Page 31 of 44

Re: JonDoBrowser

Posted: Tue Nov 12, 2013 20:31
by cane
Wer es garnicht erwarten kann, der kann der JonDoBrowser für Windows und Linux bereits runterladen, einfach die "0.10" im Link durch "0.11" ersetzen.

Download für Win: https://anonymous-proxy-servers.net/dow ... in.paf.exe
OpenPGP-Signatur: https://anonymous-proxy-servers.net/dow ... af.exe.asc

Die Windows-Version hat noch einen kleinen Bug, das deutsche GUI bekommt man nur, wenn man in der Datei "jondobrowser.ini" folgenden Parameter einträgt:

Code: Select all

AdditionalParameters=-UILocale de
Vielleicht können die ganz Ungeduldigen damit leben.

Re: JonDoBrowser

Posted: Wed Nov 13, 2013 11:27
by nope6
cane wrote:

Code: Select all

AdditionalParameters=-UILocale de
in "jondobrowser.ini"
Funktioniert (hier) nicht - win7_32.

Dazu:
Erst hieß es, dass esr-Versionen die Basis auch für den JDF (JonDoFox!) darstellen werden, da besser geeignet, der letzte 2.7er war ja auch auf einer ff-esr. Jetzt dann plötzlich alles wieder andersrum, JdF mit ff25.
etwas verwirrend(?!)...

Überhaupt, wasn das für ne JdBrowser-Version?
Der JondoBrowser ist in englisch, obwohl das dt. Sprachpaket an Bord ist, und der workaround (s.o.) funktioniert nicht. Müsste auch nicht?

Beide Versionen werden dazu erheblich verspätet veröffentlicht. Bzw. man kündigt an, kann aber nicht liefern. Wenigstens so etwas könnte doch unterlassen werden bzw. erst ankündigen, wenn Fertigstellung absehbar - und wenn das 2 Wochen dauert. Who cares?

bin leicht erstaunt...

Re: JonDoBrowser

Posted: Wed Nov 13, 2013 12:57
by cane
Beide Versionen werden dazu erheblich verspätet veröffentlicht. Bzw. man kündigt an, kann aber nicht liefern.
Es gab unerwartet viele Probleme mit der neuen Firefox Version und vor allem mit dem neuen MacOS "Mavericks".

Da viele Nutzer nach einem Termin für die neuen Versionen gefragt haben, haben wir im Blog den von uns avisierten Termin genannt, statt jedem einzeln zu antworten.

Re: JonDoBrowser

Posted: Thu Nov 14, 2013 0:30
by Systemshocker
nope6 wrote: Überhaupt, wasn das für ne JdBrowser-Version?
Der JondoBrowser ist in englisch, obwohl das dt. Sprachpaket an Bord ist, und der workaround (s.o.) funktioniert nicht.
Bei meiner Linux Version ist das anders: Hier funktioniert das Sprachpaket des Jondobrowser 0.11 zwar, aber bestimmte Abschnitte in den Einstellungen sind trotzdem auf Englisch.
Z.B. die Auswahl Menüs bei "Verfolgung" unter Datenschutz, sowie "Data Choices" unter Erweitert.

Das scheint jedoch nur ein optisches Problem zu sein, was nicht weiter die Funktionalität einschränkt.


Was mich viel mehr verwundert ist die User-Agent Änderung auf Linux, welche auch im JonDoBrowser nun drin ist.
Ich weiß natürlich nicht, was die Quellen des JonDos Teams (die im Blog kurz umrissen werden) so im einzelnen dazu schreiben. Aber sollte es nicht dennoch nach wie vor wichtig sein, sich in der größten Nutzergruppe zu verstecken? Und damit meine ich die Gruppe der Windows Nutzer.
Stattdessen wird die Nutzergruppe zum verstecken drastisch verkleinert....und zwar in eine Nutzergruppe, welche nur 1-2% der weltweiten Nutzer ausmachen.
Dadurch ist es doch statistisch gesehen wesentlich einfacher die JonDonym Nutzer einzugrenzen, oder nicht?
Selbst die Tor-Entwickler nutzen nach wie vor Windows als Useragent-Kennung.
In sofern erschließt sich mir nicht ganz der Sinn hinter der Änderung zur Linux User-Agent Kennung.

