Archiv

Posts Tagged ‘Security’

Heruntergeladene Assemblies entsperren

7. Mai 2014 Kommentare aus

Ein Sicherheitsfeature von Windows ist für Entwickler besonders mühsam: Die Blockierung von aus dem Internet geladenen .Net-Assemblies. Versucht man so eine *.dll in einem Visual Studio Projekt zu verwenden trifft man auf diese Fehlermeldung:

Error 172 Could not load the assembly file://**/*.dll. This assembly may have been downloaded from the Web. If an assembly has been downloaded from the Web, it is flagged by Windows as being a Web file, even if it resides on the local computer. This may prevent it from being used in your project. You can change this designation by changing the file properties. Only unblock assemblies that you trust. See http://go.microsoft.com/fwlink/?LinkId=179545 for more information.

 

Da sich der Entwickler ein wenig Zeit für eine sinnvolle Fehlermeldung genommen hat findet man im MSDN eine entsprechende Lösung. Für einzelne Dateien genügt es diese im Explorer zu öffnen und mittels Rechtsklick den Eigenschaften-Dialog zu öffnen. Dort wird einem der Zulassen-Knopf prominent angezeigt:

Datei von fremden Computern zulassen

Diese Lösung dürfte den meisten bekannt sein. So lange man nur wenige Dateien entsperren muss kommt man damit auch gut zurecht. Hat man allerdings ein Projekt mit unzähligen Assemblies, die noch für alle möglichen Windows-Plattformen in Unterprojekte gegliedert sind, braucht es etwas Besseres.

 

Streams

Um Dateien massenhaft und rekursiv über verschachtelte Ordner zu entsperren empfiehlt Microsoft das Tool “Streams” von Sysinternals. Auch wenn dies mittlerweile in die Jahre gekommen ist macht es seinen Job noch immer zuverlässig.

Nach dem herunterladen und installieren steht einem Streams als Konsolenanwendung zur Verfügung. Startet man das Tool ohne Parameter zeigt es einem die möglichen Optionen an:

C:\>D:\Pfad\zu\Streams\streams.exe
Streams v1.56 - Enumerate alternate NTFS data streams
Copyright (C) 1999-2007 Mark Russinovich
Sysinternals - www.sysinternals.com

usage: D:\Pfad\zu\Streams\streams.exe [-s] [-d] <file or directory>
-s     Recurse subdirectories
-d     Delete streams

Um den Ordner _DEV rekursiv zu entsperren genügt dieser Aufruf:

C:\>D:\Pfad\zu\Streams\streams.exe –s –d _DEV

 

Fazit

Ein an sich guter Schutz für Gelegenheitsanwender ist für Entwickler in der täglichen Arbeit ein Hindernis. Je nach Projekt wird man sehr häufig Dateien aus dem Internet herunterladen und jedes Assembly von Hand entsperren ist auf die Dauer nicht nur mühsam, sondern braucht auch viel Zeit. Mit einem Werkzeug wie Streams lässt sich dieses Problem aber glücklicherweise sehr einfach lösen.

Schlagworte: , ,

AtaraxiS 1.5 veröffentlicht

21. April 2014 Kommentare aus

AtaraxiS ist ein kleines Tool zum Verwalten von Passwörtern und zum Verschlüsseln von Dateien. Andreas Müdespacher und ich haben AtaraxiS ursprünglich als Diplomarbeit geschrieben und seither immer weiter optimiert. So läuft AtaraxiS heute nicht nur unter Windows, sondern auch auf Mac und Linux.

 

Unterstützung für Java 8

Mit der Veröffentlichung von Java 8 wurde es notwendig AtaraxiS zu aktualisieren. Mit Version 1.5 können nun auch auf JRE 8 die entsprechenden Policy-Dateien installiert werden um die volle Stärke der Verschlüsselung zu aktivieren.
Die Hilfsbibliotheken Bouncy Castle und SWT wurden bei dieser Gelegenheit auch auf den neusten Stand gebracht.

