Du kannst mal versuchen manuell ein SL Lesezeichen zu erstellen.
Dazu fügst du einfach die Login-Seite als Bookmark hinzu und hängst in der URL hinten dran den Wert, den du unter about:config als extensions.secureLogin@blueimp.net.secureLoginBookmarkHash findest.
Beiträge von madblueimp
-
-
Alternativ kann man den Stil von Secure Login auch mit User CSS anpassen:
http://securelogin.mozdev.org/drupal/wiki/Custom_Styles -
Ist schon auf der TODO liste:
- Add option to fill out forms on page load. -
Danke für die Erläuterungen. Ich hatte bisher nur den Heise-Artikel gelesen, und der ist nicht ganz eindeutig.
Die Erläuterungen auf http://www.win.tue.nl/hashclash/rogue-ca/ sind aber sehr aufschlussreich, insbesondere der von dir zitierte Text aus Abschnitt 6, "Impact".Nach der Lektüre des Forscher-Berichts denke ich sogar, das der heise-Artikel die Sache verharmlost und in Bezug auf EV-SSL-Zertifikate sogar schlicht falsch ist.
Falls es außer den Sicherheitsforschern jemandem gelungen ist ein Herausgeberzwischenzertifikat zu erstellen würde es meinem Verständnis nach nur helfen die Root-CA des betroffenen Herausgebers aus den Browsern zu entfernen (damit das Herausgeberzwischenzertifikat und vom Herausgeberzwischenzertifikat signierte Zertifikate nicht akzeptiert werden).
P.S.:
Mit "einklinken" meinte ich die Umleitung des Traffics mittels MITM-Szenario. Aber du hast Recht, die Verschlüsselung wird in dem Sinne nicht direkt geknackt. Allerdings landen die Daten ja dennoch im Klartext auf dem Rechner des Angreifers, da die Verschlüsselung ja zwischen Client+Angreifer (mit gefälschtem Zertifikat) und Angreifer+Server (mit echtem Zertifikat) stattfindet.
Ich hätte besser schreiben sollen, das die Identität einer Webseite nicht mehr sichergestellt werden kann. -
Gianni:
Meines Wissens gibt es keine Konfigurationseinstellung um die Anzeige der gespeicherten Benutzernamen bei Doppelklick auf das Formularfeld zu unterbinden.
Eventuell hängt dieser Umstand aber mit dem folgenden Bug zusammen: https://bugzilla.mozilla.org/show_bug.cgi?id=400680herbi28:
Wie boardraider schon geschrieben hat, gehört das SSL-Zertifikat für blueimp.net zu einer Reihe von Zertifikaten (ca 30% aller HTTPS-Seiten), die von Certificate Authorities mit dem unsicheren MD5-Verfahren signiert wurde.
Es ist daher potentiell kompromittierbar, d.h. Angreifer könnten das Zertifikat, das eigentlich nur für blueimp.net gilt, für einen eigenen Server erstellen.Das heißt aber noch lange nicht, das der Besuch von blueimp.net (oder einer anderen HTTPS-Seite mit unsicherem Zertifikat) per se unsicher wäre. Es kann nur die Verschlüsselung nicht sichergestellt werden, da sich ein Angreifer mit gefälschtem Zertifikat in die Verbindung einklinken könnte ohne das dein Browser eine Fehlermeldung ausgibt.
Damit ist die Seite aber immer noch mindestens genauso sicher wie eine Seite komplett ohne Verschlüsselung.Die SSl-Blacklist bedeutet also in diesem Fall einfach nur, das die Verschlüsselung nicht gewährleistet werden kann, man sich also nicht auf die HTTPS-Verschlüsselung verlassen kann.
Meinen Webosting-Provider habe ich dahingehend schon informiert und eventuell wird das Zertifikat ja vom CA kostenfrei ausgetauscht.
Ansonsten muss ich eben bis zum 03.03. warten, das läuft das Zertifikat sowieso ab und ich erhalte ein neues. -
Hast du den "JavaScript-Schutz beim Einloggen" aktiviert?
Wobei ein Zusammenhang mit dieser Option nur eine Vermutung ist.
Eigentlich kann ich mir nicht vorstellen, das Secure Login etwas mit der Cookie-Sitzungslänge zu tun hat.
Secure Login ändert nur die Art des Login-Vorgangs, sonst nichts. -
Erstmal danke an boardraider für den Benutzersupport.
