Category Archives: Allgemein

Deaktivierung von DES Ciphers in Firefox

Firefox unterstützt aus mir vollständig unerfindlichen Gründen noch DES Ciphers. Dies kann man wie folgt deaktivieren:

  • Firefox öffnen und in der Suchleiste about:config eingeben
  • Suchen nach „des“
  • Deaktivierung (Doppelklick) folgender Einträge:
    • security.ssl3.dhe_dss_des_ede3_sha
    • security.ssl3.dhe_rsa_des_ede3_sha
    • security.ssl3.ecdh_ecdsa_des_ede3_sha
    • security.ssl3.ecdh_rsa_des_ede3_sha
    • security.ssl3.ecdhe_ecdsa_des_ede3_sha
    • security.ssl3.ecdhe_rsa_des_ede3_sha
    • security.ssl3.rsa_des_ede3_sha
    • security.ssl3.rsa_fips_des_ede3_sha

 

Leave a Comment

Filed under Allgemein

Firefox 18: Blockieren von unsicheren Inhalten in HTTPS Webseiten

Mit Firefox 18 ist es endlich möglich unsichere Inhalte in HTTPS Webseiten zu blocken. Warum das nötig ist? Ganz einfach: Wenn eine HTTPS Webseite geladen wird, hierbei aber über HTTP zum Beispiel CSS oder Javascript Dateien mit geladen werden, ist es möglich über diese Schadcode in die Webseite einzuschleusen. Kurz gesagt, es zerstört vollständig das Prinzip hinter HTTPS bzw. geht sogar noch ein Stück weiter da es den User in vermeintlicher Sicherheit wiegt.

Aus mir nicht ganz erklärlichen Gründen schält Mozilla diese Funktion allerdings nicht standardmäßig ab Werk frei, sondern überlässt es dem User diese von Hand zu aktivieren. Und das geht so:

  • Zuerst öffnen wir Firefox und geben in die normale URL Leiste „about:config“ ein.
  • Hier bestätigen wir die Sicherheitswarnung mit „Ich werde vorsichtig sein, versprochen!“
  • Nun suchen wir nach „mixed“
  • Hier gibt es nun mehrere Einträge, unter anderem folgende:
    • security.mixed_content.block_active_content
    • security.mixed_content.block_display_content
  • Diese müssen beide auf true gesetzt werden. Hierfür reicht ein Doppelklick darauf aus. Danach sollte der jeweilige Eintrag fett hinterlegt sein.

Und das wars auch schon. Nun wird aller HTTP Content in HTTPS Webseiten geblockt. Zum Testen hat Microsoft hier eine Test-Webseite bereitgestellt.

Update: Das umstellen scheint Probleme mit der Google Bilder Suche zu machen. Nach der Aktivierung kann man standardmäßig die ersten X Bilder nicht erkennen.

Leave a Comment

Filed under Allgemein

Erstellen eines OpenVPN Tunnels inc. Forwarding

Wollte ich schon lange mal machen, nun bin ich auch tatsächlich dazu gekommen. Ziel ist es einen OpenVPN Tunnel zu einem Server aufzubauen und diesen als Ausgangspunkt für jede Art von Internet Traffic zu nutzen.

Der OpenVPN Server läuft bei mir unter einem Ubuntu 12.04 LTS. Als Client kommt ein Windows 7/8 64bit vor. Die Konfiguration erfolgt so:

Server

Als erstes installieren wir OpenVPN und kopieren die Konfigurationsbeispieldateien nach /etc/openvpn:

apt-get install openvpn
cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn/
gunzip /etc/openvpn/server.conf.gz
cp -r /usr/share/doc/openvpn/examples/easy-rsa/2.0 /etc/openvpn/easy-rsa2
cd /etc/openvpn/easy-rsa2/
mkdir keys

Hier editiert man nun die Zeilen und passt die Werte an seinen eigenen an:

export KEY_COUNTRY=DE
export KEY_PROVINCE=NRW
export KEY_CITY=Düsseldorf
export KEY_ORG=”Vpntest”
export KEY_EMAIL=”onlyspam [at] myhomepage.net”

