JonDo - trotz aktiviertem JavaScript sinnvoll?

Fragen zur Organisation, spezielle technische Fragen zum Dienst,
x4info
Posts: 271
Joined: Thu Oct 20, 2011 17:28

JonDo - trotz aktiviertem JavaScript sinnvoll?

Post by x4info » Wed Mar 18, 2015 22:20

Hallo,

frage mich, ob es sinnvoll ist, wenn man JavaScript aktivieren muss, weil man sich in einem Onlineshop anmelden will, überhaupt mit der JonDo-Live-DVD online zu gehen, oder ob man nicht besser ein anderes Live-System verwendet.

Macht einen so ein Deanonymisierungs-Werkzeug erst augenfällig?

Wäre da nicht ein Ubuntu-Live unauffälliger?

Was meint ihr dazu.
Wenn jemand einen Tip hat, wie er das handhabt, das aber nicht öffentlich sagen will, gerne per PM.

Gruß.

x4info

User avatar
Ochnö
Posts: 1738
Joined: Sat Nov 06, 2010 16:03

Re: JonDo - trotz aktiviertem JavaScript sinnvoll?

Post by Ochnö » Thu Mar 19, 2015 8:43

x4info wrote:Hallo,

frage mich, ob es sinnvoll ist, wenn man JavaScript aktivieren muss, weil man sich in einem Onlineshop anmelden will, überhaupt mit der JonDo-Live-DVD online zu gehen, oder ob man nicht besser ein anderes Live-System verwendet.
Was ist das Problem fuer dich dabei mit JonDo\JDF einen Onlineshop aufzurufen der js verwendet?
Zumindest dein ISP bekommt dadurch nicht mit was du machst.
Ob es sinnvoll ist dabei die(eine)liveDVD zu nutzen muss jeder selber entscheiden anhand seiner paranoia ;)
Als Schutz gegen exploits sicher nicht schlecht.

Allerdings sehe ich bei Onlineshops eher das Problem das die selber gecrackt werden-oder ihre Zahlungsdienstleister.
Siehe bspw. in den USA letztens mit Target und Home depot.
Das bringt halt mehr da man nicht fuer jeden browser einen passenden exploit schreiben muss,das dann auch noch gegen die gaengigsten AV progs testen und die Entdeckungsgefahr ist somit dann auch deutlich geringer.
Daher mache ich moeglichst nur Onlinegeschaefte mit shops die auch Nachnahme anbieten.
Macht einen so ein Deanonymisierungs-Werkzeug erst augenfällig?

Wäre da nicht ein Ubuntu-Live unauffälliger?

Was meint ihr dazu.
Wenn jemand einen Tip hat, wie er das handhabt, das aber nicht öffentlich sagen will, gerne per PM.

Gruß.

x4info
Onlineshops,zumindest die kleineren sind nicht die NSA ;)
Ausserdem kann helfen gezielt herauszufinden welche scripte wirklich absolut notwendig sind das der shop funktioniert und eben nur die freizugeben.Nach einer Weile kennt man dann schon die"ueblichen Verdaechtigen" ;)

xg27
Posts: 1111
Joined: Mon Jun 24, 2013 13:39

Re: JonDo - trotz aktiviertem JavaScript sinnvoll?

Post by xg27 » Thu Mar 19, 2015 9:02

Also wenn man einmal einzelne scripte freigibt ist man nicht automatisch deanonymisiert. Ein Punkt dabei ist natuerlich was ueber die freigegebenen scripte ausgelesen werden kann; history etc. Auslesen kann man immer nur das was auch in dem Moment da ist (im Browser, im Rechner..).Haengt natuerlich auch vom script ab...

Aber, striktes Trennen von anonymen und eponymen Handlungen ist ein anerkanntes Konzept, und wenn man schon live-systeme verwendet (empfehlenswert) dann bietet sich die Verwendung eines extra-livesystems an. Dabei ist schnelles booten des systems immer ein gefragter Punkt. Ubuntu waere natuerlich unauffaelliger, und ein win-live (gab mal eines vom DoD) natuerlich noch unauffaelliger. Aber wenn es um schnelles booten geht ist wohl Porteus recht weit vorne bei jenen die auch grafische Umgebung haben...(porteus.org ist allerdings oft recht ueberlastet und nicht leicht zu erreichen).Oder TinyCore, das ist aber dann schon etwas anspruchsvoller(aber auch mit grafischer Umgebung).Oder SliTaz vielleicht...

