Google Fact Checking Tools (22. Sep. 2023)
Im August 2023 hat die Google News Initiative (GNI) eine Änderung des Google Fact Checking Tools bekannt gegeben, welche auch das Ranking von Webseiten beeinflusst.
Einige Richtlinien für die Erkennung von Fake News bei Google Fact Checking:
Crypto-War: Client-Side Scanning (22. Sep. 2023)
Diese Idee beruht auf der irrwitzigen Annahme, dass die Ende-zu-Ende Verschlüsselung eines Messengers nicht kompromittiert werden würde, wenn der Messenger Client die Daten vor der Verschlüsselung lokal auf dem Smartphone scannt und bei suspekten Nachrichten im Hintergrund eine Kopie an die Behörden sendete, die sich das dann mal genauer ansehen können.
Die Argumentation ist Bullshit. Wenn alle privaten Nachrichten irgendwo auf dem Transportweg automatisiert gelesen, auf Konformität mit geltendem Gesetzen geprüft und Verstöße automatisiert den Behörden gemeldet werden, dann ist es anlasslose Massenüberwachung und Ende-zu-Ende Verschlüsselung soll gegen diese Massenüberwachung schützen.
(Dabei ist es egal ob unverschlüsselte Nachrichten an den Internetknoten gescannt werden, ob die die Nachrichten beim Provider entschlüsselt und gescannt werden oder lokal auf dem Smartphoen vor dem Verschlüsseln.)
Anlasslose Massenüberwachung ist nicht mit unseren Werten vereinbar (sagte der EuGH).
Im September 2023 hat das britische Parlament das "Online Safity Bill" verabschiedet, welches von allen Messenger mit Ende-zu Ende ein Client-Side Scanning nach kinderpronografischen Bildern fordert. Die diesbezüglcihen Bestimmungen des Gesetzen sollen aber (noch) nicht durchgesetzt werden, bis jemand eine Idee für die magische Quadratur des Kreises findet, einserseits alle Nachrichten zu scannen und gleichzeitig eine Privasphäre zu gewähreilsten.
In der EU wird gleichfalls darüber diskutiert, Messenger mit starker Ende-zu-Ende Verschlüsselung zum lokalen Scannen nach KiPo in allen Nachrichten vor dem Verschlüsseln zu zwingen. Die Zivilgesellschaft protestiert, aber die Diskussion in der EU ist noch nicht entschieden.
Signal App führt Post-Quantum-Krypto ein (22. Sep. 2023)
Signal App beweist seine führende Rolle bei der Verschlüsselung von Chats und führt als erster Messenger ein Kryptoprotokoll ein, das robust gegen Quantencomputer ist (Blogartikel).
Whonix mit Qemu/KVM start VirtualBox (Linux) (05. Sep. 2023)
Linuxer können statt VirtualBox auch die Linux-native Virtualisierungsumgebung Qemu/KVM verwenden. Die Installation ist etwas umständlicher als bei VirtualBox und die Whonix Gateway VM hat kein Desktop GUI sondern bietet nur ein echtes Fulltext-Advanture auf der Kommandozeile. Dafür ist man von Drittsoftware wie VirtualBox unabhängig und nutzt die native Linux Virtualisierung - für einige Nutzer wiegt dieses Argument stärker als die Usability der VirtualBox Lösung.
Eine kurze Minimal-Anleitung zur Installation der Qemu/KVM Variante von Whonix ... hier.
Thunderbird 115: Allow-HTML-Temp wieder verfügbar (04. Sep. 2023)
Das Add-on Allow-HTML-Temp blendet in der Funktionsleiste über jeder E-Mail einen Button ein, mit dem man temporär die HTML-Ansicht aktivieren kann. Die Ansicht wird automatisch wieder auf die Standardansicht zurückgeschaltet, wenn man zur nächsten E-Mail wechselt.
Man kann auch eine Tastenkombination für die Aktivierung der HTML-Ansicht definieren.
Nach der Installation kann man die Konfiguration des Add-on anpassen und wählen, zwischen welchen Ansichten man hin-und-her schalten möchte und ob in der temporären HTML Ansicht auch ext. Bilder angezeigt werden sollen oder Anhänge eingebunden dargestellt werden sollen (auf keinen Fall). Meistens reicht die restriktive Konfiguration zum Lesen von E-Mails:
Anhänge sollte man grundsätzlich nicht eingebunden darstellen, da das die Infektion mit Viren deutlich vereinfacht. Wenn externe Inhalte in der org. HTML Ansicht erlaubt werden, ergeben sich für die Absenden einige Trackingmöglichkeiten, wie der E-Mail Privacy Test zeigt:
Kosmetisches Update der Firefox user.js Konf. (03. Sep. 2023)
media.video_stats.enabled wurde auf den Defaultwert zurückgesetzt, weil es nicht relevant für das Fingerprinting ist.
dom.push.enabled wurde von "streng" nach "medium streng" verschoben.
dom.push.connection.enabled und dom.push.serverURL wurden entfernt, weil überflüssig.