Nicht mehr unterstützt werden dafür Java 5 und 6. Die beiden Versionen haben seit mehr als einem Jahr keine öffentlichen Patches mehr erhalten und sollten bei Privatanwendern nicht mehr verwendet werden.

Auf dem Entschlüsseln-Dialog wurde ein kleiner Fehler mit der Optionsauswahl behoben, bei dem je nach Reihenfolge AtaraxiS abgestürzt ist.

AtaraxiS_15

 

Download

Wer sich selber von AtaraxiS überzeugen möchte findet hier die passende Version:

Die Installation beschränkt sich aufs entpacken der Zip / Tar Datei. Dadurch kann man AtaraxiS auch problemlos auf einem USB-Stick entpacken und auf jedem Rechner mit einer JRE laufen lassen.

Schlagworte: ,

AtaraxiS 1.4 veröffentlicht

5. September 2012 Kommentare aus

AtaraxiS ist ein kleines Tool zum Verwalten von Passwörtern und zum Verschlüsseln von Dateien. Andreas Müdespacher und ich haben AtaraxiS ursprünglich als Diplomarbeit geschrieben und seither immer weiter optimiert. So läuft AtaraxiS heute nicht nur unter Windows, sondern auch auf Mac und Linux.

 

Bugfixes und kleinere Umbauten

Die Version 1.4 beseitigt einige kleinere Bugs die vor allem im Zusammenhang mit der Fehlerbehandlung auftreten konnten. Obwohl diese Bugs sich nur in sehr speziellen Fällen zeigten war es uns doch wichtig diese mit verständlichen Fehlermeldungen abzufangen und Abstürze zu verhindern.

Neben einigen kleineren Optimierungen haben wir die Package-Struktur vereinfacht. Diese internen Umbauten wird man nur bemerken wenn man eigenen Code rund um AtaraxiS geschrieben hat.

 

Neue Projektseite

Mit der neuen Version gibt es auch eine neue Projektseite. Der bisher von uns genutzte Service (Origo) wurde leider ohne Vorwarnung eingestellt. Wir nutzten diese unerwartete Situation zu einer Standortbestimmung und haben entschieden nicht nur den Hosting-Anbieter zu wechseln, sondern auch von Subversion auf Git zu migrieren. Seit August erreicht man AtaraxiS nun über unsere GitHub-Seite.

 

Download

Wer sich selber von AtaraxiS überzeugen möchte findet hier die passende Version:

Die Installation beschränkt sich aufs entpacken der Zip / Tar Datei. Dadurch kann man AtaraxiS auch problemlos auf einem USB-Stick entpacken und auf jedem Rechner mit einer JRE laufen lassen.

Schlagworte: ,

CAcert: Root Zertifikate installieren

29. Dezember 2009 Kommentare aus

Damit die von CAcert ausgestellten Zertifikate geprüft werden können, muss das Root-Zertifikat von CAcert installiert sein. Dies kann recht mühsam sein, falls man beim Internet Explorer den falschen Speicherplatz wählt. Um dem vorzubeugen habe ich diese kleine Anleitung geschrieben.

Die Root-Zertifikate findet man auf CAcert.org. Die Hashcodes müssen wie folgt lauten:

Klasse 1 SHA1 13:5C:EC:36:F4:9C:B8:E9:3B:1A:B2:70:CD:80:88:46:76:CE:8F:33
Klasse 1 MD5 A6:1B:37:5E:39:0D:9C:36:54:EE:BD:20:31:46:1F:6B
Klasse 3 SHA1 DB:4C:42:69:07:3F:E9:C2:A3:7D:89:0A:5C:1B:18:C4:18:4E:2A:2D
Klasse 3 MD5 73:3F:35:54:1D:44:C9:E9:5A:4A:EF:51:AD:03:06:B6

