FF36 , Windows Firewall meckert

  • Zitat von bauinformatiker

    Das ist dann z.B. für alle Browser Port 80 TCP ausgehend.

    Das stimmt nicht.
    Kein Browser dieses Planeten öffnet einen Port 80 für eine ausgehende Verbindung. Das kann ja auch nicht funktionieren, weil jeder Web-Server den Port 80 für eingehende Verbindungen öffnet.

    Ich habe ja noch nie viel von Persönlichen Firewalls gehalten - diese Klamotten sind nicht sicher. Aber wenn ein profaner Installer die Regeln für sich zurecht biegen kann, geht das letzte Vertrauen verloren.

    Zitat

    This is bad news for standard users, they have no permission to add firewall rules.

    Nur so soll es ja wirklich sein.

  • Zitat von .Hermes


    Kein Browser dieses Planeten öffnet einen Port 80 für eine ausgehende Verbindung. Das kann ja auch nicht funktionieren, weil jeder Web-Server den Port 80 für eingehende Verbindungen öffnet.

    Könntest du dieses bitte noch einmal verständlich erklären?

    MfG WK

  • Gerne.
    Die ganze Sache kannst du wie die alte gelbe Post betrachten. Man schickt einen Brief und vermerkt auf diesem die Anschrift des Empfängers und die Anschrift des Absender. Früher waren es die Postreiter.

    In der modernen elektronischen Welt nutzt man dazu TCP/IP als Briefträger. Für eine global funktionierende Kommunikation wurden anstelle der Briefkästen die Ports eingeführt. Damit das klappt, wurde die Internet Assigned Numbers Authority (Wikipedia) etabliert. Von ihr werden die Ports / Briefkästen für spezielle Dienste festgelegt. Für die Web_Server wurde dabei der Port 80 Service Name and Transport Protocol Port Number Registry (IANA) festgelegt, bitte etwas scrollen.

    Darum darf der Fx diesen Port niemals als eigenen Briefkasten nutzen.

    Der Fx nutzt etwas anderes, er öffnet einen Port, eigenen Briefkasten, und schickt darüber seinen Brief, sein Paket, an den Server. Somit weiß der Empfänger, wohin er seine Antwort zu schicken hat.

  • Man kann es auch einfacher erklären, wenn man bei der alten Post bleibt:

    Wenn ich einen Brief verschicken will, werfe ich den nicht in meinen Hausbriefkasten ein. Der ist für eingehende Post. Jedesmal, wenn ich meinen Hausbriefkasten öffne, werde ich diesen Brief wieder vorfinden. So wird er den Empfänger nie erreichen.

    Andererseits kann ich nicht zum gelben Postkasten gehen, weil ich Post erwarte. Der ist nur für ausgehende Post. Da kann ich warten, bis ich schwarz werde, die erwartete oder für mich bestimmte Post werde ich nie darin vorfinden.

    Wenn ich Glück habe, finde ich dann den erwarteten Brief im Hausbriefkasten, wenn ich nachschaue, ob der von mir verfasste Brief noch darin ist. :D

    Übersetzer für Obersorbisch und Niedersorbisch auf pontoon.mozilla.org u.a. für Firefox, Firefox für Android, Firefox für iOS, Firefox Klar/Focus für iOS und Android, Thunderbird, Pootle, Django, LibreOffice, LibreOffice Onlinehilfe, WordPress

  • Zitat von milupo

    Man kann es auch einfacher erklären, wenn man bei der alten Post bleibt:

    Nicht ganz so einfach …

    Zitat von milupo

    Wenn ich einen Brief verschicken will, werfe ich den nicht in meinen Hausbriefkasten ein

    Wurde ja auch nicht gesagt, denn …

    Zitat von .Hermes

    er öffnet einen Port, eigenen Briefkasten,

    D.h. an der Hauswand gibt es viele Briefkästen.
    Jeder davon ist für eine Antwort gedacht.

    Wenn du meinst, du kannst es einfacher erklären, warum tust du es nicht ?
    Ich zumindest lerne gern dazu.

  • Zitat von .Hermes


    D.h. an der Hauswand gibt es viele Briefkästen.
    Jeder davon ist für eine Antwort gedacht.


    Es ging u. a. darum, dass Port 80 nur für eingehende Post ist. Egal wie viele Hausbriefkasten es sind, sie sind alle nur für eingehende Post.

    Zitat

    Wenn du meinst, du kannst es einfacher erklären, warum tust du es nicht ?
    Ich zumindest lerne gern dazu.


    Ich bin der Meinung, dass ich es viel einfacher erklärt habe. Natürlich hinken Vergleiche immer etwas.