Neue Desktop Hintergrundbilder (01. Sep. 2023)
Im Urlaub in Norwegen habe ich entspannt die schönen Momente im Leben genossen und die beeindruckende Lanschaft. Ein paar neue Hintergrundbilder für den Desktop sind das Ergebnis.
Windows datenschutzfreundlicher konfigurieren (14. Aug. 2023)
Die Standardinstallation von Windows kann man mit einigen Einstellungen datenschutzfreundlicher konfigurieren und sicherer. Man kann die Telemetrie einschränken, überflüssige Cloud Features und Software wie One Drive deinstallieren (wenn man es nicht verwendet)... usw. ... usw.
Wenn man kein Diplom als Microsoft Certified Engineer (MCE) hat und nicht weiß, an welchen Schrauben man drehen könnte, dann könnte die Webseite Privacy.sexy hilfreich sein.
20 Jahre Privacy-Handbuch (13. Aug. 2023)
Es begann vor 20 Jahren (das exakte Datum kann ich nicht mehr rekonstruieren) mit einer Anleitung zur E-Mail Verschlüsselung. Ich kann mich noch daran erinnern, dass die damals vorhandenen Tutorials kompliziert waren, zu kompliziert für Durchschnittsnutzer. Ich wollte eine einfache, verständliche Anleitung schreiben aber musste am Ende feststellen, dass ich mehr oder weniger das gleiche geschreibselt hatte, wie alle anderen auch.
Einmal angefangen ging es irgendwie weiter - als Hobby, wie ein Dauerlauf ohne Ziel. Es gab eine wachsende Zahl von Leser, die das Geschreibsel brauchbar oder hilfreich fanden - es gab Zuschriften mit Anregungen (die nicht alle umgesetzt werden konnten) und Korrekturen (die hoffentlich fast immer kurzfristig eingepflegt wurden).
Das Projekt ist inzwischen auf fast 500 Seiten gewachsen - vor allem auch Dank vieler motivierender Nachrichten und hilfreicher, konstruktiver Kommentare von Lesern. Danke dafür, ohne euch wäre das Projekt nicht da, wo es heute ist.
Thunderbird Filelink Add-ons für große Dateien (11. Aug. 2023)
Mit Filelink Add-ons kann man den Upload in Thunderbird integrieren und große Anhänge direkt beim Schreiben einer E-Mail hochladen, wenn man häufig große Dateien versendet.
Als erstes muss man dafür ein passendes Filelink Add-on installieren.
Empfehlenswert ist Send mit einem vertrauenswürdigen Provider wie adminForge. Die Uploads werden bei diesem Filelink Add-on Ende-zu-Ende verschlüsselt gespeichert.
In den Einstellungen in der Sektion "Verfassen" (ganz unten) ist der Filelink Provider zu aktivieren und zu konfigurieren. Für Send ist die URL des Provider anzugeben sowie die Defaultwerte für Anzahl der Downloads und max. Dauer der Speicherung.
Wenn man beim Schreiben einer E-Mail eine große Datei anhängt, wird ein Hinweis eingeblendet. Man kann auf den Button "Filelink verwenden" klicken und nach Anpassung der Einstellungen für Passwort, max. Downloads und Speicherdauer die Datei hochladen.
Thunderbird Add-on Allow-HTML-Temp (10. Aug. 2023)
Das Add-on Allow-HTML-Temp wird es wahrscheinlich nicht für Thunderbird 115 geben, schreibt der Autor, weil die Thunderbirdentwickler die API geändert haben.
Das Add-on Toggle-HTML als Alternative wird im Privacy-Handbuch nicht empfohlen. Dieses Add-on schaltet mit Mausklick oder Tastenkombination nacheinander durch die Darstellungen "Plain Text", "Simple HTML", "Full HTML" und "HTML mit eingebundenen Anhängen". Die letzte Option möchte ich auf keinen Fall wegen dem möglichen Risiko der Infektion mit Viren durch bösartige Anhänge, lässt sich bei Toggle-HTML aber nicht vermeiden. Außerdem wird die Darstellung beim Öffnen einer anderen Mail nicht auf den Standard zurück gesetzt.
