Frage zum neuen JonDoFox-Profil 0.6.6.12

Wenn mal was nicht funktioniert...
shellshock
Posts: 3
Joined: Sun Mar 01, 2015 14:08

Re: Frage zum neuen JonDoFox-Profil 0.6.6.12

Post by shellshock » Fri Mar 06, 2015 9:59

Eine Antwort bezüglich folgender Fragestellungen bzw. eine Aufklärung seitens des JonDonym-Teams wären wirklich hilfreich. Ansonsten sehe ich die "Anonymität" vieler JonDonym-Users als gefährdet / bzw. unsicher.

1. Ich finde keine klare Aussage zur Thematik ob die Installation, Deinstallation oder auch Änderungen der bestehenden Konfiguration (bspw. Hinzufügen neuer AdBlock Listen), JonDonym-User unterscheidbar machen. Sinn und Zweck hinter JonDonym oder eben auch Tor ist ja eben gerade das »verschwinden« in der Masse, da alle User identische Merkmale (Referer, User-Agent, etc.) aufweisen. Das sollte einmal klar und deutlich formuliert werden. Denn wenn ich cane's bisherige Aussagen zum Thema richtig interpretiere, dann existieren diverse »Angriffsmöglichkeiten« die solche Addon Settings auslesen können. Das wiederum macht User unterscheidbar und ist nicht im Sinne der Anwender bzw. Betreiber.

2. Wenn es aufgrund von innstallierten Addons oder getätigten Änderungen an Addons tatsächlich möglich ist User voneinander zu unterscheiden, wie würde ein solcher Angriff technisch von statten gehen? Plaudert der Firefox Browser auf Anfrage alle installierten Addons aus oder wie kann sich das der "Laie" vorstellen? Gibt es dazu Informationen in Form von Links wo solche Angriffe (gerne auch technisch) mal demonstiert werden?

Ich bitte um Aufklärung, denn ich vermute, dass dieses Thema wichtig ist.

cane

Re: Frage zum neuen JonDoFox-Profil 0.6.6.12

Post by cane » Fri Mar 06, 2015 10:13

Ich finde keine klare Aussage zur Thematik ob die Installation, Deinstallation oder auch Änderungen der bestehenden Konfiguration (bspw. Hinzufügen neuer AdBlock Listen), JonDonym-User unterscheidbar machen.
Eine klare Aussage von mir: Änderungen an der Konfiguration des JonDoFox machen sie von anderen Usern unterscheidbar. Das gilt auch für den TorBrowser.
Wenn es aufgrund von innstallierten Addons oder getätigten Änderungen an Addons tatsächlich möglich ist User voneinander zu unterscheiden, wie würde ein solcher Angriff technisch von statten gehen?
Ein kleines Beispiel, das längst nicht alle Möglichkeiten demonstriert, gibt es bei BrowserLeaks.com.

http://www.browserleaks.com/proxy

Das Beispiel zeigt, dass es möglich ist, verschiedene AdBlocker zu detektieren und für AdBlock Plus die abonnierten Listen zu ermitteln.

Wie gesagt, das Beispiel zeigt längst nicht alle Möglichkeiten, es demonstriert nur die Ausnutzung von Seiteneffekten zur Analyse der AdBlocker und detektiert Features des TorBrowser.

hannon
Posts: 64
Joined: Wed Dec 05, 2012 22:07

Re: Frage zum neuen JonDoFox-Profil 0.6.6.12

Post by hannon » Fri Mar 06, 2015 10:57

Guten Tag,

danke an Cane für die Hinweise.

Also auf der Browserleaksseite sieht das gar nicht so schlecht aus. O.K., die Listen von Adblock Plus werden erkannt, sonst aber nichts.
Javascript muss man wie immer für ein realistisches Szenario freischalten - wo muss man das nicht, wenn man sinnvoll die Seitenfeatures nutzen will - außer hier bei JonDonym? :)

Gut wäre eine "Sammlung von Testseiten", sodass sich ein Überblick über die immer noch auf Webseiten abgreifbaren Informationen ergibt.
Wäre es vorstellbar, solche Links hier im Forum zusammenzuführen?