Vielleicht mal auf distrowatch.org recherchieren...?


Man kann auch Suche im Vorfeld anonym machen und dann eponym nur sehr konkret agieren, downloaden etc.Dabei allerdings moegliche [zeitliche] Korrelation zwischen anomym und eponym minimieren.

cane

Re: JonDo - trotz aktiviertem JavaScript sinnvoll?

Post by cane » Thu Mar 19, 2015 10:39

frage mich, ob es sinnvoll ist, wenn man JavaScript aktivieren muss, überhaupt mit der JonDo-Live-DVD online zu gehen, oder ob man nicht besser ein anderes Live-System verwendet.

Macht einen so ein Deanonymisierungs-Werkzeug erst augenfällig?
Wenn man den JonDoFox Browser der Live-DVD ohne JonDo verwendet (auf "Benutzerdefinierte Proxy Config" umschalten), dann sieht der Shop einen Windows Firefox (auch mit aktiviertem Javascript). Trotzdem hat man den gehärteten FF. Das ist wahrscheinlich besser und einfacher als eine Linux-Live Distro mit veralteten Add-ons (wie Knoppix).

JonDo (IP-Anonymisierung) zu verwenden ist beim Shop mit Anmeldung und Lieferanschrift sicher nicht passend, aber in dem Fall würde ich trotzdem die JonDo-DVD nutzen aber mit "Custom Proxy" Settings.

cane

Re: JonDo - trotz aktiviertem JavaScript sinnvoll?

Post by cane » Thu Mar 19, 2015 20:56

Anonym kommentierte:
JonDo ist dennoch sinnvoll. Der ISP soll nicht erfahren, welche Online-Shops man besucht. Und der Online-Shop soll das eigene Bewegungsprofil nicht kennen. Man offenbart mit seiner Lieferanschrift (in der Regel) zwar seine Wohnadresse, aber wenn man von unterwegs bestellt, dann muss der Online-Shop diese Aufenthaltsorte nicht erfahren.

x4info
Posts: 271
Joined: Thu Oct 20, 2011 17:28

Re: JonDo - trotz aktiviertem JavaScript sinnvoll?

Post by x4info » Thu Mar 19, 2015 21:30

Danke für die vielen interessanten Aspekte - ich fasse mal zusammen.
Ochnö wrote:Zumindest dein ISP bekommt dadurch nicht mit was du machst.
Ochnö wrote:LiveDVD zu nutzen - Als Schutz gegen exploits sicher nicht schlecht.
@cane - mit Danke für diese Anleitung
cane wrote:Wenn man den JonDoFox Browser der Live-DVD ohne JonDo verwendet (auf "Benutzerdefinierte Proxy Config" umschalten), dann sieht der Shop einen Windows Firefox (auch mit aktiviertem Javascript). Trotzdem hat man den gehärteten FF. Das ist wahrscheinlich besser und einfacher als eine Linux-Live Distro mit veralteten Add-ons (wie Knoppix).
verstehe ich da was falsch?
"Benutzerdefinierte Proxy Config" heißt, ich muss das selbst einstellen?
da sehe ich ein riesen Problem - ich nehme JonDo weil ich wenig Ahnung habe - was Sicherheit angeht - und auch nicht die Zeit habe, mich da reinzufuchsen.

cane wrote:JonDo (IP-Anonymisierung) zu verwenden ist beim Shop mit Anmeldung und Lieferanschrift sicher nicht passend, aber in dem Fall würde ich trotzdem die JonDo-DVD nutzen aber mit "Custom Proxy" Settings.
und wieder das Problem - heißt "Custom Proxy" Settings - selbst einstellen müssen?

