Discussion:
ELSTER erzwingt Freigabe von DOM Webspace
(zu alt für eine Antwort)
Chr. Maercker
2018-03-01 12:30:29 UTC
Permalink
Hallo,

der user-login von elster.de läuft nur dann, wenn in Mozilla (SM 2.49.2)
die Einstellung
dom.storage.enable = true
aktiviert wird. Der Tracking-Report von fraunhofer.de warnt schon 2014,
dass diese Option von Trackern genutzt würde. Wieviele Tracker nisten
sich dort tatsächlich ein und wie ernst ist das Problem zu nehmen? Und
warum braucht ELSTER solchen Unfug, nur um einen Account für ein
Zertifikat anzulegen? Cookies erzwingen sie obendrein, "Sicherheit" pur.
--
CU Chr. Maercker.

RADWEGE sind TOD-SICHER! Schlaue Füchse fahren Fahrbahn.
Reinhard Zwirner
2018-03-01 12:50:14 UTC
Permalink
Post by Chr. Maercker
Hallo,
der user-login von elster.de läuft nur dann, wenn in Mozilla (SM 2.49.2)
die Einstellung
dom.storage.enable = true
aktiviert wird. Der Tracking-Report von fraunhofer.de warnt schon 2014,
dass diese Option von Trackern genutzt würde. Wieviele Tracker nisten
sich dort tatsächlich ein und wie ernst ist das Problem zu nehmen? Und
warum braucht ELSTER solchen Unfug, nur um einen Account für ein
Zertifikat anzulegen? Cookies erzwingen sie obendrein, "Sicherheit" pur.
Vielleicht solltest Du das besser im ELSTER-Forum fragen.

Ciao

Reinhard
Chr. Maercker
2018-03-01 14:37:37 UTC
Permalink
Post by Reinhard Zwirner
Vielleicht solltest Du das besser im ELSTER-Forum fragen.
Warum ELSTER so abartig programmiert ist, ACK. Die Frage, ob und wie
stark DOM.storage die Sicherheit beeinträchtigt, bleibt hier.
--
CU Chr. Maercker.
Ruediger Lahl
2018-03-01 14:44:12 UTC
Permalink
Post by Chr. Maercker
Post by Reinhard Zwirner
Vielleicht solltest Du das besser im ELSTER-Forum fragen.
Warum ELSTER so abartig programmiert ist, ACK. Die Frage, ob und wie
stark DOM.storage die Sicherheit beeinträchtigt, bleibt hier.
Nun steht es dir frei, es für die eine ELSTER-Stunde im Jahr
einzuschalten und danach gleich wieder abzuschalten.
--
bis denne
Lars Krause
2018-03-03 14:25:35 UTC
Permalink
Guten Abend,
Post by Ruediger Lahl
Post by Chr. Maercker
Post by Reinhard Zwirner
Vielleicht solltest Du das besser im ELSTER-Forum fragen.
Warum ELSTER so abartig programmiert ist, ACK. Die Frage, ob und wie
stark DOM.storage die Sicherheit beeinträchtigt, bleibt hier.
Nun steht es dir frei, es für die eine ELSTER-Stunde im Jahr
einzuschalten und danach gleich wieder abzuschalten.
Dies kann man natürlich jederzeit und für alle Seiten abschalten.
Aber funktioniert dann speziell bei ELSTER noch alles richtig?

Vermutlich aber nicht, weil es verlangt wird.
Weiß ich aber nicht, weil ich das nicht nutze.

