Beiträge von Dr. Evil

  • Bing im deutschsprachigen Firefox

    Kennt den jemand aktuelle (und halbwegs verlässliche) Zahlen zur Suchmaschinennutzung? Firefox bringt ja eh Yahoo mit, das in absehbarer Zeit auch bei uns mit Bing suchen wird. Und ob man es dann doppelt braucht? wenn es nicht sehr viele Anwender gibt, die beides wollen, würde ich nein sagen...

  • Scripte momentan verboten ???????

    Ich muss zugeben, dass du mir einen neuen Aspekt an NoScript aufgezeigt hast: ich bin bei dem versprochenen Sicherheitsgewinn immer davon ausgegangen, es ginge um Sicherheitslücken in Firefox, über die der PC infiziert werden soll. Da bleibe ich dabei, dass der Sicherheitsgewinn nicht der Rede Wert ist. Auf die Idee, das es bei dem ganzen Gerede um Sicherheitslücken von Webseiten gehen könnte bin ich bisher einfach nicht gekommen... und da muss ich zugeben, dass das Schutzpotential um einiges höher liegt. Selbst wenn jemand jedes Script freigeschaltet hat, das er finden konnte, wäre er z.B. Immun gegen einen Facebook-Wurm, der von evil.example.com geladen wird...

    Ich bleibe aber dabei, dass NoScript für den normalen Anwender nicht bedienbar ist. Aber wenn es um die Sicherheit von Webseiten geht, dann besteht da die Hoffnung, dass sich etwas wie die Content Security Policies durchsetzt, wo der Konfigurationsaufwand nicht dem Benutzer sondern dem Admin aufgebürdet wird...

    Zitat von Cosmo

    Wenn wir hier über Javascript und NoScript schreiben, dann schreiben wir offensichtlich nicht über FF-Lücken im Allgemeinen. Aber bitte, dann noch einmal explizit: NoScript kann keine Sicherheitslücken [1] schließen, die nicht mit Javascript zu tun haben, es kann auch keinen Kaffee kochen. Ich hätte das auch nicht erwartet, der Autor hat das nie versprochen, auch nicht suggeriert, und ich kann mir wirklich nicht vorstellen, daß ein Mensch mit gesundem Menschenverstand das vermuten würde.

    Stimmt, explizit gesagt hat das niemand. Es wird nur immer allgemein gesagt, dass NoScript vor Sicherheitslücken schützen würde. Und wenn man da wie ich erstmal davon ausgeht, es wären Sicherheitslücken im Browser gemeint, über die z.B. ein Virus/Trojaner installiert werden soll, dann muss man die Aussage eben mit dem ganz großen Aber versehen, dass wer die aktuelle Firefox-Version einsetzt, sich im Normalfall keine Gedanken über Sicherheitslücken in Firefox machen muss, weil es extrem selten 0-Day-Lücken gibt - und wer veraltete Versionen einsetzt, mit oder ohne NoScript verloren hat.

  • Scripte momentan verboten ???????

    Zitat von Cosmo

    Du hattest in dem vorhergehenden Beitrag geschrieben:


    wobei sich die "veraltete Version" aus dem Kontext erkennbar auf den FF bezog.

    Wie kommst du eigentlich zu dieser Behauptung? NS blockiert den Code, er kommt also gar nicht im Interpreter an, folglich kann der (einen alten, fehlerbehafteten angenommen) auch nichts damit machen - noch nicht einmal etwas falsches. Genau das Gegenteil dessen, was du schreibst ist somit richtig. Und damit das nicht in die falsche Kehle gelangt: Nein, ich bin ganz und gar nicht der Meinung, daß NS das zügige Aktualisieren des Browsers ersetzt, im Gegenteil. Aber wenn eine Sicherheitslücke bekannt geworden ist, das Update aber noch nicht zur Verfügung steht, bietet gerade NS die Möglichkeit, sich davor zu schützen. (Zugegeben: Man könnte JS auch in dieser Zeit in den FF-Optionen abschalten, aber gerade die Dummies, von denen hier immer wieder die Rede war, werden das nicht tun - sofern sie sich überhaupt über die Existenz einer nicht geschlossenen Lücke im JS-Interpreter informiert haben, was nahezu durchgängig verneint werden muß.)

    Wenn die Sicherheitslücke JavaScript betrifft, dann hast du (meistens*) recht. Firefox besteht aber aus noch mehr Komponenten, die auch oft genug Sicherheitslücken haben, die sich ganz ohne JavaScript ausnutzen lassen.