Re: JonDoBrowser

Posted: Thu Nov 14, 2013 9:30
by cane
aber bestimmte Abschnitte in den Einstellungen sind trotzdem auf Englisch
Das ist kein JonDoBrowser-Problem sondern liegt an der bereitgestellten Übersetzung von Firefox. Soetwas kann man im Bugtracker von Mozilla melden: https://bugzilla.mozilla.org/
Was mich viel mehr verwundert ist die User-Agent Änderung auf Linux,
Bisher enthielt der JonDoFox User-Agent ein paar kleine Besonderheiten, die es nur im JonDoFox gab. Als "Definition einer Anonymitätsgruppe" kann man auch von real-world Browsern abweichen. Ich weiss aber nicht, wie und warum diese Besonderheiten eingeführt wurden und warum sie sich so lange gehalten haben, ich habe erst im Sommer die Entwicklung des JonDoFox übernommen.

Der aktueller Fake entspricht einem real-world Browser, die Nutzergruppe mit diesem User-Agent ist also in jedem Fall um ein Vielfaches größer als vorher.
Aber sollte es nicht dennoch nach wie vor wichtig sein, sich in der größten Nutzergruppe zu verstecken?
Es gibt auch Angriffe auf die Anonymität, die einen Browser-Exploit nutzen. Diese Angriffe werden z.B. dadurch ausgelöst, dass der genutzte Browser genau identifiziert wird und dann ein Angriff getriggert wird. Wir konnten das gerade im Juli diesen Jahren mit dem Magneto-Exploit des FBI gegen Tor-Nutzer beobachten.

Wahrscheinlich ist auch unter JonDonym-Nutzern Windows das am häufigsten verwendete Betriebssystem (unser Infoservice schätzt 80%). Diese Gruppe ist außerdem durch die besondere Zuwendung der Angreifer besonders gefährdet. Durch den Fake eines anderen Betriebssystems ergibt sich für diese Gruppe ein besserer Schutz gegen automatisch getriggerte Angriffe mit bösartigem Code (ist allerding "Obscurity" und nicht "Security").

Linux (i868, official Mozilla Build) ist in dieser Hinsicht ein Kompromiss. Unserer Meinung nach sind diese Nutzer weniger durch Exploits gefährdet und bilden andererseit noch eine erwähnenswerte real-world Gruppe.
Jetzt dann plötzlich alles wieder andersrum, JdF mit ff25.
Im Gegensatz zu Tor wollen wir die Browserbasis ein kleines bischen stärker diversifizieren. Das ist vor allem eine Lehre aus dem Angriff des FBI mit dem Magneto-Exploit. Dieser Angriff ist vor allem deshalb effektiv, weil es bei Tor eine Monokultur des Browsers gibt, man kann eigentlich sagen, dass nur den aktuellen TorBrowser und die vorhergehende Version gibt. Damit kann man auch den Patchlevel und verwendete Libs sehr genau vorhersagen.

Wir werden natürlich beim Firefox bleiben, es gibt für uns keine machbare Alternative. Eine geringfügige Diversifizierung hinsichtlich Patchlevel, verwendeter Version, Nutzung der schneller aktualisierten System-Libs für PNG, JPEG.... usw. kann diese Angriffe aber etwas erschweren.

Wenn man einen richtig guten Firefox-Exploit z.B. in der CSS-rendering engine hat, dann hilft das auch nicht. Wenn man aber einen Exploit z.B. für die PNG-Lib hat, der Remote Code Execution erlaubt (als Beispiel CVE-2011-3048 https://cve.mitre.org/cgi-bin/cvename.c ... -2011-3048) und diese Version der PNG-Lib von allen TorBrowsern bis zum nächsten Update des Browser garantiert verwendet wird, dann spielt die Diversifizierung der Softwarebasis (im Rahmen des Möglichen) schon eine kleine Rolle.

