Für die Performance Analyse einer Webseite gibt es sicherlich viele Möglichkeiten. Angefangen bei den Firefox Developer Tools, über Firebug bis zu Googles Page Speed, um nur ein paar dieser Tools zu nennen.
Performance-Analyser
Eine weiteres Analyse Tool für Webseiten ist der Performance Analyser. Dieses als Bookmarklet gestartete Github Projekt ist inzwischen als Firefox oder Chrome Erweiterung verfügbar.
Das Add-on wertet auf Knopfdruck Kennzahlen wie Zugriffsarten, Ladezeiten, Zugriffsmenge und weiteres aus. Die Analyse erfolgt einerseits in Zahlen, andererseits in praktischen Kuchen und Balkendiagrammen.
Dank einer farblichen Unterteilung und der dazu eingeblendeten Legende, können einzelne Dateien unter die Lupe genommen werden.
Die Erweiterung kann ohne Neustart installiert werden.
Fazit
Nettes kleines Tool, um eine Webseite schnell auf Herz und Nieren zu prüfen. Für längerfrstige Analysen ist das Add-on jedoch nicht geeignet, denn es bietet keine Funktion, um die gewonnenen Werte abzuspeichern oder zu vergleichen.
Dabei handelt es sich um eine Form, öffentliche Nachrichten auf Plattformen wie Facebook, Twitter, Reddit und Co zu verschlüsseln.
ShadowCrypt
ShadowCrypt ist eine Chrome Extension, die von der University of California, Berkeley und der University of Maryland entwickelt wird. Die Erweiterung soll zeigen, dass sichere Verschlüsselung schnell und einfach in bekannte Webseiten integriert werden kann. Laut den Forschern wurde das Add-on bereits auf 16 großen Webseiten getestet.
Im Prinzip soll es, anders als das etwas komplizierte PGG, eine Verschlüsselung dem normalen Anwender näher bringen.
Installation und Konfiguration
Die Installation der Erweiterung wird in einem kurzen Video erklärt. Zunächst muss natürlich die Erweiterung heruntergeladen werden.
Danach kann über die Optionen in den Erweiterungen "chrome://extensions/", entweder einer der vorhandenen Schlüssel verwendet oder ein eigener für neue Webseiten hinterlegt werden. Hier gilt es zu beachten, dass die bereits hinterlegten Schlüssel Nachrichten für alle Shadowcrypt Nutzer gelten. Das heißt eure Nachrichten können von allen anderen, die auch das gleiche Add-on installiert haben, gelesen werden.
Um eine Nachricht für eure Freunde zu verschlüsseln, muss ein neuer Schlüssel angelegt werden.
Adresse der Seite hinterlegen
Schlüsselname vergeben
Individuelle Farbe angeben
Ein Beschreibung hinterlegen, damit man weiß welcher Schlüssel für wen gedacht ist
Ein Passphrase hinterlegen
Den fertigen String an diejenigen verteilen, die Nachrichten lesen dürfen
Der Gegenüber muss in diesem Fall ebenfalls die Erweiterung installieren und diesen Key importieren, damit Nachrichten entschlüsselt werden können.
Einbindung in Webseiten
Die Einbindung in Webseiten erfolgt automatisch, wenn die Erweiterung aktiv ist. Zu erkennen ist das an einem geschlossenen Schloss.
Dieses funktioniert leider noch nicht so flüssig wie erhofft. So wird beispielsweise bei Facebook der Bestätigungsbutton für einen Beitrag nicht immer eingeblendet. Bei Reddit gab es wiederum keine Probleme.
In dieser frühen Phase des Tools ist dies jedoch verkraftbar.
Sollten in der Konfiguration mehrere Schlüssel für die gleiche Seite hinterlegt worden sein, beispielsweise für Freunde und Arbeitskollegen, so können diese im Optimalfall vor einem Post ausgewählt werden.
Wenn Alles richtig eingestellt wurde, sollte eine verschlüsselte Nachricht für die Öffentlichkeit wie folgt aussehen.
Für die auserwählten User mit einem Schlüssel, bzw. alle anderen Shadowcryptnutzer, wenn die vorinstallierten Schlüssel verwendet werden, wird der dahinter liegende Text automatisch entschlüsselt und angezeigt.
Fazit
Sicherlich ist diese neue Methode eine praktische Alternative für PGP, dadurch dass nicht nur Gmail und Co sondern auch soziale Netzwerke unterstützt werden, bietet sich ShadowCrypt gerade zu an. In dieser frühen Phase der Entwicklung gibt es aber sicherlich noch einige Hürden zu nehmen, um diese Verschlüsselung mit Hilfe einer Erweiterung dem normalen Nutzer näher zu bringen.
Es fehlt eine flüssige Einbindung in bekannte Seiten und eine ausführliche Erklärung in der Konfiguration, welcher Wert welchen Zweck erfüllt. Sind diese Hürden genommen, hat ShadowCrypt einiges Potential, um sichere Kommunikation im Alltag zu gewährleisten.