    Übersetzer für Obersorbisch und Niedersorbisch auf pontoon.mozilla.org u.a. für Firefox, Firefox für Android, Firefox für iOS, Firefox Klar/Focus für iOS und Android, Thunderbird, Pootle, Django, LibreOffice, LibreOffice Onlinehilfe, WordPress

  • Sorry, aber bevor ihr euch hier meinetwegen streitet - oder gar jemand denkt, dass ich nicht weiß, was ein Port ist, muss ich doch erst mal eine kleine Erklärung abgeben.

    Die ganze Diskussion fing doch mit der Bemerkung des TE (bauinformatiker) an, welcher schrieb:

    Zitat

    Als Admin muss ich nicht alles in der Firewall aufmachen, was ein Programm verlangt, sondern habe ich nur das zu öffnen, was in der Sicherheitsrichtlinie frei gegeben ist. Das ist dann z.B. für alle Browser Port 80 TCP ausgehend.


    Beides ist 100% korrekt (wenn auch nicht ganz vollständig, ich erinnere nur an den Port 443 für HTTPS und weitere). Und diese Antwort mit dem Bezug auf die Sicherheitsrichtlinie gefällt mir sogar richtig gut!

    Es ging mir in meiner, zugegeben etwas provokanten, Frage lediglich um den zweiten Satz: Port 80 TCP ausgehend und um die von mir zitierte Antwort von .Hermes.
    Und genau diesen Port muss der Administrator ausgehend in der Fw. öffnen, wenn die Mitarbeiter der Firma surfen dürfen. Es ging hier also nicht darum, dass der Browser selbst einen Port öffnet, sondern dass der Admin das eben tun muss. Und selbstverständlich darf dieser Port auch nicht ankommend geöffnet werden - wenn in der Fa. nicht gerade ein von außen erreichbarer HTTP-Server betrieben wird. Und auch dieser öffnet keinen Port, sondern er "lauscht" auf diesem.


    MfG WK

  • WismutKumpel

    Danke für die Erklärung! Port 443 hatte ich glatt unterschlagen ;)

    Die "Personal Firewall" von Windows (`firewall.cpl`) ist afaik so defaultmäßig konfiguriert, dass sich Programme auf dem PC mit externen Servern verbinden können ("ausgehend"/"inbound"), aber selbst keinen Server-Dienste (meist Ports <1024, "eingehend"/"outbound") nach außen hin anbieten können. Und genau das will unser lieber Firefox 36 machen und deshalb kommt das Popup während der Installation.

  • Zitat von .Hermes


    Kein Browser dieses Planeten öffnet einen Port 80 für eine ausgehende Verbindung. Das kann ja auch nicht funktionieren, weil jeder Web-Server den Port 80 für eingehende Verbindungen öffnet.

    In der `firewall.cpl`sind default-mäßg ausgehende Ports offen. Der Admin kann das ändern, dann können nur bestimmte Programme im Web surfen. Das ist mir zu viel "Gängelei" und Aufwand.

    Zitat von .Hermes


    Ich habe ja noch nie viel von Persönlichen Firewalls gehalten - diese Klamotten sind nicht sicher.


    Hilfreich ist es, wenn nicht jedes Programm plötzlich Serverdienste nach der Installation anbietet, die man vielleicht nicht vermutet hat. Dass es Wege gibt, dies zu umgehen, mag sein. Aber zumindest bei Inbound-Traffic ist das denke ich nicht trivial.

    Zitat von .Hermes


    Aber wenn ein profaner Installer die Regeln für sich zurecht biegen kann, geht das letzte Vertrauen verloren.

    Kann er nicht. Ein User mit Admin-Rechten muss die neue Regel bestätigen oder halt vorher schon freigeben. Sowas will man im Unternehmen erst gar nicht sehen. Und wenn dann (weil der User ja gar nicht zulassen kann), die neue Regel abgelehnt wird, sollte der Browser ja trotzdem browser können ;)

    Zitat von .Hermes

    Nur so soll es ja wirklich sein.

    Genau, und so ist es auch :)

  • Tolle Debatte! Leider ist mir nach dem Lesen des Ganzen immer noch nicht klar, weshalb FiFo seit dem letzten Update genau alle 2 Minuten für genau 6 Sekunden über UPnP in meiner Fritz!Box 7390 den UDP-Port 1900 öffnet und was man ggf. dagegen tun kann.

  • Komisch, kurz nach meinem letzten Beitrag hat der Feuerfuchs aufgehört, dauernd den Port zu öffnen und zu schließen. Ganz ohne mein Zutun. Dafür öffnet er den Port und hält ihn offen. Schmeiße ich den Eintrag in der Fritz!Box raus, ist er aber nach kurzer Zeit wieder offen.
    Allerdings habe ich inzwischen zufällig herausgefunden, was es eigentlich mit Port 1900 UDP auf sich hat. Hier der Link dazu:

    https://de.wikipedia.org/wiki/Simple_Se…covery_Protocol

    Fragt sich nur, was der Feuerfuchs damit will?