    * Meistens, weil es auch Sicherheitslücken gibt, bei denen JavaScript in einem falschem Kontext ausgeführt wird. (Im Normalfall dann mit Chrome-Rechten, im Kontext von NoScript könnte es aber auch schon reichen, ein Script mit den Rechten einer Seite laufen zu lassen, für die JavaScript aktiviert ist).

  • Scripte momentan verboten ???????

    Zitat von Cosmo

    Irgendeine Begründung oder einen Beleg dafür, außer Glauben und Hoffnung? Das eine fehlerhafte Version des Interpreters das Gefahrenpotential erhöht, ist banal, daß eine solche Version das Potential überhaupt erst schafft, ist Behauptung pur.

    Wo bleibt denn dein Beweis, dass JavaScript in aktuellen Firefox-Versionen eine Sicherheitslücke darstellt? Bisher konnte ich da auch nur die Behauptung entdecken.

    Zitat von Cosmo

    Nicht umsonst empfiehlt das BSI klar und unmißverständlich, Javascript soweit möglich (und das interpretiere ich mit: auf allen Seiten, auf denen es für die Darstellung nicht benötigt wird und der man nach reiflicher Überlegung vertraut) zu deaktivieren. Es gibt dazu mehrere Seiten beim BSI, zum Beispiel wird hier klar gemacht, daß ein fehlerhafter Interpreter mitnichten das einzige kritische Sicherheitsrisiko darstellt, wie oben behauptet.

    Lies dir die Seite nochhmal durch: die Risiken die da stehen sind allgemeine Sicherheitslücken (die gibt es aber nicht nur in JavaScript - und 0-Day Exploits sind bei Firefox extrem selten, deswegen die Empfehlung der aktuellen Version), gefakte Linkziele (geht schon lange nicht mehr - und in Zeiten von twitter geht es mit den ganzen Linkverkürzern auch viel einfacher) - und schlechte Sicherheitsprogramme. Ein schlechtes Security-Programm gehört ausgetauscht, statt an den Symptomen rumzudoktern.

    Zitat von Cosmo

    Eine solche sehr blauäugige Sichtweise läßt sich auch nicht mit dieser umfassenden Darstellung von der FU Berlin in Übereinstimmung bringen. Nur wenige Aussagen zur Auswahl:
    [snip]

    Das ist nicht "die FU Berlin", sondern die sogenannte "Userpage" von einer Person, die dort wohl arbeitet oder studiert.

    Und die Seite ist von 2004. Da wurde der IE jahrelang nicht weiterentwickelt wurde und hatte Sicherheitslücken, die Microsoft nicht beheben wollte. Das hat hat wenig mit FIrefox (oder der heutigen Situation des IE) zu tun.

    Zitat von Cosmo

    Des weiteren ist es so, daß Javascript teils aus Bequemlichkeit der Seiten-Programmierer, teils aus Gründen der Schikane (oder Schlimmeres) eingesetzt wird, obwohl es technisch gar nicht erforderlich ist.

    Stimmt. Dafür gibt es aber wesentlich einfachere Lösungen, wie z.B. YesScript.

    Zitat von Cosmo

    Wer NoScript dazu verwendet, um JS bei jeder Seite, die nicht sofort in voller Schönheit erstrahlt, ohne nachzudenken zuzulassen, hat den Sicherheitsaspekt nicht verstanden.

    Stimmt. That's exactly my point! Jemand, der sich nicht mit der Materie auskennt und auf eine Empfehlung NoScript installiert, der ist nicht automatisch sicherer dran, als davor. Aber er hat jetzt einen Placebo und denkt, niemand könnte ihn mehr hacken.

    Zitat

    Solche Sicherheits-Ignoranten auch noch mit der Suggestion, Sicherheit sei für Laien unpraktikabel, auch noch zu bestätigen, halte ich ohne Wenn und Aber für falsch.

    Aber NoScript ist für Laien nicht bedienbar! Wie soll ein Laie denn einschätzen, ob Scripte von z.B. Akamai (ein CDN) vertrauenswürdig sind oder nicht? Das kann so auch kein Experte sagen - wenn mans genau nimmt müsste man den JavaScript-Code nämlich lesen, bevor man ihn freischaltet. (Und dafür ist NoScript nicht ausgelegt, denn dann müsste es ja bei einem geänderten Script Alarm geben, damit man dieses wieder lesen und freischalten kann.)