Als Verschlüsselungsverfahren wird übrigens AES-CCM eingesetzt. Weitere technische Details lassen sich dem Whitepaper entnehmen.
Zum Abschluss der "Erste Hilfe" Serie über die Poodle Lücke (Windows Server, Apache, Postfix und Nginx) möchte ich kurz zeigen, wie sich das unsichere SSL 3.0 Protokoll in den bekannten Browsern abschalten lässt. Unbedingt nötig ist das nicht, da zum Beispiel Chrome und Firefox in den kommenden Versionen SSLv3 von Haus aus abschalten werden. Dennoch eine kleine Anleitung, soll ja Nutzer geben, die weiterhin ältere Browser nutzen:
Poodle - SSL 3.0 im Internet Explorer deaktivieren
Microsoft bietet seit kurzem eine FixIt Tool (Download) an, welches das unsicherere SSL Protokoll abschaltet. Das Tool ist nicht unbedingt notwendig, da mit wenigen Hangriffen die notwendige Einstellung selbst vorgenommen werden kann:
Internet Explorer öffnen
Einstellungen anzeigen (alt+X)
Internetoptionen
Reiter "Erweitert" anklicken
Den Haken bei "SSL 3.0 verwenden" entfernen
Poodle - SSL 3.0 im Firefox abschalten
Mozilla wird das Protokoll, wie schon erwähnt in der kommenden Version des Browsers deaktivieren. Wer dem zuvor kommen möchte, der muss folgendes einstellen:
"about:config" in die Adresszeile eingeben
Den Schlüssel "security.tls.version.min" suchen
Der vorhanden Wert muss auch "1" geändert werden.
Poodle - SSL3 in Chrome deaktivieren
Auch Chrome wir in der neuen Version kein SSL 3 mehr unterstützen. Für den Moment genügt es die Verknüpfung mit einem zusätzlichen Schlüssel zu versehen.
Rechtsklick auf die Chrome Verknüpfung
Eigenschaften auswählen
Im Reiter Verknüpfung unter Ziel am Ende den Wert "--ssl-version-min=tls1" anhängen
Bei jeder HTTP Anfrage wird der Webseite mitgeteilt, woher der Besucher kommt. Das heißt, sobald ihr beispielsweise auf einen Link zur Wikipedia von diesem Blog klickt, erhält Wikipedia als Referrer http://www.itrig.de mitgeteilt.
Referrer Control
Dieser Referrer lässt sich kontrollieren, bzw. manipulieren. Die einfachste Methode stellt ein Browser Plugin dar. Für Firefox hatte ich vor langer Zeit bereits RefControl vorgestellt. Dieses wird jedoch nicht mehr weiterentwickelt. Hier kommt Referrer Control ins Spiel.
Das Add-on steht für Firefox und Chrome zur Verfügung und gibt euch die Kontrolle des gesendeten Referrers zurück. Es kann festgelegt werden, ob das Ziel oder die Quelle blockiert werden soll, wobei zwischen Domain, URL und Host gewählt werden kann.
Wer etwas mehr Wert auf seine Privatsphäre Wert legt, der sollte sich dieses Add on sicherlich etwas genauer anschauen. Der Surfkomfort wird dadurch nicht beeinträchtigt.
Der White Hat Aviator bezeichnet sich selbst als sicherster Browser der Welt. Dieser Aussage mag man glauben schenken, sollte sie aber durchaus hinterfragen. Hier eine kleine Aufstellung der Sicherheitsfeatures die der Aviator Browser von Haus aus mitbringt:
Privat bzw. Inkognitomdodus ist standardmäßig aktiviert. Das heißt keine History, Cookies und Co werden gespeichert.
Kein Tracking - Dies wird durch das mitgelieferte Addon "Disconnect" gewährleistet. Es ist aktiv und blockiert unerwünschtes Tracking von Anfang an.
Click to Play - Nachträglich installierte Plugins wie Flash oder Java können nur durch einen Extra Klick genutzt werden und starten nicht von alleine.
Alternative Suchmaschine - Für die Standardsuche wird DuckDuckGo verwendet, welches bekanntermaßen keine Daten speichert.
Die Standard Sicherheitseinstellung des Aviator Browser sind sicherlich gut gewählt. Es ist aber Nichts was ein anderer Browser wie Firefox oder Chrome nicht leisten könnte. Gerade das Disconnect Addon hatte ich hier ja bereits vorgestellt.
Click to Play und Privacy Modus bietet inzwischen jeder Browser an, auch wenn diese nicht unbedingt von Haus aus aktiviert sind.
Beim Thema Geschwindigkeit spielt der Aviator sicherlich vorne mit, was beim Chromium Hintergrund auch nicht verwunderlich ist.
Abschließend kann ich somit dem Laien zum Aviator Browser raten, da keine Sicherheitseinstellungen von Hand gemacht werden müssen. Leute die sich mit Sicherheitsproblematiken auseinandersetzen und etwas technisch bewandert sind, werden alle Einstellungen auch bei anderen Browsern selbst vornehmen können.