Grüße
Lars
--
Alle sagten: "Das geht nicht."
Dann kam einer, der wusste das nicht und hat es einfach gemacht.
Markus Ammann
2018-03-01 17:55:59 UTC
Permalink
Post by Chr. Maercker
Hallo,
der user-login von elster.de läuft nur dann, wenn in Mozilla (SM 2.49.2)
die Einstellung
dom.storage.enable = true
aktiviert wird. Der Tracking-Report von fraunhofer.de warnt schon 2014,
dass diese Option von Trackern genutzt würde. Wieviele Tracker nisten
sich dort tatsächlich ein und wie ernst ist das Problem zu nehmen? Und
warum braucht ELSTER solchen Unfug, nur um einen Account für ein
Zertifikat anzulegen? Cookies erzwingen sie obendrein, "Sicherheit" pur.
Bei mir ist es aktiviert. Dateien darin dürfen nur zwei Websites ablegen.
Man kann es in den Voreinstellungen festlegen, wer darin Dateien ablegen
darf. Sinnvollerweise nur die, die man vertraut ;-).

Gruss Markus
--
Dieser Beitrag entstand durch hirnloses Herumtippen auf der Tastatur.
Jeglicher Sinn und Zusammenhang darin waere rein zufaellig und nicht
beabsichtigt.
DVD-Sammlung: http://www.howalgonium.ch/dvdsammlung.html
Alexander Goetzenstein
2018-03-02 01:40:45 UTC
Permalink
Hallo,
Post by Markus Ammann
Bei mir ist es aktiviert. Dateien darin dürfen nur zwei Websites ablegen.
Man kann es in den Voreinstellungen festlegen, wer darin Dateien ablegen
darf. Sinnvollerweise nur die, die man vertraut ;-).
ach, das geht? Bislang dachte ich, dass man nur entweder an- oder
abschalten kann. Aber wie ich sehe, gibt es noch weitere dom.storage.*
Variablen. Mir ist nur noch nicht geglückt, herauszufinden, was sie
bewirken. Und wie die Festlegung auf einzelne Quellen funktioniert, auch
nicht, auch wenn es sinnvoll erscheint.
--
Gruß
Alex
Markus Ammann
2018-03-02 05:38:42 UTC
Permalink
Post by Chr. Maercker
Hallo,
Post by Markus Ammann
Bei mir ist es aktiviert. Dateien darin dürfen nur zwei Websites ablegen.
Man kann es in den Voreinstellungen festlegen, wer darin Dateien ablegen
darf. Sinnvollerweise nur die, die man vertraut ;-).
ach, das geht? Bislang dachte ich, dass man nur entweder an- oder
abschalten kann. Aber wie ich sehe, gibt es noch weitere dom.storage.*
Variablen. Mir ist nur noch nicht geglückt, herauszufinden, was sie
bewirken. Und wie die Festlegung auf einzelne Quellen funktioniert, auch
nicht, auch wenn es sinnvoll erscheint.
Bei Seamonkey:

Preferences - Advanced - Offline Apps
"Only allow websites with explicit permissions"

Gruss Markus
--
Dieser Beitrag entstand durch hirnloses Herumtippen auf der Tastatur.
Jeglicher Sinn und Zusammenhang darin waere rein zufaellig und nicht
beabsichtigt.
DVD-Sammlung: http://www.howalgonium.ch/dvdsammlung.html
Markus Ammann
2018-03-02 05:52:58 UTC
Permalink
[Ingrid-Modus on]
Post by Markus Ammann
Preferences - Advanced - Offline Apps
"Only allow websites with explicit permissions"
Bei Firefox:

Preferences - Advanced - Network
Unter "Offline Web Content and User Data" kann man jene Einstellungen
tätigen.
[Ingrid-Modus off]

Gruss Markus
--
Dieser Beitrag entstand durch hirnloses Herumtippen auf der Tastatur.
Jeglicher Sinn und Zusammenhang darin waere rein zufaellig und nicht
beabsichtigt.
DVD-Sammlung: http://www.howalgonium.ch/dvdsammlung.html
Markus Ammann
2018-03-03 16:47:08 UTC
Permalink
[Ingrid-Modus on]
Post by Markus Ammann
Preferences - Advanced - Offline Apps
"Only allow websites with explicit permissions"
Bei Firefox:

Preferences - Advanced - Network
Unter "Offline Web Content and User Data" kann man jene Einstellungen
tätigen.
[Ingrid-Modus off]