Danach gehts in der Command Line weiter:

source ./vars
./clean-all
./build-ca
./build-key-server server
./build-dh
./build-key MeinRechnerName

Da der OpenVPN User am besten unter einem eigenen User läuft, legen wir diesen schnell an:

adduser --system --no-create-home --disabled-login openvpn
addgroup --system --no-create-home --disabled-login openvpn

In der Datei /etc/openvpn/server.conf müssen einige Zeilen wie folgt angepasst werden:

...
ca ./easy-rsa2/keys/ca.crt
cert ./easy-rsa2/keys/server.crt
key ./easy-rsa2/keys/server.key # Diese Datei geheim halten.
dh ./easy-rsa2/keys/dh1024.pem # Diffie-Hellman-Parameter
...
push "redirect-gateway def1 bypass-dhcp" #Aktiviert den OpenVPN Server als Standard Gateway auf den Clients
push "dhcp-option DNS 208.67.222.222" #Setz den OpenDNS Server als DNS Server auf den Clients
push "dhcp-option DNS 208.67.220.220" #Setz den OpenDNS Server als DNS Server auf den Clients
...
user openvpn
group openvpn

Zum Abschluss der Server Konfiguration müssen wir noch ein paar ipTables Regeln definieren:

iptables -A FORWARD -o eth0 -i tun0 -s 10.8.0.0/24 -m conntrack --ctstate NEW -j ACCEPT
iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -A INPUT -i eth0 -m state --state NEW -p udp --dport 1194 -j ACCEPT

Client

Als erstes besorgen wir die Client Software, dieses gibts hier. Nun brauchen wir vom Server noch das Client Zertifikat + Private Key, außerdem noch das CA Zertifikat.
Da es bei der Übertragung vom Server öfters zu Encoding Fehlern kommt, packen wir das schnell in ein zip Archiv:

zip -r zipped.zip MeinRechnerName.crt MeinRechnerName.key ca.crt

Die 3 Dateien packen wir dann nach „C:\Program Files (x86)\OpenVPN\config“ und benennen diese wie folgt:

MeinRechnerName.crt --> client.crt
MeinRechnerName.key --> client.key
ca.crt --> Muss nicht umbenannt werden

Zum Abschluss kopieren noch aus dem Ordner „C:\Program Files (x86)\OpenVPN\sample-config“ die Datei „client.ovpn“ nach „C:\Program Files (x86)\OpenVPN\config“ und editieren dort folgende Zeile.
Hier muss my-server-1 durch den Hostname/IP des OpenVPN Servers ersetzt werden:

remove my-server-1 11194

Nun startet man nur noch das Programm „OpenVPN GUI“ und klickt auf „Connect“.

Dieses HowTo passiert im auf der Anleitung von Ubuntu Users Wiki. Für ausführliche Erklärungen was was macht, bitte dort schauen.

Leave a Comment

Filed under Allgemein

Windows Phone „Textblock“ Manipulation

Ich entwickle gerade eine App für Windows Phone 7. Hierbei stieß ich auf das Problem, das der Text innerhalb eines ‚Textblocks‘ sich nicht über mehrere Zeilen ausdehnte und nicht mittig war. Nach kurzem googlen, fand ich heraus, dass man dem Textblock folgende Eigenschaften geben muss:

 

Für Text in einem Textblock mehrspaltig zu bekommen:

TextWrapping="Wrap"

Für den Text in einem Textblock mittig zu bekommen:

TextAlignment="Center"

Leave a Comment

Filed under Allgemein

URL-Trimmung in Firefox 7

Seit Firefox 7 werden, ähnlich wie bei Chrome, die URL’s in der URL-Bar abgekürzt. Das bedeutet, dass http generell abgeschnitten wird. Wen es stört, so könnt ihr wieder die ungetrimmte Schreibweise aktivieren:

  • Ruft im Firefox die Seite about:config auf
  • Bestätigt die Warnung
  • In der Suche gebt ihr nun folgendes ein: browser.urlbar.trimURLs
  • Dort müsst ihr nun nur noch den Wert auf „False“ setzen, schon wird euch „http://“ wieder angezeigt.

