Softpicks.Net Deutsch

Andreas M. Kirchwitz wrote:

>>> Tatsache ist, daß das besagte manipulierte Bild von einem
>>> geeigneten Virenscanner auch vor der Bearbeitung durch den
>>> Browser erkannt werden kann.
>>
>> Er kann die Bearbeitung durch den Browser aber nicht verhindern.
>
> Natürlich kann er das.

Bislang habe ich das nur beim IE gesehen und der IE ist kein Webbrowser.

>> Und das ist bei korrekt funktionierenden Browser prinzpbedingt so.
>
> Wie funktioniert ein Browser denn "korrekt", daß er es einem
> Virenscanner "prinzpbedingt" unmöglich macht, Daten vor der
> Verarbeitung im Browser zu untersuchen und nötigenfalls
> abzufangen?

Korrekt funktionierende Browser verarbeiten das Bild schon während bzw.
bevor sie es in den Browsercache schreiben.
--
Dieser Schrieb stellt eine private Meinungsäußerung des Verfassers im
Sinne der gesetzlich garantierten Meinungsfreiheit dar. Wem das nicht
passt, der wende sich an das Bundesverfassungsgericht. Viel Erfolg!
Key: 0xA0E28D18 FP: 83AE 1136 1E2B 9767 8FB2 7594 4128 1A9E A0E2 8D18
.

Andreas M. Kirchwitz wrote:

> Sebastian Gottschalk <seppi [at] seppig.de> wrote:
>
> > Allgemein != Alle. Du hast Leseschwäche.
>
> Schade, Du bleibst aggressiv und beleidigend, obwohl ich mich
> freundlich Dir gegenüber verhalten habe. Deine Aussagen wider-
> sprechen sich.
>
> Du schriebst auf meine Nachfrage explizit "alle" und hast
> meine entgegenkommende Formulierung "die meisten" verneint
> und mich sogar beschimpft. Also gehe ich davon aus, daß
> bei Dir "alle" = "allgemein" gilt.

Nein, du kannst nachwievor nicht lesen und ignorierst Kontext.

"Alle Browser, die sich wie oben beschrieben verhalten, sind nicht kaputt."
"Allgemein für Browser und einige andere Software!"

D.h. nur daß "Browser" existieren, die kaputt sind und bei denen sowas
möglicherweise funktioniert. Mir fiele da nur der IE ein, aber sowas
verwendet man auch nicht. "Allgemein" ist ein Browser aber nicht kaputt.

>>> Ich schrieb, daß es Proxy-Software mit Virenscanner gibt.
>>> Die gibt es. Fakt.
>>>
>>> Dies wurde jedoch von ein paar technisch Unkundigen abgestritten.
>>
>> Nein, es wurde nur bestritten daß sowas in der $ONU-Zielgruppe benutzt
>> wird.
>
> Das war nicht meine Aussage.

Dann hast du (mal wieder) den Kontext ignoriert.
--
Dieser Schrieb stellt eine private Meinungsäußerung des Verfassers im
Sinne der gesetzlich garantierten Meinungsfreiheit dar. Wem das nicht
passt, der wende sich an das Bundesverfassungsgericht. Viel Erfolg!
Key: 0xA0E28D18 FP: 83AE 1136 1E2B 9767 8FB2 7594 4128 1A9E A0E2 8D18
.

[Andreas M. Kirchwitz]

Wolfgang Ewert <w.ewert2002 [at] gmx.de> wrote:

>>> Er kann die Bearbeitung durch den Browser aber nicht verhindern.
>>
>> Natürlich kann er das.
>
> Nur wenn er als filtering proxy (webwasher, junkbuster, privoxy...)
> arbeiten würde. Nein, das ist ein Webentwickler-Nightmare.

Und was ist an einem Proxy so unüblich? Mich wundert, wie viele
Leute dieses Konzept nicht (mehr) zu kennen scheinen (und sogar
dessen Existenz äußerst aggressiv abstreiten), obwohl es in vielen
Firmen aber auch bei Heimanwendern zum normalen Alltag gehört.