Toggle-HTML ist kein Ersatz für Allow-HTML-Temp.
Korrektur: Ein Leser des Changelogs hier hat mich darauf hingewiesen (danke!), dass es vielleicht doch noch Hoffnung für das Allow-HTML-Temp Add-on gibt. Eine erste Beta Version für TB 115, die zwischen "Plain Text" und "Full HTML" umschalten kann, könnte man in diesem Thread herunterladen und ausprobieren. Zukünftig wird es wahrscheinlich irgendwann eine Version 9.0 im AMO geben.
Thunderbird 115 Accound Wizard (02. Aug. 2023)
Thunderbird 115.x erkennt beim Einrichten eines E-Mail Account auch CardDAV und CalDAV Ressourcen, die der E-Mail Provider bereitstellt. Man kann auswählen, welche Daten man aus der Klaut des E-Mail Providers in Thunderbird einbinden möchte.
Firefox 10.x (old ESR) user.js Konfigurationen (02. Aug. 2023)
Da es noch mehr Nutzer von Firefox 102.x (old ESR) gibt, als ich dachte, sind die user.js Konfigurationen für diese Firefox Version (vorläufig) wieder online.
Thunderbird user.js Konfigurationen angepasst (02. Aug. 2023)
Die Thunderbird user.js Konfigurationen wurden für TB 115 angepasst und von überflüssigen Altlasten gesäubert.
Thunderbird Update (14. Juli 2023)
Die neue Thunderbird Version 115 soll sehr schick sein und schneller und... ganz toll. Für produktives Arbeiten würde ich aber derzeit empfehlen, auf das Maintenace Release 102.13 zu aktualisieren, da noch nicht alle Add-on angepasst wurden bzw. die aktualiserten Add-ons noch nicht im AMO freigegeben wurden (beispw. das Add-on AllowHTML) und es demnächst bestimmt noch ein paar Sicherheitsupdates für die neuen Feautures gibt.
Die Version 102.13 findet man im FTP Archiv von Mozilla.
Firefox user.js Konfiguration für Hotspot Login Profil (09. Juli 2023)
Es gibt wieder einen Vorschlag für eine Firefox user.js für ein WiFi Hotspot Login Profil.
Die Hotspot Einstellungen sind für ein spezielles Firefox Profil gedacht, welches man nur für WiFi-Logins in Hotels oder im ICE verwendet, wenn man das Standardprofil als moderat oder strenger konfiguriert hat und der Captive-Portal-Service damit blockiert wird.
CSS Fingerprinting (06. Juli 2023)
CSS Fingerprinting verwendet trickreiche CSS Hacks statt Javascript, um Informationen über den Computer zu sammeln und daraus einen möglichst eindeutigen Fingerprint zu berechnen, der eine Wiedererkennung des Browsers ermöglichen soll. Man kann die installierten Schriftarten ermitteln, mit Mediaqueries die Bildschirmgröße schätzen (was ein alter Hut ist) u.v.a.m.
In dem Paper Web Browser Fingerprinting Using Only Cascading Style Sheets (2015) wurde ein Konzept vorgeschlagen, um Surfer anhand des CSS Fingerprint ds Browsers zu verfolgen. Allerdings wurde nicht die gleiche Qualität wie beim Javascript Fingerprinting erreicht.
No-JS Fingerprint demonstriert, dass man einen Fingerprint mit CSS statt Javascript berechnen kann. Allerdings wird nicht demonstriert, dass dieser Fingerprint individuell genug ist, um einzelne Surfer zu verfolgen. (Die JS-Fingerprint Demo der gleichen Firma ist da anschaulicher.)
Ein TorBrowser unter Debian und ein Mullvad Browser unter Fedora hatten bei einem Test den gleichen CSS Fingerprint, so dass dieser Test in erster Linie eine Technologiedemo ist.
In dem Paper Implicit Stylistic Fingerprints for Bypassing Browsers' Anti-Fingerprinting Defenses (Mai 2023) wird von Forschern von IBM Research ein verbessertes CSS Fingerprinting vorgestellt, dass standardmäßig eine vergleichbare Qualität wie Javascript Fingerprinting erreicht soll und deutlich besser als Javascript Fingerprinting abschneidet, wenn die Surfer Schutzmaßnahmen wie resistFingerprinting aktivieren oder Add-ons wie CanvasBlocker verwenden.
