changelog 0.9.76

Wenn mal was nicht funktioniert...
x4info
Posts: 271
Joined: Thu Oct 20, 2011 17:28

changelog 0.9.76

Post by x4info » Sat Apr 04, 2015 18:00

Hallo,

einerseits finde ich es schön, dass Du Cane, dich so um die Live DVD kümmerst und sogar noch kurz vor Ostern ein Update online stellst.

Andererseits stellen für mich die vielen Update eigentlich einen zu großen Aufwand dar.

Wie schwerwiegend waren die Sicherheitsprobleme
changelog wrote:Sicherheitsupdate für Firefox und TorBrowserBundle
SSH wird von JonDo verwendet um die Übertragung zu dem ersten Mix, zwischen den Mixen, zu verschlüsseln?
Wenn https dann auch zur abgerufenen URL?
GnuTLS (latest source) installiert mit den Utlilities wie danetool
Pidgin nutzt GnuTLS statt NSS3 für TLS-Verschlüsslung (bessere und stärkere Crypto)
??? Ich dachte "TLS" ist ein Verschlüsselungsstandard (ist mir kürzlich begegnet, weil ein Nachbar jammerte, sein email-Abruf funktioniert nicht - da haben wir uns mal die Windows-Einreichtung des email-Accounts angeschaut). TSL ist der aktuelle sichere, so dachte ich, aber wieso gibt es dann innerhalb doch wieder unterschiedliche Methoden?
GnuTLS (latest source) installiert mit den Utlilities wie danetool ...
Welche Auswirkung auf die Sicherheit hat es, mit welchen Utillities etwas im System installiert wird? "danetool" finde ich im Deutschen wiki überhaupt nicht, auch unter // wiki.u buntu.com finde ich nichts, dort schau ich immer ganz gerne, wenn es um Linux-Dinge geht.
changelog wrote:Upgrade von OpenSSH von Version 6.0 (Debian wheezy) auf Version 6.6.1, um die neuen, stärkeren Cipher zu nutzen
Habe gerade mal im wikie nach Cipher geschaut "Cipher Block Chaining Mode" - interessant.

Aber irgendwo bleibt bei mir die Frage offen:

- wie viel unsicherer ist man Internet-Surfen, mit der vorgänger-Version?

- betrifft irgend etwas von den Änderungen im changelog irgendwie indirekt (ohne dass ich es kapiere) den email-Abruf mit Icedove?
Da überblice ich sowieso nicht, wie weit JonDo irgend etwas zusätzlich verschlüsselt, zum normalen POP3- oder IMAP-Protokoll mit TLS (ist glaube ich das aktuelle). Sicher wird auch der email-Abruf sicherer, wenn man mit einem Live-System arbeitet, wo sich weniger (weil nur z.B. BIOS) Viren einnisten können, als wenn man mit einem Betriebssystem von Festplatte arbeitet.
Sonst noch etwas, wodurch der email-Abruf mit JonDo an Sicherheit gewinnt?

Habe ich noch nie wirklich drüber nachgedacht,
Script zum Rücksetzen der MAC Adresse der Netzwerkinterfaces hinzugefügt, falls es Probleme mit gefakten MACs gibt (in eini gen Firmen, Universitäten usw. möglich), dann folgendes Kommando vor dem Verbinden mit dem Netzwerk aufrufen: "sudo /usr/sbin/macrestore"[/quote}
aber ich sehe da einen Wiederspruch zu der Aussage, die ich erst kürzlich im Forum las "Die alte MAC-Adresse wird nicht gespeichert" - wie kann man etwas zurücksetzten, wenn man nichts speichert?
Wird genau durch diesen Aufruf die Mac-Adresse irgendwo zwischengespeichert, eben weil benötigt?
Wie gesagt ich nutze kein Uni-Netzwerk oder so etwas, deshalb nicht wirklich wichtig für mich.
Dachte nur, dass ich durch die Frage, vielleicht dazu beitrage, das Changelog evtl. zu deutlicher zu formulieren. (falls jemand der das schreib das hier mitliest)

Danke.

x4info

cane

Re: changelog 0.9.76

Post by cane » Sat Apr 04, 2015 22:18

Wie schwerwiegend waren die Sicherheitsprobleme
Siehe Firefox Chnagelogs: https://www.mozilla.org/en-US/security/ ... #firefox37 Es wurden bei FF 37.0 4 kritische Security Bugs gefixt.

Allerdings hat Mozilla gerade heute ein neues Release 37.0.1 veröffentlicht. Hmmm - nochmal eine Live-DVD bauen?
SSH wird von JonDo verwendet um die Übertragung zu dem ersten Mix, zwischen den Mixen, zu verschlüsseln?
Nein, SSh wird zur Server Administration verwendet, kann auch mit JonDo anonymisiert werden.
??? Ich dachte "TLS" ist ein Verschlüsselungsstandard
Es gibt im Linux-Umfeld drei bekannte Bibliotheken, die diesen TLS Standard umsetzen: OpenSSL, NSS3 (Mozilla) und GnuTLS. Bisher hat der Pidgin auf der Live-DVD die Mozilla Lib NSS3 genutzt. Die Debian Pakete von dieser Lib in wheezy sind mir aber zu alt, deshalb habe ich jetzt die neueste GnuTLS Lib für Pidgin genommen, für die TLS Verschlüsselung.

