Leander: lokaler HTTPS proxy, wie geht das?

0 47

lokaler HTTPS proxy, wie geht das?

Leander
  • http
  • sicherheit
  • usability
  1. 0
    Julius
    1. 0
      Leander
      1. 1
        Sven Rautenberg
        1. 0
          woodfighter
        2. 0
          Der Martin
          1. 0
            Sven Rautenberg
            1. -1
              Leander
              1. 0
                Matthias Apsel
                • meinung
              2. 0
                Sven Rautenberg
              3. 0
                Google weiß alles
                1. 2
                  Auge
                  • http
                  • meinung
                  • sicherheit
            2. 0
              Leander
              1. 0
                Julius
                1. 0

                  Ausgewählte Lösung

                  Google weiß alles
          2. 0
            Julius
          3. 0
            woodfighter
            1. 0
              Der Martin
              1. 0
                woodfighter
      2. 0
        Julius
        1. 0
          Der Martin
          1. 0
            Tabellenkalk
            1. 0
              Der Martin
      3. 0
        woodfighter
  2. 0
    Leander
    1. 0
      Christian Kruse
      1. 0
        Leander
      2. 0
        Leander
        1. 1
          Christian Kruse
          1. 0
            Tabellenkalk
    2. 0
      Julius
      • begriff
      • menschelei
      • standards
      1. -2
        Leander
        1. 3
          Matthias Apsel
          1. -2
            Leander
        2. 4
          Google weiß alles
          1. 1
            Der Martin
          2. -2
            Leander
            1. 1
              Google weiß alles
        3. 0
          Julius
          1. 0
            Google weiß alles
            1. 1
              Der Martin
              1. 0
                Julius
          2. -1
            Leander
    3. 0
      Google weiß alles
      1. 0
        Tabellenkalk
        1. 0
          Google weiß alles
  3. 0

    AKZEPTIERTE ANTWORT

    Leander

Hallo,

Ich möchte (eingehende) https-Seiten mittels einer lokalen Proxysoftware tweaken (Javascripte entfernen, hinzufügen, etc). Ich kenne (und nutze) Privoxy und Proxomitron, Letzerer behauptet von sich, https zu können, siehe auch hier. Firefox verweigert mir aber alle Seiten, die HSTS verwenden. Zum Beispiel dieses Forum. Stattdessen zeigt er folgende Meldung an, relevanter Teil von mir hervorgehoben:

Dieser Verbindung wird nicht vertraut

Sie haben Firefox angewiesen, eine gesicherte Verbindung zu forum.selfhtml.org aufzubauen, es kann aber nicht überprüft werden, ob die Verbindung sicher ist.

(...)

**Diese Website verwendet HTTP Strict Transport Security (HSTS), um mitzuteilen, dass Firefox nur über gesicherte Verbindungen mit ihr kommunizieren soll. Daher ist es nicht möglich, eine Ausnahme für dieses Zertifikat anzulegen.**

Bedeutet dieses schöne neue HSTS, mal abgesehen von den krassen Datenschutz-Bedenken, die es aufwirft, daß ich diese Webseiten nicht tweaken kann, oder gibt es eine Lösung für das Problem? Proxy-Software? (Python-)Script-Lösung? Kann ich irgendwie das von Firefox/Chrome verwendete Zertifikat in meinem Proxy verwenden? Sonstige Ideen? Ist dieses hier das richtige für mich (Aber ehrlich gesagt, kapier ich nicht so recht, wie das zu installieren ist)?

Gruß, Leander

akzeptierte Antworten

  1. Hallo Leander,

    ich glaube, du hast den Sinn von HSTS nicht verstanden.

    Bedeutet dieses schöne neue HSTS, mal abgesehen von den krassen Datenschutz-Bedenken, die es aufwirft, daß ich diese Webseiten nicht tweaken kann, oder gibt es eine Lösung für das Problem?

    Ja, das bedeutet es.
    HSTS ist nicht das Problem, sondern es löst das Problem, das man HTTPS aushebeln kann.

    Eine mögliche Lösung wäre der Einsatz eines Browsers, der kein HSTS beherrscht oder bei dem du es abschalten kannst.

    Gruß
    Julius

    1. Hallo,

      Eine mögliche Lösung wäre der Einsatz eines Browsers, der kein HSTS beherrscht oder bei dem du es abschalten kannst.

      Leider ist Google nicht sehr hilfreich bei der Suche nach "Browser, der kein HSTS beherrscht" (Den IE kannst Du nicht ernsthaft meinen). Welchen meinst Du denn? Außerdem erscheint mir das ein seltsamer Ratschlag zu sein. Wenn die Seiten in einem Browser korrekt angezeigt werden, der kein HSTS beherrscht, was wäre dann der Sinn desselben? Außer, mich auszuhorchen und zu unterbinden, daß ich Werbung schon im Quelltext unterbinde?

      Gruß, Leander

      1. Moin!

        Leider ist Google nicht sehr hilfreich bei der Suche nach "Browser, der kein HSTS beherrscht" (Den IE kannst Du nicht ernsthaft meinen). Welchen meinst Du denn? Außerdem erscheint mir das ein seltsamer Ratschlag zu sein. Wenn die Seiten in einem Browser korrekt angezeigt werden, der kein HSTS beherrscht, was wäre dann der Sinn desselben? Außer, mich auszuhorchen und zu unterbinden, daß ich Werbung schon im Quelltext unterbinde?

        Ein HTTPS-Proxy, der den Inhalt der Webseite ändern soll, ist der klassische Man-in-the-middle-Angriff, den man nicht so gerne haben will. Deswegen ja Verschlüsselung, welche den Browser in die Lage versetzen soll, zu verifizieren, mit der richtigen Gegenstelle zu sprechen.

