#1 19. September 2007 Der Sicherheitsspezialist Alexander Klink hat über eine Möglichkeit berichtet, PCs über eine Art Super-Cookie wiederzuerkennen. Betroffen sind nach bisherigem Kenntnisstand aber nur PCs, deren Anwender den Webbrowser Firefox in seinen Standardeinstellungen nutzen. Die Idee die hinter dem Cookie steckt, beruht auf TLS-Client-Zertifikaten, die auf dem PC beim Besuch einer präparierten Webseite mittels "Signed Public Key And Challenge" (SPKAC) generiert und gespeichert werden. Diese Zertifikate dienen normalerweise zur bidirektionalen TLS/SSL-Authentifizierung, durch die sich ein Server von der Echtheit eines Clients überzeugen kann. Allerdings lässt sich solch ein Zertifikat ohne viel Zutun des Anwenders von jedem Server mit beliebigen Inhalten installieren. Alles was der Firefox-Anwender sieht, ist eine kurze Meldung "Key generation in progress ... This may take a few minutes ... Please wait ...", die auf schnellen Rechnern innerhalb von Sekundenbruchteilen wieder verschwindet. Anschließend kommt noch der Hinweis "Your personal certificate has been installed. You should keep a backup copy of this certificate." Die wenigsten Anwender dürften bei derlei Meldungen Verdacht schöpfen oder dazu in der Lage sein, den Vorgang nachzuvollziehen, um das gespeicherte Zertifikat wieder löschen zu können. In Fällen, in denen mit dem Firefox noch kein einziges Passwort im Passwort-Manager gespeichert wurde, erscheint zusätzlich ein Dialog zur Eingabe eines Kennwortes für das Zertifikat. Allerdings dürften auch diesen Dialog nur noch wenige zu Gesicht bekommen. Da Firefox in der Standardeinstellung versucht, ein vom Server angefordertes Client-Zertifikat automatisch auszusuchen, kann jeder beliebige Server – auch aus einer anderen Domain – beim Besuch das Zertifikat herunterladen und so den Rechner wiedererkennen. In einer Diskussion zu dem Problem wurde hervorgehoben, dass auch sehr sicherheitsbewußte Anwender des Anonymisierungsnetzes Tor davon betroffen sind, da sich so zumindest die besuchten Seiten nachvollziehen ließen. Auch Pivoxy soll nicht vor den Super-Cookies schützen. Anders als von Klink zunächst angenommen, funktioniert solch ein Cookies sowohl in Firefox 2.0 als auch in Firefox 1.5 (jeweils unter Windows und Linux). Andere Browser sollen laut Bericht von dem Problem nicht betroffen sein: Opera und Konqueror öffnen mehrere Dialoge, die den Anwender misstrauisch werden lassen sollten, der Internet Explorer unterstützt kein SPKAC, und bei Safari ist es dem Autor nicht gelungen, ein Zertifikat zu übermitteln. Eine Online-Demo führt das Problem vor: Firefox 2.0.x TLS client certificate tracking POC. In der Demo ist zwar noch die Angabe eines Namens erforderlich, bei einem echten Tracking-Versuch könnte dies ein JavaScript jedoch automatisch übernehmen. Abhilfe bringt derzeit nur, unter "Einstellungen/Erweitert/Verschlüsselung/Zertifikate" die Option "Jedes mal nachfragen" zu setzen. Dann erscheint immerhin ein Dialog, dass ein Server ein Zertifikat abfragen möchte, was sich im Zweifel unterbinden lässt. Siehe dazu auch: * Firefox 2.0.x: tracking unsuspecting users using TLS client certificates, Fehlerbericht von Alexander Klink * Firefox 2.0.x TLS client certificate tracking POC, Demo zum Super-Cookie (dab/c't) Quelle:http://www.heise.de/newsticker/meldung/96229 + Multi-Zitat Zitieren
#2 19. September 2007 AW: Benutzer-Tracking mit SSL-Zertifikaten in Firefox Naja Firefox scheint ja doch nicht so sicher zu sein, wie es alle sagen. Und seit den letzten Versionen kommt es mir vor, dass Firefox auch irgendwie immer unstabiler wird. So habe ich auch bei einer frisch installierten Firefox (ohne Plugins und Addons) gemerkt, dass es öfters mal einfach hängen bleibt. Da kann ich nur hoffen, dass Opera nicht so anfällig ist. + Multi-Zitat Zitieren