Gruss Markus
--
Dieser Beitrag entstand durch hirnloses Herumtippen auf der Tastatur.
Jeglicher Sinn und Zusammenhang darin waere rein zufaellig und nicht
beabsichtigt.
DVD-Sammlung: http://www.howalgonium.ch/dvdsammlung.html
Chr. Maercker
2018-03-05 10:17:42 UTC
Permalink
Markus Ammann wrote:
[Filterung Websites, für die DOM storage erlaubt ist]
Post by Markus Ammann
Preferences - Advanced - Offline Apps
"Only allow websites with explicit permissions"
Ist bei mir so eingestellt. Elster-Online steht aber weder in der Liste
derer, die offline storage nutzen (Liste ist leer) noch wurden
irgendwelche Permissions dafür vergeben. Sind offline storage und DOM
storage wirklich das gleiche??
--
CU Chr. Maercker.
Markus Ammann
2018-03-05 10:57:18 UTC
Permalink
Post by Chr. Maercker
[Filterung Websites, für die DOM storage erlaubt ist]
Post by Markus Ammann
Preferences - Advanced - Offline Apps
"Only allow websites with explicit permissions"
Ist bei mir so eingestellt. Elster-Online steht aber weder in der Liste
derer, die offline storage nutzen (Liste ist leer) noch wurden
irgendwelche Permissions dafür vergeben. Sind offline storage und DOM
storage wirklich das gleiche??
Wenn ich DOM Storage abschalte, dann funktionieren jene zwei Websites
nicht mehr, die ich als Ausnahmefälle eingetragen habe.

Gruss Markus
--
Dieser Beitrag entstand durch hirnloses Herumtippen auf der Tastatur.
Jeglicher Sinn und Zusammenhang darin waere rein zufaellig und nicht
beabsichtigt.
DVD-Sammlung: http://www.howalgonium.ch/dvdsammlung.html
Chr. Maercker
2018-03-05 16:46:25 UTC
Permalink
Post by Markus Ammann
Wenn ich DOM Storage abschalte, dann funktionieren jene zwei Websites
nicht mehr, die ich als Ausnahmefälle eingetragen habe.
*Wie* schaltest Du DOM Storage? Ich kenne nur den Eintrag in der
prefs.js: dom.storage.enable = true

Bisher habe ich kein Pendant dafür in den offiziell zugänglichen
Einstellungen entdeckt. Ohne o.g. Eintrag streikt ELSTER.
--
CU Chr. Maercker.
Markus Ammann
2018-03-05 17:48:20 UTC
Permalink
Post by Chr. Maercker
Post by Markus Ammann
Wenn ich DOM Storage abschalte, dann funktionieren jene zwei Websites
nicht mehr, die ich als Ausnahmefälle eingetragen habe.
*Wie* schaltest Du DOM Storage? Ich kenne nur den Eintrag in der
prefs.js: dom.storage.enable = true
Bisher habe ich kein Pendant dafür in den offiziell zugänglichen
Einstellungen entdeckt. Ohne o.g. Eintrag streikt ELSTER.
Eben so habe ich es abgeschaltet ;-).
Im GUI habe ich lediglich:
Allow all websites to store data for offline use
Only allow websites with explicit permissions
Vollständiges Abschalten geht somit nur via prefs.

Ergebnis, jene zwei Websites, die Dateien ins Storage ablegen dürfen,
funktionieren nicht.

