Schlagwort: firefox

HowTo: Disable weak RC4 cipher in Firefox, Chromium, Google-Chrome & Internet Explorer

prego 8 Kommentare

In Firefox kann man das visuell in der Konfiguration machen. Dafuer in der Adresszeile about:config eingeben, bestaetigen, nach rc4 suchen und alle Werte deaktivieren:

Bildschirmfoto vom 2013-11-13 06:34:46

In Chromium und Google-Chrome ist das schon umstaendlicher. Da muessen die zu deaktivierenden Ciphers als Blacklist-Parameter beim Starten uebergeben werden:

chromium-browser --cipher-suite-blacklist=0x0001,0x0002,0x0004,0x0005,0x0017,0x0018,0xc002,0xc007,0xc00c,0xc011,0xc016,0xff80,0xff81,0xff82,0xff83

Die Verfuegbaren Hexcodes gibt es leider nur im Quelltext.

Um RC4 Verbindungen aus Windows heraus, und dadurch auch beim Internet Explorer zu unterbinden muessen die folgenden Registry Werte gesetzt sein:

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELCiphersRC4 128/128]
    "Enabled"=dword:00000000
 [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELCiphersRC4 40/128]
    "Enabled"=dword:00000000
 [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELCiphersRC4 56/128]
    "Enabled"=dword:00000000

Weitere Informationen dazu unter „Security Advisory 2868725: Recommendation to disable RC4

Die vom Browser unterstuetzten Cipher Suites werden einem angezeigt, wenn man die folgende Webseite aufruft:

Mehr Sicherheit fuer die eigenen Daten – Komfort mit Firefox Sync + Masterpasswort

prego Schreib einen Kommentar

Dieses ist der vierte Teil einer Serie von Blogeintraegen, die sich als Reaktion auf die NSA Affaere um den Kontext Sicherheit fuer die eigenen Daten und Verschluesselung drehen.

Links zu den ersten drei Artikeln befinden sich am Ende des Blogposts. Im diesem vierten Teil moechte ich auf das Thema Komfort im Webbrowser eingehen und dabei auf meinen frueheren Artikel zum selbst gehosteten Firefox Sync verweisen.

Es gibt eine ganze Menge an Webbrowsern dort draussen, das sind zum Beispiel Google Chrome, Apple Safari, Microsoft Internet Explorer oder halt auch Mozilla Firefox. Ich bevorzuge den letzten weil er erstens OpenSource ist, zweitens gut unter Linux laeuft und drittens mich nicht versucht in irgendwelche Services zu zwingen. Ich nehme dabei bewusst in Kauf, dass die Performance der JavaScript Engine nicht so gut ist, wie zum Beispiel verglichen mit der von Google Chrome. Auf Annehmlichkeiten wie synchronisierte Lesezeichen oder Chronik moechte ich aber dennoch nicht verzichten. Ich persoenlich synchronisiere damit Daten zwischen drei Geraeten, davon ein Mobiltelefon.

Aus diesem Grund habe ich bereits vor laengerer Zeit mir einen selbst gehosteten Firefox Sync Server installiert. Dort ist alles in meiner Hand, auf meinen Servern, ich kann verschluesseln, und meine Passwoerter schwirren wenn ueberhaupt dann gesichert durchs Netz.

Im Prinzip ist bei mir alles noch genauso, wie ich es in der Anleitung damals beschrieben habe. Der einzige Unterschied ist der Apache vHost, der nun ueber SSL geht:

<VirtualHost *:443>
        ServerName ffsync.example.org
        ServerAdmin webmaster@example.org
        DocumentRoot /opt/ffsync/server-full
 
        SSLEngine on
        SSLCertificateFile /path/to/ffsync.example.org.crt
        SSLCertificateKeyFile /path/to/example.org.key
 
                Order deny,allow
                Allow from all
 
        WSGIProcessGroup ffsync
        WSGIDaemonProcess ffsync user=ffsync group=ffsync processes=2 threads=25
        WSGIPassAuthorization On
        WSGIScriptAlias / /opt/ffsync/server-full/sync.wsgi
 
        CustomLog /var/log/apache2/ffsync_access.log combined
        ErrorLog /var/log/apache2/ffsync_error.log
</VirtualHost>

Weiter habe ich in der etc/sync.conf die URL des fallback node auf https:// abgeaendert.

Ganz wichtig dabei ist natuerlich: WENN Passwoerter im Webbrowser abgespeichert werden, DANN MUSS ein Masterpasswort gesetzt sein. Das gilt fuer Mozilla Firefox genauso wie fuer Mozilla Thunderbird. Wenn KEIN Masterpasswort gesetzt ist, kann JEDER der Zugriff auf den laufenden Webbrowser oder das laufende Thunderbird hat mit fuenf Klicks ALLE gespeicherten Passwoerter einsehen. Diese fuenf Klicks sind:

  1. Firefox
  2. Einstellungen
  3. Sicherheit
  4. Gespeicherte Passwoerter
  5. Passwoerter anzeigen

An der gleichen Stelle kann man uebrigens auch das Masterpasswort setzen. In Thunderbird ist es auch Einstellungen -> Sicherheit -> Passwoerter…

Vorherige Blogposts:

  • Der erste Teil war fuer mich das Aufraeumen, einen Ueberblick zu bekommen sowie Strukturen zu schaffen, auf denen ich aufbauen kann.
  • Der zweite Teil bestand darin einen Ort zu schaffen, in dem ich Keys und Passwoerter sicher aufbewahren und gleichzeitig alles in ein vernuenftiges Backup schieben kann.
  • Der dritte Teil bezog sich auf das erzeugen von Zertifikaten und Einrichten von verschluesselten Verbindungen zu Apache vHosts.

