Firefox 3.6 <-> 1x.x

  • Bei Leuten, denen die Umstellung auf andere Software schwerfällt und die nicht die neuesten Spielereien brauchen, habe ich seit ewigen Zeiten Firefox 3, aktuell 3.6.28 installiert (+NoScript). Wie hoch ist das Risiko einzuschätzen im Vergleich zu 15.x? IMHO sollte die alte Version so gut gereift sein, daß sie kaum noch Angriffsfläche bietet. Die neuen Versionen sind so viel umfangreicher, daß ich wirklich zweifle, ob die unbedingt sicherer sind. Was meint ihr? Wie gesagt, abgesehen von neuen Features oder angeblich höherer Geschwindigkeit (die ich bei hier häufig benötigten Seiten nicht nachvollziehen konnte).

    Bei kurzen Tests der jeweils neuen Version ist mir aufgefallen, daß das Verzeichnis components in der Form nicht mehr existiert. Ich hatte dort die entsprechende .js-Datei so geändert, daß zwar bereits gespeicherte Login/Passwort-Kombinationen angewendet werden aber der Dialog zum Ändern oder Abspeichern neuer Passworte komplett unterdrückt wird. Keine große Sache aber praktisch und über die normalen config-Einstellungen ja nicht zu erreichen. Wo müßte man in der aktuellen Version eingreifen?

  • Zitat von David44

    Bei Leuten, denen die Umstellung auf andere Software schwerfällt und die nicht die neuesten Spielereien brauchen, habe ich seit ewigen Zeiten Firefox 3, aktuell 3.6.28 installiert (+NoScript).


    Da lache ich nur, siehe Signatur. :mrgreen:

    8) Gruß camel-joe

    Festes Profil: nicht vorhanden
    Portable: ESR

  • Zitat von David44

    Wie hoch ist das Risiko einzuschätzen im Vergleich zu 15.x? IMHO sollte die alte Version so gut gereift sein, daß sie kaum noch Angriffsfläche bietet.

    Was glaubst du denn? Das Risiko ist natürlich sehr hoch. Eine Browser kann gar nicht so weit reifen, dass er keine Angriffsfläche bietet. Ganz im Gegenteil. Es werden immer neue Sicherheitslücken entdeckt und Firefox 3.6 erhält keine Sicherheitsaktualisierungen mehr. Damit ist diese Version als Angriffsziel außerdem viel begehrter, gerade weil es viel zu viele Menschen wie dich gibt, die das Aktualisieren ihrer Software versäumen... Bitte aufwachen! Du gehst mit dieser Software in das Internet! Der Glaube an das Gute im Menschen ist schön, aber im Internet total Fehl am Platz. Wo Sicherheitslücken existieren, da werden sie ausgenutzt. Und dazu ist es nicht einmal notwendig, vermeintlich dubiose Seiten anzusurfen...

    Ein Blick hierauf schadet dir auch nicht. Sicherheitsaktualisierungen, die dein Firefox 3.6 nicht mehr bekommt:
    http://www.mozilla.org/security/known…es/firefox.html

    Du benötigst alleine aus Gründen der Sicherheit unbedingt immer eine aktuelle Browserversion. Ansonsten Finger weg von praktisch allem im Internet... und vielleicht merkst du keine Geschwindigkeitsunterschiede zwischen zwei aufeinanderfolgenden Versionen, zwischen zwei so weit auseinanderliegenden Versionen macht sich das aber bemerkbar. Und sag nicht, dass du keine neuen Features benötigst. Feature meint schließlich nicht nur neue Knöpfe, an denen du rumspielen kannst, sondern auch die erweiterte Unterstützung von Webstandards. Webseiten setzen voraus, dass der Browser bestimmte Dinge beherrscht und immer mehr Webseiten erwarten Browser-Features, welche Firefox 3.6 schlicht und ergreifend nicht hat. Fängt ja schon mit dem HTML5-Parser an... und daran führt auf kurz oder lang kein Weg dran vorbei. Du kannst damit bereits einige Seiten nur eingeschränkt nutzen und es werden langfristig immer mehr Seiten für dich, die du nur eingeschränkt oder gar nicht benutzen kannst. Webseiten werden interaktiver und dazu werden moderne Webstandards benötigt. Die kann der Browser - oder kann sie, wie in deinem Fall, nicht.