Gruss Markus
--
Dieser Beitrag entstand durch hirnloses Herumtippen auf der Tastatur.
Jeglicher Sinn und Zusammenhang darin waere rein zufaellig und nicht
beabsichtigt.
DVD-Sammlung: http://www.howalgonium.ch/dvdsammlung.html
Chr. Maercker
2018-03-06 08:41:50 UTC
Permalink
Markus Ammann wrote:
[prefs.js: dom.storage.enable = true]
Post by Markus Ammann
Eben so habe ich es abgeschaltet ;-).
Allow all websites to store data for offline use
Only allow websites with explicit permissions
Vollständiges Abschalten geht somit nur via prefs.
Ergebnis, jene zwei Websites, die Dateien ins Storage ablegen dürfen,
funktionieren nicht.
Seltsam: Bei mir ist
Only allow websites with explicit permissions
eingestellt, aber die nachfolgende Liste leer.
Trotzdem funktioniert die Elster, sobald dom.storage.enable = true
eingestellt ist. Hätte das eine mit dem anderen zu tun, würde ich
zumindest erwarten, dass nach einem Neustart des Browsers die Option
Allow all websites to store data for offline use
angezeigt wird und nicht mehr die selektive. Es müsste jedenfalls auch
gehen, wenn
dom.storage.enable = false
und
Only allow websites with explicit permissions
nebst Elster in der nachfolgenden Liste eingestellt sind. Teste ich mal.
--
CU Chr. Maercker.
Chr. Maercker
2018-03-06 09:08:08 UTC
Permalink
Es müsste gehen, wenn
dom.storage.enable = false
und
Only allow websites with explicit permissions
nebst Elster in der nachfolgenden Liste eingestellt sind. Teste ich mal.
Negativ: https://www.elster.de steht jetzt in der Ausnahmeliste,
Only allow websites with explicit permissions
ist aktiviert und
dom.storage.enable = false.

https://www.elster.de/eportal/benutzerkonto-service
streikt: "Web Storage nicht aktiviert".
Sogar ohne Browser-Neustart. Dass DOM-storage gemeint ist, gibt die
Fehlermeldung übrigens nur durch den Nebensatz

Web Storage können Sie beispielsweise im Internet-Explorer unter
"Internetoptionen", "Erweitert" wieder aktivieren, indem Sie das Häkchen
neben der Option "DOM-Storage" setzen.

zu erkennen. Ist wohl doch was anderes als offline storage. Hinter dem
Eintrag in der Filterliste steht zudem nach wie vor 0 Bytes.
--
CU Chr. Maercker.
Markus Ammann
2018-03-06 13:46:53 UTC
Permalink
Post by Chr. Maercker
Es müsste gehen, wenn
dom.storage.enable = false
und
Only allow websites with explicit permissions
nebst Elster in der nachfolgenden Liste eingestellt sind. Teste ich mal.
Negativ: https://www.elster.de steht jetzt in der Ausnahmeliste,
Only allow websites with explicit permissions
ist aktiviert und
dom.storage.enable = false.
https://www.elster.de/eportal/benutzerkonto-service
streikt: "Web Storage nicht aktiviert".
Sogar ohne Browser-Neustart. Dass DOM-storage gemeint ist, gibt die
Fehlermeldung übrigens nur durch den Nebensatz
Web Storage können Sie beispielsweise im Internet-Explorer unter
"Internetoptionen", "Erweitert" wieder aktivieren, indem Sie das Häkchen
neben der Option "DOM-Storage" setzen.
zu erkennen. Ist wohl doch was anderes als offline storage. Hinter dem
Eintrag in der Filterliste steht zudem nach wie vor 0 Bytes.
Bei "Notify me when websites want to store data for offline use" ist da
noch der Hacken reingeklickt.

Dann unter "The following websites are using offline storage:" jene zwei
Websites eingetragen.
Dort ohne den Protokoll voran. Also www.wichtigehomepage.xy bzw.
wichtigehomepage.xy

Soweit ich sehe, Storage darf je nach Einstellung via prefs allgemein
genutzt werden oder nicht. Zusätzlich Dateien (Stichwort: Supercookies)
darin abzulegen dann nur, sofern man dies via jenes GUI zugelassen hat.

