Nach Umstieg zu FF: Nachträglicher Ärger über IE!

    Hallo zusammen,

    ich muss sagen, dass ich nach meinem Umstieg vom IE zum FF speziell in punkto Sicherheits-Komfort vom IE doch ziemlich enttäuscht bin, nachdem ich nun im FF gesehen habe, was prinzipiell möglich ist:

    Das generelle Sperren und bedarfsweise Zulassen von Scripting ermöglichte der IE zwar über das Zonenmodell ("Internet", "Vertrauenswürdige Sites" usw.). Allerdings war dies im Vergleich zu FF mit NoScript extrem unkomfortabel, weshalb es im IE scheinbar auch so gut wie niemand nutzt (in Internet-Foren gab es zu dieser Funktion des IE praktisch null Inhalt, während man zu FF mit NoScript haufenweise Tipps findet):
    - Viele Websites verwenden mittlerweile leider Scripte von externen Domains, d.h. man surft z.B. auf ebay.de, benötigt werden dazu aber auch Scripte von ebaystatic.com. Abgesehen davon, dass dies IMHO schlechter Programmierstil ist: NoScript zeigt diese externen, aber benötigten Domains praktischerweise an, und man kann sie dann per Klick freigeben. Im IE dagegen muss man sie mühsam selbst im HTML-Sourcecode recherchieren, falls dies überhaupt möglich ist (oft habe ich sie selbst im IE-Entwicklermodus mit der Scripting-Konsole nicht herausfinden können und musste dann, um die Website überhaupt nutzen zu können, Scripting temporär global aktivieren, was mir überhaupt nicht behagte, weil man das sofortige Zurücksetzen dann womöglich noch vergisst).
    - Der jeweilige "Kundenservice" hatte natürlich in keinem einzigen Fall auch nur die blasseste Ahnung von den zusätzlich verwendeten Scripting-Domains, und ein Backoffice bzw. einen 2nd Level scheint es nirgendwo mehr zu geben. Die Programmierer waren scheinbar auch immer schon längst über alle Berge (eine kurze Rückfrage dort hätte die Frage doch beantwortert).
    - Die Positivliste im IE ("Vertrauenswürdige Sites") wird künstlich auf 4-6 Zeilen begrenzt (Warum das denn? SOLL das Feature niemand nutzen?), dann muss man scrollen. Sortieren kann man sie nicht, exportieren auch nicht. Die Pflege von einigen Zig bis Hunderten von Einträgen über ein "Guckloch" von 4-6 Zeilen ist mehr als mühselig, weil man dann, um z.B. nachzusehen, ob eine Site schon freigegeben ist und sie dann ggf. zu löschen, minutenlang blättern muss, zumal die Sortierung im IE - sagen wir mal - sehr "eigenwillig" ist.

    Zu den Cookies (OK, weniger Sicherheit, sondern mehr Datenschutz):
    - Im IE sind Cookies auf "Vertrauenswüdigen Sites" automatisch mit freigegeben, d.h. Scripting freizugeben beinhaltet Cookies freizugeben. Im FF mit NS geht dies getrennt.
    - Im FF kann man Cookies für eine Site nicht nur generell, sondern auch zeitlich auf die Session begrenzt freigeben, was ich sehr nützlich finde für Sites, die zum Funktionieren einen Cookie benötigen (z.B. zum Führen eines Warenkorbs), von denen man aber nicht möchte, dass sie einen dann bei jedem neuen Besuch gleich wieder erkennen.
    - Im IE kann man nur alle Cookies zusammen löschen. Es sei denn, man öffnet den Ordner mit den Cookies über den Explorer und löscht sie dort einzeln, was aber seit einem IE-Update von vor ein paar Monaten auch kaum noch geht, weil die Cookie-Dateien seitdem nicht mehr nach der URL betitelt sind, sondern mit kryptischen Kürzeln, so dass man jede Cookie-Datei einzeln im Editor öffnen muss, um anhand des Inhaltes erst einmal zu checken, von welcher Site er eigentlich stammt.

    Ein paar Vorteile hatte der IE schon auch noch: Er öffnete sich noch schneller als der FF und braucht merklich weniger RAM, die Seiten laden auch etwas schneller. Und er ist jahrelang nie abgestürzt (nur mal früher, als es noch den IE 7 gab, damals aber dann auch richtig oft), während der FF in nun 10-14 Tagen es immerhin schon einmal zu einem Absturz gebracht hat.

    Trotzdem bereue ich den Wechsel vom IE zum FF bislang nicht. Hätte ich das mal früher getan, denn ich hatte lange Jahre Bedenken gegenüber dem FF. Was ich aber auch sagen muss: Ohne NoScript wäre der FF gar nichts für mich, ohne NS fände ich das Sicherheitskonzept des FF völlig unzulänglich: NS war daher letztlich sogar der ausschlaggebende Grund zum Wechsel.

    Kann noch jemand über Unterschiede in Sachen Sicherheit zwischen IE und FF berichten?