    Es gibt absolut keinen rationalen Grund, bei einer derart veralteten Version zu bleiben. Firefox 3.6 ist technisch in etwa auf dem Stand von vor drei Jahren und das ist im Internet eine verdammt lange Zeit...

  • Zitat von David44

    IMHO sollte die alte Version so gut gereift sein, daß sie kaum noch Angriffsfläche bietet.

    Und wie soll diese "Reifung" aussehen, wenn nicht durch das bereitstellen von Updates?
    Das Programm kann sich seine Sicherheitslücken ja nicht von alleine flicken.

    Das herunterladen und installieren der neuesten Version sollte (je nach Internetgeschwindigkeit) innerhalb von 5 Minuten erledigt sein.

    Alle 6 Wochen eine neue Version, der Zeitaufwand pro Jahr bleibt überschaubar.

  • Zitat von Palli


    Und wie soll diese "Reifung" aussehen, wenn nicht durch das bereitstellen von Updates?

    David44;

    So ist es. Ich sitze zwar im Glashaus, aber diese alte Version ist ja gereift. Sie nennt sich jetzt 15.x. :mrgreen:

    8) Gruß camel-joe

    Festes Profil: nicht vorhanden
    Portable: ESR

  • Hallo David44,


    Zitat von David44

    IMHO sollte die alte Version so gut gereift sein


    Zunächst vielen Dank für die bildsprachliche Steilvorlage. - Gereift ist so eine alte Version ganz bestimmt. Da gebe ich dir recht. Man darf diese Reife aber nicht mit einem Qualitätsmerkmal verwechseln. Eher schon mit einem Hundehaufen. Frisch gesetzt zieht er nur wenige Fliegen an. Aber wenn der Haufen reift, zieht er alles an, was Beine hat.


    Zitat von David44

    Wie hoch ist das Risiko einzuschätzen im Vergleich zu 15.x?


    Das lässt sich schwer sagen. Das Risiko ist zumindest so hoch, dass es einer vernünftigen Kalkulierbarkeit entzogen ist.

    Die meiste Malware ist abwärtskompatibel. Das heißt, auf einer alten Softwareversion lastet ein ungleich höherer Infektionsdruck als auf einer aktuellen Version.

    Um eine voll gepatchte und aktualisierte Software angreifen zu können, müssen Cyberkriminelle darin erst mal eine Sicherheitslücke suchen und finden. Dann muss ein passender Exploit geschrieben und in Umlauf gebracht werden. Erst dann ist auch die neue Version angreifbar. Dem gegenüber ist eine alte Version für fast jeden Schadcode empfänglich, der in den Folgeversionen ausgenutzt werden konnte, weil sämtliche Updates fehlen, die diese Sicherheitslücken schließen.

    Noch signifikanter wird die Geschichte, wenn man den Firefox außen vor lässt und z. B. ein XP SP2 betrachtet auf dem eine nicht upgedatet Java-Version und ein ebenfalls veralteter Adobe FlashPlayer aktiviert ist. Unabhängig von den Internetseiten, die man mit so einer Konfiguration ansteuert, hält man damit den Kopf nicht lange ungeschoren aus dem Fenster.

    gruß,
    docc

  • Zitat

    Die meiste Malware ist abwärtskompatibel. Das heißt, auf einer alten Softwareversion lastet ein ungleich höherer Infektionsdruck als auf einer aktuellen Version.


    Da habe ich oft genug anderes gelesen - wirklich. Aber daß das Risiko letztlich unkalkulierbar ist, ist schon klar. Letztlich wird wohl den Ausschlag geben, wann ein dringend benötigtes Angebot nicht mehr mit der alten Version funktioniert. Nach meiner Erfahrung handelt man sich mit neuen Versionen fast immer auch neue Probleme ein.