        Dein Proxy muss also anstelle des Browsers die HTTPS-Verbindung herstellen, muss dabei die Gültigkeit des Zertifikats sicherstellen, lädt sich dann die Seite herunter, ändert irgendwas, und muss am Ende diese Inhalte wiederum über HTTPS an den Browser schicken - aber weil der Proxy das Originalzertifikat nicht wiederherstellen kann, erstellt er sich eben ein eigenes, selbst unterschriebenes.

        Der Browser vertraut diesem Zertifikat nur eben nicht, und warnt den User. Dass das Gestatten von Ausnahmen für nicht korrekt unterschriebene Zertifikate bei HSTS-Seiten abgeschaltet ist, scheint mir nur konsequent.

        Grüße Sven

        1. Tach,

          Der Browser vertraut diesem Zertifikat nur eben nicht, und warnt den User.

          und wenn man das Zertifikat des Proxies importiert, damit diesem vertraut wird, stößt man auf Seiten, die HPKP nutzen und dann nicht mehr erreichbar sind. Fazit HTTPS ist nicht sinnvoll durch einen Proxy handhabbar.

          mfg
          Woodfighter

        2. Hallo,

          Ein HTTPS-Proxy, der den Inhalt der Webseite ändern soll, ist der klassische Man-in-the-middle-Angriff, den man nicht so gerne haben will.

          kommt drauf an, wer "man" in diesem Moment ist.

          Dein Proxy muss also anstelle des Browsers die HTTPS-Verbindung herstellen, muss dabei die Gültigkeit des Zertifikats sicherstellen, lädt sich dann die Seite herunter, ändert irgendwas, und muss am Ende diese Inhalte wiederum über HTTPS an den Browser schicken

          Oder über normales, unverschlüsseltes HTTP. Das wäre für dieses Szenario eigentlich sinnvoller.

          Der Browser vertraut diesem Zertifikat nur eben nicht, und warnt den User. Dass das Gestatten von Ausnahmen für nicht korrekt unterschriebene Zertifikate bei HSTS-Seiten abgeschaltet ist, scheint mir nur konsequent.

          Mir nicht. Der Wunsch des Nutzers nach einfacher, transparenter Kommunikation sollte IMO schwerer wiegen als die Forderung des Anbieters nach End-To-End-Verschlüsselung.

          So long,
           Martin

          --
          Logik ist die Theorie, Chaos die Praxis.
          1. Moin!

            Mir nicht. Der Wunsch des Nutzers nach einfacher, transparenter Kommunikation sollte IMO schwerer wiegen als die Forderung des Anbieters nach End-To-End-Verschlüsselung.

            Das interessiert aber keinen. Hat schon bei DVD-Kopierschutzverschlüsselung nicht funktioniert...

            Grüße Sven

            1. Das interessiert aber keinen.

              Wie Du Bedürfnisse anderer Menschen mit deiner agressiven Sprache wegwischt. Intelligente Menschen wie Du, die eigentlich was ändern könnten, die aber aus Bequemlichkeit zu solchen Wolfssprache-Floskeln greifen, sind die, die die Spezies Mensch am schnellsten dem Untergang entgegentreiben.

              Ist Dir nichts heilig? Bedeutet es Dir nichts, daß Tim Berners Lee das Internet frei und offen haben wollte? Den schleichenden Abbau dieser Freiheit für einen ungefragten vermeintlichen Schutz wischt Du einfach so beiseite. Weil man eh nichts dran ändern kann. Ja? ist das schon so schlimm im Internet? Wie traurig.

              Bei Julius sag ich nichts, das ist zwecklos bei dem, aber Du, du redest doch seltsam dumm und intelligent zugleich daher. Dein nihilistisches Geplapper dringt nicht zu mir durch.

              Na gut. Dann muß ich wohl ohne diese Webseiten und wohl irgendwann ganz ohne Internet auskommen. Haben die Kontrolleure eben mal wieder gewonnen.

              Gruß, Leander

              1. Hallo Leander,

                Bei Julius sag ich nichts, das ist zwecklos bei dem, aber Du, du redest doch seltsam dumm und intelligent zugleich daher. Dein nihilistisches Geplapper dringt nicht zu mir durch.

                Wie bist du denn drauf? Kennst du Julius etwa?

                Bis demnächst
                Matthias

                --
                Wenn eine Idee nicht zuerst absurd erscheint, taugt sie nichts. (Albert Einstein)
              2. Moin!

                Das interessiert aber keinen.

                Wie Du Bedürfnisse anderer Menschen mit deiner agressiven Sprache wegwischt. Intelligente Menschen wie Du, die eigentlich was ändern könnten, die aber aus Bequemlichkeit zu solchen Wolfssprache-Floskeln greifen, sind die, die die Spezies Mensch am schnellsten dem Untergang entgegentreiben.

                [ ] Du hast verstanden, was ich kritisiere.

                Grüße Sven

              3. Das interessiert aber keinen.

                [DELETED STUFF]

                Heul nicht, Prinzessin. Sven ist eigentlich auf Deiner Seite und will auch nicht dieses DDR(*)-Internet.

                *) DDR: JEDER, also auch derjenige der es explizit nicht will, wird zu Lasten der Freiheit in blindem Aktionismus vor allen möglichen Gefahren beschützt)

                1. Hallo

                  Das interessiert aber keinen.

                  [DELETED STUFF]

                  Heul nicht, Prinzessin. Sven ist eigentlich auf Deiner Seite und will auch nicht dieses DDR(*)-Internet.