@cane - hebst Du die letzte Aussage, mit dem Zitat in der folgenden Antwort wieder auf?
cane wrote:Anonym kommentierte:
JonDo ist dennoch sinnvoll. Der ISP soll nicht erfahren, welche Online-Shops man besucht. Und der Online-Shop soll das eigene Bewegungsprofil nicht kennen. Man offenbart mit seiner Lieferanschrift (in der Regel) zwar seine Wohnadresse, aber wenn man von unterwegs bestellt, dann muss der Online-Shop diese Aufenthaltsorte nicht erfahren.
"unterwegs" ist da ein Netbook, Tablet oder Smartphone gemeint?
Da habe ich einen enormen Vorteil, kann mir nicht vorstellen, von unterwegs zu bestellen. Dazu müßte ich schon stundenlang im Zug sitzen. Vielleicht irgendwann doch mal ein Smartphone - aber eher zur ausgewählten Benutzung - um mich mit Bekannten leichter verabreden zu können. Wenns vielleicht ein Opensourcesystem gibt, mit dem man per Pseudonym unterwegs sein kann.
Bestellungen per Smartphone, also über das gleiche Gerät - wenn ich mir dann vorstelle, mir zu überlegen, wie ich dort eine Anonymisierung hinkriegen soll - nein danke.

Nochmals danke für Euere Gedankengänge.

Gruß

x4info.
Last edited by x4info on Thu Mar 19, 2015 21:33, edited 1 time in total.

IvanBliminse
Posts: 176
Joined: Fri Jan 23, 2015 0:47

Re: JonDo - trotz aktiviertem JavaScript sinnvoll?

Post by IvanBliminse » Thu Mar 19, 2015 21:33

cane wrote:Anonym kommentierte:
JonDo ist dennoch sinnvoll. Der ISP soll nicht erfahren, welche Online-Shops man besucht. Und der Online-Shop soll das eigene Bewegungsprofil nicht kennen. Man offenbart mit seiner Lieferanschrift (in der Regel) zwar seine Wohnadresse, aber wenn man von unterwegs bestellt, dann muss der Online-Shop diese Aufenthaltsorte nicht erfahren.
In diesen Zusammenhang sollte man erwähnen, dass es bei Diensten wie bspw. Amazon, Paypal in Kombination mit Anondiensten zu vorübergehenden Kontosperrungen führen kann.
Durch den Länder/Region?-Unterschied der Registrierungs-IP und der Login-IP greifen die Sicherheitsvorkehrungen der Webseiten.
verstehe ich da was falsch?
"Benutzerdefinierte Proxy Config" heißt, ich muss das selbst einstellen?
da sehe ich ein riesen Problem - ich nehme JonDo weil ich wenig Ahnung habe - was Sicherheit angeht - und auch nicht die Zeit habe, mich da reinzufuchsen.
Das bedeutet nur, dass der Traffic nicht mehr über JonDo/Tor geleitet wird, man ist also wieder mit der eigenen IP unterwegs, wenn man nichts an den Einstellungen ändert.
Last edited by IvanBliminse on Thu Mar 19, 2015 21:47, edited 1 time in total.

x4info
Posts: 271
Joined: Thu Oct 20, 2011 17:28

[b]welche Scripte für Amazon[/b]

Post by x4info » Thu Mar 19, 2015 21:38

Diesen Punkt, weils doch sehr ins Detail geht, separat.
xg27 wrote:Also wenn man einmal einzelne scripte freigibt ist man nicht automatisch deanonymisiert.
Das erscheint mir aber schon sehr aufwändig, herauszufinden welche einzelnen Scripte nun nötig sind, welche nicht - die erlaube ich dann der ganzen Seite temporär - abhängigen Seiten nicht ohne dass es angemeckert wird.

Ach je, da gucke ich gerade zu den Scripteinstellungen 0.9.74 - die pauschalen Einstellmöglichkeiten sind da viel weniger geworden - nur noch "temporär erlauben" und dann alles manuell einstellen -(.

dazu möchte ich nochmal fragen:
Hast Du da Tips für Amazon?

Ochnö wrote:Onlineshops,zumindest die kleineren sind nicht die NSA ;)
Am Rande - ich sprach eher nicht von kleinen Onlineshops, große denke ich, können mehr in Sicherheit investieren. Bin ja nicht jemand, der gegen alles - und prinzipiell gegen MS, große Onlineshops und jeden, der erfolgreich ist, ist.
Eben wie Du sagst
Ochnö wrote:Allerdings sehe ich bei Onlineshops eher das Problem das die selber gecrackt werden-oder ihre Zahlungsdienstleister.
Ochnö wrote:Ausserdem kann helfen gezielt herauszufinden welche scripte wirklich absolut notwendig sind das der shop funktioniert und eben nur die freizugeben.Nach einer Weile kennt man dann schon die"ueblichen Verdaechtigen" ;)
Daher mache ich moeglichst nur Onlinegeschaefte mit shops die auch Nachnahme anbieten.
Sorry, das macht jeden Kauf teuerer, da denke ich eher dran per Abbuchung zu zahlen, mein Konto muss ich diesbezüglich sowieso überwachen und so sehr viel kaufe ich nun auch nicht über das Internet (vielleicht wird es mit positiver Erfahrung mehr - aber nicht wenn das so aufwändig wird - mit Nachnahme und so)