Zum Passworttest von Robert Chapin (via heise Security) lässt sich noch anmerken, das ein Passwort-Manager, der alle Kritikpunkte umsetzen würde, nicht gerade komfortabel wäre.
Ich halte die Kombination von Firefox Password Manager und Secure Login jedenfalls für einen guten Kompromiss zwischen Sicherheit und Bequemlichkeit:
http://securelogin.mozdev.org/drupal/wiki/Security
Das soll nicht heißen, das es noch Verbesserungspotential für die Sicherheit des Password Managers gibt. Das betrifft aber in erster Linie den in Firefox integrierten Password Manager. Secure Login kümmert sich nur um den Login-Prozess selbst.
Aber das hat boardraider ja schon geschrieben.Wer möchte, das der "Login Manager should not prompt for Master Password if signon.autofillForms is set to false"-Bug in Firefox Password Manager behoben wird sollte sich auf Bugzilla registrieren und dem Bug die eigene Stimme (Vote) hinzufügen.
Zitat von ZweiVierSerwas,
wie kann man denn Secure Login so einstellen
dass es kein Timeout gibt?Hab schon probiert über About Config die Werte zu erhöhen
aber des hilft nichts....ich werde immer ausgeloggt nach ner std.http://www.firefox-browser.de/forum/viewtopi…p=525126#525126
Secure Login hat nichts mit Login-Timeouts zu tun. Dies ist eine Server-seitige Einstellung, bzw. wird durch im Browser gesetzte Cookies festgelegt.
Die "defaultNotificationTimeout"-Einstellung in Secure Login legt die Zeit fest, wie lange Hinweise (Notifications) eingeblendet werden.
Zur Zeit wird diese Einstellung nur für den Hinweis genutzt, wenn man sich aus dem "Master Security Device" ausloggt (Master Passwort Session).Wenn du länger in diesem Forum hier eingeloggt bleiben willst musst du auf der Login-Seite das Häkchen hinter "Bei jedem Besuch automatisch einloggen:" setzen, bevor du dich mit Secure Login einloggst. Dieses Häkchen wird von Secure Login nicht automatisch gesetzt (ist aber mit Autofill Forms möglich).
-
Die Master-Passwort-Abfrage beim Laden einer Seite mit gespeicherten Passwörtern trotz deaktiviertem automatischen Ausfüllen ist ein Bug im Password Manager von Firefox, siehe:
https://www.mozdev.org/bugs/show_bug.cgi?id=19330
http://securelogin.mozdev.org/drupal/wiki/FAQ#toc5
https://bugzilla.mozilla.org/show_bug.cgi?id=400680Für die Autofill Forms integration müssen beide Add-Ons installiert sein. Setzt man das Häkchen in Secure Logins Einstellungen wird Autofill Forms direkt vor dem eigentlichen Login-Vorgang aufgerufen, wenn man sich mit Secure Login einloggt.
-
Zitat von dbpdw
So bin ich dann hier auf Autofill Forms gestoßen. Super Add on, spart einem 'ne Menge Tipparbeit. [Blockierte Grafik: http://scosoft.com/s/d/62a82059.gif]
Freut mich.
Allerdings müsste das Default Profil mal verbessert werden, damit es möglichst ohne Fehler mit den verbreitetsten Formularen funktioniert.
Braucht halt alles viel Zeit. -
IronStorm:
Die Einstellung "Login-Formular automatisch abschicken" hat nur eine Auswirkung falls "JavaScript-Schutz beim Einloggen aktivieren" nicht aktiviert ist.
Mit dem JavaScript-Schutz werden Benutzer+Passwort nämlich gar nicht in das Formular eingetragen.
Die Information findet sich auch im Wiki:
http://securelogin.mozdev.org/drupal/wiki/Settings#toc2Zitat von michael815Auf dieser Seite habe ich Probleme mit dem automatischen Abschicken; auch das secure-login-bookmark funktioniert nicht
http://www.boerse-frankfurt.de/DE/index.aspx?pageID=1
ich bin ratlos.
Ich werde mir die Seite mal genauer anschauen, wenn ich mehr Zeit habe. -
Ich denke auch das Gnome mit Ubuntu besser unterstützt wird, da Ubuntu eben die Hauptdistribution ist.
Das Kubuntu jetzt wirklich schlecht unterstützt wird denke ich nicht, nur eben weniger gut als Ubuntu.
Einige meiner Freunde (Linux-Anfänger) sind mit Kubuntu recht zufrieden.Ich war anfangs sehr begeistert von Xubuntu, da ich schon bevor ich Ubuntu kannte XFCE-Fan war. Allerdings ist Xubuntu nicht die ideale XFCE-Distribution, da doch für viele Anwendungszwecke Gnome-Programme eingesetzt werden.