Eine Verteidigung durch Faken der via CSS Tricks gesammelten Daten, wie es beim Schutz gegen Javascript Fingerprinting gemacht wird, ist derzeit nicht möglich.
Folgende Verteidigungsmöglichkeiten stehen derzeit zur Vefügung:
Die Filterlisten von uBlock Origin blockieren viele (die meisten?) Trackingsdienste mit nennenswerter Reichweite, unabhägig davon, welche Trackingmethoden eingesetzt werden.
In dem Blockeintrag zum dem Paper von 2023 weisen die Autoren darauf hin, dass man CSS Fingerprinting durch das Blockieren von iFrames aushebeln kann, weil der Trackingdienst einen kleinen (unsichtbaren?) Bereich braucht, in welchem er seine CSS Tricks entfalten kann.
Das Add-on uBlock Origin kann iFrames von Drittseiten blockieren.
Wer noch konsequenter auch 1-Party iFrames blockieren möchte, könnte NoScript nutzen und Frames auch für "Trusted Sites" blockieren.
Das führt dann allerdings auch dazu, dass man keine eingebetteten Medien mehr sieht, die man evtl. abspielen möchte. Um eingebette Medien auf einer Webseite abspielen zu können, muss man für die jeweilige Webseite individuelle Einstellungen definieren.
Firefox user.js Update (05. Juli 2023)
Mozilla hat in Firefox 115 eine neue Idee und möchte auf einigen Webseiten, die irgendwie irgendwo spezifiziert werden, Add-ons deaktivieren. Finde ich nicht gut. Die im PrHdb empfohlenen Add-ons können vom Nutzer bei Bedarf auf einzenen Webseiten deaktiviert werden oder in der Konfiguration angepasst werden (wenn es Probleme gibt).
Die Einmischung von Mozilla in die Add-on Funktionalität verbietet man mit folgender Einstellung:
extensions.quarantinedDomains.enabled = falseDiese Einstellung wurde in allen user.js Konfigurationen aktiviert.
Außerdem ist Firefox 115 jetzt die neue ESR Version (auch bei unseren user.js Konfigurationen).
Staatliche TLS Root Zertifikate der EU (30. Juni 2023)
Mit der eIDAS-Verordnung hat die EU den Rahmen "standardisierten Vertrauensdiensten" geschaffen. Dazu zählen neben elektronische Signatur (QES) auch qualifizierte Website-Zertifikate (QWACs). Ursprünglich war der Plan, dass die Browserhersteller gezwungen werden, diese europäischen Certification Authorithies (CAs) ungeprüft zu übernehmen, da die Regulatorien der EU automatisch dafür sorgen würden, dass eIDAS Vertrauensdienste vertrauenswürdig sind.
Befürchtungen, dass diese Root-Zertifikate für die Überwachung genutzt werden könnten und die Sicherheit von TLS gefährden, sind völlig unbegründet, schreibt die Bundesdruckerei.
Im eIDAS Dashbord der EU findet man die Listen der "qualifizierten Vertrauensdiensten" aller EU-Länder und in der deutschen Liste finde man die Utimaco GmbH als vertrauenswürder Vertrauensdienst. Die Utimaco GmbH ist Hersteller von Überwachungstechnik und bietet auch Technik für TLS Interception. Wäre doch praktisch, wenn...
Patrick Breyer berichtete im Juni 2023, dass die EU die verpflichtende Akzeptanz von eIDAS Zertifikaten für Browserhersteller fallengelassen hat. Zurückweisungen der staatlichen Root-Zertifikate aus der eIDAS Liste durch Browserhersteller müssen aber begründet werden.
Digitaler Euro (28. Juni 2023)
Der digitale Euro soll (möglicherweise) ab 2028 in der EU eingeführt werden, um der Dominanz der US-Bezahldienste im Internet etwas entgegenzusetzen.
Nach einem Entwurf der EU (Stand: Frühjahr 2023) soll er folgende Eigenschaften haben:
Wer digitale Euros nutzen möchte, braucht einen Account bei einem Zahlungsdienstleister. Die Identität des Antragstellers ist dabei zu verifizieren.
Digitale Euros sollen in einer Art Wallet App auf dem Smartphone gespeichert werden. Diese App soll nicht nur Zahlung versenden sondern wohl auch empfangen können (privat zu privat).
Es wird eine Höchstgrenze für digitale Euros geben, über die eine Person verfügen darf. Es wird gegenwärtig ein Limit von 3.000 Euro diskutiert.