Mit TrimURLs aktiviert:

Ohne TrimURLs aktiviert:

Leave a Comment

Filed under Allgemein

Firefox: Suchen in der Adressleiste

Das alt bekannte Problem. Man möchte mal schnell was Suchen im Firefox. Wass muss man dazu tun? Entweder die Suchmaschine seiner Wahl in die Adresszeile eingeben oder Rechts die Suchbar nutzen. Beides ist nicht wirklich komfortabel, eigentlich wäre es viel schöner wenn man direkt in der Adresszeile suchen kann, ähnlich wie beim Chrome. Nun würde ich aber gerne nicht nur Google damit durchsuchen, sondern auch Youtube, Wikipedia…
Im folgenden möchte ich zeigen wie das an Hand von Google zu lösen ist:

  • Ein neues Lesezeichen anlegen und ihm folgende Werte geben:
  • Name: Google-Suche – URL Bar
  • Adresse: http://www.google.de/search?hl=de&ie=utf-8&oe=utf-8&q=%s&btnG=Google-Suche
  • Schlüsselwort: gg

Such kann man jetzt einfach, in dem man in der Adresleiste gg {Suchbegriff 1} {Suchbegriff 2} … eingibt.

Das ganze lässt sich für jede Webseite anwenden, die ihre Suche mit der GET Methode des HTTP Protokolls ausliefert. Hierbei muss dann nur der Suchbegriff durch %s ersetzt werden und natürlich ein passendes Schlüsselwort gewählt werden. Hier zwei Beispiele:

Youtube:

Offizielle Webseiten Suche: http://www.youtube.com/results?search_query=Meine+Suche&aq=f
Angepasst für die Adressleite des Firefox: http://www.youtube.com/results?search_query=%s&aq=f

Wikipedia:

Offizielle Webseiten Suche: http://de.wikipedia.org/wiki/Special:Search?search=Mein+Suchbegriff&go=Go
Angepasst für die Adressleiste des Firefox: http://de.wikipedia.org/wiki/Special:Search?search=%s&go=Go

Leave a Comment

Filed under Allgemein

Piwik auf meinem Blog aktiviert

Gerade eben habe ich hier im Blog das Tool Piwik aktiviert. Es handelt sich dabei um eine freie Alternative zu Google Analytics, welches allerdings deutlich datenschutzfreundlicher ist, da es z.B. die Daten lokal speichert und zahlreiche Anonymisierungsmöglichkeiten bietet. Das Datenschutzzentrum Schleswig-Holstein stuft Piwik, wenn es richtig konfiguriert wurde, sogar als vollständig Datenschutz konform ein. An welche Richtlinien man sich halten sollte kann man hier nachlesen.

Warum ich Piwik einsetze? Ich hab ohne ein Web-Analytics Tools schlicht keine Ahnung ob und wenn ja, wie viele Leute hier eigentlich unterwegs sind. Da ich persönlich es allerdings verabscheue mehr Daten als unbedingt notwendig bei Google zu lagern, war dies die einzigst sinnvolle Lösung.

Zum Abschluss noch der Hinweis, solltet ihr nicht getracked werden wollen, gibt es hier die Möglichkeit Piwik für euch auf meinem Blog zu deaktivieren.

Leave a Comment

Filed under Allgemein

Kostenloses Wildcard SSL Zertifikat bei CACert

Da ich persönlich doch viel Wert darauf leg, dass meine Daten, wenn sie schon durchs Internet fließen, verschlüsselt übertragen werden, war eine meiner ersten Aktionen auf dem Server jede Verbindung wenigstens optional verschlüsselt anzubieten. Für die ersten Wochen erstellt ich nur schnell ein selbst signiertes Zertifikat, da ich um ehrlich zu sein keinen Kopf hatte mich näher mit dem ganzem Zertifikatthema zu beschäftigen.

