Softpicks.Net Deutsch

Hi,

Thomas Blum schrieb:

> nachdem man nun den Umstieg geschafft hat,
> geht das Problem von vorne los. IE bekommt Gesellschaft?

Ist das etwas neues? Plugins sind direkte Zugänge in die
Browser-Interna, hier gab es schon immer Schadpotential und zwar
architektonisch seit Anfang an. Dass Heise das erst heute entdeckt hat,
spricht dafür, dass deren redaktionelle Qualität sich langsam dem
Computerbild-Niveau annähert.


> Hat jemand Erfahrungen die Heise bestätigen
> sammeln können?

Benutze dysfunktionale Java-Applets z.B.


> Und wann ist Opera "dran"?

Opera ist da seit Anfang an ebenfalls dabei.

Besim

--
Besim at Karadeniz dot de >> Pforzheim/GER >>> http://www.karadeniz.de/
netplanet - Verstehen Sie mal das Internet! - http://www.netplanet.org/
"Sie missunterschätzen mich."
-- George W. Bush, 43. US-Präsident
.

Thomas Blum <Thomas_Blum [at] gmx.de> schrieb:

>Und wann ist Opera "dran"?
>Malwareprogrammierer lobotomisieren - jetzt!

Nach dem Gesetz der Serie bald :O)

Aber mal ehrlich. Welche Software kann sich schon wirklich davon
freisprechen, keinerlei Fehler aufzuweisen? Ich denke, es nur eine
Frage der Zeit, bis in $SOFTWARE Fehler gefunden werden, von wem auch
immer diese hergestellt wurde.

Und Opera ist auch nicht ganz frei von Macken.

http://www.heise.de/security/dienste/browsercheck/demos/op/

Es ist also IMHO nicht die Frage, welche Software sicherer ist,
sondern welche die geringste Zahl von Fehlern in sich trägt.

Viele Grüße
Klaus
.

Klaus Wockenfoth schrieb:

> Es ist also IMHO nicht die Frage, welche Software sicherer ist,
> sondern welche die geringste Zahl von Fehlern in sich trägt.

Korreliert das nicht irgendwie?
Außerdem ist es noch sehr wichtig, wie schnell gefundene Lücken
geschlossen werden.

mfg
Oli

--
Man darf ruhig intelligent sein, man muss sich nur zu helfen wissen.
.

Oliver Schad <o.schad [at] web.de> schrieb:

>Korreliert das nicht irgendwie?

Klar, irgendwo schon. Aber es kann ja auch Software A mit _dem_ einen
Mördersicherheitsleck geben, welches neben Computer und Anwender noch
den Kühlschrank und die örtliche Stadtbahn außer Gefecht setzt, und es
kann Software B geben mit zwei drei kleinen Schnitzern in der
Programmierung. So meinte ich das eher.

>Außerdem ist es noch sehr wichtig, wie schnell gefundene Lücken
>geschlossen werden.

Tja, und wie schnell $ANWENDER die Flicken einnäht. Aber das ist ein
leidiges Endlosthema. Also lassen wir das... :O)

Viele Grüße
Klaus
.

Moin!

Thomas Blum wrote:
> nachdem man nun den Umstieg geschafft hat,
> geht das Problem von vorne los. IE bekommt Gesellschaft?
>
> http://www.heise.de/security/artikel/48349
>

about:plugins
,-----
| No plug-ins are installed
'-----

Plug-ins sind eigenständige Module. Für die Sicherheit sind die
Autoren der Module zuständig und nicht die Autoren des Browsers.
Wer so dämlich ist haufenweise Plugins zu installieren sollte
besser beim IE bleiben.

Detlef Stahl
--
LINUX, created to be online

.

Oliver Schad wrote:

>Klaus Wockenfoth schrieb:
>
>> Es ist also IMHO nicht die Frage, welche Software sicherer ist,
>> sondern welche die geringste Zahl von Fehlern in sich tr=E4gt.
>
>Korreliert das nicht irgendwie?

Nein. Sicherheit ist in erster Linie ein Designproblem.

Dumme Beispiele:

Die C-Funktion scanf() kann auch dann unsicher sein, wenn sie
fehlerfrei (sprich: genau nach Spezifikation) arbeitet.