Ein Hinweis zu dem Test auf eff. org:

Seit längerer Zeit wird dort bei Tests immmer Javascript als geblockt gemeldet, obwohl dies freigeschaltet ist. Das macht die Testergebnisse unrealistisch. Man erreicht so einen Quotienten von ca. 1:2.800. Wie schnell sich das Bild ändert zeigt sich bei der Cookiefreigabe, da dann das Verhältnis ca.1:22.000 beträgt.Das dürfte bei völliger Javascriptfreigabe nochmal deutlich sich verändern.

Warum eff.org nicht mehr optimal funktioniert ist mir unklar. Hat jemand dazu einen Hinweis?

Und weiter zum Testen: Seit einigen Wochen wird auf ip-check.info häufig nicht der Ort angezeigt, wohin die IP-Adresse weist. Um das herauszufinden bedarf es häufig einer Anfrage über einen anderen Dienst. Was ist da los?

shellshock
Posts: 3
Joined: Sun Mar 01, 2015 14:08

Re: Frage zum neuen JonDoFox-Profil 0.6.6.12

Post by shellshock » Fri Mar 06, 2015 11:49

Ich schließe mich hannon und seiner Einschätzung an. Für eine mögliche Unterscheidung von Usern anhand unterschiedlicher Addons oder Konfigurationseinstellungen innerhalb der Addons gilt JavaScript scheinbar als Voraussetzung.

JavaScript und Konsorten werden in den Default-Settings von JonDonym blockiert.

Fassen wir also zusammen: Potenziell unterscheidbar (auf Basis von Addons) ist nur derjenige, der auf bestimmten Webseiten JavaScript freigibt. Kann das JonDonym Team das so unterschreiben?

Fatal finde ich ja, dass Tor sich entscheiden hat Scripts per default NICHT zu blockieren. Hier ist die Installation bzw. Konfiguration bestehender Addons tatsächlich ein "Problem". Im Grunde genommen muss jedem Tor-User geraten werden, NoScript per default auf BLOCKEN zu konfigurieren. Damit unterscheidet man sich dann zwar wieder von der "herkömmlichen" Tor-Usern, die diese Einstellung nicht setzen, aber das scheint mir noch immer der sinnvollere Weg zu sein.

djislide
Posts: 14
Joined: Sun Mar 01, 2015 21:41

Re: Frage zum neuen JonDoFox-Profil 0.6.6.12

Post by djislide » Fri Mar 06, 2015 20:43

@shell: Daran sieht man das auch die bekanntesten Gemeinschaften die sich für Anonymität und Privatsphäre einsetzen, von Grund auf keine ganzheitliche Sicherheit geben können/wollen.
Wodurch man grundsätzlich immer verpflichtet ist, sich fortlaufend mit diesem Thema auseinander zusetzen, wenn es notwendig ist.
Ein der wichtigsten Punkte ist, die vermeintlich beste Sicherheit immer zu hinterfragen, denn 100%ige Sicherheit gibt es nicht, auch nicht mit den besten Proxy's, VPN's, Kaskaden, Browserprofile, Live-Systeme und Netzwerken.
Und dazu sind/ist die größte Sicherheitslücke, immer wir selber.

Also immer bei mehreren Quellen schlau machen, hinterfragen und Eigene Meinung Bilden.


@hann: hier einige Browsertest-Seiten zusammengestellt, die im Thread schon gennanten +

https://amiunique.org
http://user-agents.org
http://browserspy.dk
https://xav.com/env.pl
http://whatsmyuseragent.com
http://ipleak.net

cane wrote:Hmmm - "massive Sicherheitsrelevante Lücken" - und die wären?
z.B. den Tor/Jondo Useragent und ip-check, was ich schon in einem anderen aktuellen Thread erwähnt habe
viewtopic.php?f=5&t=9023

cane wrote:Eine klare Aussage von mir: Änderungen an der Konfiguration des JonDoFox machen sie von anderen Usern unterscheidbar. Das gilt auch für den TorBrowser.
Das wird auch stimmen, die eigentliche Frage und was daraus folgert ist dadurch aber trotzdem immer noch nicht beantwortet...

