, Message Digest 5). Dabei wird vom Server eine Zufallszahl und die aktuelle Uhrzeit des Servers an den Client gesendet. Dieser bildet mit den beiden Informationen und dem Passwort des Benutzer einen MD5-Hash. Der Server kann nun überprüfen, ob das Passwort korrekt ist, indem er ebenfalls den MD5-Hash aus der Zufallszahl, der Uhrzeit der Anfrage und dem Passwort bildet. Stimmen alle drei Werte überein, so stimmt auch der MD5-Hash überein. Da sich die Uhrzeit bei jeder Anfrage ändert und auch vom Server eine neue Zufallszahl erzeugt wird, kann niemand mit dem mit gelesenem MD5-Hash sich für einen anderen Benutzer ausgeben.

Bei den meisten Mailservern wird das Mitlesen von Nachrichten bereits durch SSL oder TLS verhindert, daher ist es nicht notwendig auch noch diese aufwendige Methode der Anmeldung zu unterstützen. Damit sind die Passwort vom abhören geschützt, wenn SSL bzw. TLS verwendet wird, obwohl der Haken bei „Sichere Authentifizierung verwenden“ nicht gesetzt ist.

Die Verbraucherzentrale Bundesverband (vzbv) stellt auf ihrer Internetseite auch einen Musterbrief und eine Liste der Auskunfteien zur Verfügung. Da auch viele dieser Scoring-Werte falsch sind, empfiehlt die vzbv jedem Verbraucher von seinem neuen Auskunftsrecht Gebrauch zu machen.