XFCE setzen die meisten dann ein wenn sie sich mehr Performance als mit Gnome versprechen - und das ist mit Xubuntu nicht wirklich der Fall.
Aus diesem Grund bin ich dann nach einiger Zeit ganz auf Ubuntu (und Gnome) umgestiegen. Bisher habe ich es nicht bereut.Ich setze auf meiner 64bit-fähigen Hardware auch die 64bit-Version von Ubuntu sein. Alles was in den früheren 64bit-Versionen mal ein Problem war - Flash, Videocodecs, Wine, etc. läuft auch heute noch einwandfrei.
Lange Zeit hatte ich mit der 64bit-Version überhaupt keine Probleme. Allerdings gab es vor kurzer Zeit einen schwerwiegenden Bug - Open Office (und einige andere Anwendungen) ließen sich unter 64bit Ubuntu nicht mehr starten. Es gab dann relativ schnell Worarounds, allerdings hätte ein so schwerwiegender Bug meines Erachtens nicht in den stabilen Zweig Einzug halten dürfen.Insgesamt ist Ubuntu aber eine prima GNU/Linux-Distribution, gerade für Einsteiger. Besonders klasse ist auch der Support durch die Community-Foren und die zahlreichen Wikis und Dokumentations-Websites.
Wie ich zu Ubuntu kam habe ich in einem ziemlich langen Post in der Linux/Windows-Ecke geschrieben.
Empfehlen würde ich auf jeden Fall die klassische 32bit-Version von Ubuntu.
Wenn der oben erwähnte Bug nicht gewesen wäre hätte ich auch die 64bit Version empfohlen.
Kubuntu ist sicherlich auch nicht schlecht, nur eben nicht ganz so gut unterstützt. Bei KDE steht außerdem noch ein großer Versions-Wechsel an.
Xubuntu mochte ich anfangs sehr gerne - allerdings lohnt sich der Einsatz nicht der Performance wegen. -
Ich nehme an du sprichst von einem solchen Dialog:
------------------------------------------------
Authentifizierung erforderlichGeben sie Benutzernamen und Passwort für http://192.168.0.1 ein
------------------------------------------------Es gibt nämlich zwei unterschiedliche Formen von Web-Logins.
Das eine sind die bekannten Login-Formulare welche in den Quelltext von Webseiten eingebettet sind, das andere ist eine Authentifizierung direkt über das HTTP-Protokoll:
http://en.wikipedia.org/wiki/Basic_access_authenticationUm Dialoge für die HTTP Authentifizierung automatisch abzuschicken gibt es auch schon eine Firefox-Erweiterung namens AutoAuth:
https://addons.mozilla.org/de/firefox/addon/4949Eventuell könnte ich deren Funktionalität auch einmal in Secure Login integrieren.
-
Ich find's super spannend.
Es gibt zwar viele Open Source Browser Projekte, aber neben Mozilla Firefox war keines bisher wirklich erfolgreich.
Google hat das Zeug dazu um einen weiteren erfolgreichen Open Source Browser auf die Beine zu stellen.
Viele Ideen aus dem Comic klingen auch wirklich sinnvoll - sowohl aus Benutzersicht als auch aus Entwicklersicht.
Klar gibt es beim Namen Google auch Bedenken in Richtung Datenschutz - aber wenn der komplette Browsercode quelloffen ist würde sich wohl keine Datensammelfunktion lange halten.
Ich denke Google Chrome kann auf jeden Fall dazu beitragen die Konkurrenz im Browsergeschäft zu beleben und auch Firefox vorantreiben. -
Zitat von liracon
lustige Vorstellung, wenn das Spaceshuttle gerade in die Erdatmosphäre eintritt und der Computer mit einer Schutzverletzung aussteigt, den Reboot vorher durch 10 Abfragen "wollen Sie einen Fehlerbericht an MS schicken" quittiert ...
Ist gar nicht so weit hergeholt:
http://www.heise.de/security/Troja…/meldung/114944 -
Das ist ein Feature des Firefox Password Manager und meines Wissens gibt es dafür keine eigene Einstellung.
Vielleicht hängt die Funktion aber auch mit diesem Bug zusammen:
Login Manager should not prompt for Master Password if signon.autofillForms is set to false -
Spaß an Software kann sich auch schnell zu einer Sucht entwickeln. Ich hab verdammt viel Spaß an Software, ich probiere gerne Sachen aus, ich entwickle gerne, ich lese viel über Computer-Technik, ich liebe das Internet, ich mag Computerspiele.