Zum "danetool" siehe Privaca-Handbuch: https://www.privacy-handbuch.de/handbuch_31k.htm (unten: "SSL-Zertifikate mit DANE/TLSA prüfen", DANE ist ziemlich neu als Standard, ca. ein Jahr alt)
betrifft irgend etwas von den Änderungen im changelog irgendwie indirekt (ohne dass ich es kapiere) den email-Abruf mit Icedove?
Nein.
MAC-Adresse: wie kann man etwas zurücksetzten, wenn man nichts speichert?
Die originale MAC Adresse ist in der Hardware codiert in den Netzwerkinterfaces enthalten. Man kann einfach sagen "Bitte kein Fake mehr."

f09j300
Posts: 58
Joined: Sun Aug 31, 2014 22:22

Re: changelog 0.9.76

Post by f09j300 » Mon Apr 06, 2015 17:54

Wenn man weiß, wo man suchen muss, nämlich in der Beschreibung der Updates über das Repository von Linux-Installationen, findet man raus, dass GnuTLS krpytografisch nichts wert ist, enthält nämlich nur schwächere Algorithmenversionen, die aus USA exportiert werden dürfen.

cane

Re: changelog 0.9.76

Post by cane » Mon Apr 06, 2015 18:17

Vergleichen Sie einmal die Cipher (Sie nennen es Algorithmen) von der NSS3 Lib aus den Debian Repositories und der aktuellen GnuTLS Lib aus den Sourcen. Dann verstehen Sie vielleicht den Wechsel.

Im Gegensatz zu NSS3 unterstützt GnuTLS den Standard TLS 1.2 vollständig (also alle Cipher inklusive AES_256_GCM_SHA384 usw., nichts mit nur schwache Algorithmen) und unterstützt kein RC4 mehr (so wie es der TLS Standard fordert). Liste der GnuTLS Cipher: http://www.gnutls.org/manual/gnutls.html#ciphersuites

Im übrigen ist GnuTLS bisher die einzige(!) Crypto-Lib für TLS, die DANE-Validierung kann und soetwas wie "danetool" and Utility anbietet.

Btw: Sie fallen schon wieder durch Ahnungslosigkeit auf, bei Fefe das Bashing der GnuTLS Libs gelesen und ohne eigenes kritisches Hinterfragen übernommen?

xg27
Posts: 1111
Joined: Mon Jun 24, 2013 13:39

Re: changelog 0.9.76

Post by xg27 » Mon Apr 06, 2015 20:13

cane wrote:
Btw: Sie fallen schon wieder durch Ahnungslosigkeit auf, bei Fefe das Bashing der GnuTLS Libs gelesen und ohne eigenes kritisches Hinterfragen übernommen?
Oder einfach nur wieder mal 'ne Gelegenheit gefunden um Radau machen zu koennen....

Al3ph
Posts: 140
Joined: Sun Aug 11, 2013 20:41

Re: changelog 0.9.76

Post by Al3ph » Mon Apr 06, 2015 20:49

Ich habe kein Problem damit 1x pro Woche eine neue live-DVD zu erstellen, aber bei dem Update-Aufkommen von FF sind wir schnell bei täglichen neuen Versionen.

Tor setzt wohl auch deswegen auf die ESR-Version. Was nun klüger ist wage ich nicht zu beurteilen, beides hat seine Vor- und Nachteile.
Eine Update-Mögllichkeit für FF wohl ebenso.

Etwas ist mir noch aufgefallen - JonDo friert wiedermal ein wenn man nach dem Start per Config ins Menü geht. Es crasht nicht das ganze System wie bei manchen frühern Versionen aber man muss den Prozess killen und neu starten. Dann funktioniert alles einwandfrei. Ist für mich reproduzierbar.

Eine Frage noch zur abgespeckten live-DVD:
Braucht die neue Version nun eigentlich auch weniger RAM? Das wäre meiner Meinung nach entscheidender als eine geringere Downloadgröße. Mit 1GB RAM tut man sich schon relativ schwer wenn mehrere Programme gleichzeitig laufen.

cane

Re: changelog 0.9.76

Post by cane » Mon Apr 06, 2015 21:20

Braucht die neue Version nun eigentlich auch weniger RAM?
Nein, dass hängt nur von den gestarteten Programmen ab.

Man sollte aber keine Daten in $HOME ablegen bei der Arbeit sondern immer auf einem externen Datenträger (also Downloads usw. nicht in /home/user/Downloads speichern). Das $HOME-Verzeichnis liegt auch im RAM.

wohitkuf
Posts: 2
Joined: Wed Apr 08, 2015 17:49

Re: changelog 0.9.76

Post by wohitkuf » Wed Apr 08, 2015 18:13

Hallo Cane

Mit dieser neuesten 0.9.76 ich auf schwierigkeiten stoben, um SSL-verbindungen unter IRC etablieren. Alle SSL-Sitzungen fehl und zum Pidgin FAQ SSL. Sollten wir neu installieren eine Buchhandlung?

Vielen Dank im Voraus.

mango_curri
Posts: 57
Joined: Fri Mar 21, 2014 22:59

Re: changelog 0.9.76

Post by mango_curri » Fri Apr 10, 2015 11:05

Sollten wir neu installieren eine Buchhandlung?
Huh, ob das wohl die Frage sein könnte, auf welche die Antwort 42 ist?
Die Magratheaner (u.a.) würd's freuen... :mrgreen:

cane

Re: changelog 0.9.76

Post by cane » Fri Apr 10, 2015 20:02

@wohitkuf: Das Problem mit IRC ist in der Version 0.9.77 beseitigt, die gerade fertig wurde.

The problem with IRC was fixed in version 0.9.77. It takes a moment to upload the new version, will be online soon.

Post Reply