 
Firefox und Thunderbird
Die Installation bei Firefox ist sehr einfach. Klickt man auf den Link zum Zertifikat wird man gefragt, ob man es installieren will. Mit einem einfachen Dialog kann man auswählen, für was man der CA vertraut:

Dies muss sowohl für das Zertifikat der Klasse 1 wie für das der Klasse 3 gemacht werden. Bei Thunderbird läuft die Installation fast gleich. In den erweiterten Einstellungen kann auf dem Tab Zertifikate der Zertifikats-Manager gestertet werden (Knopf Zertifikate). Über Importieren kann man das zuvor auf den PC herunter geladene Zertifikat einbinden.

 
Internet Explorer
Im Internet Explorer ist die Installation ähnlich. Auch hier beginnt diese mit dem Download und der Installation des Zertifikates. Es spielt aber eine wichtige Rolle, wohin man die Zertifikate installiert. Man sollte beim ersten Anlauf “Trusted Root Certification Authorities” auswählen:

Nachdem auch hier beide Root-Zertifikate installiert wurden muss der IE neu gestartet werden. Beim Aufruf von https://www.cacert.org/ sollte das Zertifikat nun erkannt werden:

 
Zertifikatsfehler Internet Explorer
Sollte allerdings die Adresszeile Rot eingefärbt sein, findet sich beim Zertifikat dieser Fehler:

Falls die Zertifikate installiert sind, liegen diese am falschen Ort. Mit der Management Console können diese verschoben werden. Dazu startet man über “Ausführen…” das Programm mmc. Die Konsole wird zuerst leer sein. Über “Add/Remove Snap-in…” kann das Modul für Zertifikate hinzugefügt werden. Wie vom Explorer gewohnt können Einträge mittels CTRL-X ausgeschnitten und mit CTRL-V eingefügt werden. Auch hier müssen die Zertifikate am Ende unterhalb von “Trusted Root Certification Authorities” liegen.

Die Installation kann ganz einfach sein. Wählt man aber den falschen Ablageort kann aus einer 5 Minuten dauernden Tätigkeit ein abendfüllendes Thema werden…

 
Mehr zu mmc
Wer gerne mehr über mmc wissen möchte, sollte sich die Seite von theeldergeek anschauen.

Schlagworte:

CAcert – eine freie Root CA

28. Dezember 2009 1 Kommentar

CAcert (http://www.cacert.org) ist eine Non-Profit Organisation mit dem Zweck, eine kostenlose Certificate Authority (CA) etablieren will. Eine CA dient zum Ausstellen und Verifizieren von Zertifikaten, die wiederum zum Verschlüsseln verwendet werden.

Kommerzielle CAs verlangen für diesen Dienst pro Zertifikat eine Gebühr, die für die meisten Anwender zu teuer ist. Die Konsequenz daraus ist, dass man entweder auf die Verschlüsselung verzichtet oder zu selber signierten Zertifikaten greift – diese können aber nicht von einer unabhängigen dritten Seite verifiziert werden.
Mit den Zertifikaten kann die Verbindung zu Webservern über https gesichert oder E-Mails mittels S/MINE signiert oder verschlüsselt werden. Eine bisher weniger verbreitete Anwendung ist die Signierung von Programmen.

 
Das Web of Trust
CAcert basiert auf einem Web of Trust. Die Mitglieder vertrauen Mitgliedern die wiederum anderen Mitgliedern vertrauen. So spannt sich ein Netz auf, bei dem sich Leute vertrauen, die sich nicht direkt kennen.
Bei CAcert kann sich jeder anmelden. Die Identität des neuen Mitglieds muss von Personen bestätig werden, deren Identität wiederum durch andere Mitglieder bestätigt ist. So stellt man sicher, dass jedes voll authentifizierte Mitglied wirklich die Person ist, die sie vorgibt zu sein.