>>> Und das ist bei korrekt funktionierenden Browser prinzpbedingt so.
>>
>> Wie funktioniert ein Browser denn "korrekt", daß er es einem
>> Virenscanner "prinzpbedingt" unmöglich macht, Daten vor der
>> Verarbeitung im Browser zu untersuchen und nötigenfalls
>> abzufangen?
>
> Der Virenscanner "sieht" erst das vom Browser geladene Bild, da hat
> Letzterer es bereits "verarbeitet".

Das muss keineswegs zwangsweise so sein. Ein geeigneter
Virenscanner kann das Bild auch vor der Verarbeitung durch
den Browser prüfen und gegebenenfalls zurückhalten.

Grüße, Andreas
.

[Andreas M. Kirchwitz]

Sebastian Gottschalk <seppi [at] seppig.de> wrote:

>>> Und das ist bei korrekt funktionierenden Browser prinzpbedingt so.
>>
>> Wie funktioniert ein Browser denn "korrekt", daß er es einem
>> Virenscanner "prinzpbedingt" unmöglich macht, Daten vor der
>> Verarbeitung im Browser zu untersuchen und nötigenfalls
>> abzufangen?
>
> Korrekt funktionierende Browser verarbeiten das Bild schon während bzw.
> bevor sie es in den Browsercache schreiben.

Das ändert nichts daran, daß ein geeigneter Virenscanner das Bild
trotzdem vor der Verarbeitung durch den Browser abfangen kann.

Es steht jedem frei, eine solche Lösung zu verwenden - oder auch nicht.
Möglich is es jedenfalls, egal wie sehr ein paar technisch unkundige
Regulars es vehement abstreiten. ;-)

Grüße, Andreas
.

Andreas M. Kirchwitz wrote:

> >>> Und das ist bei korrekt funktionierenden Browser prinzpbedingt so.
> >>
> >> Wie funktioniert ein Browser denn "korrekt", daß er es einem
> >> Virenscanner "prinzpbedingt" unmöglich macht, Daten vor der
> >> Verarbeitung im Browser zu untersuchen und nötigenfalls
> >> abzufangen?
> >
> > Korrekt funktionierende Browser verarbeiten das Bild schon während bzw.
> > bevor sie es in den Browsercache schreiben.
>
> Das ändert nichts daran, daß ein geeigneter Virenscanner das Bild
> trotzdem vor der Verarbeitung durch den Browser abfangen kann.

HTTPS? Ja klar...

> Es steht jedem frei, eine solche Lösung zu verwenden - oder auch nicht.
> Möglich is es jedenfalls, egal wie sehr ein paar technisch unkundige
> Regulars es vehement abstreiten. ;-)

Nochmal, wir sprachen von $ONU und $ONU-Virenscannern.
--
Dieser Schrieb stellt eine private Meinungsäußerung des Verfassers im
Sinne der gesetzlich garantierten Meinungsfreiheit dar. Wem das nicht
passt, der wende sich an das Bundesverfassungsgericht. Viel Erfolg!
Key: 0xA0E28D18 FP: 83AE 1136 1E2B 9767 8FB2 7594 4128 1A9E A0E2 8D18
.

[Andreas M. Kirchwitz]

Juergen P. Meier <nospam-2005 [at] jors.net> wrote:

>>> Der Virenscanner "sieht" erst das vom Browser geladene Bild, da hat
>>> Letzterer es bereits "verarbeitet".
>>
>> Das muss keineswegs zwangsweise so sein. Ein geeigneter
>> Virenscanner kann das Bild auch vor der Verarbeitung durch
>> den Browser prüfen und gegebenenfalls zurückhalten.
>
> Er muesste sich da aber auch in die Netzwerk-API einklinken und
> mindestens die vom Brauser gesprochenen Protokolle verstehen.

Bei Mail ist es längst möglich, daß sich Virenscanner in das
Protokoll (POP/IMAP) einklinken und der Mail-Applikation
einen Proxy vorspielen. So kann man die Mail vor der
Verarbeitung durch den Mailreader kontrollieren.

Bei Web ist diese Möglichkeit sogar in den meisten Browser offiziell
vorgesehen. Aber hier wäre natürlich über entsprechende Eingriffe
sicherlich auch eine Zwangsumleitung möglich.

Auch wenn man heutzutage einen Proxy eher selten zum Caching
verwendet (Bandbreite ist nicht mehr so ein großes Problem),
so ist er inzwischen sehr beliebt, um Content zu filtern, also
beispielsweise Werbe-Banner oder andere unerwünschte Inhalte.