                  *) DDR: JEDER, also auch derjenige der es explizit nicht will, wird zu Lasten der Freiheit in blindem Aktionismus vor allen möglichen Gefahren beschützt)

                  Es ist ja schön, zu sehen, dass die Geschichtsschreibung des letzten Vierteljahrhunderts ihre Wirkung nicht verfehlt. Aber mal ganz ehrlich, deine „Definition“ von DDR im Zusammenhang mit diesem Posting passt genausogut auf die BRD der Jetztzeit. Der Griff in die Geschichte ist somit überhaupt nicht notwendig.

                  Tschö, Auge

                  --
                  Wir hören immer wieder, dass Regierungscomputer gehackt wurden. Ich denke, man sollte die Sicherheit seiner Daten nicht Regierungen anvertrauen.
                  Jan Koum, Mitgründer von WhatsApp, im Heise.de-Interview
            2. Und überhaupt, eine Internettechnologie mit dem DVD Kopierschutz zu vergleichen, gehts noch? Ja entscheiden das denn auch noch nur Konzerne?

              Und weil 99% aller Nutzer ihn Sich eh nie angucken, ja da können wir den Seitenquelltext doch auch gleich kompilieren. Scheiß doch auf Open Access und Open Source. Scheiß doch drauf, ist doch eh alles nur Dreck. Brauch doch keiner! Prost!

              1. Hallo Leander,

                Und überhaupt, eine Internettechnologie mit dem DVD Kopierschutz zu vergleichen, gehts noch? Ja entscheiden das denn auch noch nur Konzerne?

                Beide verschlüsseln ein Transportmedium, insofern passt der Vergleich: Beim einen soll der Inhalt der DVD vor den achso bösen Nutzern geschützt werden, bei HTTPS die übertragenen Daten vor denen, die deine Daten schlicht nichts angehen.

                Dafür, dass Verschlüsselung auch missbraucht werden kann (das Content Scramble System würde ich als solches beschreiben), kann ja nun die Verschlüsselung gar nichts...

                Und weil 99% aller Nutzer ihn Sich eh nie angucken, ja da können wir den Seitenquelltext doch auch gleich kompilieren.

                HTTPS sorgt dafür, dass nur der Client/Server, für den die Daten bestimmt sind, sie auch anzeigen kann. So funktioniert das „Postgeheimnis“ nun mal. HTTPS packt die für alle lesbare Postkarte (HTTP) in einen undurchsichtigen, versiegelten Umschlag (TLS)[1], was soll daran verkehrt sein?

                Scheiß doch auf Open Access und Open Source. Scheiß doch drauf, ist doch eh alles nur Dreck. Brauch doch keiner! Prost!

                Du wirfst einiges durcheinander: Open Access bezeichnet den „freien Zugang zu wissenschaftlicher Literatur und anderen Materialien im Internet“ – wozu sicher nicht meine oder deine Datenübertragungen zu einem X-Beliebigen Server zählen (HTTPS bedeutet ja keine Zugriffsbeschränkung im Sinne einer PayWall!) – Open Source bezeichnet die Verfügbarkeit des Quelltextes einer Software, und ja, OpenSSL und NSS sind quelloffen und sogar „Frei/Libre“ (→ FLOSS).

                So langsam bekomme ich das Gefühl, dass du hier nur rumbollern und keine Lösung für dein Problem haben möchtest...

                Gruß
                Julius



                1. Gut, der Vergleich hinkt an der Stelle, dass man den Umschlag trotzdem immer noch öffnen kann, was bei TLS natürlich nicht möglich ist... ↩︎

                1. Beide verschlüsseln ein Transportmedium, insofern passt der Vergleich: Beim einen soll der Inhalt der DVD vor den achso bösen Nutzern geschützt werden, bei HTTPS die übertragenen Daten vor denen, die deine Daten schlicht nichts angehen.

                  Das zwar auch, aber das ist nur eine Seite der Medaille und hier auch noch die falsche: Worüber Leander stolpert ist, dass neben der von Dir angesprochenen Transportsicherheit auch die Authentizität der Daten gewährleistet wird. Hier bedeutet das, dass der Betreiber des Servers will, das tatsächlich sein(e) Skript(e) und nicht etwa ein über einen Proxy oder via verbogenen DNS-Eintrag (oder hosts-Datei...) eingeschmuggelter $BankingTrojanerInstaller oder $BundesTrojanerInstaller ausgeführt werden.

                  Ausgewählte Lösung

                  Die Datei permissions.sqlite im Profilverzeichnis mit dem Firefox-Addon SQLite Manager bearbeiten. Da der eigene Webserver ja das HSTS-Flag nicht setzt sollte das Problem damit aus der Welt sein. Ich würde vorher ein Backup machen...

                  Falls der Server hart im Firefox codiert ist: Dort steht auch: "Finally I find a solution: 1. backup xul.dll to xul.bak 2. use a hex editor to open xul.dll 3. search "googleapis.com" and change it to something else "

                  Leider ist nach jedem Update wieder kaputt. Aber man kann das auch skripten. Achte darauf, dass der umgeschriebene Hostname genau so viele ASCII(!)-Zeichen hat wie das Original.

          2. Hallo Martin,

            Der Browser vertraut diesem Zertifikat nur eben nicht, und warnt den User. Dass das Gestatten von Ausnahmen für nicht korrekt unterschriebene Zertifikate bei HSTS-Seiten abgeschaltet ist, scheint mir nur konsequent.

            Mir nicht. Der Wunsch des Nutzers nach einfacher, transparenter Kommunikation sollte IMO schwerer wiegen als die Forderung des Anbieters nach End-To-End-Verschlüsselung.

            99% der Nutzer wollen einen sicheren Browser, die sind gar nicht dran interessiert, die Daten „unterwegs“ zu analysieren oder zu verändern.