    Info RR: Verschoben nach Smalltalk

    2 Mal editiert, zuletzt von dark_rider (3. Februar 2013 um 14:44)

    BTW:

    Zitat

    Abgesehen davon, dass dies IMHO schlechter Programmierstil ist

    gut, dass deine Opinion hier humble geäussert wird, denn du liegst hier falsch. Statische Inhalte von anderen Domains einzubinden, macht schon Sinn, kann z.B. aufgrund von CDN so gemacht werden.

    Danke. Nur verstehe ich immer noch nicht genau, warum ein CDN dazu führen soll, dass im obigen Beispiel eBay Teile seiner Website auf ebay.de und andere Teile, speziell einige Scripte, auf ebaystatic.com ablegt (und nicht alles einheitlich auf ebay.de).

    Zitat

    Im Hintergrund (transparent) werden die Daten im Netz so vorgehalten (Caching), dass die jeweilige Auslieferung entweder möglichst schnell geht (Performance-Optimierung) oder möglichst wenig Bandbreite verbraucht (Kosten-Optimierung), oder beides zugleich.

    Wie müssten die Server von eBay beschaffen sein, wenn alles dort liegt... stell dir das mal gerade für eBay vor, oder für eine andere weltweit operierende Internet-Plattform.

    Ob ebay nun ein CDN oder nicht einsetzt, ist eigentlich schnuppe (und auch nur ein Beispiel). Mir ging es darum, deine Aussage bzgl. "Programmierstil" (HTML wird nicht programmiert) zu hinterfragen.

    Ein anderer Grund, warum statischer Inhalt von einer anderen Domain gesaugt wird: die statischen Inhalte können ohne unnötige Cookie-Kontrolle geladen werden. S. dazu http://gtmetrix.com/serve-static-c…ess-domain.html

    Hallo Boersenfeger,

    Zitat von Boersenfeger

    Wie müssten die Server von eBay beschaffen sein, wenn alles dort liegt... stell dir das mal gerade für eBay vor, oder für eine andere weltweit operierende Internet-Plattform.


    sorry, ich stehe immer noch auf dem Schlauch: Wenn eBay also seine Inhalte auf verschiedene Server spiegelt (z.B. auf einen in den USA und auf einen in Europa), damit die User dort jeweils die Seiten schneller angezeigt bekommen und nicht jedes Mal alles über den großen Teich muss - warum spiegeln sie dann nicht auch die Scripte nach Europa, sondern legen sie scheinbar zentral auf ebaystatic.com ab?

    Zitat von Mithrandir

    Ob ebay nun ein CDN oder nicht einsetzt, ist eigentlich schnuppe (und auch nur ein Beispiel). Mir ging es darum, deine Aussage bzgl. "Programmierstil" (HTML wird nicht programmiert) zu hinterfragen.


    Mensch, Ihr seid ja wirklich ganz extrem pingelig hier - dagegen bin ich selbst ja noch harmlos. OK, wo "Programmieren" wirklich anfängt, darüber kann man streiten, aber das ist eine andere Diskussion ;)

    Zitat von dark_rider

    warum spiegeln sie dann nicht auch die Scripte nach Europa, sondern legen sie scheinbar zentral auf ebaystatic.com ab?


    Ich glaube, du stellst dir das gerade so vor, dass eine Domain repräsentativ für einen Server an einem Ort der Welt steht. Ein Content Delivery Network ist aber ein Netzwerk von Servern, welches über die ganze Welt verteilt sein kann. Je nach deinem Standort und/oder der Auslastung der einzelnen Server kannst du bei Aufruf der selben Script-URL von einem anderen Server bedient werden.

    Zitat von dark_rider

    OK, wo "Programmieren" wirklich anfängt, darüber kann man streiten, aber das ist eine andere Diskussion ;)


    Also dass HTML keine Programmiersprache ist, darüber lässt sich eigentlich nicht streiten, das ist einfach so. ;) Eher noch lässt sich darüber streiten, ob man wirklich den Videorekorder programmiert, wenn man einstellt, wann was ausgenommen werden soll. :D

    Also, erst einmal finde ich es gut, daß sich mal jemand die Mühe macht, über seine positiven Erfahrungen beim Browserwechsel zu FF zu berichten. Sonst liest man - wenn überhaupt - nur Gemeckere. (Er befindet sich allerdings IMHO im falschen Board, ein Moderator mag das richten.)

    Es ist tatsächlich so, daß im IE die Sicherheitseinstellungen derart verquast sind, daß der normale Benutzer damit heillos überfordert ist. Entweder er versteht bei 90% der Optionen gar nicht, was gemeint ist und stellt sie falsch ein (beziehungsweise beläßt die standardmäßig wenig sicheren Einstellungen wie sie sind) oder er findet im dem Verhau das benötigte nicht. Nicht nur die Listboxen für sichere und unsichere Seiten sind schlichtweg zu klein. Richtig eingestellt sähe die Sicherheit beim IE gar nicht so schlecht aus, aber das darf dann nicht in eine Wissenschaft für Experten werden.