Ich hab' das ganze Zeug ja sogar zu meinem Studium und schließlich zum Beruf gemacht!
Aber gerade beim Thema ausprobieren denke ich auch oft:
Ich sollte mich weniger mit meinem System beschäftigen sondern es ganz einfach nur nutzen
Und ich finde Wurstwasser hat ganz schön Recht damit, das es viele Sachen gibt die weitaus mehr Spaß machen.
Zeit in der realen Welt mit anderen Menschen zu verbringen steht da ganz oben.Unter dem Gesichtspunkt fällt es auch viel leichter die Themen OS1 vs. OS2 oder Browser1 vs. Browser2 etwas lockerer zu sehen.
Ich bin selbst begeisterter GNU/Linux-Nutzer aber kein typischer Nerd.
Ich hab' auch erst nach dem Abi angefangen mich richtig für Computer-Themen zu interessieren (vorher hatte ich nicht mal einen eigenen Computer oder eine E-mail Adresse).
Seitdem habe ich mich aber ziemlich intensiv mit IT-Themen beschäftigt, auch was Betriebssysteme angeht:Mein erstes eigenes System (im Jahr 2001) war - wie wohl bei den meisten - Windows, in meinem Fall sogar das absturzfreudige Windows ME, später Windows 2000.
Die Knoppix-Live-CD von 2002 war mein erstes getestetes GNU/Linux-System. Noch im gleichen Jahr hab' ich dann - so weit ich mich erinnern kann - Suse Linux parallel zu Windows installiert.
Später habe ich sogar mal so eine Suse Linux Box gekauft.
Das war alles noch auf meinem ersten eigenen Rechner.
2004 kam dann ein Laptop dazu - mit Windows XP und Suse Linux als Parallelinstallation.
2005 wechselte ich von Suse zu einer Kanotix-Installation (entsprach einer Debian Unstable Installation).
Ende 2005 entschied ich mich dann GNU/Linux als Hauptsystem einzusetzen.
Zwischendurch hatte ich mir als Virtual Machines (mittels Qemu) auch mal OpenBSD und FreeBSD angeschaut.
2006 gab es dann einen neuen Desktop-Rechner - auf dem ich prompt Gentoo installierte, inklusive eigens kompiliertem Kernel.
Zu dem Zeitpunkt ist mir dann der schon oben genannte Satz eingefallen:Zitat von madblueimpIch sollte mich weniger mit meinem System beschäftigen sondern es ganz einfach nur nutzen
Nach meinem kurzen Ausflug zu Gentoo wechselte ich zu Xubuntu.
Dieses Jahr (2008) wechselte ich schließlich zu Ubuntu, das ich bis heute nutze.
Auf meinem Laptop und auf meinem Desktop Rechner ist aber immer noch parallel Windows XP installiert, das ich aber nur zu LAN-Parties boote (Laptop), beziehungsweise um endlich mal Spellforce weiter zu spielen (Desktop).
Dank des MSDNAA Programms besitze ich sogar mehrere zusätzliche und unbenutzte legale Windows XP und Vista Lizenzen - das macht Microsoft ganz schön geschickt.Und obwohl ich mein Ubuntu Linux System gerne benutze wird mein nächster Laptop wahrscheinlich einer von Apple (Mac Book Pro). Ich werde darauf wohl auch nicht Ubuntu installieren, sondern Mac OS X nutzen. Ich weiß jetzt schon das ich ein paar Sachen vermissen werde, z.B. das Paketmanagement mit apt, Synaptic und co. Vielleicht ist aber auch MacPorts eine Alternative.
Wahrscheinlich wird es mich auch stören das Apple mit seinen Produkten ein noch geschlosseneres System kreiert als Microsoft mit Windows und seinen anderen Software-Produkten.Ich bin auch immer noch der Meinung das GNU/Linux, Open Source und ganz allgemein Free Software die Zukunft gehört.
Ich glaube auch das Richard Stallman für diese Bewegung weitaus wichtiger ist als Linus Torvalds.
