Viren, Spyware, Datenschutz 11.128 Themen, 92.822 Beiträge

Chip verbreitet Torbrowser mit ungültigem Zertifikat

NettySnake / 19 Antworten / Baumansicht Nickles

Ich habe bei Chip "torbrowser951" mit ungültigem Zertifikat runtergeladen.

Welche Auswirkungen kann das haben?

Wer hat die Datei verändert?

bei Antwort benachrichtigen
calypso at work NettySnake

„Chip verbreitet Torbrowser mit ungültigem Zertifikat“

Optionen

Immer beim Hersteller holen:

https://www.torproject.org/de/download/

Wer hat die Datei verändert?

Da mußt Du mal bei Chip.de fragen, hier kann das keiner wissen.

bei Antwort benachrichtigen
NettySnake calypso at work

„Immer beim Hersteller holen: https://www.torproject.org/de/download/ Da mußt Du mal bei Chip.de fragen, hier kann das ...“

Optionen

Ich habe auch Chip informiert und vor ein paar Minuten zur Kontrolle nochmals die gleiche zip-Datei heruntergeladen und überprüft. Keine Änderung.

bei Antwort benachrichtigen
tywin NettySnake

„Chip verbreitet Torbrowser mit ungültigem Zertifikat“

Optionen

Vielleicht bringst du da etwas durcheinander. Normalerweise können Webseiten ungültige Zertifikate haben, aber nicht der Browser selbst.

https://support.mozilla.org/de/kb/sicherheitszertifikate-von-webseiten

Beschreibe doch mal das ungültige Zertifikat deines geladenen Browsers.

bei Antwort benachrichtigen
NettySnake tywin

„Vielleicht bringst du da etwas durcheinander. Normalerweise können Webseiten ungültige Zertifikate haben, aber nicht der ...“

Optionen

Bei der Überprüfung erhalte ich die Nachricht:

"Ein erforderliches Zertifikat befindet sich  nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei".

Der von "Torproject" heruntergeladene Browser (v. 9.51) hat eine gültige digitale Signatur.

bei Antwort benachrichtigen
tywin NettySnake

„Bei der Überprüfung erhalte ich die Nachricht: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum ...“

Optionen

Das ist schon merkwürdig. Beide Installationsdateien "torbrowser-install-win64-9.5.1_de.exe", die von Chip und vom Tor-Projekt, sind digital signiert. Einzig das Datum ist unterschiedlich. Bei Chip ist es der 28.06.2020 und beim Tor-Projekt ist es der 30.06.2020. Es sind also gerade mal 2 Tage Unterschied.

Der Installer von der Chip-Datei startet bei mir unter Windows 10 auch ganz normal und ohne Beanstandungen. Da der Tor-Browser bereits bei mir läuft, habe ich die Installation nicht fortgesetzt.

bei Antwort benachrichtigen
fakiauso NettySnake

„Chip verbreitet Torbrowser mit ungültigem Zertifikat“

Optionen

Moin

Was die Signatur betrifft, so sei die entsprechende Seite bei TOR empfohlen.

Welche Auswirkungen kann das haben?


Im dümmsten Fall jubelt Dir dann der jeweilige Anbieter einen Fake oder eine veränderte Datei unter. Was der damit gemacht hat und/oder bezweckt, merkst Du oder auch nicht. Meist wird es sicher nicht darum gehen, Dir aus Gewissensgründen einen Überschuss aus einem Lottogewinn zu überweisen.

Wer hat die Datei verändert?


CHIP?

Wobei die vermutlich(!?) an der Datei nichts verändert haben, sondern einfach noch ein Downloadpaket liegen haben, welches älter ist als die jetzige Signatur und das wird bemeckert.

So btw. stellt sich wieder einmal die Frage, warum Software an der Quelle und nicht über Dritte heruntergeladen werden soll bzw. ist das der beste Beweis, warum das so gemacht werden muss.

