Centurios Blog

Da ist doch grade die neue Version von Safari rausgekommen und bringt diese wunderbaren neuen Erweiterungen mit. Was aber wohl kaum jemanden bisher interessiert hat, wie genau diese Signierung von Apple funktionieren soll, wer darüber entscheidet ob eine Erweiterung sicher ist etc.

Bei Rosenblut.org gibt es einen sehr interessanten Artikel dazu, der auch gleich etwas aufschrecken lässt. In der aktuellen Fassung des Safaris kann man wohl ziemlich Problemlos auf Passwortfelder über die Safari Extensions zugreifen.

Bei Firefox soll es laut dem Artikel auch möglich sein, aber bisher ist es da wohl noch zu keinerlei Problemen gekommen. Hat da jemand Erfahrungen, wie die das handhaben?

Übrigens gibt es hier auch noch einen netten Ansatz für Passwortboxen um Passwörter einfacher merkbar zu gestalten, indem eine Grafische Darstellung des Passworts erzeugt wird.

Da lese ich gerade bei Heise, das jetzt ein Zertifikat speziell für www.paypal.com angepasst wurde, um Probleme mit der Nullzeichenfilterung in SSL-Zertifikaten zu verdeutlichen. Damit sollen die Entwickler aufgerüttelt werden, endlich etwas gegen diesen Fehler zu unternehmen.

Nun gut, jetzt schreibt der Autor aber, dass in Chrome die zugehörige Überprüfung von Zertifikaten abgeschaltet sein sollte.

In meiner Bachelorarbeit habe ich mich ja auch gerade mit dem Thema beschäftigt und bei mir war diese Option in der aktuellen Chrome 3 Version (also keine Entwickler- oder sonstwie-beta-Version) auch aktiviert. Das habe ich jetzt auf mehreren Rechnern schon testen können. Ich habe jetzt noch mehr Rechner damit mal befüllt und siehe da, die Option scheint echt deaktiviert zu sein ?! fragt sich nur, warum das auf den Rechnern von mir an war oder ich mir da selber das Ergebnis mit einer uralten Installation verfälscht habe

Was stimmt denn nun? Könnt ihr das auch mal ausprobieren und bei euch nachgucken? Zu finden ist das unter dem Schraubenschlüsselsymbol rechts oben im Browser, dann unter Optionen und anschließend unter Sicherheit muss der Punkt “Sperrung des Zertifikats überprüfen” gesetzt sein. Die von mir getestete Version ist die aktuelle 3.0.195.25. Im Heise Forum wundern sich über diese Tatsache auch schon einige Leute und für mich wäre das natürlich noch ein Punkt, den ich eventuell beachten müsste.

Zwar schützt diese Option nicht vor erneuten Angriffen mit dem Nullzeichenfehler, aber zumindest verhindert sie bei bekannteren Zertifikaten größeres Unheil, in dem der Nutzer vorher bei Betreten der Seite gewarnt wird.

Vor einiger Zeit habe ich von der Aktion im Radio gehört. Der Elektronikmarkt MediMax hat in 14 seiner Filialen SD Karten im Einsatz, die vor ihrer erstmaligen Benutzung in ein Spezialgerät gelegt werden müssen und freigeschaltet werden.

Wieso macht man so etwas? Nun, es geht um Diebstahlschutz. SD Karten eignen sich auf Grund ihrer geringen Größe wohl besonders gut zum Klauen. Der Hersteller der Software DiSa Digital Safety erhofft sich mit diesem Verfahren den Rückgang der Diebstahlrate.

Ehrliche Kunden kaufen nun eine Speicherkarte und gehen nach dem Kauf zu einem speziellen Lesegerät, das die Karte freischaltet. Das ganze soll einmalig sein und soll einem danach nie wieder stören oder nerven.

An sich ist die Idee nicht schlecht und soll auch auf Handys oder Kameras ausgeweitet werden. Jedoch frage ich mich, wie die überhaupt das Gerät so stark absichern wollen (ohne Mithilfe des Herstellers) und wieso nicht einfach das Formatieren der SD Karte den Schutz irgendwie entfernen kann? Da muss doch wieder irgendein System verwendet werden, das irgendwelche Lücken im System ausnutzt und sich dort verankert. Bei einer SD Karte vielleicht irgendein Sektor im Dateisystem oder ähnlichem, was man nur bei direktem Hardwarezugriff rausbekommen kann.