Nun da ich am Wochenende mal ein wenig Zeit habe, hab ich mir das Thema nochmal genauer angeschaut.
Da auf dem Server noch ein paar andere Dienste laufen, welche ich gerne mit HTTPS absichern würde benötige ich also entweder für jeden Dienst/Subdomain ein eigenes Zertifikat, ein Multiple Domain Zertifikat oder besorge mir gleich ein WildCard Zertifikat.
Da ich nicht einsehen ein Haufen Geld bei VeriSign, Thawte oä. liegen zu lassen, schaute ich mich nach günstigeren/kostenloses Alternativen um. Die günstigste Alternative welche ich fand, war bei GoDaddy. Allerdings muss ich ehrlich sagen, ich bin nicht bereit 65€ für ein Multiple Domain Zertifikat inc. 5 Domains oder 132€ für ein WildCard Zertifikat hinzulegen. Dies wäre doch eine übertriebene Investition für einen kleine privaten Blog, welcher gerade mal 2 Wochen existiert. Also ging die Suche weiter…

Ja ich weiß, hört sich komisch an, aber Danke irgendwelcher Hacker wurde ich dann auf StartSSL aufmerksam. Diese bösen Mitmenschen hatte nämlich versucht in Server des israelischen Anbieters einzudringen um sich vermutlich dort Zertifikate für Domains auszustellen, welche nicht ihnen gehören. StartSSL ist die Zertifizierungsstelle des israelischen Unternehmen StartCom, welche kostenlos Zertifikate signiert und dessen Root Zertifikat in jedem aktuellen Browser integriert ist. Nach kurzer Recherche auf ihrer Website musste ich allerdings feststellen, dass das kostenlose Zertifikat nur für eine Domain gültig, um somit für mich unbrauchbar ist.
Ich kann jedem allerdings nur empfehlen sich solch ein Zertifikat zu holen, wenn er nur eine Domain damit absichern möchte!

Die Suche ging also weiter, und am Ende blieb ich dann bei CAcert hängen.
CAcert ist eine nicht kommerzielle Zertifizierungsstelle, welche sich zum Ziel gesetzt hat kostenlose Zertifikate an Privatpersonen auszustellen. Dies funktioniert deshalb, da CAcert keinen aufwendigen Verifizierungsprozess zu Validierung der Identität betreibt. Jeder der sich anmeldet kann direkt Client Zertifikate ausstellen.
Möchte man ein Server Zertifikat, ist hierfür der Zugriff auf eine Administrative Mail Adresse notwendig. Dort wird einem dann eine eMails zugeschickt, welche einen Link enthält um die Domain zu verifizieren.
Weitere Infos über die Funktionsweise von CAcert könnt ihr dem Wikipedia Eintrag entnehmen, da um ehrlich zu sein das komplette Thema hier den Rahmen sprengen würde.
Der Nachteil? Das Root Zertifikat von CAcert ist in keinem Browser vertreten! Sie versuchen zwar es in die einzelnen Browser zu integrieren, es wird denke ich aber noch eine Weile dauern bis es soweit ist.
Da mir das Prinzip hinter CAcert allerdings sehr gut gefällt, hab ich mich entschieden diesen Nachteil in Kauf zu nehmen.

Im folgenden möchte ich euch nun zeigen wie ihr ein WildCard SSL Zertifikat erstellt, bei CAcert signieren lasst, im Apache einbindet und eurem Browser das Root Zertifikat von CAcert beibringt:

Voraussetzung:

  • Abgeschlossene Registrierung bei CAcert inc. Validierung der Domain
  • Apache2 Webserver mit aktiviertem HTTPS Modul
  • OpenSSL

Ich habe das ganze auf einem Ubuntu 10.04 getestet, ich denke allerdings das es auf anderen Systemen genauso funktionieren wird.
Ihr geht also nun her und erstellt euch mit OpenSSL ein Zertifikat:

openssl req -newkey rsa:2048 -subj /CN=*.s0me0ne.de -nodes -keyout s0me0ne.de_key_.pem -out s0me0ne.de.csr.pem
cat s0me0ne.de.csr.pem

Nun kopiert man ab „—–BEGIN CERTIFICATE REQUEST—–“ bis „—–END CERTIFICATE REQUEST—–“ alles und fügt das ganze bei CAcert in die Server-Zertifikate Maske ein. Danach muss nur noch einmal bestätigt werden das man das Zertifikat tatsächlich ausstellen möchte. Das Zertifikat speichern wir nun auf dem Server und passen die Apache Config dementsprechend an:

<VirtualHost *:443>
...
        SSLEngine on
        SSLCiphersuite RSA:!EXP:!NULL:+HIGH:+MEDIUM:+SSLv2:+SSLv3:TLSv1:-LOW
        SSLCertificateFile /path/to/sslfile/s0me0ne.de_certificate.pem
        SSLCertificateKeyFile /path/to/sslfile/s0me0ne.de_key_.pem
        SSLVerifyDepth 2048
        SSLVerifyClient none
...
</VirtualHost>

Danach müsst ihr nur noch einmal den Apache restart und schon sollte das Zertifikat genutzt werden können.

/etc/init.d/apache2 restart

Nun muss nur noch das Zertifikat in die verschiedenen Browser eingetragen werden. Ich beschränke mich hier auf die 3 meist genutzten Browser (Mai 2011).

Das Root Zertifikat von CAcert bekommt ihr hier.

Firefox
–> Einstellungen –> Erweitert –> Verschlüsselung –> Zertifikate anzeigen –> Zertifizierungsstellen –> Importieren

  • – root.crt auswählen
  • – Hacken setzen bei „Dieser CA vertrauen, um Websites zu identifizieren.“
  • – Mit OK bestätigen

Chrome/Internet Explorer
Da Chrome auf dem Zertifikatsspeicher von Windows/Internet Explorer aufbaut, hier hier nur einmal folgendes durchzufügen:
–> Systemsteuerung –> Internetoptionen –> Inhalte –> Zertifikate –> Vertrauenswürdige Stammzertifizierungsstellen –> Importieren

  • – Weiter –> root.crt auswählen –> Weiter –> Weiter –> Fertig stellen
  • – Sicherheitsabfrage mit „Ja“ beantworten.

 

6 Comments

Filed under Allgemein, Linux

Es war einmal…

… ein 19 Jähriger Mensch, der sich dachte ach man könnte ja mal anfangen zu bloggen. Da er damals das ganz erst noch testen wollte, begab er sich auf wordpress.com und erstellte sich einen Blog.
Fast ein Jahr später gräbt er den Blog wieder aus, nur um festzustellen das bisher kein weiterer Blogeintrag hinzugekommen ist, als der den er damals bei der Erstellung des Blogs angefertigt hat.

Nun hat der Blog ein neues Zuhause und läuft unter einem neuen Namen. Ich hoffe ich komme dazu euch ein wenig von meinem alltäglichen Kampf durchs Leben zu erzählen.
Ich werde hier Beiträge zu aller Art von Themen veröffentlichen. Da ich angehender Fachinformatiker für Systemintegration bin, liegt der Schwerpunkt zwar wahrscheinlich mehr auf Computer Themen, doch ich möchte auch anderen Themen hier eine Chance geben.
Kurz gesagt, dieser Blog hat kein Thema, er behandelt schlichtweg alles was mir im Alltag auffällt, gefällt, nicht gefällt oder was ich mir einfach mal aus dem Kopf schreiben möchte.

Ich hoffe es gefällt euch und ihr findet die ein oder andere Sache mit der ihr etwas anfangen könnte bzw die euch weiterhilft.

Leave a Comment

Filed under Allgemein

Auf dem Weg in ein neues Medium

Heute hab ich mich endlich dazu durch gerungen einen eigenen Blog zu starten. Wie es dazu kam?
Ich hab mal wieder ein wenig mit einer neuen Firefox Version rum experimentiert, hatte aber keine Plattform wo ich meine Entdeckungen festhalten konnte. Dazu aber vllt später mehr…
Natürlich kommt für einen Blog nur WordPress in Frage, besonders wenn man wie ich zufällig gelesen hat das vor ca. 2 Monaten die neuste Version erschienen ist. 😉
Aus Mangel an einem Server beginne ich erst einmal auf wordpress.com, wo man kostenlos seinen Blog erstellen kann.

Na dann beginnen wir…

Leave a Comment

Filed under Allgemein