Wobei ich bei CHIP ausser wie hier zu Testzwecken nichts herunterlade auf deren werbeverseuchter Seite. Witzigerweise fliessen solche quasi sinnlosen Downloads auch in die Statistik und verfälschen diese, nur falls Portale mal wieder mit irgendwelchen Downloadzahlen protzen;-)

Als Abschluss noch die Ausgabe der Signaturprüfung mit dem aktuellen Key von TOR, Zeilenumbrüche angepasst und unnötige Ausgaben entfernt:

Windows-Version 64bit - CHIP:

gpgv --keyring ./tor.keyring ~/Downloads/torbrowser-install-win64-9.5.1_de.exe.asc ~/Downloads/torbrowser-install-win64-9.5.1_de.exe

gpgv: Signatur vom Mi 01 Jul 2020 01:21:19 CEST
gpgv: mittels RSA-Schlüssel EB774491D9FF06E2
gpgv: FALSCHE Signatur von "Tor Browser Developers (signing key) <torbrowser@torproject.org>"


Windows-Version 32bit - CHIP:

gpgv --keyring ./tor.keyring ~/Downloads/torbrowser-install-9.5.1_de.exe.asc ~/Downloads/torbrowser-install-9.5.1_de.exe

gpgv: Signatur vom Mi 01 Jul 2020 01:19:35 CEST
gpgv: mittels RSA-Schlüssel EB774491D9FF06E2
gpgv: FALSCHE Signatur von "Tor Browser Developers (signing key) "


Windows-Version 32bit - TOR:

gpgv --keyring ./tor.keyring ~/Downloads/torbrowser-install-9.5.1_de.exe.asc ~/Downloads/torbrowser-install-9.5.1_de.exe

gpgv: Signatur vom Mi 01 Jul 2020 01:19:35 CEST
gpgv: mittels RSA-Schlüssel EB774491D9FF06E2
gpgv: Korrekte Signatur von "Tor Browser Developers (signing key) "


Windows-Version 64bit - TOR:

gpgv --keyring ./tor.keyring ~/Downloads/torbrowser-install-win64-9.5.1_de.exe.asc ~/Downloads/torbrowser-install-win64-9.5.1_de.exe

gpgv: Signatur vom Mi 01 Jul 2020 01:21:19 CEST
gpgv: mittels RSA-Schlüssel EB774491D9FF06E2
gpgv: Korrekte Signatur von "Tor Browser Developers (signing key) "


Kein Kommentar...

"Anyone who believes exponential growth can go on forever in a finite world is either a madman or an idiot (or an economist)" - Hellsongs
bei Antwort benachrichtigen
winnigorny1 fakiauso

„Moin Was die Signatur betrifft, so sei die entsprechende Seite bei TOR empfohlen. Im dümmsten Fall jubelt Dir dann der ...“

Optionen
CHIP?

Das Gegenteil von vertrauenswürdig. Ich habe da vor zwei oder drei Wochen mal einen Download gemacht. - Die bieten dann auf der Seite auch ein "händisches" Herunterladen ohne deren Download-Manager an und versprechen vollmundig, dass das dann frei von Zusatzsoftware wäre.

Hab ich gemacht und: Arschlecken! - Habe gleich nach dem Download den AdWareCleaner von Malwarebytes drüberlaufen lassen und der hat dann doch tatsächlich zwei PUPs von Chip gefunden und entfernt (ging sogar nur über einen Neustart - heißt, die Dinger liefen schon).....

Fazit: Nie wieder bei Chip was downloaden.....

@ Netty Snake: Du solltest dir mal den AdWareCleaner runterladen und durchlaufen lassen:

https://de.malwarebytes.com/adwcleaner/

Grüße aus Hamburg, Winni - https://www.das-bumerang-projekt.de
bei Antwort benachrichtigen
NettySnake winnigorny1

„Das Gegenteil von vertrauenswürdig. Ich habe da vor zwei oder drei Wochen mal einen Download gemacht. - Die bieten dann ...“

Optionen

Ich habe den "adwcleaner" drüberlaufen lassen. Er fand 4 PUP. Neustart war erforderlich.

Danke für den Tip.

bei Antwort benachrichtigen
winnigorny1 NettySnake

„Ich habe den adwcleaner drüberlaufen lassen. Er fand 4 PUP. Neustart war erforderlich. Danke für den Tip.“

Optionen
Danke für den Tip.

Gerne!

Grüße aus Hamburg, Winni - https://www.das-bumerang-projekt.de
bei Antwort benachrichtigen
tywin fakiauso

„Moin Was die Signatur betrifft, so sei die entsprechende Seite bei TOR empfohlen. Im dümmsten Fall jubelt Dir dann der ...“

Optionen

Nichts gegen die Seite von Tor aber auch mit dem Download von Chip wird bei mir unter Windows 10 eine gültige digitale Signatur angezeigt.