Bislang wurde von einigen Regulars übermütigerweise ja vehement
abgestritten, daß Proxy-Technologie überhaupt existiere oder von
Privatanwendern eingesetzt werde. Und das ist gelogen.

> Bei HTTPS hat er aber auch damit Verloren[tm].

Das kann man vom Proxy durchaus umschreiben lassen. Ob das dann
mit jeder Webseite funktioniert, sei dahingestellt. Bei HTTPS ist
das Problem einer Infektion allerdings in der Praxis nicht das
große Problem. Über das Zertifikat wäre der Verursacher recht
zuverlässig zu identifizieren (dazu sind sie schließlich da).
Wer Schädlinge verbreitet, möchte aber normalerweise unerkannt
bleiben, da in den meisten Ländern die rechtlichen Konsequenzen
ziemlich unangenehm sein können.

Grüße, Andreas
.

Andreas M. Kirchwitz wrote:

> >>> Der Virenscanner "sieht" erst das vom Browser geladene Bild, da hat
> >>> Letzterer es bereits "verarbeitet".
> >>
> >> Das muss keineswegs zwangsweise so sein. Ein geeigneter
> >> Virenscanner kann das Bild auch vor der Verarbeitung durch
> >> den Browser prüfen und gegebenenfalls zurückhalten.
> >
> > Er muesste sich da aber auch in die Netzwerk-API einklinken und
> > mindestens die vom Brauser gesprochenen Protokolle verstehen.
>
> Bei Mail ist es längst möglich, daß sich Virenscanner in das
> Protokoll (POP/IMAP) einklinken und der Mail-Applikation
> einen Proxy vorspielen. So kann man die Mail vor der
> Verarbeitung durch den Mailreader kontrollieren.

1. Schon mal was von SSL und TSL gehört?
2. Was du in der ganzen Diskussion übersieht: Was ist wohl eher da? Ein
Patch für den Browser oder eine hinreichend umfangreiche Signatur für einen
Exploit?

> Bei Web ist diese Möglichkeit sogar in den meisten Browser offiziell
> vorgesehen. Aber hier wäre natürlich über entsprechende Eingriffe
> sicherlich auch eine Zwangsumleitung möglich.

1. SSL...
2. Wenn du z.B. ein 40KB großes HTML-Dokument erst mal zwischenspeicherst,
scannst, und dann erst an den Browser weiterreichst hast du ein dermaßen
hohes Delay daß das Surfen inakzeptabel wird.

> Auch wenn man heutzutage einen Proxy eher selten zum Caching
> verwendet (Bandbreite ist nicht mehr so ein großes Problem),
> so ist er inzwischen sehr beliebt, um Content zu filtern, also
> beispielsweise Werbe-Banner oder andere unerwünschte Inhalte.

Dafür sind sie ja auch geeignet.

> Bislang wurde von einigen Regulars übermütigerweise ja vehement
> abgestritten, daß Proxy-Technologie überhaupt existiere oder von
> Privatanwendern eingesetzt werde. Und das ist gelogen.

Von Privatanwender wird so etwas selten eingesetzt. Das schlimmmste
Beispiel, welches diesem am nähesten kommt, ist ein BHO von NAV für den IE,
welcher es im Browser selbst ein bisschen was verbiegt um zu filtern.
Sei doch mal so freundlich und benenne einen $ONU-Virenscanner, welcher
zwecks Virenscannen einen HTTP-Proxy schaltet.

>> Bei HTTPS hat er aber auch damit Verloren[tm].
>
> Das kann man vom Proxy durchaus umschreiben lassen.

Darüber wurde doch auch schon diskutiert, das ist einfach 'ne ziemlich
schlechte Idee.
--
Dieser Schrieb stellt eine private Meinungsäußerung des Verfassers im
Sinne der gesetzlich garantierten Meinungsfreiheit dar. Wem das nicht
passt, der wende sich an das Bundesverfassungsgericht. Viel Erfolg!
Key: 0xA0E28D18 FP: 83AE 1136 1E2B 9767 8FB2 7594 4128 1A9E A0E2 8D18
.