IvanBliminse
Posts: 176
Joined: Fri Jan 23, 2015 0:47

Re: Frage zum neuen JonDoFox-Profil 0.6.6.12

Post by IvanBliminse » Fri Mar 06, 2015 21:11

Steht doch da:

Don't enable or install browser plugins

Noch was zu JS und Tor-Browser: JS stellt für den Tor-Browser im Bezug auf die Anonymität keine Gefahr da. Dafür sind weitere Maßnahmen getroffen worden, um die Nutzer zu schützen. Bspw. Canvas-Blocker, Fenstergröße, etc.

Die Gefahr vor möglichen Exploits besteht natürlich, aber diese mögliche Bedrohung soll der Nutzer selbst für sich abwägen. Es ist eben ein sehr schmaler Grat zwischen guter Benutzbarkeit (Voraussetzung für große Akzeptanz der Tools) und bestmöglicher Sicherheit.

JonDoFox geht da einen anderen Weg und eliminiert möglichst alle Angriffsvektoren. Schützt quasi "out of the box" den unwissenden Nutzer. Aber eben auf Kosten der Benutzbarkeit.
Last edited by IvanBliminse on Fri Mar 06, 2015 22:30, edited 1 time in total.

djislide
Posts: 14
Joined: Sun Mar 01, 2015 21:41

Re: Frage zum neuen JonDoFox-Profil 0.6.6.12

Post by djislide » Fri Mar 06, 2015 21:32

Das mit der Use-Tor Infoliste war mein fehler.
Hatte ich nach Post sofort wieder raus.

cane

Re: Frage zum neuen JonDoFox-Profil 0.6.6.12

Post by cane » Fri Mar 06, 2015 21:50

Meine Meinung zu TorBrowser und Javascript steht hier: https://www.privacy-handbuch.de/handbuch_24a.htm]

Die Tor-Devs sagen selbst, dass die standardmäßige Aktivierung ein Sicherheitsrisiko ist (selbst die NSA hatte bisher nur Javascript-basierte Exploits gegen den TorBrowser), aber das es die Benutzbarkeit sehr verschlechtern würden wenn man JS deaktiviert. Sie haben sich für die Benutzbarkeit und gegen Sicherheit entschieden:
There's a tradeoff here. On the one hand, we should leave JavaScript enabled by default so websites work the way users expect. On the other hand, we should disable JavaScript by default to better protect against browser vulnerabilities (not just a theoretical concern!).

...feel free to leave JavaScript on or off depending on your security, anonymity, and usability priorities

djislide
Posts: 14
Joined: Sun Mar 01, 2015 21:41

Re: Frage zum neuen JonDoFox-Profil 0.6.6.12

Post by djislide » Sat Mar 07, 2015 0:20

das ist doch mal was Handfestes. Danke.

Nur bleibt trotzdem warum auf so was wichtiges nicht direkt auf der Seite oder z.B. im about:jondofox oder kp mit einer mitgelieferten simplen NutzungJondofox.txt hingewiesen wird?
Es wäre doch empfehlenswert so was Ähnliches wie die Use-Tor Liste mit den wichtigsten Grundlagen neben den Erklärungen zu Jondofox-Funktionen unübersehbar zugänglich zu machen.
Fakt ist, dass der kleinste Teil der Jondofox Nutzer überhaupt hier ins Forum schaut, dann auch meistens nur wenn es ein Problem gibt.
Sollte es da nicht eine Art Vorsorgepflicht für alle Nutzer sein, auch gerade für die Unerfahrenen, den bestmöglichen Schutz für uns zu Gewährleisten.

Beim JavaScript hat sich JonDo genauso wie Tor gegen Sicherheit für Benutzerfreundlichkeit entschieden. Das Programm Jondo läuft bekanntlich auch auf Java-Basis.
Es gibt auch die Jondo-Console ja, soweit ich das sehen kann gibt es aber nur für Linux eine Java freie Version.


PS: wie lang muss noch auf die Anpassung des ip-checks auf die neue Jondofox Version gewartet werden. Wennigsten eine grobe Hausnummer.

cane

Re: Frage zum neuen JonDoFox-Profil 0.6.6.12

Post by cane » Sat Mar 07, 2015 9:48

Beim JavaScript hat sich JonDo genauso wie Tor gegen Sicherheit für Benutzerfreundlichkeit entschieden. Das Programm Jondo läuft bekanntlich auch auf Java-Basis.
Java hat nichts (wirklich nichts!) mit Javascript im Browser zu tun.

Post Reply