Bitcoin Forum

Hi Leute,

letztens wurde mir in einem Bitmessage-Channel diese Webseite gezwitschert:

http://prism-break.org

Man findet dort eine schöne Zusammenstellung von freien Alternativen, mit denen man Datenkraken das Leben schwer machen kann.

Und was wird da direkt als erstes für Online-Transaktionen empfohlen?
Na was wohl, Bitcoin natürlich!

Aber auch die anderen Sachen können für uns Bitcoiner ganz interessant sein, obwohl natürlich keine Technologie den gesunden Menschenverstand ersetzen kann.

Was haltet ihr davon? Welche Alternativen verwendet ihr bereits?

Bitcoins werden da mindestens noch 2x empfohlen.
Nämlich in Form von Namecoin und Bitmessage.

Wow, da hat wirklich jemand gute Arbeit gemacht - bookmarked & saved&forwarded!

Bei Email fällt mir noch ein:

http://www.epostmail.org/index.html

...ist aber schon etwas älter...

Danke, "Disconnect" kannte ich noch nicht...

Nette Seite, obwohl das Meiste bekannt ist.

Owncloud nutze ich auf einem eigenen Sever und dort auch meinen eigenen Mailserver.

Genau das war auch meine erste Reaktion, als ich die Seite zum ersten Mal gesehen hab'. ;)

Sehr gute Vorschläge (hab ich aber schon vor einiger Zeit gesehen und mich sehr gefreut, dass ich einiges davon schon länger verwende).  Bei mir regelmäßig im Einsatz:  Tor (auch Orbot), HTTPS Everywhere + NoScript + Iceweasel, DuckDuckGo (weil Google meine Tor-Anfragen blockiert, inzwischen bin ich aber auch so sehr zufrieden), OSM (auch als Mapper, das macht Spaß :D), Pidgin + OTR + Gibberbot + Jitsi mit ZRTP (funktioniert im Moment täglich perfekt für Video und Sprache), owncloud, Bitmessage, GPG + Enigmail + Icedove, Bitcoin + Namecoin, Cyanogenmod + F-Droid (und nur freie Apps) und Debian.  Also fast aus jeder Kategorie etwas (Blog hab ich "Eigenbau" auf meiner Homepage, und Social Network ist bei mir leider, leider nocht Facebook - allerdings ohne dass ich vorhabe, jemals wieder was dort zu posten, und mit genau 5 Freunden).

Ich kann all das persönlich sehr empfehlen!  Übrigens hab ich auch gar nicht den Eindruck, dass ich mit Tor zu sehr auf Komfort beim Surfen verzichten müsste (oder ich bin schon dran gewöhnt :D) - wenn man bei ein paar wichtigen Seiten (oder Seiten, die Tor leider blockieren) gezielt Ausnahmen setzt, läuft es sehr gut und ich fühle mich deutlich sicherer (besonders wenn ich irgendwo freie WLANs verwende und dergleichen).  Nur sollte man dann natürlich noch mehr als sonst darauf achten, für alle kritischen Dinge HTTPS zu verwenden (und auf die Zertifikate Acht zu geben).

Disconnect habe ich gerade getestet. Die App blockt Daten von Tracking Seiten und sendet dafür Daten an den hauseigenen Server. Deren Versprechen nix zu loggen ist keinen Satoshi wert. Besser noscrypt + https-everywhere!

mittlerweile bietet jeder browser von haus aus eine no-tracking funktion. sogar chrome, einfach mal in den einstellungen gucken.

die seite ist richtig gut, habe sie auch favoritisiert!

Eine weitere Seite, die ich empfehlen kann, die aber nicht bei PRISM Break genannt wird, ist:

http://ixquick.com

Das ist eine Suchmaschine für Webseiten, Bilder und Videos mit lobenswerter Privacy Policy und eigener Search Engine.

Das gleiche Unternehmen bietet mit der gleichen Privacy Policy auch anonymisierte Google-Suchergebnisse an, nämlich auf der Seite:

http://startpage.com

Letztere wird bei PRISM Break genannt, vermutlich weil man sich den Namen leichter merken kann. ::)

Ein Problem, das ich nicht ausreichend adressiert sehe:
https://panopticlick.eff.org/

Da ist die einzige mir bekannte Lösung FireGloves:
https://addons.mozilla.org/en-US/firefox/addon/firegloves/

du meinst aber nicht die einstellung


oder? :·>

Kann ich nur empfehlen, speichert sie euch ein. Ist die beste anonymisierte Suchmaschine die ich kenne.

Würde es hier um "keine Macht den Werbefutzis" gehen wären eure Vorschläge sicherlich super. Zwar muss man bei vielen Programmen Abstriche hinnehmen, dafür das sie die Daten seriös behandeln und nicht weiter verkaufen.

Aber hier gehts um Prism. Hier gehts drum, das es 2 Hersteller von Superservern gibt die locker eine 100Gbit Glasfaser abhören, speichern und in Echtzeit analysieren um dann mit entsprechenden Massnahmen auch zu reagieren. Bis hin zum automatisierten man in the middle. Und hier geht es drum, das solche technik nicht nur von China für ihre große Mauer benutzt wird, sondern vorallem von der USA(deswegen ist wohl auch einer der Hersteller aus Israel).

Was hilft eine anonyme Suchmaschine, wenn alle Anfragen dorthin bereits mitgelooged werden. Was hilft Verschlüsselung auf Basis von Zertifikaten wenn diese Zertifikataussteller der NSA zuarbeiten MÜSSEN.

Selbst TOR ist komprimittierbar, wenn man die Exitnodes kontrolliert. Und da TOR "kostenlos" ist aber Geld für den betrieb schluckt, fragt euch mal ob das wirklich alles Enthusiassten sind die da Geld "spenden" oder nicht doch ein paar äusserst finanzkräftige Leute im Hintergrund mithelfen.