Danke
x4info

cane

Re: JonDo - trotz aktiviertem JavaScript sinnvoll?

Post by cane » Thu Mar 19, 2015 23:21

"Benutzerdefinierte Proxy Config" heißt, ich muss das selbst einstellen?
JonDoFox hat drei Proxy Konfigurationen, siehe: https://www.anonym-surfen.de/help/jondofox2a.html

Die Proxy Konfiguration "Benutzerdefiniert" ist in der Live-DVD fertig vorbereitet als Windows Firefox Fake ohne Proxy. Man muss nichts einstellen.

xg27
Posts: 1111
Joined: Mon Jun 24, 2013 13:39

Re: [b]welche Scripte für Amazon[/b]

Post by xg27 » Fri Mar 20, 2015 7:14

x4info wrote:Diesen Punkt, weils doch sehr ins Detail geht, separat.
xg27 wrote:Also wenn man einmal einzelne scripte freigibt ist man nicht automatisch deanonymisiert.
Das erscheint mir aber schon sehr aufwändig, herauszufinden welche einzelnen Scripte nun nötig sind, welche nicht - die erlaube ich dann der ganzen Seite temporär - abhängigen Seiten nicht ohne dass es angemeckert wird.

Ach je, da gucke ich gerade zu den Scripteinstellungen 0.9.74 - die pauschalen Einstellmöglichkeiten sind da viel weniger geworden - nur noch "temporär erlauben" und dann alles manuell einstellen -(.

dazu möchte ich nochmal fragen:
Hast Du da Tips für Amazon?
Etwa so meine ich das auch; nur scripte der direkt besuchten seite erlauben und nur wenn es nicht anders geht, die einzelnen scripte individuell zu untersuchen ist wohl zu aufwaendig und anspruchsvoll. Also so wie bei cookies 'allow first party'. Aber Feigabe eben nur temporaer und vereinzelt und nur 'first party'. Und so selten wie moeglich.

Spezielle Tips fuer Amazon habe ich nicht; verwende ich auch nicht. Ueberhaupt bin ich bei grossen komerziellen Seiten sehr misstrauisch und vermeide sie wenn moeglich; die folks schmecken mir einfach nicht...

Man denke nur an ihr zwanghaftes Festhalten an alter und schwacher Verschluesselung (SSL). An Mangel an Kompetenz oder Manpower kann es bei so grossen sites wohl nicht liegen. Ergo, quasi-Backdoors fuer diverse BigPlayer. Und der neue JonDoFox macht das sehr schoen sichtbar; wer schon und wer nicht und so...

--------
Noch zur IP:
wenn ich, wie die Meisten, mit dynamischer IP arbeite dann bekomme ich jedesmal wenn ich mich mit dem inet verbinde vom ISP eine [neue] IP zugeteilt und nur der ISP weiss welche IP aus seinem pool ich zu einem konkreten Zeitpunkt (Session) hatte. Und diese Information darf der ISP eigentlich nur an autorisierte Behoeden weitergeben; also muesste das eigentlich gegen alle andere (nicht-Behoerden) helfen. Daher auch das big-big-business mit den Browser-Fingerprints etc.

Dass die ISP's die Verbindungsdaten an Behoerden sehr unzimperlich weitergeben um keine 'Probleme' zu bekommen, das wissen wir. Aber was ist mit allen anderen big-data-playern? Halten sich die ISP's an das Verbot der Weitergabe oder verkaufen sie die Verbindungsdaten heimlich?

Wenn sie sich daran halten [wuerden] dann waere eine dynamische IP schon sicher (auch ohne anon-Dienst) gegenueber nicht-Behoerden. Und so war es eigentlich angedacht; aber halten sie sich daran?

Post Reply