Wer sich für das Thema interessiert, dem empfehle ich unbedingt die folgenden beiden Dokumente:
http://www.jus.uio.no/sisu/free_culture.lawrence_lessig/
http://www.gnu.org/philosophy/fsfs/rms-essays.pdfMeine Entscheidung für Mac OS X auf meinem nächsten Laptop liegt nicht an der Überlegenheit des Systems. Mac OS X hat eine schöne Benutzeroberfläche und das darunter liegende UNIX-System bietet mir viele Werkzeuge die ich auf GNU/Linux Systemen schätzen gelernt habe (z.B. rsync). Apple ist sowieso recht geschickt darin sich Open Source Technologien zu nutze zu machen. Darwin, Webkit und CUPS sind davon wahrscheinlich die bedeutendsten.
Was mir aber auf meinem Ubuntu-System wirklich fehlt ist die Unterstützung kommerzieller Hersteller. Es ist einfach so das die meisten GNU/Linux komplett ignorieren, oder zumindest weniger gut unterstützen als Windows und Mac OS X.
Ich nutze fast ausschließlich Open Source Software und kann fast komplett alles über die Paketverwaltung installieren, bei einer Neuinstallation reicht dafür sogar eine einzige apt-get Zeile aus.
Aber auf manche Closed Source Software möchte ich einfach nicht verzichten. Dazu gehört der Treiber von nVidia für meine Grafikkarte und so manches Spiel. Warcraft III z.B. läuft unter Wine - aber nie so perfekt wie es nativ unter Windows oder Mac OS X läuft. Das kommende StarCraft 2 möchte ich unbedingt ausprobieren, aber eine native GNU/Linux-Version wird es wohl nicht geben.
Als (Web-)Entwickler kann ich mich in punkte Anwendungssoftware für GNU/Linux nicht beklagen. Gerade weil so viele Webanwendungen unter Linux laufen ist ein GNU/Linux System als Entwicklungssystem vielleicht sogar perfekt.
Aber mir ist bis heute keine einfache zu bedienende Open Source Videobearbeitungssoftware bekannt. Cinelerra ist sicher prima, richtet sich aber an Profis und ist nicht intuitiv bedienbar um mal eben ein Video zu schneiden (und Videotechnik war ein Fach meines Studiums).
Das letzte Video das ich mit meiner Freundin gedreht habe hat sie mit Windows Movie Maker geschnitten. Ging verdammt schnell und sie ist kein Computer-Experte. Ich hatte währenddessen mit Kino (ein linearer Videoeditor für Grnome) herumgekrepelt und es nichtmal geschafft den Ton ordentlich zu importieren.Im Prinzip sind das keine Probleme der GNU/Linux Plattform. Es gibt auch mehrere Projekte um Videobearbeitung unter GNU/Linux einfacher zu gestalten. Die sind aber alle noch nicht so weit.
Und ja, es gibt auch viele Spiele für GNU/Linux. Manche sind sogar richtig gut, z.B. Nexuiz. Klar gibt es auch kommerzielle Software für GNU/Linux - aber im Vergleich ist das Angebot einfach verdammt klein.In gewisser Weise hat die Nutzung von Software auch einen politischen und sozialen Aspekt (siehe auch Free Culture ). Verwenden alle ausschließlich Freie Software sind die kommerziellen Hersteller irgendwann gezwungen auch auf den Zug aufzuspringen.
Die meisten Nutzer interessiert aber dieser Hintergrund überhaupt nicht - sie nutzen Open Source Software weil sie nix dafür zahlen müssen - und verwechseln "Freie Software" mit "Kostenloser Software".
Ich denke jeder muss selbst entscheiden wie wichtig ihm das Thema ist. Ich war lange Zeit ein starker Verfechter für freie Software. Mittlerweile bin ich dahingehend aber ein wenig gemäßigter.Klar wäre es super wenn alle Software frei ist und alle Entwickler gemeinsam immer bessere Software entwckeln.
Ich fände es z.B. super wenn Apple OS X frei geben würde.
Aber nicht jeder Entwickler kann mit einem Open Source Lizenzmodell seinen Lebensunterhalt bestreiten.Abschließend denke ich daher das es für jeden/jede individuell unterschiedlich ist welches Betriebssystem und auch welcher Browser für ihn/sie das richtige ist.
Und im Vergleich zu manch anderen Dingen im Leben ist die Entscheidung so ziemlich egal. -
-
Wirf mal einen Blick in ~/.profile - dort steht das folgende:
Zitat# set PATH so it includes user's private bin if it exists
if [ -d "$HOME/bin" ] ; then
PATH="$HOME/bin:$PATH"
fi
Der Ordner lässt sich ohne weiteres anlegen.