Ihr stützt euch hier auf jeden Strohhalm und nehmt kritiklos alles hin, dabei sollte doch gerade jetzt klar werden, das genau aus diesem kritiklosen Verhalten erst soviel Daten zusammen durchs Internet gejagt werden und die Begehrlichkeiten geweckt haben. Wenn ich mir Prism-break.org genau anschaue, sehe ich nicht wirklich viele unabhängige Projekte. Sei es opensource-Clients für firmenkontrollierte Netzwerke, sei es Opensource, die mit Budget von 500 Millionen im Jahr hantieren. Und da kann ich mir beim besten Willen nicht vorstellen, das es alles Spendengeld ist. Überall wo es zentrale Strukturen gibt in der Kommunikation, können Staaten Druck ausüben um sich Zugang zu verschaffen. Eigentlich liest sich Prism-break.org eher wie ein Werbeflyer für Opensource das die momentane Angst der Menschen ausnutzt Opensource public zu machen und als Lösung anzubieten. Aber es löst natürlich nicht die Probleme, es verlagert sie nur von einem zum anderen Anbieter.

Dieser Kommentar ist sicher berechtigt - trotzdem sollten wir zumindest nützen, was da ist, um einen Angriff so schwer wie möglich zu machen.  Viele der Dinge auf prism-break.org nutze ich nicht, nämlich insbesondere die meisten Cloud / Social-Media Alternativen.  Ich nehme an, es geht dir vor allem darum?  Was hältst du von Dingen wie GnuPG, OTR oder ZRTP?  Da kann man nicht so "einfach" wie bei SSL-Zertifikaten eine MitM-Attacke fahren, zumindest nicht, wenn die Benutzer vorsichtig sind und den Schlüsselaustausch sicher durchgeführt haben.

Das ist der Trugschluss: man macht der NSA nichts schwer, weil sie die Daten dort abgreifen, wo sie entstehen. Nicht dort wo sie weiterverarbeitet werden. Einen Internetbackbone anzuzapfen heist direkt die Daten die dein Rechner sendet zu speichern. Egal zu wem und wohin. Und Verschlüsselungen ala HTTPS werden doch sowieso auf dem Webserver sofort entschlüsselt(zum verarbeiten), das ist vorneweg drauf ausgelegt nicht übermässig rechenintensiv zu sein.

Also es hilft nicht mal ansatzweise, irgendwem irgendwas schwer zu machen. Der einzige der es schwer hat ist man selbst, weil man deutlich mehr Aufwand treibt, auf Komfort verzichtet und sich in FALSCHE Sicherheit wiegt.

Zu wissen, das man abhört wird, ändert das verhalten. unschön, aber momentan unvermeidbar. Zu meinen, man hat die Sicherheit wieder hergestellt, sorgt dafür das man sein Verhalten lässt wie es ist und damit dem Staat in die Hände spielt.

http://www.stern.de/panorama/besuch-vom-staatsschutz-nach-facebook-eintrag-wie-ein-griesheimer-ins-visier-der-nsa-geriet-2038324.html

Ein paar Freunde die nichts böses wollten, nichts verbotenes tun, einfach nur mal zeigen, das sie es nicht in ordnung finden. Und das kommt dabei raus. Es scheint als müssten wir in Zukunft wenn die Polizei vor der Türe steht, erstmal einen Anwalt anrufen, bevor man überhaupt Hallo sagt. Und eigentlich war ich immer der meinung, die Polizei wäre dazu da, mich zu schützen. Dafür zahle ich doch Steuern und nicht dafür das ich schon terrorverdächtig bin, wenn ich mal meinen Unmut kund tue.

Die Kommunikation zu Facebook ist 100% HTTPS, also Verschlüsselt. Prism-break.org verkauft Schlangenöl...zumindest wenn man den Begriff nicht zu eng fasst. Nutzloses zeugs, das einem nicht hilft. Es spielt absolut keine Rolle welchen Browser ich benutze, welches Mailprogramm und welches Chatprogramm. Solange ich will das jemand anderes es lesen kann, können es auch die Spione. Mich würde es nichtmal wundern wenn prism-break.org vom Staat käme um zu verhindern, das vieleicht doch noch erfolgreiche Massnahmen entwickelt werden, die zu knacken nicht ohne weiteres möglich sind.

Edit: hatte deinen Einwurf bzgl asymetrischer Verschlüsselung übersehen.

Sicher ist eine Verschlüsselung die symetrisch mit einem sehr fetten Schlüssel gemacht wird. 128Bit dürften momentan noch nicht knackbar sein. Jedenfalls nicht in einer Zeit in für die die Informationen relevant sind. 256Bit ist unknackbar, da die Lebensdauer der Sonne nicht ausreicht, selbst wenn man quantenphysik dazu kalkuliert.

Asymetrische Verschlüsselung und dazu gehört alles was du so aufgezählt hast(öffentlicher Schlüssel und privater Schlüssel) dürften bei 4096 den breakpoint erreicht haben an dem unsere gesamte Existenz nicht ausreicht es zu knacken. Also wären wohl 1024 irgendwann noch knackbar und 2048 theoretisch knackbar. Aber es gibt eine gewaltige Schwachstelle: Der Schlüsseltausch. Dieser DARF nur über einen Weg erfolgen, den die NSA nicht kontrolliert. Damit bleiben nicht viele Wege über. Alles was Handy und Computer heist fällt schonmal raus.