            Gruß
            Julius

          3. Tach,

            Oder über normales, unverschlüsseltes HTTP. Das wäre für dieses Szenario eigentlich sinnvoller.

            das ist kein sinnvoller oder eher ein gefährlicher Use-Case; unverschlüsselte Protokolle auf öffentlicher Infrastruktur (und dazu zählt jedes Gerät mit Internetanschluss) sind keine gute Idee, sobald die Infrastruktur so groß ist, dass man nicht mehr alle Nutzer persönlich kennt.

            mfg
            Woodfighter

            1. Moin,

              Oder über normales, unverschlüsseltes HTTP. Das wäre für dieses Szenario eigentlich sinnvoller.

              das ist kein sinnvoller oder eher ein gefährlicher Use-Case; unverschlüsselte Protokolle auf öffentlicher Infrastruktur (und dazu zählt jedes Gerät mit Internetanschluss) sind keine gute Idee, sobald die Infrastruktur so groß ist, dass man nicht mehr alle Nutzer persönlich kennt.

              ich sprach ja auch nur von der Strecke vom Proxy bis zum Client, wobei ich selbstverständlich davon ausgehe, dass der Proxy auf demselben Rechner wie der Client läuft, im äußersten Fall auf einer anderen Büchse im eigenen LAN. Dieses letzte Stück der Kommunikation liegt also im kontrollierten privaten Bereich.

              So long,
               Martin

              --
              Logik ist die Theorie, Chaos die Praxis.
              1. Tach,

                Dieses letzte Stück der Kommunikation liegt also im kontrollierten privaten Bereich.

                in meiner Sicht gibt es keinen kontrollierten privaten Bereich; warum sollte User A auf einer Kiste mitlesen können, was User B gerade an Daten innerhalb der Kiste überträgt?

                mfg
                Woodfighter

      2. Hallo Leander,

        Eine mögliche Lösung wäre der Einsatz eines Browsers, der kein HSTS beherrscht oder bei dem du es abschalten kannst.

        Leider ist Google nicht sehr hilfreich bei der Suche nach "Browser, der kein HSTS beherrscht" (Den IE kannst Du nicht ernsthaft meinen).

        So wie ich das bei caniuse sehe, gibt es keinen modernen Browser, der HSTS nicht unterstützt. Suche mal nach „proxy hsts“ oder „disable hsts“, dann findest du Seiten wie Stackexchange, ausprobieren musst du es.

        Welchen meinst Du denn?

        Das war rein hypothetisch. Ein anderer Ansatz wäre, den Browser nur über den Proxy zu betreiben und die Preload-HSTS-Liste irgendwie rauszuwerfen (k. A. wie das geht).

        Außerdem erscheint mir das ein seltsamer Ratschlag zu sein.

        Mir scheint dein Vorhaben seltsam zu sein. Gegen Tracker gibt es Addons wie PrivacyBadger.

        Wenn die Seiten in einem Browser korrekt angezeigt werden, der kein HSTS beherrscht, was wäre dann der Sinn desselben?

        Du verstehst HSTS immer noch nicht. Bitte informiere dich.

        Bei HSTS teilt der Server dem Client über eine verschlüsselte Verbindung (und nur dann!) mit, dass er für die Zeitdauer X nur verschlüsselt kommunizieren will. Wird während dieser Zeitdauer von HTTPS auf HTTP umgeleitet (z. B. weil im Café-WLAN ein Man-in-the-Middle-Angriff läuft), gibt der Browser dann die von dir genannte Fehlermeldung aus. Es gibt auch eine Liste mit Websites, die nur verschlüsselt erreichbar sind, die von vielen Browser bereits integriert wurde. Dieses Vorgehen sorgt dafür, dass MitM-Angriffe bereits beim ersten Aufruf der Website scheitern, während bei herkömmlichen HSTS der erste Zugriff eines Clients auf die Seite „sauber“ sein muss, damit HSTS funktioniert.

        Browser, die HSTS nicht beherrschen, ignorieren diese Angabe einfach und profitieren damit nicht vom Sicherheitsgewinn. Auf die „Darstellung“ einer Seite hat das keinerlei Einfluss.

        Außer, mich auszuhorchen

        Das ist leider ein Nebeneffekt, macht aber HSTS nicht wertlos. Außerdem müsstest du JavaScript deaktivieren, um Browser-Fingerprinting zu verhindern, das macht wohl kaum jemand.

        und zu unterbinden, daß ich Werbung schon im Quelltext unterbinde?

        HSTS verhindert das Ändern von Daten während des Transports. AdBlock und Konsorten setzen erst im Browser an und werden davon nicht beeinflusst.

        Proxies sind nicht die einzigen „Opfer“ von HSTS, auch die in vielen öffentlichen WLANs eingesetzten Captive-Portals werden mit zunehmender Verbreitung von HSTS irgendwann nicht mehr funktionieren.

        Das Problem ist nun mal, dass Browser nicht zuverlässig zwischen legitimen und nicht legitimen Proxies bzw. Änderungen an den übertragenen Daten unterscheiden kann. HSTS ist eine Lösung dafür, die zwar für einigen wenigen Anwendern Probleme bringt, aber dafür 99% der Anwender Probleme durch Phishing, Identitätsdiebstahl und Zensur erspart.

        Gruß
        Julius

        1. Hi,

          Außerdem müsstest du JavaScript deaktivieren, um Browser-Fingerprinting zu verhindern, das macht wohl kaum jemand.

          ja, ich weiß, ich bin "kaum jemand". Erst neulich habe ich mit dasoertliche.de mal wieder eine Site gefunden, die mit aktivem Javascript nur erheblich eingeschränkt bedienbar ist. Und das bestätigt mich auf meinem Kurs, den ich seit Jahren verfolge: Javascript global deaktivieren, und nur für einzelne Sites per Ausnahmeregel zulassen. Diese Whitelist enthält derzeit das Onlinebanking-Portal meiner Bank, die Site meines Webhosters, selfhtml.org und openstreetmap.org und alle Hosts im eigenen LAN (z.B. wegen des Webinterfaces meiner Fritzbüx).