Und auch wenn der obige Code-Schnipsel nicht in ~/.profile vorhanden wäre, ließe er sich mit einem Programm mit Benutzerrechten einfach hinzufügen - dann muss man nur den nächsten Login zusätzlich abwarten.Der Hinweis war aber auch nur ein Beispiel und hat für das eigentliche Thema keine große Relevanz. Ich wollte nur darauf hinweisen das auch GNU/Linux Systeme sicherheitstechnisch nicht immer optimal konfiguriert sind.
-
Zitat von DasIch
Leg einen zweiten Benutzer Internet an und starte über diesen deine Internetprogramme.
Das passt zum Thema "Kompromiss zwischen Sicherheit und Komfort". Ich hab auf meinem System einen solchen Account (ohne Zugriff auf meine Daten), den ich lange Zeit exakt zu diesem Zweck verwendet habe. Damit habe ich z.B. manchmal Warcraft III (über Wine) gezockt. Mit Hilfe von sux oder einem eigenen Shell-Script lässt sich sowas auch relativ komfortabel realisieren. Aber dadurch gibt man (während der Ausführung) dem Account wiederum Rechte am eigenen X-Server-Display. Oder man nimmt den unkomfortablen Weg über die Benutzerumschaltung.
Solche Szenarien (extra, noch eingeschränkterer Account) schließe ich eigentlich unter dem Begriff "Sandbox" mit ein. Es geht um das gleiche Prinzip - Einschränken der Möglichkeiten für einen Sicherheitsgewinn, aber mit Abzügen im Komfort.
Und wie ich schon sagte - mit den meisten Anwendungen macht das einfach keinen Sinn - ein E-mail-Programm muss Zugriff auf meine E-mails haben - und die gehören nun mal zu meinen persönlichen Daten.Zitat von madblueimpAllerdings gehören zu den kritischen Anwendungen eigentlich all die Programme welche zu irgendeinem Zeitpunkt externe Daten verarbeiten - und das tun so ziemlich alle Programme die ich nutze.
Und einem Email-Programm kann man schlecht den Zugriff auf persönliche Daten verweigern.Zitat von DasIchWieso? Was glaubst du was AppArmor, SELinux usw. alle tun?
AppArmor und SELinux beschränken vor allem Systemdienste. Sie gehen über die Zugriffsrechte von Benutzern und Gruppenzugehörigkeitein hinaus und definieren Regeln und Eigenschaften von Anwendungen - Policies (SELinux) und Profile (AppArmor) - um den Einsatzzweck einer Software genau festzulegen und die Rechte auf genau diesen Einsatzzweck zu beschränken. Der Hauptvorteil ist bisher der, das die Allmacht von root eingeschränkt wird. D.h. ein Systemdienst, der mit root-Rechten läuft und kompromittiert wird ist trotzdem so eingeschränkt das damit nicht das komplette System kompromittiert wird.
Theoretisch wären auch Profile für Benutzeranwendungen möglich, allerdings ist mir nicht bekannt das so etwas bisher umgesetzt wurde.
Und auch dann ist es nicht möglich einem E-mail-Programm die Rechte auf all meine persönlichen Daten zu entziehen - denn meine Emails gehören zu meinen persönlichen Daten.Zitat von madblueimpIm Endeffekt macht es am meisten Sinn die Anwendungsprogramme so zu schreiben das sie beim Verarbeiten externer Daten keinen Fehler machen.
Zitat von DasIchUnmöglich.
Die Entwicklung des Menschen basiert auf Experimenten der Natur, bei der man "Fehler" absterben lässt.
Die Entwicklung des Menschen auf "Experimente der Natur" einzugrenzen wird der Komplexität des Themas meiner Meinung nach nicht gerecht. Und die Evolutionstheorie - ich nehme an du sprichst darauf an - hat eine etwas andere Definition.
Das geht aber jetzt schon Off Topic und eigentlich hättest du nur einen Satz weiterlesen müssen:Zitat von madblueimpAllerdings sind viele Anwendungsfälle so komplex das man Fehler einfach nicht zu 100% ausschließen kann.
Vielleicht hätte ich statt "viele" "fast alle" schreiben sollen - ich denke dann hättest du mir zugestimmt.Zitat von DasIchAufwand und (mögliches) Ergebniss stehen in keinem Zusammenhang auch die potentielle Gefahr die nur durch SIcherheitslücken in JS Interpreter, Flash Player, JRe etc. gegeben ist halte ich für zu gering als dass dies sinnvoll ist.