Fall1: man ist noch nicht aufgefallen und wird folglich nur pauschal überwacht
Briefinhalt könnte man noch als halbwegs sicher betrachten, steganografische Briefe sind dann wohl noch 100% sicher. Hat man den key einmal ausgetauscht, darf man der Kommunikation vertrauen.

Fall2: man ist schon im Visier, weil man aufgefallen ist
jetzt dürfte es kompliziert werden. Im Worstcase killt man den Rechner, bzw das Betriebssystem und erzwingt eine Neuinstallation. Spätestens beim ersten Update kann man nun Spionagesoftware unterjubeln und jede Kommunikation abhören. Dann ist auch keine symetrische Verschlüsselung mehr sicher, erst recht keine Asymetrische. Und welche deiner Kumpel alles überwacht werden müssen hat man ja schon anhand der Kontaktdaten, die sich einfach nicht verschlüsseln lassen. Du kannst nicht verschlüsselt meine Adresse auf den Brief schreiben und erwarten das er trotzdem richtig ankommt. Hauptstrasse 3 muss Hauptstrasse 3 bleiben. Und so funktioniert auch das Internet. Man weis, wer mit wem kommuniziert und weis damit wem man überwachen muss. Wo die Paranoia zu hoch ist, wird der dicke Hammer benutzt. jeder Form der elektronischen Kommunikation ist ab jetzt als komprimittiert anzusehen.

Warum? Weil die nicht wissen, ob wir harmlos oder gefährlich sind. Also MÜSSEN sie uns überwachen, um das rauszufinden. Und je stärker wir uns abschotten, desdo mehr der Verdacht wir hätten was zu verbergen.

Während ich das schreibe, fällt mir ein Aspekt ein den ich bisher übersehen hatte
Wenn alle oder zumindest ein sehr hoher Prozentsatz anfangen alle Kommunikation zu verschlüsseln, wird es als Merkmal nutzlos. Man weis ja, das nicht 2 Milliarden Menschen potentielle Terroristen sind. Andererseits, wenn die so weiter machen, könnte es doch dazu kommen, das wir 2 Milliarden potentielle Terroristen auf der Welt haben werden. Unter dem Aspekt dieses Merkmal zum Normalen zu machen, lohnt es sich wohl, einiges an Aufwand zu treiben. Wirkung zeitg es aber erst, wenn wirklich viele mitmachen.


Persönlich würde ich aber eher zu neuen Methoden greifen bzw entwickeln. Alles was es so im Mainstream gibt, weis die NSA auch und wird schon lange Strategien entwickelt haben, das zu untergraben. Der Ansatz der ihnen das Leben schwer macht muss aus neuen Ideen kommen. Wiederrum ein grund vorhandene Systeme NICHT zu nutzen.

Ich bezweifle ja auch gar nicht, dass es für die NSA kein Problem ist, HTTPS Daten zu Google oder Facebook direkt an der Quelle abzugreifen (oder ein Zertifikat zu fälschen und beliebige SSL Verbindungen zu knacken).  Aber wie schon erwähnt denke ich zumindest, dass man mit GnuPG oder OTR sicher sein kann, wenn man die Schlüssel vertrauenswürdig austauscht.  Natürlich kann man dann im Einzelfall einen Trojaner installieren, dagegen kann man wohl wirklich nichts machen (das passiert ja auch vielen staatlichen Stellen, die sicher nicht allzu wenig Augenmerk auf Sicherheit legen).  Aber das ist zumindest wirklich nicht ganz so einfach möglich, und wahrscheinlich nicht massenhaft ausführbar (wie das Abgreifen aller Daten im ganzen Netz).

Andere Frage:  Was schlägst du vor?  Einfach weiter Facebook und Google verwenden, um online zu kommunizieren, am besten gleich ganz ohne Verschlüsselung oder Tor, weil es ja sowieso nichts bringt?

@Chefin, domob
Ich denke, bei prism-break.org (und in diesem Thead) geht es nicht darum, den Sinn und Unsinn von Verschlüsselungstechnik zu diskutieren, sondern eher darum, dass die Leute, die diese Technik sowieso verwenden wollen, sich austauschen können, und eine Liste von interessanten Projekten finden, die sie sonst selbst mühsam zusammensuchen müssten.
So ist zumindest mein Verständnis von dieser Webseite. Man sieht das auch gut an den Kommentaren weiter oben.

Eine Diskussion über Sinn und Unsinn von Kryptographie mag ganz interessant sein, aber dafür haben wir ja schon einen eigenen Thread (https://bitcointalk.org/index.php?topic=251027.0), oder man kann einen neuen aufmachen.

---

So, genug Off-Topic, zurück zum Thema:


Inzwischen gehe ich zu YaCy über. Es ist etwas ungewohnt, aber man gewöhnt sich ja bekanntlich an alles. Ich kann es euch nur empfehlen:

http://yacy.net

Je mehr Leute es benutzen, desto besser werden die Suchergebnisse. ;)

TOR ist eine von der NSA mitfinanzierte Entwicklung. Allerdings werden definitiv nicht alle Relays von den Geheimdiensten betrieben. Bei meinen Knoten bin ich mir da sogar ziemlich sicher ;D. Bisher habe ich weder im Code noch im Datenverkehr der Knoten Unstimmigkeiten festgestellt. Falls dort Backdoors eingebaut sind, sind diese extrem Clever angelegt, sodass sie einem Programmierer im Source-Code nicht so leicht auffallen und auch beim Datenverkehr keine Auffälligkeiten zeigen.

Wenn man nicht gerade derk aktuelle Staatsfeind der USA ist, bieten TOR und andere Tools ganz gute Möglichkeiten. Die Nutzung ist allerdings extrem unbequem und mit vielen Einschränkungen verbunden. Mal eben per Internet kommunizieren ist dann nicht mehr drin. Facebook, Google, GMX etc. sind dann aber sowieso Tabu.