Windows 64 Bit (torbrowser-install-win64-9.5.1_de.exe):

bei Antwort benachrichtigen
NettySnake tywin

„Nichts gegen die Seite von Tor aber auch mit dem Download von Chip wird bei mir unter Windows 10 eine gültige digitale ...“

Optionen

Sehr wahrscheinlich haben die Leute von Chip die Datei ausgetauscht, denn ich hatte Chip informiert.

bei Antwort benachrichtigen
fakiauso NettySnake

„Sehr wahrscheinlich haben die Leute von Chip die Datei ausgetauscht, denn ich hatte Chip informiert.“

Optionen
Sehr wahrscheinlich haben die Leute von Chip die Datei ausgetauscht


Davon gehe ich auch aus, denn der "alte" Download war vom 28.06. und die aktuelle Signatur bei TOR vom 29. oder 30.06.

"Anyone who believes exponential growth can go on forever in a finite world is either a madman or an idiot (or an economist)" - Hellsongs
bei Antwort benachrichtigen
NettySnake tywin

„Nichts gegen die Seite von Tor aber auch mit dem Download von Chip wird bei mir unter Windows 10 eine gültige digitale ...“

Optionen

Ich habe gerade eben auch die zip-Datei Torbrowser bei Chip runtergeladen. Die digitale Signatur ist gültig. Ich habe aber eine Sicherheitskopie der Datei mit ungültiger Signatur angelegt und verschlüsselt. You never know.

bei Antwort benachrichtigen
NettySnake

Nachtrag zu: „Chip verbreitet Torbrowser mit ungültigem Zertifikat“

Optionen

Vielen Dank, dass ihr euch die Mühe gemacht habt, und auf meine Fragen geantwortet habt.

Ich war bis gestern ziemlich naiv bezüglich der Vertrauenswürdigkeit von: Chip, computerbild, pc-welt und winfuture. Ich habe fast alle Zusatzprogramme seit 15 Jahren über Chip bezogen. In Zukunft lade ich nur noch beim Hersteller runter.

Bei Torbrowser habe ich den Verdacht, dass Chip von einer staatlichen Stelle genötigt wurde, die Dateien zu verändern. Es wäre nicht das erste Mal, dass so etwas passiert.

Ich will die Diskussion hiermit nicht beenden. Neue Beiträge sind erwünscht.

bei Antwort benachrichtigen
winnigorny1 NettySnake

„Vielen Dank, dass ihr euch die Mühe gemacht habt, und auf meine Fragen geantwortet habt. Ich war bis gestern ziemlich naiv ...“

Optionen
Vertrauenswürdigkeit von: Chip, computerbild, pc-welt und winfuture

Winfuture halte ich immer noch für vertrauenswürdig. - Jedenfalls habe ich mir da noch nie irgendeine "Zusatzsoftware" eingefangen.

Wenn da bei runterladbaren Windows-Updates ein Browser-Plugin - ich glaube Amazon - mit drin war, war es ohne Weiteres möglich, die Option zu deakitieveren und dann hat man den Müll auch nicht bekommen.

Bei Chip bekommt ihn selbst dann, wenn man den CHIP-Downloadmanager abwählt (wobei CHIP dann fälschlicherweise verspricht, dass keine Zusatzsoftware mitgeladen wird)! - Das ist schon ein Unterschied bezgl. "vertrauenswürdig"....

Grüße aus Hamburg, Winni - https://www.das-bumerang-projekt.de
bei Antwort benachrichtigen
fakiauso NettySnake

„Vielen Dank, dass ihr euch die Mühe gemacht habt, und auf meine Fragen geantwortet habt. Ich war bis gestern ziemlich naiv ...“

Optionen
Bei Torbrowser habe ich den Verdacht, dass Chip von einer staatlichen Stelle genötigt wurde, die Dateien zu verändern. Es wäre nicht das erste Mal, dass so etwas passiert.


Das halte ich nun wieder für Quatsch und bleibe erst einmal bei der Annahme, dass die einfach die Version oder die Signatur nicht angepasst haben.

Solange es keine sicheren Aussagen über das eine oder andere gibt, bleibt alles Spekulation.

Das Versehen von Software mit Zutaten für Werbeeinnahmen ist nicht ungewöhnlich bei den o.g. Portalen, um Usern etwas anzudrehen, was sich vielleicht in Kohle umwandeln lässt. Der Rest hat eher etwas von VT und wenn dem so wäre, dann käme das m.E. recht schnell heraus wie jetzt der "Fehler" in der Verschlüsselung von What´s App. Das wäre zu plump.