Da bin ich komplett anderer Meinung. Der Browser hat sich neben E-mail zum Haupteinfallstor für Schädlinge entwickelt - und fast alle Attacken nutzen Exploits in Plugins (Flash, Video-Plugins, etc.), im Fall von MSIE auch ActiveX oder Lücken in der JavaScript-Engine aus. Ich weiß nicht ob du Sicherheitsnachrichten liest - aber die gängige Empfehlung zu Browsersicherheitslücken bis zur Auslieferung von Fixes lautet fast immer "Deaktivieren sie JavaScript", oder "Deaktivieren sie Plugin XY".
Und das Pflegen einer Whitelist mittels NoScript ist meiner Meinung nach ein geringer Komfortverlust im Vergleich zum Sicherheitsgewinn.Zitat von DasIchNur sind unixoide Systeme Windows deutlich weiter voraus wenn es darum geht, was darf eine Anwendung und wie verhindert man dass sie irgendwas tut was der Anwender so nicht geplant hat. Angefangen beim Rechtesystem und inzwischen bei Schutzmechanismen auf Kernel Ebene, wie die oben genannten AppArmor und SELinux. Dazu gibt es auf Windows übrigens keine Alternativen. Durchaus ein Grund wieso in sicherheitskritischen Bereichen kein Windows verwendet wird, jetzt mal abgesehen davon das Windows Closed Source ist.
Zu AppArmor und SELInux siehe meine Antwort weiter oben. Diese Erweiterungen sind sicherlich sinnvoll, aber noch nicht bei Benutzeranwendungen angekommen. Sie schützen das System, aber nicht meine persönlichen Daten.
Versteh mich nicht falsch - ich behaupte nicht das Windows genauso sicher oder gar sicherer als eine GNU/Linux Distribution ist. Aber auch zwischen unixoiden Systemen gibt es Sicherheitsunterschiede. Mit OpenBSD ist man sicherheitstechnisch bestimmt ganz vorne dabei - aber ich habe noch nicht davon gehört das jemand OpenBSD auf dem Desktop nutzt.
Ubuntu dagegen hat GNU/Linux in punkte Benutzerfreundlichkeit ganz nach vorne gebracht. Allerdings ist der Hauptbenutzer automatisch Mitglied der Admin-Gruppe und kann sich mittels sudo und seinem eigenen Passwort root-Rechte verschaffen.
Schaffe ich es als Angreifer gegen ein Ubuntu-System ein Programm mit Nutzerrechten auszuführen kann ich einfach unter ~/bin/sudo ein eigenes Shell-Script anlegen. Das nächste mal wenn der Anwender sudo [irgendwas] im Terminal eingibt kann das Passwort ausgelesen werden.
Ich nutze selbst Ubuntu (siehe https://blueimp.net/linux/ ) und boote Windows eigentlich nur auf LAN-Parties um native Windows Spiele zu zocken. Zumindest Windows Vista ist aber sicherheitstechnisch nicht so schlecht wie sein Ruf. Und mit Firefox + NoScript ist man auf allen Systemen relativ sicher unterwegs.Zitat von DasIchWie definierst du Betriebssystem? Es ist schwer da eine klare Grenze zu ziehen von daher könnte man genauso gut sagen dass nur Anwendungen dafür verantwortlich sind.
Ja, da hast du Recht. -
Ich schließe mich der ersten und ausführlichen Antwort von PIGSgrame an. Ein paar Worte würde ich aber gerne beitragen:
Zitat von liraconSituation:
ein Schädling gelangt auf mein System. Dieser tauscht eine in FF vorhandene Erweiterung gegen eine mit irgendwelchen Schadcode versehene Erweiterung aus.
Wenn ein Angreifer es schafft ein Schadprogramm auf deinem Computer auszuführen ist es ganz einfach zu spät.
Wie zu einem anderen Thema hier im Firefox-Forum (Passwörter doch nicht sicher?) verlinke ich gerne wieder die
10 Immutable Laws of Security
Daraus das erste Gesetz:ZitatLaw #1: If a bad guy can persuade you to run his program on your computer, it's not your computer anymore
D.h. falls ein Angreifer es schafft auf deinem Computer ein Programm auszuführen ist dein Computer nicht mehr sicher. Ob der Angreifer diese Möglichkeit nun nutzt um den Code von Firefox-Erweiterungen zu manipulieren oder deine Daten auf eine andere Weise ausspäht ist meines Erachtens unerheblich.