Bei mir klappt Tor eigentlich ganz gut, wenn man sich mal dran gewöhnt hat, dass Webseiten ein bisschen langsamer laden.  Auch für XMPP Chats läuft es gut, für Voice/Video ist die Bandbreite natürlich zu klein.  (Und man muss damit leben, dass man von einigen Seiten geblockt wird.)

Geht mir auch so. :)
Bei mir zuhause ist der ISP sowieso der Flaschenhals, da macht die Verzögerung von Tor auch nicht mehr viel aus.

Aber dabei möchte ich euch auf das Invisible Internet Project hinweisen:

http://i2p2.de

Das könnte im Prinzip so etwas werden wie Tor, nur schneller. ;D

Der Unterschied kommt daher, dass Tor verbindungsorientiert arbeitet - Tor setzt auf TCP auf.
Bei I2P hingegen findet das Zwiebel-Routing schon auf Paketebene statt, ist also hardware-näher und dadurch effizienter.

I2P hat einen anderen Schwerpunkt als TOR. TOR ist hauptsächlich ein Verbindungs-Mixer, während I2P im Kern ein Darknet ist, d.h. die Peers sind alles I2P Knoten. Leider hängt I2P sehr stark an Oracle-Java und darf deshalb nicht auf meine Server.

Stimmt.
Im Grunde finde ich diese Schwerpunktsetzung sogar besser, dadurch ergänzen sich Tor und I2P ganz gut.

???
Ich verwende I2P mit OpenJDK 6, und es funktioniert problemlos...
Sun/Oracle/Whatever© Java käme für mich auch nicht in Frage. ;)

OpenJDK gibt es für die meisten meiner Server nicht - zumindest nicht ohne grösseren Aufwand. gcj wäre eine Option, aber das Makefile war, als ich es letztes mal benutzt habe, nur mässig gepflegt und ich musste einiges patchen.

Aber die Idee ist gut. Mein (utopischer) Wunsch ist, dass die meisten privaten Dinge (Foren, Webseiten, Börsen, ...) im Darknet wie z.B. I2P laufen. Dann müssten sich die Betreiber auch keine Gedanken mehr um Abmahnungen und ein Impressum machen. Daneben würde das Netzwerk durch die grössere Anzahl an Peers gestärkt. Aber versuch mal den Normal DAU ins Boot zu bekommen: Da benutzt ja einer meine teueres Internet mit, da sind ja andere Leute auf meinem Rechner, ich habe nichts zu verbergen, ist mir zu kompliziert, bringt ja sowieso alles nichts, das benutzen nur Kinderficker und Terroristen, das ist sicher illegal ...

LOL, genau so!

Da haben wir den gleichen Wunsch. ;)

Danke. Du beschreibst sehr gut, welche Argumente der angepasste Otto-Normal-Bürger hervorbringt, nur damit er seine Gewohnheiten nicht ändern muss. >:(
Einfach so weiter machen wie bisher ist eben einfacher, und wenn mal wieder in den Nachrichten was von PRISM kommt, dann ist das eben nur die nächste Sau, die durchs Dorf getrieben wird. :'(

Vielleicht ist es aber auch noch zu früh, um den DAU ins Boot zu bekommen. Mir würde es völlig reichen, wenn sich I2P etc. erstmal unter kreativen Menschen und Techies weiter verbreitet.
Im normalen IPv4-Internet ist es meistens so, dass das gemeine Volk nur eine IP-Adresse pro Haushalt bekommt, oder sogar noch weniger. Die Verteilung der IP-Adressen erfolgt zentral von der ICANN ausgehend, und folgt dabei der Verteilung des Kapitals. Die Verteilung des Kapitals ist aber selten gleich der Verteilung von Kreativität und Know-How.
Meiner Meinung nach sollte aber jeder, der einen kreativen/kleveren Inhalt bereitstellen kann, die Möglichkeit haben, einen eigenen Webserver zu betreiben. Das geht aber schlecht, wenn man hinter einem NAT sitzt, d.h. sich die IP-Adresse mit vielen Leuten teilen muss.

Dabei könnte I2P eine Lösung sein. Zusätzlich zur Anonymität bietet I2P nämlich auch einen anderen Vorteil:
Jeder kann seinen eigenen Server betreiben, auch hinter NAT/Firewalls. Die I2P-Adressverteilung erfolgt völlig dezentral: Sobald man sich ein kryptografisches Schlüsselpaar erstellt hat, hat man eine I2P-Adresse.
Anders ausgedrückt: Ich halte die I2P-Netzwerktopologie für gerechter als die des normalen Internets.

Und ich erlebe mit Freude, dass I2P jetzt schon so genutzt wird: Wenn ich über I2P-Websites surfe, sehe ich jede Menge kleine witzige, pfiffige und schöne Dinge, die im kommerziellen Internet schon fast ausgestorben sind.
I2P ist nicht nur eine Technologie, sondern auch eine lebendige Gemeinschaft!! Das erkennt man aber erst, wenn man dem weißen Kaninchen in seinen Bau gefolgt ist...

Ohje, ich schweife ab...


...zurück zum Thema:

Sehe ich auch so, darauf müsste stärker hingewiesen werden.
Die Verschleierung der IP-Adresse ist nutzlos, wenn man durch den Browser-Fingerabdruck identifiziert werden kann.

Den Link auf die EFF-Seite möchte ich nochmal hervorheben:

https://panopticlick.eff.org/

Das gibt einen ungefähren Eindruck, wieviele Bits an Informationen man durch die Weltgeschichte schickt und dabei jeder Webseite auf die Nase bindet, auch wenn man sonst keine Daten eingibt.