  • Ich glaube auch nicht, dass es für "normale User" unlösbare Probleme gibt. Ich halte auch nur aus einem (1) Grund am 2er fest. Aber das ist ein anderes Thema, welches ich schon öfters angesprochen habe. Eine Lösung gibt es aber in dem Fall leider nicht, wird es wohl auch nie geben.

    8) Gruß camel-joe

    Festes Profil: nicht vorhanden
    Portable: ESR

  • Zitat von David44

    Nach meiner Erfahrung handelt man sich mit neuen Versionen fast immer auch neue Probleme ein.


    Welche Erfahrung könnte das sein, wo du doch "seit ewigen Zeiten" FF3 bzw. 3.6 einsetzt? Kann es sein, daß du irgendwo gelesenes - ohne Berücksichtigung konkreter Umstände - mit Erfahrungen gleichsetzt?

    Alte Versionen haben allerdings gegenüber neuen einen markanten Unterschied: Es gibt alte und neue Probleme (Schadware, Sicherheitslücken), also viel mehr!

    Eine Lösung für dich können die ESR-Releases von FF sein. Da gibt es - für den Zeitraum von ca. 1 Jahr - ausschließlich Updates, die obligatorisch sind, nämlich Sicherheits-Patches, eventuell Stabilitäts-Updates, keine neuen Features.

  • Zitat von David44

    Ich hatte dort die entsprechende .js-Datei so geändert, daß zwar bereits gespeicherte Login/Passwort-Kombinationen angewendet werden aber der Dialog zum Ändern oder Abspeichern neuer Passworte komplett unterdrückt wird.

    Interessant. Wenn es darum geht zu verhindern, dass unerfahrene Anwender Passwörter von sicherheitskritischen Seiten, wie z.B. Onlinebanking, PayPal, etc abspeichern ist das eine gute Idee. Allerdings verhindern solche Seiten meines Wissens nach selbst, dass die Passwörter gespeichert werden.

    Mit der Einstellung verhinderst du aber auch, dass geänderte Kennwörter abgespeichert werden. Und das ist schlecht, da die Anwender aufgrund dieser Einstellung ihre Passwörter vermutlich nicht regelmäßig ändern.

    Zitat von Cosmo


    Eine Lösung für dich können die ESR-Releases von FF sein. Da gibt es - für den Zeitraum von ca. 1 Jahr - ausschließlich Updates, die obligatorisch sind, nämlich Sicherheits-Patches, eventuell Stabilitäts-Updates, keine neuen Features.

    Ich halte die ESR-Releases für Nutzer, die sich nicht mit neuen Funktionen anfreunden können für problematisch. Wenn nach einem Jahr alle Änderungen auf einmal auf die hereinprasseln ist meiner Meinung nach die Gefahr, dass die dann erst recht bei der alten Version bleiben viel größer.

    Es gibt keine Strong-Taste und keine Strange-Taste.

  • Zitat von Fury

    Ich halte die ESR-Releases für Nutzer, die sich nicht mit neuen Funktionen anfreunden können für problematisch. Wenn nach einem Jahr alle Änderungen auf einmal auf die hereinprasseln ist meiner Meinung nach die Gefahr, dass die dann erst recht bei der alten Version bleiben viel größer.


    Dieses Argument ist seit dem Erscheinen von ESR bereits wiederholt bemüht worden; ob es so ist, wird sich in einigen Wochen zeigen. Ich teile dieses Argument nicht, denn beim Wechsel von ESR alt zu ESR neu (zum Jahresende: 10 -> 17) werden beide nach vorhandener Planung rund 2 Monate lang parallel laufen, reichlich Zeit also, sich mit den Unterschieden vertraut zu machen.

    Eine ähnliche Situation gab es bisher einmal, als nämlich 3.6 das Lebensende erreicht hatte und diese Benutzer auf ESR 10 wechseln konnten / mußten. Obwohl auch dort immerhin 6 Versionen dazwischen lagen, erwies sich dieser Wechsel als absolut realisierbar.