HowTo: Firefox Sync Server from Mozilla self hosted

prego 4 Kommentare

Ich habe nun schon so einiges ueber einen selbstgehosteten Sync-Service fuer Firefox geschrieben:

  1. Firefox Lesezeichen ueberall – Selfmade!
  2. Howto: Der eigene Weave Minimal Server / Firefox Sync
  3. Update des eigenen Firefox Sync Servers

Nachdem ich seit neustem Besitzer eines Google Nexus 4 bin und gerne Firefox Sync auch unter Android benutzen moechte, war ich gezwungen mein aktuelles Setup zu aktualisieren auf die Originalimplementierung von Mozilla. Vorher wurde mir auf meinem Handy immer von Firefox gesagt, dass diese Version von Sync nicht mehrere Geraete unterstuetzt.

Ich bin auf diese Anleitung gestossen und unter Debian sieht das ganze wie folgt aus:

Installation

Installation von Paketen:

$ aptitude install python-virtualenv sqlite3 mercurial

Einrichten eines Benutzeraccounts:

$ adduser --system --home /opt/ffsync --shell /bin/false --group ffsync

Erstellen der benoetigten Verzeichnisse:

$ su ffsync
$ cd /opt/ffsync
$ mkdir {data,tmp}
$ chmod 775 tmp
$ hg clone https://hg.mozilla.org/services/server-full
$ cd server-full
$ make build

Konfiguration

Editieren und Anpassen der folgenden Konfigurationsdateien:

sync.wsgi

os.environ['PYTHON_EGG_CACHE'] = '/opt/ffsync/tmp/python-eggs'

developement.ini

[handler_syncserver_errors]
args = (‘/opt/ffsync/tmp/sync-error.log’,)

etc/sync.conf

[storage]
sqluri = sqlite:////opt/ffsync/data/sync.db
 
[auth]
sqluri = sqlite:////opt/ffsync/data/sync.db
 
[nodes]
fallback_node = http://sync.example.net/

Ich habe hier nun noch die Rechte fuer den Ordner gesetzt:

$ chown -R ffsync.www-data /opt/ffsync

Apache

Zum Schluss noch Apache einrichten um darueber alles laufen zu lassen. Dafuer:

$ aptitude install libapache2-mod-wsgi

Und einen entsprechenden vhost erstellen:

<VirtualHost *:80>
    ServerName sync.example.net
    ServerAdmin webmaster@example.net
    DocumentRoot /opt/ffsync/server-full
 
    CustomLog /var/log/apache2/ffsync_access.log combined
    ErrorLog /var/log/apache2/ffsync_error.log
 
        Order deny,allow
        Allow from all
 
    WSGIProcessGroup ffsync
    WSGIDaemonProcess ffsync user=ffsync group=ffsync processes=2 threads=25
    WSGIPassAuthorization On
    WSGIScriptAlias / /opt/ffsync/server-full/sync.wsgi
</VirtualHost>

Nach einem Neustart von Apache konnte ich dann das Geraet trennen und anschliessend mich neu mit dem Server verbinden. Achtet auf den Slash am Ende der URL. Es wurde alles automatisch synchronisiert. Auch die Synchronisation mit Firefox auf meinem Android Handy klappte problemlos.

Zum Schluss habe ich noch die Funktion deaktiviert, mit der sich neue Benutzer selbststaendig anmelden koennen. Dafuer in der /opt/ffsync/server-full/etc/sync.conf noch in der auth Sektion die entsprechende Option einkomentieren

[auth]
allow_new_users = false

Danke nochmal an OpenShots an dieser Stelle fuer die Anleitung :-)

Neues SSL-Zertifikat und spdy Unterstuetzung

prego 2 Kommentare

Ab heute hat mein Blog ein neues SSL-Zertifikat von CAcert.org. Wenn mich jemand „assuren“ wuerde, waere ich dem sehr dankbar.

Weiter ist mein Blog nun auch ueber spdy erreichbar. Ein deutlicher Geschwindigkeitszuwachs, um es mal einfach auszudruecken. Die Installation gestaltete sich sehr einfach: runterladen, installieren, Apache neu starten, fertig. Das Apache-Modul gibt es hier bei Google.

Um in den Genuss des schnelleren Seitenaufbaus zu kommen als Firefox-Nutzer unter about:config nach network.http.spdy.enabled suchen und auf true setzen.