Es ist eine komplexe Welt, die multimodale Optimierungsstrategien erfordert.
Selbst die Tor-Entwickler nutzen nach wie vor Windows als Useragent-Kennung.
Sie könnten die Argumente der Tor-Entwickler für Ihre Entscheidung als Diskussionspunkt nennen. Auf den Satz "ABER die TOR-ENTWICKLER machen das so..." könnte ich einfach gegenfragen: "Haben die Tor-Entwickler die Weisheit mit Löffeln gefressen?".

Es gibt in vielen Punkten Unterschiede in Details zwischen Tor und JonDonym und beim User-Agent konnten wir uns noch nie einigen. ;-)

Re: JonDoBrowser

Posted: Thu Nov 14, 2013 10:11
by nope6

Code: Select all

AdditionalParameters=-UILocale de
in "jondobrowser.ini"
Funktioniert (hier) nicht - win7_32.
Kommando zurück, mein Fehler.
Nichtfunktion, also JdB auf englisch, lag daran, dass in der "jondobrowser.ini" bereits ein Eintrag "AdditionalParameters=" existiert. Wenn nun, wie angegeben, der gesamte string "AdditionalParameters=-UILocale de" eingefügt wird, ist "AdditionalParameters=" 2x vorhanden. Und verursacht offensichtlich das beschriebene.
Richtig ist also:
den vorhandenen Eintrag "AdditionalParameters=" mit "-UILocale de" (angehängt) ergänzen. => speichern, starten. Sprache dt.
Warsch wohl etwas hastig...
;)

-------
Aber ab davon, warum wurden die Fragen nicht (wirklich) beantwortet?
- Wechsel ff-esr zu Standard-ff beim JdF
- unnötig frühe Ankündigung(en) bei JdB + JdF

Das mit dem blog war ja gelesen worden, aber der ist von Freitag - und da weiss man (noch) nicht, dass eine Veröffentlichung am Montag eher gefühlt, als realistisch erreichbar ist?
Warum denn nicht wenigstens reinschreiben, dass der Termin gewünscht ist, sich aber wg. (...) durchaus verschieben kann?! Was denn so schlimm daran, realistisch zu sein? Verstehe das, wer will.
Hinterlässt schlicht einen leicht zwiespältigen Eindruck; denn ick hoffe ja mal, dass die Bearbeitung der Produkte nicht mit einer ähnlich ambivalenten Haltung erfolgt(?)... ;)

Re: JonDoBrowser

Posted: Thu Nov 14, 2013 11:01
by cane
Aber ab davon, warum wurden die Fragen nicht (wirklich) beantwortet?
- Wechsel ff-esr zu Standard-ff beim JdF
- unnötig frühe Ankündigung(en) bei JdB + JdF
Der Wechsel von ff-esr zum Standard-ff habe ich in meinem oberen Posting inzwischen beantwortet - oder? (etwas mehr Diversifirzierung). Für eine ausführlichere Antwort hatte ich gestern wenig Zeit, da ich wenigsten den angekündigten Termin für die Live-CD/DVD halten wollte und noch vor 24:00 Uhr die neue Version hochladen wollte.

Bei der Ankündigung bin ich davon ausgegangen, dass der Build-Prozess auf den Architekturen durchläuft. Es wurde mir so mitgeteilt, dass alle JonDoBrowser, die ich nicht selber zusammenbaue, am Wochenende gebaut werden und am Montag zur Verfügung stehen werden. Das habe ich so weitergegeben. Fehleinschätzung - schade.

Wenn wir die MacOS-Probleme realistischer eingeschätzt und uns sofort dafür entschieden hätte, erstmal keine MacOS-Version bereitzustellen, dann hätten wir den angekündigten Termin sogar halten können. Der Rest wurde am Mo. ausgeliefert und zumindest "apt-getter" hatten die angekündigte Version am Mo. auf der Platte.

Re: JonDoBrowser

Posted: Thu Nov 14, 2013 11:36
by totentanz
Unter Win 8.1 alles bestens. TLS 1.2 im Jondobrowser aktivieren? Hinsichtlich Nachteil Fingerprint usw..