Gruss Markus
--
Dieser Beitrag entstand durch hirnloses Herumtippen auf der Tastatur.
Jeglicher Sinn und Zusammenhang darin waere rein zufaellig und nicht
beabsichtigt.
DVD-Sammlung: http://www.howalgonium.ch/dvdsammlung.html
Chr. Maercker
2018-03-06 16:09:42 UTC
Permalink
Post by Markus Ammann
Bei "Notify me when websites want to store data for offline use" ist da
noch der Hacken reingeklickt.
Same here. Kamen aber noch nie Anfragen dewegen.
Post by Markus Ammann
Dann unter "The following websites are using offline storage:" jene zwei
Websites eingetragen.
Dort ohne den Protokoll voran. Also www.wichtigehomepage.xy bzw.
wichtigehomepage.xy
Zum Eintragen wird das Fenster für die Permissions geöffnet und dort
wurde mir nur ein vollständiger URL abgenommen. Angezeigt wird nachher
aber nur der Hostname.
Post by Markus Ammann
Soweit ich sehe, Storage darf je nach Einstellung via prefs allgemein
genutzt werden oder nicht. Zusätzlich Dateien (Stichwort: Supercookies)
darin abzulegen dann nur, sofern man dies via jenes GUI zugelassen hat.
OK, dann krümelt Elster den DOM Sspace offenbar nicht mit Keksen voll,
soll mir sehr recht sein.
--
CU + danke Chr. Maercker.
Arno Welzel
2018-03-02 11:33:32 UTC
Permalink
Chr. Maercker:

[...]
Post by Chr. Maercker
sich dort tatsächlich ein und wie ernst ist das Problem zu nehmen? Und
warum braucht ELSTER solchen Unfug, nur um einen Account für ein
Zertifikat anzulegen? Cookies erzwingen sie obendrein, "Sicherheit" pur.
Das musst Du die Betreiber von ELSTER fragen. Wieso sollte das hier
jemand beantworten können?
--
Arno Welzel
https://arnowelzel.de
https://de-rec-fahrrad.de
http://fahrradzukunft.de
Chr. Maercker
2018-03-05 10:02:30 UTC
Permalink
Post by Arno Welzel
Das musst Du die Betreiber von ELSTER fragen. Wieso sollte das hier
jemand beantworten können?
Den Betreiber habe ich schon gefragt. Was ich hierzugroups gern wüsste,
ist welche Sicherheitslücke sich auftut, wenn ich DOM Webspace freigebe.
Der Default ist "disabled" btz. false, das könnte ja vielleicht Gründe
haben.
Andererseits schrieb jemand, mit Mozilla lassen sich die URLs filtern,
die auf den Webspace zugreifen dürfen. Zufällig der passende Eintrag in
der prefs.js. bekannt?
--
CU Chr. Maercker.
Arno Welzel
2018-03-05 18:46:35 UTC
Permalink
Post by Chr. Maercker
Post by Arno Welzel
Das musst Du die Betreiber von ELSTER fragen. Wieso sollte das hier
jemand beantworten können?
Den Betreiber habe ich schon gefragt. Was ich hierzugroups gern wüsste,
ist welche Sicherheitslücke sich auftut, wenn ich DOM Webspace freigebe.
Keine mir bekannte. Sofern XSS möglich ist, wäre theoretisch denkbar,
dass eine böse Anwendung auf Daten zugreift, die ELSTER in seine eigene
DOM-Storage abgelegt hat. Aber das ist nicht prinzipbedingt sondern wäre
schlicht ein Bug im Browser.
--
Arno Welzel
https://arnowelzel.de
https://de-rec-fahrrad.de
http://fahrradzukunft.de
Lars Krause
2018-03-03 14:15:42 UTC
Permalink
Guten Tag,
Post by Chr. Maercker
der user-login von elster.de läuft nur dann, wenn in Mozilla (SM 2.49.2)
die Einstellung dom.storage.enable = true aktriviert wird.
Tja, nun. Das ist erst einmal die Standard-Einstellung (aller Mozillen).
Und für notwendige Daten muss es irgendwo einen Zwischenspeicher geben.
Post by Chr. Maercker
Der Tracking-Report von fraunhofer.de warnt schon 2014,
dass diese Option von Trackern genutzt würde. Wieviele Tracker nisten
sich dort tatsächlich ein
Dies wäre aber eine Frage, die nicht nur ELSTER (laut Betreff) betrifft,
und kann von einem zusätzlichen Anti-Tracker (Add-on) angezeigt werden.