Wir können ja hier mal einen kleinen Contest machen:
Wer schickt am wenigsten Bits in seinem Browser-Fingerabdruck? :D

das hab ich bei hidden services in TOR ja auch.
(ich sollte mir i2p mal wieder ansehen, das letzte mal ist schon Jahre her)

Du hast völlig recht: Wenn man nur die Funktionalität betrachtet, die dem Endanwender zur Verfügung gestellt wird, dann hat I2P nichts zu bieten, was Tor nicht auch hat.

Aber es gibt auch einige Eigenschaften, die für I2P sprechen:

• I2P ist vollständig dezentral und selbstorganisierend. Bei Tor gibt's die zentrale Netzwerkdatenbank.
• I2P ist vollständig "trustless", also kein Node vertraut einem anderen. Bei Tor vertrauen einzelne Nodes darauf, dass andere ihre maximale Bandbreite etc. korrekt angeben.
• Bei I2P werden einzelne Datenpakete weitergeleitet, bei Tor ganze Streams. Der Unterschied ist, dass bei Tor Anfrage und Antwort, Hin- und Rückweg immer auf dem selben Weg stattfinden, was einige Angriffe auf die Anonymität erleichtert.
• Wegen der Ausrichtung auf einzelne Datenpakete sind I2P-Verbindungen auch robuster gegen Ausfall einzelner Nodes: Wenn man eine große Datei lädt, und dabei einige der benutzten Nodes ausfallen, werden die Datenpakete einfach über einen anderen Weg zum Ziel geschickt. Bei Tor wäre die Verbindung komplett abgebrochen.
• Durch die Paketorientierung entsteht auch ein Geschwindigkeitsvorteil für I2P.
• I2P benutzt "Knoblauch"-Routing statt "Zwiebel"-Routing :D d.h. bei Tor wird eine Nachricht in mehrere Hüllen von Verschlüsselung gepackt, bei I2P werden mehrere Nachrichten (die an unterschiedlichen Stellen nochmals unterschiedliche Routen wählen können) in mehrere Hüllen gepackt. Das erschwert einige Angriffsszenarien.
• I2P wurde von Anfang an als Darknet konzipiert, die Ausgänge in die restliche Welt sind nur Nebensache. Bei Tor ist es umgekehrt. Wer also ein Darknet nutzen möchte, hat bei I2P den Vorteil, dass das der Schwerpunkt der Entwicklung ist.
• Tor hat öffentlich bezahlte Entwickler, die eine Schwachstelle bei einem Angriff von staatlicher Seite sein könnten. I2P-Entwickler verstecken sich im I2P.

Also dieser Aufruf zum Contest war schon ernst gemeint.
Ich suche nämlich noch nach Möglichkeiten, meinen Browser-Fingerabdruck zu verkleinern.

Mein bisher bestes Ergebnis...


...erreiche ich mit diesen Einstellungen:


Also das sind 19 Bit an identifizierenden Informationen.

Bietet jemand weniger? 8)

Biete 14.3 Bits
http://www.imagebam.com/image/1e0b0a266514283

Edit:
Ohne UserAgent sind es nur noch 12,44
http://www.imagebam.com/image/664ed3266520818

das Problem ohne User Agent werden einige Webseiten falsch dargestellt von daher hab ich ihn an

PS:
Sollte vielleicht auch verraten welche Addons dafür verantwortlich sind  ;D :
Cookie Whitelist with Button
YesScript ist eine Blacklist für Javascript (falls jemand ein Addon kennt das alles erstmal Black listet bitte melden  :) )
UserAgent Switcher
Web Developer damit kann man bspw leicht Javascript komplett abstellen und Referrer deaktiveren
Flashblock damit kann man Flash leicht aktivieren und deaktiveren.

http://oi40.tinypic.com/2dt4rbt.jpg

Ich benutze NoScript...

21.59 bits: Chrome 29 beta mit NotScripts
21.59 bits: Chrome 29 beta incognito Window
20.59 bits: Chrome 29 beta, Javascript und Java aktiviert
Lol

Wenn ich das richtig verstanden habe, interessiert die Anzahl der information bits nicht.
Der Wert "one in xxx browsers have the same fingerprint as yours" ist relevant. Je niedriger das xxx, desto anonymer.

Solange man nicht an den System Fonts rumspielt, gehört man doch zu den 99% oser sehe ich das jetzt falsch?

Zwischen diesem "xxx" und der Anzahl an Bits besteht ein direkter Zusammenhang:

Anzahl Bits = Logarithmus zur Basis 2 von xxx

Also es sind letztlich nur unterschiedliche Darstellungen derselben Größe.
Welche Darstellung man anschaulicher findet, ist Geschmackssache; deshalb wird auf der Webseite einfach beides angezeigt.

Also wenn du schreibst...

...dann kann man einfach mit dem Logarithmus zur Basis 2 ausrechnen, dass du (ungefähr) 13.39 Bits an Informationen rausschickst.


So einfach ist das leider nicht. Die Fonts sind auf verschiedenen Systemen seeeehr unterschiedlich.
Und die Fonts sind nicht das einzige Merkmal, mit dem man Systeme unterscheiden kann. Das wird in diesem Artikel der EFF sehr gut beschrieben:

https://panopticlick.eff.org/browser-uniqueness.pdf

Absolut lesenswert! Dort wird unter anderem auch gesagt, was mit dem Test so alles nicht gemessen werden kann. Es gibt nämlich noch einige Merkmale, die zum Fingerabdruck gehören, die leider in diesem Test nicht berücksichtigt werden konnten.
Unser Browser-Fingerabdruck ist also größer als uns in diesem Test angezeigt wird. :'(

Ich fänd's toll, wenn's in Zukunft noch mehr solche Tests gäbe, die noch mehr Attribute erfassen.