Re: JonDoBrowser

Posted: Thu Nov 14, 2013 14:12
by Systemshocker
cane wrote:
aber bestimmte Abschnitte in den Einstellungen sind trotzdem auf Englisch
Das ist kein JonDoBrowser-Problem sondern liegt an der bereitgestellten Übersetzung von Firefox. Soetwas kann man im Bugtracker von Mozilla melden: https://bugzilla.mozilla.org/
Okay,danke für den Tip. Das schreit geradezu nach einem Bug-Report.
cane wrote:
Selbst die Tor-Entwickler nutzen nach wie vor Windows als Useragent-Kennung.
Sie könnten die Argumente der Tor-Entwickler für Ihre Entscheidung als Diskussionspunkt nennen. Auf den Satz "ABER die TOR-ENTWICKLER machen das so..." könnte ich einfach gegenfragen: "Haben die Tor-Entwickler die Weisheit mit Löffeln gefressen?".
Jetzt interpretieren sie etwas zuviel in meine Sätze rein. :D Denn zum einen kam das "Aber" gar nicht in meinem Satz vor und zum anderen war es gar nicht meine Absicht das Tor-Project als erleuchtet zu bezeichnen. Der Satz sollte lediglich die Hinterfragung bezüglich der Anonymitätsgruppe hervorheben. ;)

Aber wo wir schon beim gegenfragen sind. :-D
cane wrote: Wahrscheinlich ist auch unter JonDonym-Nutzern Windows das am häufigsten verwendete Betriebssystem (unser Infoservice schätzt 80%). Diese Gruppe ist außerdem durch die besondere Zuwendung der Angreifer besonders gefährdet. Durch den Fake eines anderen Betriebssystems ergibt sich für diese Gruppe ein besserer Schutz gegen automatisch getriggerte Angriffe mit bösartigem Code (ist allerding "Obscurity" und nicht "Security").

Linux (i868, official Mozilla Build) ist in dieser Hinsicht ein Kompromiss. Unserer Meinung nach sind diese Nutzer weniger durch Exploits gefährdet und bilden andererseit noch eine erwähnenswerte real-world Gruppe.
Da könnte man die Gegenfrage stellen, ob es wirklich fair ist die Linux Anwender von JonDonym an die Exploit-Front zu schicken, damit die Windows Nutzer nicht auffallen,loool. :-P

Aber Scherz beiseite: Ich verstehe den Kompromiss sogar, denn es ist wirklich so, dass Linux Anwender weniger anfällig auf Angriffe sind (außer man lässt tatsächlich alles auf root laufen).
Ob das auch so bleibt, ist ne andere Frage....aber das wird die Zukunft zeigen.

Auch der Rest ihrer Erklärung zur Real-World Browser Gruppe klingt für mich enleuchtend.Danke dass sie sich die Zeit fürs Erklären genommen haben.


Eine Frage aber hätte ich dennoch noch zu der User-Agent Geschichte:
Wäre es eigentlich theoretisch möglich beim JonDoFox/JonDoBrowser als User-Agent die Kennung vom Chrome-Browser reinzupacken.
Vom Gedankenspiel her hätte das was,denn dann würden Angreifer noch mehr mehr in die Irre geführt.

Re: JonDoBrowser

Posted: Thu Nov 14, 2013 14:33
by cane
Wäre es eigentlich theoretisch möglich beim JonDoFox/JonDoBrowser als User-Agent die Kennung vom Chrome-Browser reinzupacken.
Dazu würde ich nicht raten, die Browser unterscheiden sich in kleinen Details und der Fake könnte zumindest als Fake entlarvt werden und man ist dann ziemlich einzigartig. Schon Firefox 24 und Firefox 17 unterscheiden sich ein kleines bisschen bei aktiviertem Javascript, so dass wir ausrücklich zu einem Update des Browsers raten.
TLS 1.2 im Jondobrowser aktivieren? Hinsichtlich Nachteil Fingerprint usw..
Vorteile: bessere SSL-Verschlüsselung

Nachteile: der SSL-Handshake unterscheidet sich etwas von den anderen JonDonym Nutzern. (Keine Ahnung, ob das jemand auswertet.)

Wir werden wahrscheinlich oder vielleicht in der nächsten Version, wenn fast alle FF 17 upgedated sind, TLS 1.2 aktivieren. Mal beobachten, wie sich Mozilla dazu äußert.