Dies kann z.B. der Privacy Badger der Electronic Frontiere Foundation:
<https://www.eff.org/privacybadger>
Post by Chr. Maercker
und wie ernst ist das Problem zu nehmen?
Das kann/sollte man hinsichtlich eigener Daten immer ernst nehmen.
Es sei denn, man benutzt bereits Facebook, WhatsApp und Ähnliches.
Weitere Kommentare dazu dürften m.E. überflüssig sein... :-)
Post by Chr. Maercker
Und warum braucht ELSTER solchen Unfug, nur um einen Account für ein
Zertifikat anzulegen?
Dies kann doch am besten der "Kundenservice" von ELSTER beantworten.
Dort kann man doch zumindest versuchen, Verbesserungen einzubringen.
Post by Chr. Maercker
Cookies erzwingen sie obendrein, "Sicherheit" pur.
Naja, immerhin kann man das (bei allen Mozillen) so einstellen, dass
alle Cookies nur so lange behalten werden, bis der Browser beendet wird.

Und wenn ich hinzufügen darf:
Ich habe entschieden, dass ich die ELSTER nicht nutze und so lange wie
möglich die Steuererklärung nur per Post bzw. schriftlich einreiche.

Grüße
Lars
--
Alle sagten: "Das geht nicht."
Dann kam einer, der wusste das nicht und hat es einfach gemacht.
Chr. Maercker
2018-03-05 10:10:01 UTC
Permalink
Post by Lars Krause
Tja, nun. Das ist erst einmal die Standard-Einstellung (aller Mozillen).
Und für notwendige Daten muss es irgendwo einen Zwischenspeicher geben.
Wirklich? Ich musste es explizit freigeben.
Post by Lars Krause
Post by Chr. Maercker
Der Tracking-Report von fraunhofer.de warnt schon 2014,
dass diese Option von Trackern genutzt würde. Wieviele Tracker nisten
sich dort tatsächlich ein
Dies wäre aber eine Frage, die nicht nur ELSTER (laut Betreff) betrifft,
und kann von einem zusätzlichen Anti-Tracker (Add-on) angezeigt werden.
Eben.
Post by Lars Krause
<https://www.eff.org/privacybadger>
Post by Chr. Maercker
und wie ernst ist das Problem zu nehmen?
Das kann/sollte man hinsichtlich eigener Daten immer ernst nehmen.
Wenn es wirklich möglich ist, nur *einzelnen* Sites DOM Webspace zu
erlauben, ginge es trotzdem. Fehlt nur noch das HowTo ...
Post by Lars Krause
Post by Chr. Maercker
Und warum braucht ELSTER solchen Unfug, nur um einen Account für ein
Zertifikat anzulegen?
Dies kann doch am besten der "Kundenservice" von ELSTER beantworten.
Dort kann man doch zumindest versuchen, Verbesserungen einzubringen.
OK. Hätte ja sein können, es handelt sich um ein gängiges Feature bei
der Programmierung bestimmter Websites, was nicht nur ELSTER betrifft.
Post by Lars Krause
Post by Chr. Maercker
Cookies erzwingen sie obendrein, "Sicherheit" pur.
Naja, immerhin kann man das (bei allen Mozillen) so einstellen, dass
alle Cookies nur so lange behalten werden, bis der Browser beendet wird.
Oder noch kürzer. Cookies Exterminator frisst die Kekse binnen Sekunden
nach einem Webseitenbesuch.
Post by Lars Krause
Ich habe entschieden, dass ich die ELSTER nicht nutze und so lange wie
möglich die Steuererklärung nur per Post bzw. schriftlich einreiche.
Das habe ich auch vor. Problematisch wird es, sobald die Arbeitgeber
keine(n Ausdruck der) Lohnsteuerdaten mehr liefern.
--
CU Chr. Maercker.
Lesen Sie weiter auf narkive:
Loading...