Welche Webseiten sind das?
Bei mir klappt's ohne User-Agent ganz gut, wobei ich auch noch nicht alle Webseiten getestet habe.

Mit nur 12.44 Bits warst du ja schon ganz gut, aber...


Bietet jemand weniger? 8)

Das Problem dabei: Wenn jeder nur noch NAT bekommt wird es schwer P2P Netze zuz betreiben. Das NAT Tunneluing funktioniert eher schlecht und ist auch noch vom Provider abhängig. Bei manchen geht UDP nicht richtig, bei anderen können IP/Port Zuordnungen nicht über längere Zeit stabil gehalten werden. Damit hängt alles an den paar zentralen Serveren, die über echte Adressen verfügen.

IPv6 wäre eine Lösung, aber die Verbreitung läuft extrem schleppend. Ich hatte 5 Jahre lang gekämpft, bis ich vor vier Jahren alle meine Knoten ordentlich im Dual-Stack laufen hatte. Dabei musste ich X Provider durchmachen, da bei jedem irgend etwas nicht verfügbar war oder einfach nicht funktioniert hat und der Provider auch kein Interesse daran hatte, das Problem zu lösen. Bis heute muss ich an diversen Stellen noch Tunnel nutzen, weil die Provider es nicht auf die Reihe bekommen. Gleichzeit werden meine IPv4 Adressen immer teurer - vorzugsweise bei den Providern, die IPv6 gar nicht erst auf die Reihe bekommen.

Ist schon etwas länger her das ich es probiert habe, daher fällt mir nur google ein. ??? Ehrlich gesagt hab ich es auch nicht wirklich freiwillig ausprobiert ich hatte damals den UserAgent für was anderes entfernt und vergessen ihn wieder "einzuschalten"  ;D
Wie hast du den Header entfernt? Ich hatte danach schon gesucht aber nicht gefunden.

Ich sehe das Problem auch... :'(

Zurzeit nutze ich IPv6-Tunnel, als Übergangslösung.


Bei Firefox musst du unter about:config den Inhalt dieser Variablen leeren:

• image.http.accept
• intl.accept_languages
• network.http.accept-encoding
• network.http.accept.default

Ich habe jetzt mal mit netcat beobachtet, welche Header mein Browser versendet:
Der Cache-Control-Header wird erst ab dem zweiten Abruf einer Datei gesendet.
Der Referer-Header wird gesendet, wenn die Datei von einer anderen Datei aus verlinkt wurde.

Diese Headers sind so ziemlich der (minimale) Standard, den jeder Bot verschickt, der sich durchs Netz hangelt. Deshalb fällt man damit nicht auf.

Leider kann diese Tarnung leicht zerstört werden, sobald man versehentlich noch einen anderen Header mitschickt.
Z.B. der Do-Not-Track-Header: Ich kann nur dringend empfehlen, die Option "Tell websites that I don't want to be tracked" zu deaktivieren, weil man sonst sehr leicht getrackt werden kann.
Auch wichtig, aber eigentlich sowieso klar: keine Cookies, und kein JavaScript, außer bei Seiten denen man sehr vertrauen kann. (z.B. bitcointalk.org ;))

Ich kann nur jedem empfehlen, mit Tools wie netcat oder wireshark zu beobachten, was der eigene Browser so alles an Informationen durchs Internet pustet.
Es sollte höchstens soviel wie oben sein, besser weniger (z.B. den Referer-Header braucht man auch nicht unbedingt), weil man dadurch so aussieht wie ein Bot, und die Bots machen ja einen großen Teil der Netzwerkauslastung aus.

Freut mich, dass das Fingerprinting etwas Beachtung findet.
Wenn ihr übrigens einen zu verhunzten Fingerprint habt, seid ihr unter Umständen wesentlich auffälliger.
Am besten wäre, sich z.B. über Firegloves den populärsten Fingerprint einzustellen, s. auch
http://techblog.willshouse.com/2012/01/03/most-common-user-agents/

Wenn man aber alle Möglichkeiten des Fingerprinting abschöpft, wird man sich wohl wenig schützen können.


Nochmal zu PGP/GPG - asymmetrische Verschlüsselung:
Wieso darf der public key nicht über einen bekannten Punkt ausgetauscht werden? Wird dann 4096Bit unsicher, wenn beide Publickeys bekannt sind?
Da steckt doch Diffie-Hellmann Exchange als Prinzip dahinter, oder?
Hatte ich bislang für sicher gehalten....

Danke klabaki

Gerade festgestellt ohne Useragent geht Startpages nicht

Danke für den Verweis auf das Addon
Vorweg bin in Kryptografie nicht ganz so bewandert. Was meinst du mit bekannten Punkt? Bei D-H besteht das Problem der Man in the Middle Attacke, wie auch beim PublicKey. Also jemand leitet die Nachrichten über sein eigenes System und tauscht die Publickeys gegen eigene aus wenn welche getauscht werden.

Deswegen gibt es bei PGP / GnuPG das "Web of Trust"
Du kannst im Key-Manager einstellen wie sehr du dem Schlüssel vertraust.
Und man kann Schlüssel signieren wenn man glaubt das der Schlüssel echt ist.

Bei meiner Paranoia trauen ich nur Keys die ich persönlich erhalte. ;D Die Idee von WOT finde ich ganz gut, und vielleicht fehlt es mir an Wissen darüber aber so wie ich es momentan sehe ist es einfach zu anfällig durch Benutzer die leichtfertig damit umgehen.  ???