Die 10 Immutable Laws of Security sind auch nur eine von vielen Richtlinien und sie stammen sogar von Microsoft :P. Meiner Meinung nach sind sie aber sinnvoll formuliert und taugen tatsächlich als grundsätzliche Sicherheitsrichtlinien.Ich denke einfach das es - abgesehen von einer Rechteverwaltung - wenig Sinn macht sich auf einem Computersystem vor "inneren" Bedrohungen zu schützen.
Und bei jeder Rechteverwaltung muss man auch wieder abwägen zwischen Sicherheit und Komfort.
Unter GNU/Linux ist es z.B. ganz normal, das man alle Anwendungen als eingeschränkter Nutzer ausführt und den Administrator-Account eben nur für administrative Aufgaben nutzt.
Dennoch habe ich als Benutzer natürlich Zugriff auf alle meine Daten. Und ein (Schad-)Programm das mit meinen Benutzerrechten ausgeführt wird hat diesen Zugriff natürlich auch.
D.h. auch eine Rechteverwaltung kann mich nur in den gesetzten Grenzen schützen. Vielleicht verhindert sie, daß mein komplettes System nicht kompromittiert wird - aber wenn dafür meine persönlichen Daten ausgelesen werden beruhigt mich das wenig.Jetzt könnte man auf die Idee kommen kritische Anwendungen in einer Art Sandbox auszuführen - ohne Zugriff auf persönliche Daten und nur mit den nötigsten Rechten.
Allerdings gehören zu den kritischen Anwendungen eigentlich all die Programme welche zu irgendeinem Zeitpunkt externe Daten verarbeiten - und das tun so ziemlich alle Programme die ich nutze.
Und einem Email-Programm kann man schlecht den Zugriff auf persönliche Daten verweigern.Im Endeffekt macht es am meisten Sinn die Anwendungsprogramme so zu schreiben das sie beim Verarbeiten externer Daten keinen Fehler machen. Allerdings sind viele (die meisten) Anwendungsfälle so komplex das man Fehler einfach nicht zu 100% ausschließen kann.
Es gibt aber Möglichkeiten - sowohl für Entwickler als auch für Benutzer - mit denen man die Risiken dieser Verarbeitungsfehler eingrenzen kann:
Für den Benutzer ist die einfachste Möglichkeit für mehr Sicherheitsgewinn die Komplexität einzugrenzen.
Beim Verarbeiten von HTML oder XML machen moderne Browser z.B. sicherheitstechnisch gesehen kaum mehr Fehler. Die meisten Browser-bezogenen Sicherheitslücken beziehen sich dagegen auf das Verarbeiten aktiver Inhalte - JavaScript, Flash, etc.
Deaktiviere ich diese Inhalte global und erlaube ich sie nur selektiv (Whitelisting statt Blacklisting!) habe ich schon mal einen deutlichen Sicherheitsgewinn - deswegen ist NoScript auch so empfehlenswert.Besonders wichtig ist es natürlich auch alle Anwendungen - zumindest alle, die externe Daten verarbeiten - aktuell zu halten.
Das ist mit einem Paketmanagement wie es viele GNU/Linux-Distributionen bieten natürlich einfacher, als jede Anwendung einzeln zu aktualisieren.Weiter ist es meist sicherer nicht alles automatisch ablaufen zu lassen. Das Firefox immer noch die gespeicherten Passwörter automatisch einträgt halte ich für ein unnötiges Sicherheitsrisiko (was einer der Gründe war, warum ich mit Secure Login angefangen hatte Firefox Erweiterungen zu entwickeln).
Die Nutzung des Firefox Password Managers an sich halte ich jedoch für sinnvoll (siehe Why using a Password Manager increases the security of your passwords).Zitat von liracon"FF unter Win = weitaus sicherer als IE, FF unter Linux = sicher".
Obwohl ich seit Jahren GNU/Linux nutze ist FF unter Linux meines Erachtens nicht sicherer als FF unter Windows. Und IE7 unter Windows Vista mit "Protected Mode" und der Nutzung des Zonen-Modells ist wohl auch nicht ganz schlecht, wobei ich mich damit allerdings nicht näher beschäftigt habe.
Vielleicht nutzen Windows-Firefox-Nutzer unsicherere Plugins und vielleicht lässt sich ein Windows-System durch eine Firefox-Lücke einfacher kompromittieren, aber ansonsten sehe ich dahingehend keinen Vorteil der GNU/Linux-Plattform.Meistens sind es die Anwendungen und nicht das Betriebssystem selbst über die Schadsoftware überhaupt in das System gelangen kann.