Der digitale Euro soll irgendwie die Privatspäre schützen (das versprechen sie alle) aber nicht wirklich anonym sein (das soll nur für Kleinstbeträge von privat zu privat möglich sein).
Außerhalb der Eurozone wird es nicht möglich sein, den digitalen Euro zu nutzen.
Das ganze sieht ein bisschen wie eine Debit- oder Geldkarte aus mit der zus. Möglichkeit, digitale Kleinstbeträge von privat zu privat zu senden. Es gibt noch keine konkrete Umsetzung.
Firefox: DNS-over-HTTPS Konfiguration aktualisiert (12. Juni 2023)
In Firefox 114 hat sich die grafische Konfiguration des DNS-over-HTTPS Servers geändert. Die Anleitung wurde geringfügig aktualisiert. An der Funktionalität hat sich nichts geändert.
Trojaner auf iPhones finden (04. Juni 2023)
Es gibt mehrere Open Source Tools, die eine Trojanerinfektion in iPhone Backups erkennen können. Mit dem MVT Toolkit kann man Pegasus und Predator Trojaner erkennen und Kaspersky hat das triangle_check-utility veröffentlicht, das den CIA(?) Trojaner erkennt, der seit 2019 großflächig in Russland, Israel und China eingesetzt wird ("Operation Triangulation").
Eine kleine Minimal-Anleitung, wie man diese Tools verwenden könnte...
Firefox resistFingerprinting (03. Juni 2023)
Ich habe meine Meinung zu resistFingerprinting im Firefox angepasst.
Tor Good Exit Nodes aktualisiert (25. Mai 2023)
Die Liste der (meiner Meinung nach) Tor Good Exit Nodes wurde nach einem halben Jahr wieder mal aktualisiert. Mit Whonix funktioniert es ganz gut.
Google-freie Android Alternativen: Shiftphone mit ShiftOS-Light (05. Mai 2023)
ShiftPhones kann man nicht im Großmarkt kaufen sondern nur auf der Webseite des deutschen Herstellers. Die Smartphones sind modular aufgebaut und einfach reparierbar.
Mit ShiftOS-Light gibt es eine Google-freie Android Version für diese Smartphones direkt vom Hersteller. Bei dieser Version ist der F-Droid Store installiert und man kann keine Apps verwenden, die unbedingt darauf bestehen, die Google Cloud Services (FCM) für Push Benachrichtigungen zu nutzen. Das betrifft beispw. einige Apps für das Online Banking oder Netflix.
Hardware für Linux: NovaCustom (21. April 2023)
Man hat eigentlich kaum Probleme, moderne Linux Distributionen auf Standardhardware aus dem Großmarkt zu installieren. Trotzdem ein paar Hinweise auf besondere Perlen:
Verschlüsselt Telefonieren mit WhatsApp(?) (21. April 2023)
Seit einigen Jahren gibt es Forschungsergebnisse zur Erkennung von einzelnen Wörtern in verschlüsselter Telefonie mit variabler Bitrate, ohne die Verschlüsselung zu knacken.
Bei WhatsApp ist die Technik scheinbar im Einsatz. Als bei einem (angeblich sicher verschlüsseltem) WhatsApp Telefonat im März 2023 mit einer Bekannten, die in Brüssel bei der EU im Engergiesektor arbeitet, im Nebensatz das Wort "Gazprom" fiel, wurde die Verbindung kurz unterbrochen.
" Hallo, hallo - bist Du nach da???" Als die Verbindung nach eingen Sekunden wieder aufgebaut war ein Lachen am anderen Ende der Leitung: "Das passiert immer, wenn ich Gazprom sage." Nachdem die belanglose Konversation 5min weiterging wieder eine kurze Unterbrechung.
WhatsApp verwendet die SRTP Verschlüsselung allerdings ohne ZRTP zum Schlüsseltausch und ohne SAS zur Verifikation, so dass man die Verschlüsselung nicht einfach verifizieren kann.
In den Einstellungen könnte man unter "Account → Sicherheit" die Sicherheitsbenachrichtigungen aktivieren, so dass im Beispiel (vermutlich) eine Warnung hätte angezeigt werden müssen, wenn es für Lawful Interception keine Sonderbehandlung gibt, die diese Warnung unterdrückt(?) Die Option ist standardmäßig deaktiviert. Aber wer sicher kommunizieren will, würde sich wahrscheinlich nicht auf WhatsApp verlassen, dessen Mutterkonzen ein PRISM Partner der NSA ist.