Hat da einer Informationen zu dem System? Ich zweifel ja an, dass MediaMarkt, Saturn und co. da mit einsteigen werden. Denn ich sehe schon am Samstag die ganzen Schlangen an der Kasse und am Freischaltungsgerät… Wenn das dann defekt ist, dann legt das den ganzen Betrieb lahm und nervt die Kunden.

Die bei Saturn eingeführten Elektronischen Selbstbedienungsterminals sind ja auch dauernd schon kaputt…

Also irgendwas mache ich falsch, oder ich verstehs einfach nur nicht, vielleicht weiß ja einer von euch woran das liegt:

Wieso zeigt der Google Chrome Browser z.B. bei der Online-Banking Seite der Dresdner Bank nicht die Bank in der Adressleiste an? Moderne Webseiten wollen dem Nutzer einfach und schnell einen Überblick geben, ob sie auch wirklich die Seiten sind, die sie sein sollten. Dazu gibt es für SSL Zertifikate eine Erweiterung, die sich Extended Validation nennt. Dabei werden die Webseitenbetreiber/Antragssteller einer genaueren Prüfung als sonst üblich unterstellt und erhalten dann für ihr Zertifikat diese Erweiterung.

Besucht man dann eine Webseite mit dieser Erweiterung, zeigt der Browser einem ein oder mehrere Extrafelder an, dass es sich auch wirklich um den Betreiber dieser Seite handeln soll.

Beim IE 8 sieht das z.B. so aus:

Internet Explorer 8, EVC Meldung dresdner-privat.de

Beim Firefox 3.0.10 sieht das so aus:

Firefox 3.0.10, EVC Meldung dresdner-privat.de

Auf dem Mac sieht das mit dem Safari 4 Beta so aus:

Safari 4 Beta unter Mac OS X, EVC Meldung dresdner-privat.de

Wenn man sich jedoch jetzt den aktuellen Google Chrome unter Windows dann mal anschaut, sehe ich keinerlei! Meldung, die so ähnlich aussehen könnte:

Google Chrome, EVC Meldung dresdner-privat.de

Dass das ganze in Chrome gehen soll, zeigt z.B. die Schweizer Firma QuoVadis in ihrer FAQ.

Also ich verstehs echt nicht, wieso der Chrome das nicht anzeigt? Chrome und IE benutzen z.B. die gleiche Zertifikatsdatenbank, daher sind auch die Meldungen gleich beim Check des Zertifikats. Es handelt sich also nur um die fehlende Darstellung der EVC. Irgendwie erschrickt mich das ganze ja doch schon, ich dachte eigentlich, Google hätte das eingebaut…

Update: Hab den Fehler gefunden: Es liegt doch tatsächlich an der dämlich versteckten Option “Sperrung des Serverzertifikats überprüfen” in den Einstellungen Chromes. Aktiviert man dieses Kästchen, so wird der EVC Indikator dann auch mit angezeigt.

Ich musste doch heute schmunzeln, als ich die neuen Optionen (auch Opt-in bzw. Opt-Out genannt) zum Beeinflussen der Werbung im StudiVZ gesehen hatte. Diese findet man nur sehr versteckt. Man muss auf der Seite auf Datenschutz klicken, dann auf Datenschutzerklärung einsehen, anschließend ganz nach unten scrollen und erreicht dort dann [ Einstellungen zur Verwendung meiner Daten ].

Nicht nur, dass der Weg ziemlich kompliziert ist, nein, die Kommentare beim Abschalten der Funktionen finde ich doch ziemlich merkwürdig gewählt.

Ich will doch z.B. gar keine Gutscheine oder Angebote in meinen Email Benachrichtigungen haben?! In der aktuellen Standard Einstellung wird man also bei den üblichen Nachrichten wie “Neues auf deiner Pinnwand” dann jetzt auch mit personalisierter Werbung versorgt.

Hm naja. Ich verlass mich nach wie vor auf meinen SafariBlock und filtere eh entspechend blöd blinkende Werbung Gegen Textwerbung hilft dies natürlich nach wie vor nicht (links unten im Menü). Da fällt mir ein: wieso ist das ganze eigentlich immer noch BETA 2.0?