    Im übrigen: Wer jetzt wie im aktuellen Fall von 3.6 zu 15 wechseln soll / muß, hat offenkundig noch wesentlich mehr Änderungen zu verdauen, und zwar ebenso "auf einmal", und in wenigen Wochen bereits noch welche und 6 Wochen später wiederum und so weiter ad infinitum. Mit ESR muß man einmal im Jahr sich die Neuerungen ansehen (in einem Umfang, der durchaus einem ganz normalen Release-Wechsel anderer Programme wie zum Beispiel GIMP vergleichbar ist), hat dann aber wieder für 1 Jahr Ruhe, ohne unter Sicherheitsaspekten durchs Raster zu fallen. IMHO durchaus eine gute Wahl, wenn man die Änderungen im 6-Wochen-Rhythmus nicht will / braucht.

    Ein zusätzlicher Aspekt ist, daß es für manche Änderungen seitens Mozilla, die von einer großen Zahl der Benutzer nicht geliebt werden, zwischenzeitig rechts stabile Erweiterungen gibt, die diese Änderungen wiederum korrigieren. (Traurig, daß die Notwendigkeit für so etwas - Status4Evar als das vielleicht populärste Beispiel, Addons Manager Hilite als anderes - überhaupt besteht.) Und für nicht mehr funktionierende Erweiterungen steigt mit der Zeit natürlich auch die Zahl von neuen, die denselben Job erledigen können und auch die Leistungsfähigkeit der neuen steigt mit der Zeit natürlich weiter an, hierzu Cleanest Addon Manager als Beispiel.

  • Zitat von Fury

    Allerdings verhindern solche Seiten meines Wissens nach selbst, dass die Passwörter gespeichert werden.


    Meine Bank, die KSK, macht es. Und so sollte es auch sein. Wenn es anders ist, dann sollte man die Bank kontaktieren.

    Zitat von Fury

    Wenn nach einem Jahr alle Änderungen auf einmal auf die hereinprasseln ist meiner Meinung nach die Gefahr, dass die dann erst recht bei der alten Version bleiben viel größer.


    Ein interessanter Aspekt, der auch der Grund ist, warum ich den 10er + 15er verwende.

    8) Gruß camel-joe

    Festes Profil: nicht vorhanden
    Portable: ESR

  • Und diesem Aspekt kann ich mich auch nur anschließen.

    Natürlich sollte man meinen, dass die Zeit, in welcher zwei ESR-Versionen parallel laufen, genug Zeit zur Umstellung sei, aber das betrifft in erster Linie die Zielgruppe von ESR, nicht den Ottonormal-Anwender, der ESR einfach aus Gründen verwendet. Das hat Firefox 3.6 gezeigt und das hat man auch noch weiter in der Vergangenheit gesehen. Sehr viele Nutzer versuchen häufig derart große Wechsel auf Teufel komm raus zu vermeiden. Und in diese Kategorie fällt offensichtlich auch der Themenersteller. Ich bin mir aufgrund der bisherigen Beiträge absolut sicher, dass er auch beim nächsten großen ESR-Wechsel dann wieder keinen Anlass sehen wird, die neuere Version zu installieren. Die Sicherheit ist hier kein Argument, die geht ihm am Allerwertesten vorbei. Ein regelmäßiges Update alle sechs Wochen, das sind verhältnismäßig kleine Sprünge. Darauf muss man sich einstellen können. Eventuell auftretende Probleme lassen sich ja lösen. Aber ich habe mit 40+ Erweiterungen nie ein Kompatibilitätsproblem gehabt. Und ansonsten gibt es zumeist Alternativen. In einem Jahr hingegen passiert sehr viel. Die Unterschiede sind sehr viel größer. Und aufgrund der Erfahrungen kann man meines Erachtens sehr wohl sagen, dass dies wieder Nutzer veranlassen wird, diesen Sprung nicht zu wagen, weil er so groß ist...

  • Zitat von Cosmo


    Welche Erfahrung könnte das sein, wo du doch "seit ewigen Zeiten" FF3 bzw. 3.6 einsetzt? Kann es sein, daß du irgendwo gelesenes - ohne Berücksichtigung konkreter Umstände - mit Erfahrungen gleichsetzt?