    Zitat von Cosmo

    Nicht erwähnt - und hier auch nicht weiter zu vertiefen - ist die Tatsache, daß NS keineswegs nur JS limitiert, sondern auch Schutz vor anderen Risiken darstellt (wie Cross-Site-Scripting [1], Clear-Click-Schutz oder der in 2.0rc5 eingeführte Router-Schutz, um nur einige Beispiel zu nennen). Daraus folgt aber klar, daß der Sicherheitsgewinn durch NS weit über die JS-Thematik hinausreicht.

    Das sind Heuristiken, die keinen 100%-Schutz bieten und gerne auch mal Fehlalarm geben. Man kann sie teilweise (wie JavaScript) sogar zum DoSen des PCs ausnutzen... Aber ich gebe zu, dass die meisten Allerweltshacks über diese Hürde wohl nicht springen. (Ich rege mich nur immer über die Aussagen auf, die suggerieren diese Features würden zu 100% wirken.)

    Zitat von Cosmo

    Tröstlich zu wissen, daß NS mit derzeit rund 550.000 Downloads wöchentlich und rund 66 Mio. Downloads insgesamt (Stand: 1. Mai 2010) zu den beliebtesten Firefox-Erweiterungen zählt.

    Die Zahlen sind mit sehr viel Vorsicht zu genießen. Es ist schon öfter passiert, dass addons.mozilla.org gewisse Probleme aufgetaucht sind, die das Zählen der Downloads beeinflusst haben. Das hat dann aber komischerweise die täglichen Downloadzahlen aller Add-ons von einem Tag auf den anderen nach oben oder nach unten katapultiert - nur bei NoScript sind sie gleich geblieben.

    Zitat

    [1] nur mal zum Nachdenken: einen XSS-Schutz hat der aktuelle IE von Haus aus eingebaut, FF dagegen nicht. FF ohne NS hat bezüglich Sicherheit gegenüber anderen Browser teilweise durchaus das Nachsehen.

    Und der XSS-Schutz des IE hat auch schon XSS-Lücken auf Seiten produziert, die sonst eigentlich sicher sind. Aus dem Grund deaktiviert Google ihn z.B. für die eigenen Webseiten. Echt ein tolles Feature!

  • Themes einfach testen

    Zitat von Manny123

    @Dr.Evil
    Firefox braucht bei mir bestimmt eine halbe Minute um zu starten, wenn ich das alle paar Minuten machen muss geht schon etwas Zeit verloren.^^

    https://developer.mozilla.org/en/Setting_up_…ent_preferences
    mit diesen Einstellungen sollte ein neues Fenster reichen.

    (Wenn du aber keinen absoluten Uralt-Rechner hast, würde ich dir aber auch empfehlen, mal zu gucken was den Firefox-Start denn so dermaßen lahm macht.)

  • Scripte momentan verboten ???????

    Zitat von Cosmo

    Es ist sehr sinnvoll, weil es bezüglich der Sicherheit die wichtigste Erweiterung von FF ist und Javascript ohne NoScript nicht wirklich sicher zu verwenden ist.

    Das ist zu kurz gesprungen. Solange man immer die aktuellste Firefox-Version einsetzt ist das Risiko durch aktiviertes JavaScript doch sehr überschaubar. (Und bei einer veralteten Version hilft auch das deaktivieren normalerweise nichts.)

    Außerdem kann jemand, der nicht (wirklich) weiß was NoScript tut, es mit ziemlicher Sicherheit auch nicht richtig bedienen - und wird deswegen entweder jede Seite ohne Scripte aufrufen (und bei Problemen nicht wissen, was er tun soll), oder bei Problemen blind JavaScript aktivieren und damit wieder jede Sicherheitslücke, die durch den Einsatz von NoScript verhindert werden soll, doch wieder aufreisen.

  • StopBadware

    Zitat von <woltlab-metacode-marker data-name=

    " data-link="">

    Of the 9 pages we tested on the site over the past 90 days, 3 page(s) resulted in malicious software being downloaded and installed without user consent. The last time Google visited this site was on 2010-10-11, and the last time suspicious content was found on this site was on 2010-10-11.

    Malicious software is hosted on 1 domain(s), including ibrla.com/.

    2 domain(s) appear to be functioning as intermediaries for distributing malware to visitors of this site, including openx.org/, experteerads.com/.

    Anscheinend bindet die Seite Werbung ein, die nicht ganz so harmlos wie die Seite selbst ist...