OK, Man in the Middle ist grundsätzlich möglich. Allerdings kann man sich dagegen nicht nur über "absolut sichere" Übermittlung wehren. Man könnte den Fingerprint nochmal z.B. telefonisch verifizieren. Oder man publiziert seinen Publickey so flächendeckend (wie z.B. John), dass es ziemlich witzlos ist. Dann sehe ich eigentlich keine Probleme?

Das ganze Keyserver und vor allem WOT Konzept finde ich besch... äh sehr sub-optimal ;)
Per WoT lieferst Du jedem weltweit eine Liste Deiner engsten/vertraulichsten Kontakte. Das ist für mich Facebook-GAU hoch 10!
Und ein Keyserver ist auch bestenfalls eine reine Spam-Schleuder.
Ich verbiete es meinen Kontakten, mir zu vertrauen!
Und persönlich könnte ich auf zentrale Keyserver verzichten. Alternativ wäre ein Keyserver eine gute Idee, der nur ordentlich gehashte Email-Adressen abfragen lässt.

Zu Fingerprinting: Wenn ihr Alternativen zu Firegloves kennt, bitte posten. Das Tool wird nicht mehr weitergepflegt...

Diese Seite gibt's noch:
http://bfp.henning-tillmann.de/ (http://bfp.henning-tillmann.de/)
Allerdings wird da kein Score angezeigt oder so, einfach nur ne Liste mit den Daten.

Meine Hauptsorge ist eigentlich, dass sich Google, Amazon & co bald (oder jetzt schon?) nicht mehr über Cookies die Benutzerprofile tracken, sondern über Fingerprinting.
Daher brauche ich es sogar vielleicht noch mehr für den Alltagsgebrauch mit (leider) Javascript.

Endlich mal Menschen, die sich nicht freiwillig ausspionieren lassen!

99% aller Verkehrsunfälle sind auf Verkehr zurück zu führen.

Mein Satz ist so sinnlos wie deine Ausführung. Was du deaktivieren willst IST das Internet heute. Die Zeiten als HTML den Funktionsumfang von Notepad hatte sind vorbei. Und die kommen auch nicht wieder. Und Bitcoin wirst du auch nicht mehr los, weil ohne die aktiven Inhalte keine Tradingseite mehr funktioniert. Aber grundsätzlich hast du natürlich recht: die Datenlecks im Internet kommen davon das man das Internet benutzt. Wenn man das Internet nicht mehr nutzt sind die Daten für die NSA nicht mehr greifbar.

Man...manchmal möchte ich nur noch schreien: Herr schmeiss Hirn vom Himmel

Herr schmeiss Hirn vom Himmel

 ;D ;D ;D

Was allerdings funktioniert ist, die angesprochenen Mechanismen und Tools bewusst und konsequent mit einem bestimmten Nutzungsverhalten einzusetzen. Damit werden für as Datamining viele unterschiedliche virtuelle Identitäten angelegt. Allerdings ist auch klar: Ein minimaler Fehler (eine seltene Redewendung in anderem Kontext, das gleiche Suchverhalten, eine exotische Einstellung im Browser/System etc.) und das ganze Kartenhaus stürtzt in sich zusammen.

Du willst also nachdem wir endich Autobahnen haben mir erklären, das Feldweg fahren völlig ausreicht um ans Ziel zu kommen? Hast ja recht...ich komme ans Ziel.

Aber Sinn macht deine Aussage deswegen immer noch nicht.

Versteh ich es dann richtig das folgendes Ergebnis richtig gut ist?


Wenn ja, tolle Sache und das alles ohne TOR und mit proprietären Systemen :D

leider genau umgedreht.

Einer von 10 hat den selben Fingerprint ist gut
Einer von 3 Millionen hat den selben Fingerprint ist schlecht

Deiner ist Unique, also einmalig. damit ist das sowas wie ein Namensschild.

hmm scheiße ^^
aber joa doch, klingt sinnig.
vielleicht sollte ich auch etwas tun

@Klabaki:
Ich denke, Chefin hat schon ein ausreichend gutes Verständnis technisches Verständnis. Das ist glaube ich nicht der Punkt.
(Was soll eigentlich der Hinweis auf turing-vollständig - das sind doch im Prinzip mehr oder weniger alle Programmiersprachen - oder soll das nur Eindruck schinden? ;) )

Ich kann mich noch an gute alte Zeiten erinnern, als ich noch mit einem Mosaic-Browser durch ein reinrassiges HTML-Internet gesurft bin.
Aber  - da gebe ich Chefin recht: die Tage sind leider vorbei!!
In einer der nächsten Firefox Version wird es gar nicht die Option geben, Javascript auszuschalten. Spätestens dann werden sich allmählich die Webdeveloper von JS-freiem Internet verabschieden.
Und ja, mich schaut auch täglich der NoScript-Knopf an. Die Option "Forbid Script Globally" führt mich aber leider im Alltag nicht mehr weit... :(

Ist schon passiert, my Ubuntu-System in der Arbeit hat schon auf Firefox 23 upgedated (zu Hause verwende ich Debian Wheezy, ist mir sympathischer da Canonical in letzter Zeit immer wieder mal "komische" Ideen hatte).  Für mich funktioniert NoScript (mit aktiviertem Blocker) allerdings sehr gut - einige Seiten, die ich regelmäßig verwende, sind auf der Whitelist, und ansonsten kann man JS auch temporär recht leicht für die aktuelle Seite aktivieren wenn man ihr vertraut und feststellt, dass irgendwas nicht geht.

@klabaki

Kennst du Datex-P? Vermutlich nicht, weil es vor deiner Geburt war. Aber schon damals konnte man Rechner via Fernverbindung hacken.

Später kam BTX, auch da war man nicht sicher.

Dann kam AOL/Compuserve und das Spiel ging weiter.