          So long,
           Martin

          --
          Logik ist die Theorie, Chaos die Praxis.
          1. Hallo,

            mit aktivem Javascript nur erheblich eingeschränkt bedienbar

            wie äußert sich das?

            Gruß
            Kalk

            1. Hi,

              mit aktivem Javascript nur erheblich eingeschränkt bedienbar

              wie äußert sich das?

              in diesem speziellen Fall habe ich versucht, über die Rückwärtssuche einen Teilnehmer zu identifizieren. Also gebe ich die Nummer ein (Paste), drücke die Enter-Taste. Dann poppt so ein nachgebautes modales Dialogfenster auf und informiert mich, dass zu dieser Nummer kein Eintrag gefunden werden konnte. Durch den dunklen Grauschleier, der über der restlichen Seite lag, konnte ich aber schemenhaft erkennen, dass im Hauptfenster stand, durch Verkürzung der Rufnummer habe man einen Teilnehmer gefunden (war wohl eine geschäftliche Nummer mit Durchwahl).

              Also schließe ich das überlagerte "Fenster" durch Klick auf den X-Button - und die eben noch angezeigten Daten im Hauptfenster sind wieder weg, die Eingabemaske frisch für die nächste Abfrage. Schönen Dank auch.

              Ohne Javascript passiert das nicht. Das Overlay-Fenster erscheint erst gar nicht, und die angezeigte Information ist einwandfrei lesbar und natürlich sogar markier- und kopierbar.

              So long,
               Martin

              --
              Logik ist die Theorie, Chaos die Praxis.
      3. Tach,

        Außer, mich auszuhorchen

        die Nutzung von HSTS als Technik zur Browseridentifizierung ist soweit ich das sehe effektiv abhängig von Javascript und solange Javascript aktiv ist, gibt es diverse andere Möglichkeiten das selbe zu erreichen.

        mfg
        Woodfighter

  2. Tag,

    Ich habe das Problem mit dem Python-Modul ProxHTTPSProxyMII gelöst. Ich kann nun dank diesem Front/Rear-Server, der den HTTPS-Dreck in HTTP umwandelt + Proxomitron z.b. dieses Forum ohne <head>...</head> angucken. Ja, Proxomitron kann verschachtelte HTML-Tags matchen (mittels $NEST() und $INEST()). Und man kann natürlich die Webseite durch beliebig viele hintereinandergeschachtelte Proxies schicken, bevor man Sie zu 100% genau so hat, wie man Sie haben will.

    Der Weg, aktuell, aber bestimmt nicht mehr lange, ist wie folgt:

    • Man braucht natürlich The Python, hier v3.5.1
    • Man lade sich oben das Zip runter und entpacke den enthaltenen Modulordner.
    • Man folge der präzisen Erklärung (Die sich auch als readme im Modulordner befindet).
    • Bei der Installation des moduleigenen Zertifikats (CA.crt) in den Browsern (Chrome: in den Einstellungen nach Zertifikat suchen, Firefox) ist darauf zu achten, daß es im Firefox unter Zertifizierungsstellen, im Chrome unter Vertrauenswürdige Stammzertifizierungsstellen importiert wird (nicht etwa z.B. im Firefox unter ihre Zertifikate).
    • Ferner muß man, um die ProxHTTPSProxy.py ans laufen zu bekommen, haufenweise zusätzliche Module via (Kommandozeile)
    pip install <modulname>
    

    installieren (was nicht dokumentiert ist, aber wenn man in Python den Fehlermeldungen folgt, nachdem man die ProxHTTPSProxy.py gestartet hat und dann mal googelt, findet man schon, was man braucht). Bei mir waren es folgende Schritte (erster akualisiert pip selbst):

    pip install -U pip setuptools
    pip install colorama
    pip install urllib3
    pip install PySocks
    pip install pyOpenSSL
    

    In Proxomitron muß man sich einarbeiten, indem man sich die Doku (Quickreferenz)durchliest. Kleiner Tip: Die von Proxomitron verwendete Sprache zum Matchen sieht zwar ähnlich aus wie Reguläre Ausdrücke, verhält sich aber in einigen Details anders.

    Dann löscht man am besten erstmal den ganzen Dreck aus der Seitenfilter-Liste und Headerfilterliste, bis auf den einen Headerfilter, der die Variable CType setzt. Dann erstellt man sich einen Test-Seitenfilter wie

    Name = test
    Active = TRUE
    URL = *
    Bounds = $NEST(< head(\s|>),< / head >)
    Limit = 32767
    Match = *
    Replace = <!-- removed head -->
    

    (entfernt <head>...</head> aus allen Webseiten), um zu testen daß alles funzt, was es hoffentlich auch tut.


    Sven, dein Post hat mich darin bestärkt dieses Modul zu versuchen zu installieren. Denk Dir nix, daß ich nur Dich später angemacht habe, das tue ich nur bei Menschen, die ich schätze.


    Julius, ich glaub Dir kein Wort. Du lügst hier. Wenn Du die Leute schützen wolltest, würdest Du Backupprogramme verbessern und einen Mechanismus implementieren, mittels dem man gestohlenes digitales Geld zurück aufs Konto holen kann. Aber das willst Du nicht. Du willst in Wirklichkeit die Dinge verkomplizieren, um Sie unbenutzbar zu machen. So willst Du sie sabotieren.

    Gruß Leander.

    1. Hallo Leander,

      Julius, ich glaub Dir kein Wort. Du lügst hier. Wenn Du die Leute schützen wolltest, würdest Du Backupprogramme verbessern und einen Mechanismus implementieren, mittels dem man gestohlenes digitales Geld zurück aufs Konto holen kann. Aber das willst Du nicht. Du willst in Wirklichkeit die Dinge verkomplizieren, um Sie unbenutzbar zu machen. So willst Du sie sabotieren.