    Zitat von dark_rider

    Kann noch jemand über Unterschiede in Sachen Sicherheit zwischen IE und FF berichten?


    Da wäre vor allen Dingen ActiceX zu benennen, eine Besonderheit, die sicherheitsstechnisch problematisch ist und bei der es bisweilen scheint, daß auch die MS-Mannen und Frauen durch das Dickicht von Killbits, mit denen man die Sicherheit halbwegs in geordnete Bahnen lenken muß, kaum noch durchschauen.

    Will man in IE Java-Controls deaktivieren - warum, sollte mittlerweile jedem klar sein -, so muß man - und zwar in jedem Benutzerkonto getrennt - nach jedem Java-Update einzelne Controls immer wieder deaktivieren. Das ist nicht nur lästig, sondern wiederum ein Unsicherheitsdetail. Als vor einigen Wochen die Sicherheitslücken von Java endgültig überschwappten, konnte auch MS keine 1 bis 2 Klick Lösung anbieten, wie man die empfohlene Deaktivierung von Java im IE erreichen kann. In FF (und vermutlich in allen anderen Browsern, die das Plugin und nicht ActiveX verwenden) bedeutet einmal deaktiviert immer deaktiviert - auch über ein Update hinweg. Heutzutage ein ganz entscheidender Sicherheitsunterschied. - Die Schuld dürfte vermutlich sowohl bei MS als Entwickler der ActiveX-Schnittstelle wie auch bei Sun / Oracle als Java-Entwickler liegen, denn bei Flash und PDF ActiveX-Controls liegt diese Selbständigkeit nicht vor.

    Ja, und auch die Tatsache, daß ältere, aber offiziell noch für über 1 Jahr unterstütze Windows-Versionen seit IE9 von den letzten Entwicklungen - auch im Sicherheitsbereich - abgeschnitten sind, stellt für diese ein Sicherheits-Minus dar. XP-Anwender - mit Abstand das am zweithäufigsten eingesetzte Betriebssystem - brauchen dagegen mit FF (und Alternativen) derartige Kompromisse nicht einzugehen.

    Boersenfeger: Mir wird es jetzt im Moment, ehrlich gesagt, etwas zu anstrengend, wenn statt einer kurzen, klaren Erklärung (Ist das denn so viel verlangt? Dürfen hier nur Vollprofis und Supergurus mitreden?) immer nur indirekte Äußerungen und Hinweise kommen, man solle sich selbst informieren (und sei scheinbar zu dumm, wenn man aus Links trotzdem nicht gleich schlau wird).

    @all: Trotzdem noch einen schönen Abend allerseits und bis bald.

    Zitat von dark_rider

    Boersenfeger: Mir wird es jetzt im Moment, ehrlich gesagt, etwas zu anstrengend, wenn statt einer kurzen, klaren Erklärung (Ist das denn so viel verlangt? Dürfen hier nur Vollprofis und Supergurus mitreden?) immer nur indirekte Äußerungen und Hinweise kommen, man solle sich selbst informieren (und sei scheinbar zu dumm, wenn man aus Links trotzdem nicht gleich schlau wird).

    Und wieso bist du jetzt eingeschnappt? Im verlinkten Artikel stand es wirklich gut erklärt. Ich habe dir daraufhin eine kurze und klare Erklärung darüber gegeben, welchem Missverständnis du aufzuliegen schienst, womit es eigentlich klarer werden sollte. War dir die Erklärung nicht gut genug? :-??

    Guten Morgen zusammen,

    noch einmal zum Thema "ebay.de und ebaystatic.com": Dass eine Domain auf einem oder auch auf mehreren Servern verteilt (wie eben bei einem CDN) liegen kann, ist mir schon klar. Was mir aber nicht klar ist:
    - Wenn im Beispiel eBay ein CDN nutzt, warum liegen dann scheinbar nicht alle Inhalte dort, sondern nur ein Teil, während der andere Teil weiter auf einem herkömmlichen, einzelnen Webserver liegt?
    - Ist das überhaupt so?
    - Falls ja: Ist ebay.de das CDN, oder ebaystatic.com?

    PS: Das stetige Verschieben von Threads finde ich hier ein wenig übertrieben. Ich habe doch nicht allgemein über den Umstieg vom IE zum FF berichtet, sondern speziell zum Thema "Sicherheits-Komfort" der beiden Browser. Und die nachfolgende Diskussion ergab sich doch daraus.

    Zitat von dark_rider

    PS: Das stetige Verschieben von Threads finde ich hier ein wenig übertrieben.

    Hättest Du gleich im richtigen Unterforum gepostet, müssten Deine Threads nicht stetig verschoben werden. Du hast über Deine Erfahrungen beim Umstieg berichtet, was aber keinesfalls eine Sicherheitslücke oder sonstige Bedenken (so die Beschreibung des Unterforums Sicherheitsecke) darstellt, sondern eben "nur" ein Erfahrungsbericht ist. Die sich daraus entwickelte Diskussion über CDN hat ebenfalls nichts mit Sicherheit zu tun.