Irgendwann sagte einer, es gäbe wieder was neues, hacken ging aber immer noch.

Und jetzt kommst du und willst der Welt erzählen was das Internet ist. Meinst du nicht, das du dich da ein bischen übernimmst? Wenn du dich wirklich so als der Kompetenzbolzen hinstellen willst, dann erkläre mal wieso heute das Internet schlechter ist wie es früher war in bezug auf das Thema Sicherheit. Da bin ja ich mal voll gespannt.

Den ich werde dir jedes Argument das du bringst wie Seidenpapier zerreisen. Heute muss ich mich schon anstrengen bis ich einen Rechner hacken kann. Das ging 95 im Internet noch deutlich einfacher. Es gab nichts spaßigeres als wenn im IRC einer mit AOL-IP reinkommt um dann in weniger als 2 Minuten Fischfutter zu sein und wenn er es wagt ein zweites mal zu kommen, konnte er davon ausgehen das er seinen PC neu installieren muss. Und das war gelebte Realität. Wir konnten PCs in der regel in 1-2 minuten kappern. Aber zu holen gabs damals praktisch nichts, finanzielles Interesse bestand auch keines. Es war ein Sport. Aber SICHER war es garantiert nicht.

Was sich geändert hat, ist das Nutzerverhalten, inzwischen wird das halbe Leben am PC abgewickelt und völlig hirnlos dem PC vertraut wie der eigenen Mutter. Und klabaki...du bist hier schliesslich bei Bitcoin, das ist geradezu die Krone des Vertrauens in den PC. Aber man muss eben auch zugestehen, das vieles inzwischen deutlich sicherer geworden ist. Auch wenn dir das alles wie offene Scheunentore vorkommt, so sind es doch eher Mauslöcher im Hochhaus. Die muss man erstmal finden, bevor man in den PC reinkommt. Deswegen findet heute 95% des Hackens durch social engeneering statt. Also man bringt den User dazu, etwas zu klicken. Nur dann hat man Erfolg. Dann sind die technischen Belange dahinter egal. Wenn ich den User dazu bringe etwas anzuklicken, dann wird er verseucht, egal ob er Java-script an oder aus hat. Den er wird es einschalten, wenn er nichts sieht. Er hat ja drauf geklickt WEIL er was sehen will.

Also höre endlich auf, hier weiter mit technischen Gedöns zu kommen. Wenn ich dir einen Werkzeugkasten gebe kannst du sicherlich kein Auto repaprieren. Ein KFZ-Handwerker kann das und zwar mit dem selben Werkzeugkasten. Es ist IMMER der Mensch der entscheidet und der etwas nützliches oder schädliches aus einem Gegenstand macht. Auch aus virtuellen Gegenständen.

Deine Argumentation zielt nur drauf ab, dein Gewissen vom Lernzwang zu befreien. Statt das du lernst mit dem Internet umzugehen suchst du die Schuld beim PC, bei der Software oder sonst wo. Aber damit machst du nichts besser, weil immer noch der selbe Dummkopf(zu verstehen als unwissend) vor dem Monitor sitzt.

Ums mal aus der Versenkung zu holen und meine damalige Aussage mit den jetzt bekannt gewordenen Fakten zu untermauern

http://www.heise.de/newsticker/meldung/XKeyscore-Quellcode-Tor-Nutzer-werden-von-der-NSA-als-Extremisten-markiert-und-ueberwacht-2248328.html

Auch wenn vor 1 Jahr viele mich noch als Miesepeter hingestellt haben. Ich hoffe das sich doch die einen oder anderen etwas tiefer mit der Materie beschäftigt haben und sich nicht auf Scheinsicherheit einlassen. Dieser Schritt war logisch und klar erkennbar, wenn man sich in die Lage der NSA versetzt. Ich hatte schon mehrfach geschrieben, NSA sind keine böse Buben in Form der Panzerknacker, die aus innerer Überzeugung böse sind. Es sind Menschen die meinen, das richtige zu tun. Das sie durch falsche Idiologie zu diesem Schluss kommen, merken sie letztendlich nicht. Den falsch und richtig ist immer vom Standpunkt abhängig. Was wir als falsch empfinden empfindet der Täter noch lange nicht genauso.

Als ob das nicht jeder vernünftige Mensch erwartet hätte...

@Chefin:  Bin nicht so tief drin im Thema, daher Danke für deine umfangreiche Erläuterungen




vernünftige Menschen..... wie, wo, wat, gibt`s die wirklich?..... hier?    :o  ....ach, nasowas, naguckemol...   ;D

Naja...wenn man sich die restliche Kommentare auch in anderen threads anschaut kommt man zu zwei möglichen Schlussfolgerungen: entweder haben auch die vernüftigen Menschen das nicht so erwartet oder die Zahl der vernüftigen Menschen ist sehr klein.

Hab mittlerweile "issues" solche URLs ohne https abzurufen (obwohl die Infrastruktur broken ist)


Von PGP/GPG rate ich ab, das schaut so aus als wenn viel Wert of Metadaten gelegt wurde. Was man wohl als Entusiast auch mit "Web of Trust" bezeichnen könnte. Für die Sicherheitsesotheriker das täglich Brot. Ich signiere meine Postings NIE, um alles abstreitbar zu halten. Dann lieber Vertrauliches in einem einfachen .zip Attachement, das über privat getauschte Keys verschlüsselt wurde.

Zu base64 encodeten Messageblocks mit OTP encoding, die via Clipboard cut&pasted wurden gehe ich hier mal nicht ein, das ist die Königsklasse, das ist Mathematisch beweisbar nicht knackbare Verschlüsselung. Das interessiert schliesslich keinen.

 ;D ;D ;D