      I LOL'ed.

      LG,
      CK

      1. Ja? Worüber denn?

      2. Hallo,

        Keine Antwort? Dann darf ich dein Lachen als reflexhaftes Angst-lolen deuten?

        Gruß, Leander

        1. Hallo Leander,

          Keine Antwort?

          Nö.

          Dann darf ich dein Lachen als reflexhaftes Angst-lolen deuten?

          Nö.

          LG,
          CK

          1. Hallo,

            Dann darf ich dein Lachen als reflexhaftes Angst-lolen deuten?

            Nö.

            Doch, dürfen darf er das. Dass er es mit ziemlicher Sicherheit fehldeutet, ist ja unabhängig davon...

            Gruß
            Kalk

    2. Hallo Leander,

      Julius, ich glaub Dir kein Wort. Du lügst hier.

      Äh, wo denn genau?

      Wenn Du die Leute schützen wolltest, würdest Du Backupprogramme verbessern und einen Mechanismus implementieren, mittels dem man gestohlenes digitales Geld zurück aufs Konto holen kann. Aber das willst Du nicht.

      Das tue ich doch:

      Du willst in Wirklichkeit die Dinge verkomplizieren, um Sie unbenutzbar zu machen. So willst Du sie sabotieren.

      Du verwechselst da etwas: Nicht ich mache die Standards, ich bin nur der kleine Student, der versucht, sie dir zu erklären...
      Auch wenn du es wahrscheinlich nicht wahrhaben möchtest: Die meisten Standards sind sehr durchdacht – schau dir HTML an, schau dir die exakte Sprache der RFCs an, da steckt sehr viel Gehirnschmalz hinter.

      Gruß
      Julius

      1. Julius, ich glaub Dir kein Wort. Du lügst hier.

        Äh, wo denn genau?

        HSTS ist nicht das Problem, sondern es löst das Problem, ...

        Hier

        Beide verschlüsseln ein Transportmedium, insofern passt der Vergleich: Beim einen soll der Inhalt der DVD vor den achso bösen Nutzern geschützt werden, bei HTTPS die übertragenen Daten vor denen, die deine Daten schlicht nichts angehen.

        Hier

        Dafür, dass Verschlüsselung auch missbraucht werden kann (das Content Scramble System würde ich als solches beschreiben), kann ja nun die Verschlüsselung gar nichts...

        Hier

        HTTPS sorgt dafür, dass nur der Client/Server, für den die Daten bestimmt sind, sie auch anzeigen kann. So funktioniert das „Postgeheimnis“ nun mal

        Hier

        was soll daran verkehrt sein?

        Hier

        99% der Nutzer wollen einen sicheren Browser, die sind gar nicht dran interessiert, die Daten „unterwegs“ zu analysieren oder zu verändern.

        Hier

        Mir scheint dein Vorhaben seltsam zu sein. Gegen Tracker gibt es Addons wie PrivacyBadger.

        Hier

        Browser, die HSTS nicht beherrschen, ignorieren diese Angabe einfach und profitieren damit nicht vom Sicherheitsgewinn.

        Hier

        Das ist leider ein Nebeneffekt, macht aber HSTS nicht wertlos.

        Hier

        Außerdem müsstest du JavaScript deaktivieren, um Browser-Fingerprinting zu verhindern, das macht wohl kaum jemand.

        Hier

        HSTS verhindert das Ändern von Daten während des Transports. AdBlock und Konsorten setzen erst im Browser an und werden davon nicht beeinflusst.

        Hier

        Proxies sind nicht die einzigen „Opfer“ von HSTS

        Hier

        Das Problem ist nun mal

        Hier

        HSTS ist eine Lösung dafür, die zwar für einigen wenigen Anwendern Probleme bringt, aber dafür 99% der Anwender Probleme durch Phishing, Identitätsdiebstahl und Zensur erspart.

        Hier

        Wenn Du die Leute schützen wolltest, würdest Du Backupprogramme verbessern und einen Mechanismus implementieren, mittels dem man gestohlenes digitales Geld zurück aufs Konto holen kann. Aber das willst Du nicht.

        Das tue ich doch:

        Hier

        Du willst in Wirklichkeit die Dinge verkomplizieren, um Sie unbenutzbar zu machen. So willst Du sie sabotieren.

        Du verwechselst da etwas: Nicht ich mache die Standards, ich bin nur der kleine Student, der versucht, sie dir zu erklären...

        Hier

        Du willst in Wirklichkeit die Dinge verkomplizieren, um Sie unbenutzbar zu machen. So willst Du sie sabotieren.

        Außerdem dient eine ‒ für die anderen ? ‒ unknackbare Verschlüsselung sehr den Interessen von Leuten, die nicht gesehen werden wollen.

        Übrigens, eine Lösung des Sicherheitsproblems (gibts wahrscheinlich schon hundertfach), die ohne Komplettverschlüsselung des Internets auskommt ist folgende:

        a und b kommunizieren unverschlüsselt. Sowohl a als auch b sind bei Zwischenstelle c gemeldet. a sagt b daß er x haben will und bereit ist, y dafür zu zahlen. Dann sendet a y an Zwischenstelle c über eine gesicherte HSTS Verbindung. b sendet, ebenfalls via HSTS, an c, daß er die Bestellung für x entgegegenommen hat. c sendet an b, daß er x von a erhalten hat. b sendet y an a. Wenn a y erhalten hat, informiert er c. c sendet x an b.