    Die Erfahrungen beziehen sich auf diverse Software. Konkret stört bei den ersten Tests schon mal dieses Symptom:
    https://www.camp-firefox.de/forum/viewtopi…=97524&p=790709
    Ratschläge bitte gerne dort, möglichst ohne ein zusätzliches Addon installieren zu müssen.

    Zitat

    Alte Versionen haben allerdings gegenüber neuen einen markanten Unterschied: Es gibt alte und neue Probleme (Schadware, Sicherheitslücken), also viel mehr!


    Dem steht wiederum die pure Menge des Codes entgegen, denn es gilt auch: mehr Code -> mehr Fehler. Wie es unterm Strich aussieht kann man nur mutmaßen.

    Zitat

    Eine Lösung für dich können die ESR-Releases von FF sein. Da gibt es - für den Zeitraum von ca. 1 Jahr - ausschließlich Updates, die obligatorisch sind, nämlich Sicherheits-Patches, eventuell Stabilitäts-Updates, keine neuen Features.


    Danke das nehme ich nun in Angriff. Allerdings will ich alles mundgerecht vorbereiten, daß die Anwender möglichst wenig Unterschied und schon gar keinen Nachteil bemerken. O.g. Leiste ist so einer. Das mit der Passwort-Speicher-Abfrage ein anderer. Sinn und Unsinn muß hier nicht diskutiert werden, es interessieren eher Lösungen.

  • Zitat von David44

    Dem steht wiederum die pure Menge des Codes entgegen, denn es gilt auch: mehr Code -> mehr Fehler.


    Zur Erinnerung: Es geht um Sicherheitslücken in veralteter Software, nicht um Fehler innerhalb einer Software. Mal ganz davon abgesehen, dass nicht jeder Softwarefehler eine Sicherheitslücke darstellt.

    Wenn du rechts hättest, könnte man sich alle Updates sparen, weil sie die Angriffsfläche vergrößern. - Ein absurder Gedanke!


    Zitat von David44

    Sinn und Unsinn muß hier nicht diskutiert werden, es interessieren eher Lösungen.


    Das ist ein Totschlagargument. - Wenn man die Diskussion nicht ergebnisoffen führt, kommt zwangsläufig nur ein halbgarer Workaround dabei heraus.

  • Zitat von Docc

    Wenn du rechts hättest, könnte man sich alle Updates sparen, weil sie die Angriffsfläche vergrößern.


    Bei denen, die mit einer Vervielfachung des Codes einhergehen, ist das gar nicht so gänzlich abwegig. ;) Ich warte dann ganz gerne auf fehlerbereinigte Releases - z.Z. paßt da wohl die 10ESR am besten. Mir ging es jedoch ganz allgemein darum, daß man sich mit Updates - und eben auch manchmal mit dem Schließen von Sicherheitslücken andere Probleme einhandelt. Z.B. daß man wieder stundenlang grübelt, wie irgendeine unerwünschte Meldung wegzubekommen ist...
    Aber das Schließen von Sicherheitslücken hat natürlich i.A. Vorrang.

  • Zitat von David44

    Bei denen, die mit einer Vervielfachung des Codes einhergehen, ist das gar nicht so gänzlich abwegig.


    Vielleicht in Einzelfällen, aber nicht auf breiter Front. Denn nur in letzterem Fall wäre die von dir präferierte Vorgehensweise verständlich bzw. gerechtfertigt. - Ich lasse mich aber gerne vom Gegenteil überzeugen. Vielleicht hast du mal ein paar Beispiele, bei denen eine Vergrößerung der Komplexität und Größe einer Software zu einer signifikanten Vermehrung von Sicherheitslücken geführt hat!?

  • Zitat von Boersenfeger

    ...och, da gibts einige.... Flashplayer, Google Chrome, Java...


    Dass diese Programme Sicherheitslücken haben oder hatten, steht ja außer Frage. Aber darum geht es nicht (siehe oben).