"Anyone who believes exponential growth can go on forever in a finite world is either a madman or an idiot (or an economist)" - Hellsongs
bei Antwort benachrichtigen
Olaf19 NettySnake

„Vielen Dank, dass ihr euch die Mühe gemacht habt, und auf meine Fragen geantwortet habt. Ich war bis gestern ziemlich naiv ...“

Optionen

Download beim Hersteller ist eine gute Idee, aber Vorsicht! Herstellerseiten werden gern mal "gefaked". Ganz krasses Beispiel: "vlc.de" für den VLC-Player – wenn ich die auch nur versuche aufzurufen, schlägt uBlock Origin bereits Alarm... die offizielle Seite hingegen heißt https://www.videolan.org! Wenn es ganz dumm kommt, landet die Fake-Seite in den Google-Suchergebnissen sogar vor dem "Original". Beim Firefox gab es AFAIR vor Jahren einen ähnlichen "Skandal".

Ich habe mir inzwischen angewöhnt, zuerst in der Wikipedia nach der gewünschten Software zu schauen. Dort steht rechts oben auf der Seite immer ein Block mit technischen Eckdaten; ganz unten in diesem Kästchen findest du dann die Website des Herstellers.

Ich war bis gestern ziemlich naiv bezüglich der Vertrauenswürdigkeit von: Chip, computerbild, pc-welt und winfuture. Ich habe fast alle Zusatzprogramme seit 15 Jahren über Chip bezogen. In Zukunft lade ich nur noch beim Hersteller runter.

Chip ist Ende der 70er-Jahre zum ersten Mal erschienen und war anfangs richtig gut! Für echte Freaks halt, die damals schon den ersten Sinclair-Homecomputer besaßen – zum Zocken, aber auch zum selbst Programmieren.

Heute gibt es PC-Zeitschriften wie Sand am Meer, und leider ist Chip schon lange als Mitläufer im Heer populistischer Publikationen untergegangen, die Monat für Monat mit quietschbunten Titelbildern an den Kiosken um die Gunst hauptsächlich der Windows-User buhlen.

"Jetzt auf DVD: 33 geniale Tools, die Ihr Windows-Erlebnis radikal revolutionieren werden" / "77 streng geheime Registry-Hacks, die Sie unbedingt kennen müssen!!" / "Die 15 besten Laserdrucker aller Zeiten – NEU: jetzt mit noch mehr Feinstaub!"

Na und so weiter... :-)

CU
Olaf

"Das sind Leute, die von Tuten und Ahnung keine Blasen haben" (ein Reporter auf die Frage nach der politischen Bildung des typischen Anhangs von Donald Trump)
bei Antwort benachrichtigen
NettySnake Olaf19

„Download beim Hersteller ist eine gute Idee, aber Vorsicht! Herstellerseiten werden gern mal gefaked . Ganz krasses ...“

Optionen

Der uBlock Origin ist ja ein Hammerteil.

Keine Werbung mehr.

bei Antwort benachrichtigen
Olaf19 NettySnake

„Der uBlock Origin ist ja ein Hammerteil. Keine Werbung mehr.“

Optionen
Der uBlock Origin ist ja ein Hammerteil. Keine Werbung mehr.

:-D

Is geil, oder? Vor allem: die Anzahl der Websites, die uBlock Origin erkennen und deswegen meckern, ist bedeutend geringer als bei allen anderen mir bekannten Blockern.

Und darüber hinaus wird nicht nur Werbung geblockt, es wird auch gewarnt, wenn ich versuche, eine Website "von zweifelhaftem Wert" zu öffnen, wie das vorhin erwähnte "vlc.de", siehe Screenshot unten.

Meine Zuneigung zu uBO geht so weit, dass ich sogar vom Safari-Browser – mit dem ich bis dato sehr zufrieden war – zu Chrome gewechselt bin, weil die aktuellen Safari-Versionen uBO nicht mehr unterstützen, Firefox und Chrome hingegen schon.

CU
Olaf

"Das sind Leute, die von Tuten und Ahnung keine Blasen haben" (ein Reporter auf die Frage nach der politischen Bildung des typischen Anhangs von Donald Trump)
bei Antwort benachrichtigen