        Damit ist keine Verschlüsselung des gesamten Internets nötig, sondern nur zwischen c und seinen Kontaktpartnern. Siehe auch Unicode. Dennoch ist Sicherheit gewährleistet und ich und andere freie Individuen dürfen weiterhin sich des unverschlüsselten Datenverkehrs erfreuen und fiese Machenschaften können weiter von hoffentlich hellgeistigen Kriegern abgehört werden.

        Leander.

        1. Hallo Leander,

          Die „hiers“ sollen die Stellen mit den Lügen sein?

          Irgendwie hast du ne Meise.

          Bis demnächst
          Matthias

          --
          Wenn eine Idee nicht zuerst absurd erscheint, taugt sie nichts. (Albert Einstein)
          1. Hallo,

            Irgendwie hast du ne Meise.

            Sicher. Ich arbeite dran. Aber wenigstens bin ich kein Feigling, so wie Du, der mit den Wölfen heult.

            Gruß, Leander.

        2. Hier

          Leander:

          Unterscheide bitte zwischen:

          • Lüge,
          • unrichtiger Aussage,
          • unvollständiger Aussage,
          • Meinung die Dir nicht passt,
          • Aussage welche Dir aus irgendwelchen neben der Sache Gründen (wie Herkunft der Äußerung) einfach nicht gefällt.

          Eine Lüge ist eine vorsätzlich unwahre oder vorsätzlich unvollständige Aussage, die in Täuschungsabsicht getätigt wird. Das liegt hier nicht vor. Julius ist (mir) bisher auch nicht negativ aufgefallen. Und warum sollte er Dich belügen?

          Und jetzt suche das Hemd aus dem Du gesprungen bist, zieh es Dir wieder an und bewahre fortan die Fassung.

          1. Hallo,

            Unterscheide bitte zwischen:

            • Lüge,
            • unrichtiger Aussage,
            • unvollständiger Aussage,
            • Meinung die Dir nicht passt,
            • Aussage welche Dir aus irgendwelchen neben der Sache Gründen (wie Herkunft der Äußerung) einfach nicht gefällt.
            • Aussage, die du ganz oder teilweise nicht verstehst.

            Und jetzt suche das Hemd aus dem Du gesprungen bist, zieh es Dir wieder an und bewahre fortan die Fassung.

            Guter Rat.

            So long,
             Martin

            --
            Logik ist die Theorie, Chaos die Praxis.
          2. Hallo,

            Unterscheide bitte zwischen:

            • Lüge,
            • unrichtiger Aussage,
            • unvollständiger Aussage,
            • Meinung die Dir nicht passt,
            • Aussage welche Dir aus irgendwelchen neben der Sache Gründen (wie Herkunft der Äußerung) einfach nicht gefällt.

            ich unterscheide nur zwischen Tatsachen und Meinung.

            Wenn einer etwas falsches verharmlost oder unterstützt, dann erzielt er langfristig den gleichen Effekt wie wenn er lügt. Er verdreht Tatsachen. Hier die Tatsache, daß eine neue Technologie Probleme für Nutzer mit sich bringt. Daß Sie in Bereichen angewendet wird, wo sie nicht zwingend benötigt wird. Daß Nutzer nicht entscheiden dürfen ob Sie sie an- oder abschalten können.

            Eine Lüge ist eine vorsätzlich unwahre oder vorsätzlich unvollständige Aussage, die in Täuschungsabsicht getätigt wird.

            So what? genau das tut er.

            Warum sollte er Dich belügen?

            Weil er die Verschlüsselung will?

            Und jetzt suche das Hemd aus dem Du gesprungen bist, zieh es Dir wieder an und bewahre fortan die Fassung.

            Und jetzt suche den Kopf, der Dir verlorengegangen ist und fange fortan an zu denken.

            Gruß, Leander

            1. Hallo,

              Unterscheide bitte zwischen:

              • Lüge,
              • unrichtiger Aussage,
              • unvollständiger Aussage,
              • Meinung die Dir nicht passt,
              • Aussage welche Dir aus irgendwelchen neben der Sache Gründen (wie Herkunft der Äußerung) einfach nicht gefällt.

              ich unterscheide nur zwischen Tatsachen und Meinung.

              Und warum nennst was davon dann "Lüge"?

              Und jetzt suche den Kopf, der Dir verlorengegangen ist und fange fortan an zu denken.

              Nein. Nach Bedenken des Satzes, was ich nur mit dem Kopf auf den Schultern kann, bitte ich Dich um die Wertschätzung und Sachlichkeit welche ich Dir entgegen bringe.

              Es ist wirklich nicht nötig zu antworten. Du würdest diese Antwort, ebenso wie auch bereits gegebene, später ganz von Dir aus bereuen. Ich hingegen würde mich deshalb nicht ärgern, egal was darin steht.

        3. Hallo Leander,

          Du willst in Wirklichkeit die Dinge verkomplizieren, um Sie unbenutzbar zu machen. So willst Du sie sabotieren.

          Warum sollte ich die Dinge komplizieren, wenn ich es gar nicht kann, weil ich nicht die Standards schreibe?

          Übrigens, eine Lösung des Sicherheitsproblems (gibts wahrscheinlich schon hundertfach), die ohne Komplettverschlüsselung des Internets auskommt ist folgende:

          a und b kommunizieren unverschlüsselt. Sowohl a als auch b sind bei Zwischenstelle c gemeldet. a sagt b daß er x haben will und bereit ist, y dafür zu zahlen. Dann sendet a y an Zwischenstelle c über eine gesicherte HSTS Verbindung. b sendet, ebenfalls via HSTS, an c, daß er die Bestellung für x entgegegenommen hat. c sendet an b, daß er x von a erhalten hat. b sendet y an a. Wenn a y erhalten hat, informiert er c. c sendet x an b.