[Andreas M. Kirchwitz]

Juergen P. Meier <nospam-2005 [at] jors.net> wrote:

>> Bei Mail ist es längst möglich, daß sich Virenscanner in das
>> Protokoll (POP/IMAP) einklinken und der Mail-Applikation
>> einen Proxy vorspielen. So kann man die Mail vor der
>> Verarbeitung durch den Mailreader kontrollieren.
>
> Leider klappt das nicht bei POPS und IMAPS.

Da irrst Du Dich. Gerade bei POP und IMAP kann sich ein Proxy
besonders einfach einklinken und zum Client ohne SSL, aber zum
Server mit SSL reden.

>> Bei Web ist diese Möglichkeit sogar in den meisten Browser offiziell
>> vorgesehen. Aber hier wäre natürlich über entsprechende Eingriffe
>> sicherlich auch eine Zwangsumleitung möglich.
>
> Auch hier: Es geht *nicht* bei HTTPS.

Selbstverständlich ist es auch hier möglich, allerdings ist der
Aufwand höher und mit Einschränkungen verbunden. Das ist aber
auch kein vorrangiges Problem und ändert nichts an den falschen
Behauptungen einiger Regulars, Proxy-Server existierten nicht
und könnten - selbst wenn sie existieren - unmöglich Viren filtern.

In einer anderen de-Gruppe wird derzeit übrigens gerade über
genau solche Software diskutiert - die ja angeblich gar nicht
existiert. ;-)

>> so ist er inzwischen sehr beliebt, um Content zu filtern, also
>> beispielsweise Werbe-Banner oder andere unerwünschte Inhalte.
>
> Was bei HTTPS nicht klappt. Prinzipiell nicht.
> Mit einer Ausnahme:

Wenn es "prinzipiell" nicht geht, kann es keine Ausnahme geben.
Es geht durchaus. Besonders schön ist es aber nicht.

>> mit jeder Webseite funktioniert, sei dahingestellt. Bei HTTPS ist
>> das Problem einer Infektion allerdings in der Praxis nicht das
>
> Webmail per SSL. Und schon ist das Infektionsrisiko ueber HTTPS in
> der Praxis ploetzlich sehr gross. So als Beispiel.

Denk lieber noch mal genau über Deine Worte nach. ;-)

Gerade bei einem Webmail kann man hervorragend Schädlinge
rausfiltern, ohne sich dabei zu verrenken. Besser geht's
eigentlich gar nicht mehr.

>> große Problem. Über das Zertifikat wäre der Verursacher recht
>> zuverlässig zu identifizieren (dazu sind sie schließlich da).
>
> Wus? Wie genau ist dir ein Verislime Server-Zertifikat eines Servers
> in Suedkorea, der den Betreiber als A.C.M.E. Corporation mit Sitz auf
> Bermuda ausweist, nochdazu ausgestellt auf einen joe42187 [at] hotmail.com
> als Kontaktperson dabei behilflich, den Verursacher zuverlaessig zu
> identifizieren?

Ziemlich gut. Rechtlich belangen kann man den vielleicht nicht so
gut aus Deutschland, aber im eigenen Land könnte er Probleme
kriegen. Zumal der Vorsatz dann kaum abgestritten werden kann.

> Alles, was dir ein Verisign Zertifikat sagen kann ist:
> Da hat jemand eine Hand Voll US-Dollars gehabt, die er Verisign
> gegeben hat, die dafuer dann seinen Cert-Request signiert haben.

Hast Du jemals ein Zertifikat signiert haben wollen?
Überleg doch mal, wozu es überhaupt zentrale Stellen gibt,
die Dein Zertifikat signieren. ;-)

Um ein offiziell signiertes Zertifikat zu bekommen, reicht es
nicht, Geld zu zahlen, sondern man muss einen ziemlich hohen
Aufwand für den Nachweis betreiben, daß man überhaupt berechtigt
ist, eins zu bekommen und daß alles mit rechten Dingen zugeht.
Du kannst da nicht irgendwelche Fantasie-Daten angeben.

Sonst könnte man sich das Geld auch sparen und sein Zertifikat
selbst signieren.

