Ich fürchte, ich habe ein ernstes Sicherheitsproblem an meinem Privatanschluss: In letzter Zeit melden meine Browser (Firefox und Opera) sehr oft ungültige Sicherheitszertifikate. Opera meint: "Möglicherweise wird versucht, sie abzuhören".

Ich benutze teils eine veraltete Opensuse 11.0, teils eine frisch updatete Opensuse 11.3. Auf beiden Systemen kommt es zum gleichen Problem.

Die Warnungen werden eine Zeit lang nicht mehr gegeben, nachdem ich die IP gewechselt habe (Speedport ab- und wieder einschalten).

Leider habe ich nur wild durchgequirltes Halbwissen zum Thema, bzw. Schlimmer: Ich weiß noch nicht mal genau, zu welchem Thema ich mich schlau machen sollte. Gebe ich z.B. in Google "Sicherheitszertifikate" ein, werde ich mit "Serverzeugs" erschlagen, das nichts mit meinem Problem zu tun hat (oder doch?).

Tcpdump ungefiltert, erschlägt mich mit Infos, mit denen ich nur wenig anfangen kann.

Tshark läuft als Benutzer nicht, als Root ernte ich eine Meldung, die mich vor der Benutzung als Root warnt. Genau wie Wireshark.

Könnt Ihr mir Bücher oder Webseiten empfehlen, die mich in das Thema einführen (welches Thema überhaupt?). Es müssen Deutschsprachige Bücher sein.

Guck mal bei den C't Special Heften.

Die Sache mit den Sicherheitszertifikaten sollte übrigens vom Alter des Browsers und des Betriebssystems unabhänig sein, auch wenn es keine gute Idee ist Dinge die man verschlüsselt betreiben will (Einkäufe / Banking etc.) auf einem veralteten System zu machen.

http://www.heise.de/newsticker/meldung/Mozilla-fordert-Sicherheitspruefung-aller-CAs-1340184.html

Auf welchen Websites tritt das Problem auf? Ist es reproduzierbar?
Du kannst die Zertifikate auch in deinem Browser anschauen (z.B. die Gültigkeit oder Aussteller kontrollieren).

Danke schon mal für die Antworten.


... auch wenn es keine gute Idee ist Dinge die man verschlüsselt betreiben will (Einkäufe / Banking etc.) auf einem veralteten System zu machen.Ich mache seit Ende der BTX-Zeiten nichts mehr davon.




Auf welchen Websites tritt das Problem auf?Auf allen Seiten, in die ich mich einloggen muß, also Foren (z.B. Hier) und E-Mail (nur Gmx).



Ist es reproduzierbar?Das werde ich testen und Hier berichten. Ich werde ab sofort alles dazu speichern, was mir möglich ist. Im Moment ist wieder Ruhe - ich habe Heute Morgen die IP gewechselt.



Noch mal die Frage: Wie regele ich die Sache mit Tshark/Wireshark? Kann ich diese Progs für mich als Benutzer freigeben oder sogar mit chown den Besitzer wechseln, ohne eine Sicherheitslücke zu öffnen? Nur ich benutze die beiden Rechner (einer mit Suse 11.0, einer mit 11.3)

Kennst du dich mit TCP/IP aus? Andernfalls bringt dir der Einsatz von Wireshark mMn nicht so viel... abgesehen davon ist fraglich, ob der Einsatz eines Netzwerksniffers in dem Fall überhaupt angebracht/zielführend ist.

Es wäre interessant zu wissen, warum die Zertifikate als ungültig angesehen werden.

Lies dir mal das hier durch: http://www.itdienste.uni-oldenburg.de/22172.html. Im Grunde steht da alles für einen Enduser relevante...

Die Frage zu Tshark/Wireshark hat sich erledigt, nachdem ich das gefunden habe:
http://wiki.ubuntuusers.de/wireshark

Jetzt muss ich mich also mit TCP/IP vertraut machen.

Zu den Zertifikaten werde ich noch berichten, sobald es wieder los geht...

Jetzt werde ich mich erst mal über den Link hermachen, Danke.

Ich würde erst mal die Informationen die dein Browser im Fehlerfalle rausrückt analysieren und ergooglen.

Wireshark sagt dir nur welche Pakete ankommen.. wie ihre Struktur ist... warum dein Browser das Zertifikat das in den Paketen steckt nicht akzeptiert wird dir Wireshark eher nicht mitteilen...

Seit wann existiert denn das Problem? Aufgrund des DigiNotar-Hacks (http://heise.de/-1344513) gab es bei Fedora vor einigen Tagen ein Update, bei dem die betroffenen potentiell gefälschten Zertifikate entfernt wurden. Soetwas wird es ja auch bei anderen Distributionen gegeben haben und vielleicht ist dabei etwas schlief gelaufen?