Eine Anwendung, die ausschliesslich innerhalb einer virtuellen
Maschine (z.B. ein C64-Emulator) ausgefuehrt wird, kann noch so
fehlerhaft sein, sie wird nie zum Sicherheitsproblem werden.


Vinzent.

--=20
Wenn alle Stricke reissen, kann man sich immer noch erschiessen.
.

Thomas Blum schrieb:

> http://www.heise.de/security/artikel/48349

Heise wird auch nicht besser. Demnaechst muessen wir uns auf Meldungen
gefasst machen wie "Schweres Sicherheitsleck: Doppelklick auf
ausfuehrbare Dateien kann unter Umstaenden Dateien ausfuehren!".

Eventuell koennte man den Default-Focus auf "Install" als Problem
akzeptieren. Aber der Artikel an sich wuerde sogar dem IE Unrecht tun
(wenn der IE nicht Software auch ohne Nachfragen installieren wuerde).

Trips
.

Am Fri, 18 Jun 2004 12:49:39 +0200 schrieb Thomas Blum:

> Hat jemand Erfahrungen die Heise bestätigen
> sammeln können?

Gegenfrage, wann kam der letzte halbwegs akzeptable Artikel in Bezug auf
Linux und Sicherheit von Jürgen Schmidt bei Heise?



Viele Grüße,

Jens
.

Thomas Blum wrote:

> So,
>
> nachdem man nun den Umstieg geschafft hat,
> geht das Problem von vorne los. IE bekommt Gesellschaft?
>
> http://www.heise.de/security/artikel/48349
>
> Hat jemand Erfahrungen die Heise bestätigen
> sammeln können?
> Oder ist das von $MS bezahlte Propaganda?
> SCNR

Man muß nicht immer in die allerbilligste Denkmechanik verfallen.
Eher frage ich mich, ob man dem Autor wirklich zu der umwerfenden
Entdeckung gratulieren kann, daß Plugins genauso Schadfunktionen
enthalten können, wie jede andere Software, oder ob er zu seinem
Artikel womöglich erst durch die Feststellung inspiriert wurde, daß
Mozilla da jetzt die Maßnahmen ergreift, die er immerhin in seiner
Meldung schildert.

Prinzipiell zeigt aber dieses Beispiel lediglich ein weiteres Mal,
daß die Funktionen der Softwareinstallation und Benutzung getrennt
sein sollten, indem sie auf unterschiedliche Benutzeraccounts verteilt
werden, so daß ein surfender Benutzer keine Plugins installieren kann,
und derjenige, welcher kann, nicht surft. Und letzterer muß sich
selbstverständlich fragen, ob zu installierende Programme
vertrauenswürdig sind - sogar dann, wenn sie mit einer Signatur
daherkommen.

> Und wann ist Opera "dran"?
> Malwareprogrammierer lobotomisieren - jetzt!

Und Einbrecher, Verkehrsrowdies, Familientyrannen, Kinderschänder,
Steuerhinterzieher, NPD-Wähler, Gotteskrieger, Dummschwätzer und
Gutmenschen gleich mit.


Ralf

.

Klaus Wockenfoth <kwockenfoth [at] pironet-ndh.com> wrote:

>Aber mal ehrlich. Welche Software kann sich schon wirklich davon
>freisprechen, keinerlei Fehler aufzuweisen?

Das ist kein Fehler von Mozilla, Opera, IE, whatever wenn sich ein
User Malware runterzieht und ausführt.
Klar man kann hürden einbauen
-f
Nachfrage: Sind sie wirklich sicher?
Meldung: reicht nicht, bitte -force verwenden
Nachfrage: Sind die wirklich sicher?
Ja
5 Sekunden-Countdown wo man mit beliebiger Taste noch abbrechen kann.

Gruß Carsten
--
http://learn.to/quote - richtig zitieren
http://www.realname-diskussion.info - Realnames sind keine Pflicht
http://oe-faq.de/ - http://www.oe-tools.de.vu/ - OE im Usenet
http://www.spamgourmet.com/ - Emailadresse(n) gegen Spam
.

Tino 'Trips' Schuettpelz <nospam [at] schuettpelz.org> wrote:

> Eventuell koennte man den Default-Focus auf "Install" als Problem
> akzeptieren.

Ein Nicht-Fokus hilft nicht, wenn Du gerade einen Text schreibst, in dem
der Hotkey vorkommt.
--
Funny quotes:
36. You never really learn to swear until you learn to drive.