>> Wer Schädlinge verbreitet, möchte aber normalerweise unerkannt
>> bleiben, da in den meisten Ländern die rechtlichen Konsequenzen
>> ziemlich unangenehm sein können.
>
> Es gibt weit mehr offene Rechner, als du dir scheinbar vorstellen
> kannst. viele davon werden von Schadprogrammen aufgemacht und stehen
> dann als Platformen u.v.a. genau dafuer zur Verfuegung.

Wessen Rechner unbemerkt infiziert wurde, wird nach der
Kenntnisnahme aber wohl kaum für ein paar hundert Dollar
erst noch ein SSL-Zertifikat erstellen, damit möglichst
viele andere ebenfalls zu Schaden kommen, sondern er wird
wohl einfach seinen Rechner neu installieren. ;-)

HTTPS macht schädliche Inhalte nicht ungefährlich, aber
der Anwender kann damit noch besser prüfen, woher Inhalte
stammen - und das ist etwas, was Virenautoren eigentlich
möglichst vermeiden wollen. (Außer sie wollen möglichst
schnell im Knast landen. ;-)

> Von M$ gesponsorte Windows-Monokultur-Rechner an Koreanischen
> Bildungseinrichtungen sind recht haeufig Plattform fuer Angriffe
> (und SPAM).

Keine Sorge - mich nervt das nicht weniger als Dich. ;-)

Grüße, Andreas
.

Andreas M. Kirchwitz wrote:

>> Leider klappt das nicht bei POPS und IMAPS.
>
> Da irrst Du Dich. Gerade bei POP und IMAP kann sich ein Proxy
> besonders einfach einklinken und zum Client ohne SSL, aber zum
> Server mit SSL reden.

Richtig. Nur damit musst du darauf vertrauen daß der Proxy das Zertifikat
prüft und zur einmaligen Prüfung durch den User anzeigt. Ebenso muss der
Proxy sich gegenüber dem Client authentifizieren.

Indes, was willst du mit SMTP-TLS machen?

> und ändert nichts an den falschen
> Behauptungen einiger Regulars, Proxy-Server existierten nicht
> und könnten - selbst wenn sie existieren - unmöglich Viren filtern.

Du bist wirr, sowas hat niemand behauptet.
Indes, wie oben benannt, ist dieser Ansatz bei SSL/TLS denkbar blöd und
könnte wirklich nur sinnvoll über ein Plugin verwendet werden. Plugins
bieten die meisten nur für OE oder Outlook an, und damit gibt's erst recht
ein Problem.

>> Webmail per SSL. Und schon ist das Infektionsrisiko ueber HTTPS in
>> der Praxis ploetzlich sehr gross. So als Beispiel.
>
> Denk lieber noch mal genau über Deine Worte nach.
>
> Gerade bei einem Webmail kann man hervorragend Schädlinge
> rausfiltern, ohne sich dabei zu verrenken. Besser geht's
> eigentlich gar nicht mehr.

Bitte was?

> Um ein offiziell signiertes Zertifikat zu bekommen, reicht es
> nicht, Geld zu zahlen, sondern man muss einen ziemlich hohen
> Aufwand für den Nachweis betreiben, daß man überhaupt berechtigt
> ist, eins zu bekommen und daß alles mit rechten Dingen zugeht.
> Du kannst da nicht irgendwelche Fantasie-Daten angeben.

Bei Verislime hat einfach mal einer angerufen und ein Zertifikat von
Microsoft bekommen.

> HTTPS macht schädliche Inhalte nicht ungefährlich, aber
> der Anwender kann damit noch besser prüfen, woher Inhalte
> stammen - und das ist etwas, was Virenautoren eigentlich
> möglichst vermeiden wollen. (Außer sie wollen möglichst
> schnell im Knast landen. ;-)

Aha. Microsoft hat die Binaries des IE digital signiert und bislang hat sie
keiner für die Verbreitung dieser Malware verfolgt.

BTW: Dein Quoting saugt.
--
Dieser Schrieb stellt eine private Meinungsäußerung des Verfassers im
Sinne der gesetzlich garantierten Meinungsfreiheit dar. Wem das nicht
passt, der wende sich an das Bundesverfassungsgericht. Viel Erfolg!
Key: 0xA0E28D18 FP: 83AE 1136 1E2B 9767 8FB2 7594 4128 1A9E A0E2 8D18
.