          Ganz einfach: a kommuniziert verschlüsselt mit b (aus welchem Grund sollte ich c vertrauen können?)
          – Und ich soll hier alles kompliziert machen *grins*

          Damit ist keine Verschlüsselung des gesamten Internets nötig, sondern nur zwischen c und seinen Kontaktpartnern. Siehe auch Unicode.

          Unicode ist ein Zeichensatz und gar nichts mit Verschlüsselung zu tun.

          Dennoch ist Sicherheit gewährleistet und ich und andere freie Individuen dürfen weiterhin sich des unverschlüsselten Datenverkehrs erfreuen und fiese Machenschaften können weiter von hoffentlich hellgeistigen Kriegern abgehört werden.

          Falsch, Verschlüsselung schützt vor Zensur.

          Gruß
          Julius

          1. Es ist, glaube ich, in einer Diskussion die schon längst weitab der Fachfrage und im "persönlichen" liegt, die richtige Entscheidung sich als Betroffener von nicht mehr vollständig sachlichen Äußerungen nicht mehr selbst dazu zu äußern.

            1. Hallo,

              Es ist, glaube ich, in einer Diskussion die schon längst weitab der Fachfrage und im "persönlichen" liegt, die richtige Entscheidung sich als Betroffener von nicht mehr vollständig sachlichen Äußerungen nicht mehr selbst dazu zu äußern.

              anders ausgedrückt:

              Lass es einfach, Julius, es ist vergebliche Liebesmüh. Wenn jemand mal beschlossen hat, dass er stänkern will, helfen Argumente nicht mehr.

              So long,
               Martin

              --
              Logik ist die Theorie, Chaos die Praxis.
              1. Hallo Martin,

                Lass es einfach, Julius, es ist vergebliche Liebesmüh.

                schon, aber andererseits möchte ich diese Unwahrheiten auch nicht unwiderlegt lassen.

                Gruß
                Julius

          2. Hallo,

            a kommuniziert verschlüsselt mit b (aus welchem Grund sollte ich c vertrauen können?)

            Und was ist, wenn d unverschlüsselt mit b kommunizieren will? Ich zum Beispiel, der seine Scripte einbinden will? Bei meinem Lösungsansatz kein Problem. Ich kann dann nur die Verbindung mit C, die mich nicht, sondern nur Dich interessiert, tweaken. Ist das so schwer zu verstehen oder willst Du nicht? Wie schon gesagt, es ist wohl letzteres. Ob Du c vertrauen kannst ‒ ist mir doch egal. Kümmer Dich halt drum. DU willst doch alles verschlüsselt und versteckt haben, nicht ich.

            Damit ist keine Verschlüsselung des gesamten Internets nötig, sondern nur zwischen c und seinen Kontaktpartnern. Siehe auch Unicode.

            Unicode ist ein Zeichensatz und gar nichts mit Verschlüsselung zu tun.

            Auch hier stellt sich die selbe Frage. Willst Du nicht verstehen oder kannst Du nicht? Unicode ist c in meinem Szenario. Statt direkt von Zeichensatz a nach Zeichensatz b (d e f) zu konvertieren, muß nur von a und b (d e f) nach unicode konvertiert werden können um von a nach b (d e f) zu konvertieren.

            Verschlüsselung schützt vor Zensur.

            Dieser Artikel klingt für mich eher nach: Verschlüsselung kann bewirken daß komplette Domains von Staaten gesperrt werden und so selbst für Unbeteiligte Nachteile mit sich bringen.

            Deine Komplettverschlüsselung verringert Benutzbarkeit für alle, selbst Die, die deine Verschlüsselung nicht brauchen. Mit anderen Worten, Du willst nicht alleine den Preis dafür zahlen daß Du sicher Geld von A nach B überweisen kannst. Die bürdest Du mir auf, indem Du das ganze Internet verschlüsseltst und ich kann dann meinen Proxy nicht mehr verwenden. Und diese Frechheit von Dir gibts noch mit nem Grinsen garniert als wär´ das furchtbar intelligent. Und die anderen, die Dir so begeistert und unreflektiert Mut zureden, kaufen Dirs ab.

            Deine Komplettverschlüsselung des gesamten Internet-Datenverkehrs ist keine logische Notwendigkeit (siehe auch mein Lösungsansatz), sondern eine politische Agenda.

            Gruß, Leander

    3. Ich habe das Problem mit dem Python-Modul ProxHTTPSProxyMII gelöst.

      Eine Software zu verwenden, die gegenüber den HTTP-Servern als User-Agent und gegenüber den User-Agenten als Proxy auftritt (und alle Verweise auf https durch http ersetzt) geht natürlich auch. Aber Achtung: Das kann auch die Sicherheit Deines Systems sehr stark beeinträchtigen. Weiter kann das durchaus bei einigen Javascripten zu Problemen führen: Denn einige bauen (warum auch immer) die URL aus Strings (url='ht'+'ttps'+':'+...) zusammen.

      Aber Du hast unbedingt Recht damit, dass die Einbindung von Skripten, Schriften e.t.c. (nicht nur) aus dem Google-CDN aus der Perspektive des Datenschutzes höchst problematisch ist. Das schon weil jedes Mal der Referer mit gesendet wird.

      1. Hallo,

        (url='ht'+'ttps'+':'+...)

        das dritte t steht dann für translation?

        Gruß
        Kalk

        1. (url='ht'+'ttps'+':'+...)

          das dritte t steht dann für translation?

          Manchmal für 'tainted'.

  3. Hallo,

    Die von mir akzeptierte Antwort wäre dann wohl meine Lösung des Problems, und dieser inhaltlich relevante Post. Leider erkennt das Forum mich nicht, so daß ich diese nicht entsprechend markieren kann. Vielleicht mag ein Admin das ja tun.

    Also tschüs!