Friß, Spammer: feedback [at] lowpricedealers.com rxz [at] bestnetdates.com
.

Hallo Thomas Blum, Du teiltest mit:

> nachdem man nun den Umstieg geschafft hat,
> geht das Problem von vorne los. IE bekommt Gesellschaft?
>
> http://www.heise.de/security/artikel/48349
>
> Hat jemand Erfahrungen die Heise bestätigen
> sammeln können?

Von ERfahrungen habe ich in dem Artikel nichts lesen können, ist das
meine Blödheit?

Was ich auf meinem Rechner installiere und um welche Funktionen ich
meinen Browser erweitere, da muss ich mich kümmern und nicht die
Browser-Entwickler. Oder existieren Seiten a la "kann nur mit
installierten XPI-Plugin angezeigt werden"?

> Oder ist das von $MS bezahlte Propaganda?

Man kann Unsinnn auch als Propaganda verkaufen.

Ich kann nur den letzten Satz aus dem Artikel zitieren, der völlig
konträr zu dem Rest des Artikels und dessen reisserischer Überschrift
steht:

| Wer auf alles klickt, was ihm
| irgendwo unterkommt, wird sich früher oder später einen Schädling
| einhandeln -- egal welchen Browser oder welches Betriebssystem er nutzt.

Wolfgang
.

Bodo Eggert schrieb:

> Ein Nicht-Fokus hilft nicht, wenn Du gerade einen Text schreibst, in dem
> der Hotkey vorkommt.

Du meinst, du bist im Browser am Tippen und machst, wenn das
Installfenster aufpoppt, noch drei Sekunden (so lange ist der
"Install"-Button deaktiviert!) fleissig weiter, ohne das Installfenster
zu bemerken, und /dann/ drueckst du /versehentlich/ Tab und Space/Enter?

Also. Das muss dir dann aber erst mal einer nachmachen .

Trips
.

Thomas Blum wrote:
> nachdem man nun den Umstieg geschafft hat,
> geht das Problem von vorne los. IE bekommt Gesellschaft?
>
> http://www.heise.de/security/artikel/48349
>
> Hat jemand Erfahrungen die Heise bestätigen
> sammeln können?
> Oder ist das von $MS bezahlte Propaganda?
> SCNR

Ich wuerde sagen nach dem uns Heise berichtet hat wie sicher doch
Firewalls sind [1], kommen nun weitere Schreckensmeldungen wie wir sie
alle kennen.
Demnaechst wird der Artikel "Absichern eines Deticated Servers" wohl
auch heissen, "So schuetzen Sie Ihren Rechner vor Hackern".

Es ist eigentlich schon immer bekannt das man nicht auf alles klicken
soll was blinkt, ob nun mit IE oder mit Mozilla, das ist eigentlich
egal, downloaden koennen beide.

Wenn man nun die Thematik 2 die Angesprochen wurde, XPI Erweiterungen.
Solche erweiterungen sind immer eingriffe in das innenleben des
Browsers, mal mehr mal weniger. Jeder Anwender sollte wissen das es
Probleme geben kann wenn man nicht vom Hersteller verifizierte oder
Angebotene Software nutzt, in dem Fall eben Browserplugins.
Wenn man schon Plugins braucht, sollte man sich auf die beschraenken die
vom Hersteller angeboten werden.
Weiterhin sieht man einmal wieder, wie wichtig die Trennung einzelner
User voneinander ist und deren Rechtebeschraenkung.



Gruss
Milan

--
gez.
Milan 't4c' Berger

web: http://www.ghcif.de
key: http://www.ghcif.de/keys/t4c.asc
.

Thomas Blum <Thomas_Blum [at] gmx.de> wrote:

>nachdem man nun den Umstieg geschafft hat,
>geht das Problem von vorne los. IE bekommt Gesellschaft?

Nein.

>http://www.heise.de/security/artikel/48349
>
>Hat jemand Erfahrungen die Heise bestätigen
>sammeln können?

Nein.

>Oder ist das von $MS bezahlte Propaganda?

Nein, vermutlich nicht, aber ein unsachlicher Artikel, wie ich ihn bei
heise online lange nicht mehr gelesen habe... :->

Gruss, Gunther
.