* Sebastian Gottschalk <seppi [at] seppig.de> schrieb:

> Andreas M. Kirchwitz wrote:
>> Gerade bei POP und IMAP kann sich ein Proxy besonders einfach
>> einklinken und zum Client ohne SSL, aber zum Server mit SSL reden.
>
> Richtig. Nur damit musst du darauf vertrauen daß der Proxy das
> Zertifikat prüft und zur einmaligen Prüfung durch den User anzeigt.
> Ebenso muss der Proxy sich gegenüber dem Client authentifizieren.

Zudem müssen die Benutzer über solche Aktionen, die das Prinzip der
Ende zu Ende-Verschlüsselung konterkarieren, informiert werden, denn
die Daten (Passwörter usw.) zwischen Client und Proxy können leicht
ausgespäht werden.

Gruß, Heiko
.

[Andreas M. Kirchwitz]

Heiko Schlenker <hschlen [at] gmx.de> wrote:

>>> Gerade bei POP und IMAP kann sich ein Proxy besonders einfach
>>> einklinken und zum Client ohne SSL, aber zum Server mit SSL reden.
>>
>> Richtig. Nur damit musst du darauf vertrauen daß der Proxy das
>> Zertifikat prüft und zur einmaligen Prüfung durch den User anzeigt.
>> Ebenso muss der Proxy sich gegenüber dem Client authentifizieren.
>
> Zudem müssen die Benutzer über solche Aktionen, die das Prinzip der
> Ende zu Ende-Verschlüsselung konterkarieren, informiert werden, denn
> die Daten (Passwörter usw.) zwischen Client und Proxy können leicht
> ausgespäht werden.

Den Kanal zwischen Client und Proxy kann man verschlüsseln,
so daß in dieser Hinsicht nichts mehr ausgespäht werden kann.

Grüße, Andreas
.

[Andreas M. Kirchwitz]

Juergen P. Meier <nospam-2005 [at] jors.net> wrote:

>> Heiko Schlenker <hschlen [at] gmx.de> wrote:
>>
>> > Zudem müssen die Benutzer über solche Aktionen, die das Prinzip der
>> > Ende zu Ende-Verschlüsselung konterkarieren, informiert werden, denn
>> > die Daten (Passwörter usw.) zwischen Client und Proxy können leicht
>> > ausgespäht werden.
>>
>> Den Kanal zwischen Client und Proxy kann man verschlüsseln,
>> so daß in dieser Hinsicht nichts mehr ausgespäht werden kann.
>
> Der Proxy spaeht.

Heiko und ich hatten "zwischen" geschrieben. ;-)

Der eigene Webbrowser späht auch. Und der Webserver am anderen Ende
ebenfalls. Und das Betriebssystem. Und, und, und. Es steht jedem frei,
einen Proxy seines Vertrauens zu verwenden.

Es wird ja auch niemand gezwungen, einen Proxy zu verwenden.
Jeder kann filtern, oder es auch bleiben lassen. Da viele Leute
die Werbebanner ohnehin rausfiltern, ist es naheliegend, dies
auch mit Schädlingen zu tun. Lösungen für Windows und Unix
gibt's jedenfalls.

Wer nicht will, muss ja nicht. Wer will, kann aber. ;-)

Grüße, Andreas
.

* Andreas M. Kirchwitz <amk [at] spamfence.net> schrieb:

> Der eigene Webbrowser späht auch. Und der Webserver am anderen Ende
> ebenfalls.

Die beiden Enden einer TLS/SSL-Verbindung also. So wie es sein soll.
Da hat sich niemand einfach so einzuklinken.

Gruß, Heiko
.

[Andreas M. Kirchwitz]

Heiko Schlenker <hschlen [at] gmx.de> wrote:

>> Der eigene Webbrowser späht auch. Und der Webserver am anderen Ende
>> ebenfalls.
>
> Die beiden Enden einer TLS/SSL-Verbindung also. So wie es sein soll.
> Da hat sich niemand einfach so einzuklinken.

Es ist die Bestimmung eines Proxy-Dienstes, sich in die Verbindung
einzuklinken. Es ist niemand gezwungen, einen Proxy zu verwenden,
dem er nicht vertraut.

Grüße, Andreas
.