Gerade hat es mich auf linux-forum.de wieder erwischt, leider kann ich die Texte nicht markieren, deswegen 3 Screenshots:

http://www.linuxforen.de/forums/attachment.php?attachmentid=20227&stc=1&d=1316189232

http://www.linuxforen.de/forums/attachment.php?attachmentid=20228&stc=1&d=1316189244

http://www.linuxforen.de/forums/attachment.php?attachmentid=20229&stc=1&d=1316189265

EDIT - Abgetippt:
Servername:
b.scorecardresearch.com

Zertifikatsnamen:
a248.e.akamai.net;*.akamaihd.net;*akamaihd-staging.net;a248.e.akamai.net

Verdammt, das scheint mir ein Werbetracker zu sein, der mich so erschreckt hat.

Sollte das nur Zufall gewesen sein, dass die Warnungen nicht mehr auftraten, nachdem ich die IP gewechsel hatte? Mist, das wäre mir aber peinlich. :o

Danke für den Tipp, da einfach mal nach zu googlen. Das werde ich bei den nächsten Meldungen natürlich sofort tun.

Also seltsam ist das schon.... Addblock und Noscript installiert ?

Addblock ist auf Firefox installiert. Bisher habe ich mich mit dem Konqueror gegen Scripte geschützt: Javascript ist da abgeschaltet.

Aber OK: Es geht auch intelligenter und bequemer, als immer den jeweils zur Seite passenden Browser zu starten. (Die liebe Gewohnheit)

Auch wenn ich jetzt nur viel Rauch um Nichts gemacht haben sollte (ich beobachte noch weiter), ich möchte nun wissen, wer an meinen Router anklopft (wenn es klopft). An tshark, bleibe ich also dran... Iftop ist mir dazu auch empfohlen worden.

Es ist tatsächlich immer die selbe Adresse (b.scorecardresearch.com). Ich habe sie geblockt und nun ist Ruhe.

Sorry für den Wind, den ich deswegen gemacht habe, die Opera-Meldung hatte mich halt sehr erschreckt.

Danke nochmal für die Hilfe.

Eine gute /etc/hosts Datei erspart solche Dinge. Ich verwende folgende:
http://someonewhocares.org/hosts/



$ grep score /etc/hosts
127.0.0.1 b.scorecardresearch.com
127.0.0.1 beacon.scorecardresearch.com
127.0.0.1 marketscore.com
127.0.0.1 oss-crules.marketscore.com
127.0.0.1 oss-survey.marketscore.com
127.0.0.1 proxy.ia2.marketscore.com
127.0.0.1 proxy.ia3.marketscore.com
127.0.0.1 proxy.ia4.marketscore.com
127.0.0.1 proxy.or3.marketscore.com
127.0.0.1 proxy.or4.marketscore.com
127.0.0.1 proxy.sj3.marketscore.com
127.0.0.1 proxy.sj4.marketscore.com
127.0.0.1 proxycfg.marketscore.com
127.0.0.1 scorecardresearch.com
127.0.0.1 www.marketscore.com
127.0.0.1 b.scorecardresearch.com
127.0.0.1 sb.scorecardresearch.com
127.0.0.1 ehg-comscore.hitbox.com


Das funktioniert dann auch mit jedem Browser. :D

Da fehlt google analytics.. oder braucht man das irgendwo ?

Eine gute /etc/hosts Datei erspart solche Dinge. Ich verwende folgende: ...Geil! Das ist ja der Overkill-Blocker! Einige Webseiten werden bei Einsatz dieses Loopbacks auch viel schneller geladen.

Für mich, war das der Tipp des Jahres.:cool: Vielen Dank.



Big-Brother-Google zu blocken, werde ich mir auch überlegen.

googleanalytics habe ich via adblock auch geblockt … führt zu keinerlei Funktionseinschränkungen, auch nicht auf diversen Google-Seiten.

Und wenn wir gerade dabei sind …


connect.facebook.com
facebook.com##DIV#pagelet_adbox
facebook.com##UIStandardFrame_SidebarAds
facebook.com/plugins/activity.php
facebook.com/plugins/like.php
facebook.com/plugins/likebox.php
facebook.com/share.php
facebook.com/sharer.php
facebook.com^$third-party
||facebook.net^$domain=~facebook.com|~facebook.net |~fbcdn.com|~fbcdn.net
||fbcdn.net^$domain=~facebook.com|~facebook.net|~f bcdn.com|~fbcdn.net
||fbcdn.com^$domain=~facebook.com|~facebook.net|~f bcdn.com|~fbcdn.net
Damit kann man so ziemlich alles blocken, was von facebook auf anderen Seiten eingebunden wird. Facebook selbst funktioniert dabei weiterhin. Sollte man darauf keinen Wert legen, kann man natürlich auch direkt facebook.com speren. ;)

Da fehlt google analytics.. oder braucht man das irgendwo ?

Ist da auskommentiert, einfach # vor wegmachen, und einen Eintrag mit ssl noch hinzufuegen.

Mein Liebling bis jetzt:
googleads.g.doubleclick.net

Dafür gibt es bei Firefox eine Extension die Versteckte Drittanbieter URL jeder Art Blockt.
https://www.requestpolicy.com/
https://addons.mozilla.org/en-US/firefox/addon/requestpolicy/