 
Der Authentifizierungsprozess
Nachdem man sich bei CAcert angemeldet hat, kann man sich das Identitätsüberprüfungs-Formular (CAP-Formular) herunterladen. Mit dem kann man sich von den als Assurer tätigen Mitgliedern die Identität überprüfen lassen.
Jeder Assurer kann einem eine bestimmte Anzahl Punkte geben. Je mehr Personen der Assurer bestätigt hat, desto mehr Punkte kann er vergeben. Er selber bekommt für jede Prüfung 2 Punkte.
Die einzelnen Stufen sind in dieser Tabelle ersichtlich:

Total Punkte Assurer-Punkte Zu vergebende Punkte
100 0 10
110 10 15
120 20 20
130 30 25
140 40 30
150 50 35

Um voll authentifiziert zu sein (also 100 Punkte zu haben), braucht man zwischen 3 und 10 Assurer (je nach deren Erfahrung). Die Assurer findet man über die Webseite von CAcert unter dem Punkt “CAcert Web of Trust” / “Einen Assurer finden”. Dort kann man auch sehen, wie viele Punkte der Assurer vergeben kann.

 
Wofür benötige ich wie viele Punkte?
Um von CAcert profitieren zu können, braucht man nicht unbedingt 100 Punkte. Je nach Anwendungszweck genügt eine bestätigte Mailadresse:

Voraussetzung Möglichkeit
bestätigte Mailadresse Zertifikate für 6 Monate, nur Mailadresse / Domain
50 Punkte Zertifikate für 24 Monate mit Angabe von Namen
100 Punkte Code-Signierung, Möglichkeit Assurer zu werden

Die ausführlichere Tabelle findet sich bei CAcert.

 
Wie geht es weiter?
Nachdem man voll authentifiziert ist, kann man den Assurer-Test machen (vorher das Assurer-Handbuch durchlesen). Besteht man diesen, darf man als Assurer tätig werden und beim Ausbau des Web of Trust mitmachen.
Will man dies nicht, kann man auch nur die Dienste von CAcert nutzen.

Schlagworte:

Fedora: SSH-Verbindungsaufbau beschleunigen

18. Oktober 2009 1 Kommentar

Nach dem Upgrade auf Fedora 11 dauerte der Verbindungsaufbau ewig. Vom absenden des ssh-Befehls bis zur Aufforderung zur Passworteingabe dauerte es meistens 50 Sekunden. Vom gleichen Rechner aus dauerte der Aufbau der Verbindung zu einem Debian-Server weniger als eine halbe Sekunde.
Erst dachte ich an eine Überlastung des Rechners, da dieser nach dem Start jeweils zahlreiche Programme startet. Aber die Verbindung wurde auch dann nicht schneller aufgebaut, als der Rechner nichts zu tun hatte.

 
GSSAPI deaktivieren

Ein erster Hinweis im Fedora Forum deutete auf GSSAPI hin.

# GSSAPI options
GSSAPIAuthentication no
#GSSAPIAuthentication yes
#GSSAPICleanupCredentials yes
#GSSAPICleanupCredentials yes

Nach dem deaktivieren der entsprechenden Option von GSSAPI in der Datei /etc/ssh/sshd_config dauerte der Verbindungsaufbau „nur“ noch 10 Sekunden. Zwar schon 40 Sekunden weniger, aber auch 10 Sekunden sind immer noch viel zu lang.

 
UseDNS deaktivieren

UseDNS no

Nach nochmaligem suchen fand ich den Hinweis auf die DNS-Abfragen. Ich dachte, dass durch die Verwendung der IP-Adresse keine DNS-Anfrage abgeschickt würde. Aber nach dem Abschalten von UseDNS war der Verbindungsaufbau gleich schnell wie zum Debian-Server.

0.5 oder 50 Sekunden ist eine deutliche Verbesserung.

Schlagworte: ,
Folgen

Erhalte jeden neuen Beitrag in deinen Posteingang.

Schließe dich 297 Followern an