Dialogfenstern
http://www.heise.de/newsticker/meldung/54973
die heis(s)e news ist schon 1h alt und noch kein thread heir :lol:
Dialogfenstern
http://www.heise.de/newsticker/meldung/54973
die heis(s)e news ist schon 1h alt und noch kein thread heir :lol:
Ich hab auch ne Schwachstelle gefunden!
Zitat von xeenIch hab auch ne Schwachstelle gefunden!
ahh mein rechner wurde von dir übernommen ... :roll::twisted:
Ich schaff es beim besten Willen nicht das die Downloaddialogbox verdeckt wird.
Der 2. Testlink von Heise funktioniert bei mir nicht. Aber das liegt wohl daran das ich (enable signed.applets.codebase_principal_support) vermutlich nicht aktiviert hab. Was ist das überhaupt?
Also für mich ist diese "Sicherheitslücke" irgendwie ein Witz. Man sieht doch deutlich das 2 Fenster überlappt werden. Und wer auf sowas reinfällt ist doch schon ziemlich blöde.
Hallo zusammen,
Das ist wirklich keine Sicherheitslücke. Wenn jemand wirklich so blöd ist und es nicht merkt, dann kann man der Person auch nicht mehr helfen!!! :mrgreen:
Ich würde sagen, das ist ein klitzekleiner Bug. Höchstens!!! :wink:
Und wer jetzt trotzdem Angst hat, der sollte über about:config den Befehl "signed.applets.codebase_principal_support" oben einfügen und den Wert ändern von "false" auf "true"! Dann hat das Downloadfenster IMMER vortritt und die "Gefahr" ist endgültig gebannt!
Gruß an euch,
Diesel :arrow:
lest mal den post vom entdecker selber:
http://www.heise.de/security/news/…&forum_id=71876
ganz interessant obwohl ich diesen exploit immer noch lächerlich finde.
Diesel: danach geht aber der 2. exploit beim dem ich aber eine fehlermeldung bekomme... achtugn die software will sich installieren oder speichern.. erlauben?"
Hey Xeen,
Das Fenster kommt einmal. Mach ein Häckchen bei "Entscheidung merken" und wähle verbieten (oder ähnlich) aus. Bei mir klappt der Exploit dann nicht mehr! Downloadfenster hüpft vor die Fake-Meldung. Schluss ist mit Spoofing!
Gruß,
Diesel
Zitat von DieselSchluss ist mit Spoofing!
ich würde das nicht mal spoofing nenn .. :lol:
[edit]
und mit dem IE könnte man das sicherlich genauso hin faken..
[Blockierte Grafik: http://img98.exs.cx/img98/3671/capture011120051502478sj.th.jpg]
und so lange man kein SP2 draufhat, steht auch der sicherheitshinweis nicht unten drunter...
[edit2]
und da der hr. "mikx" auch nicht in der lage ist den richtigen mime-type für seine .ht einzustellen
Content-Disposition: attachment; filename="booom.ht"
Connection: close
Content-Type: application/octet-stream
st standardmässig bei dem FX download dialog "save to.." ausgewhält...
also wenn man schon angst und schrecken verbreitet, sollte man es auch richtig machen..
komisch liegt wohl an meinem mimetyp extension ...
im völlig leeren pr 1.0 macht er standardmässig öffnen ;o
Hi
Kann mich mal jemand aufklären.
Wenn ich auf die Seite gehe poppt ein Downloadfenster auf,dort animiert es mich irgendeine Datei runterzuladen.
Ist das alles?
Habe ich was verpasst?
Das Ding klick ich weg und gut ist.
Übigens Heise hat die Blog-Meldung entfernt.
Ciao Peter
Ich nutzte FF und auch Tb. Trotzdem ist mein rechtes Auge nicht [FF] und mein linkes Auge [Tb], d.h. ich nehme solche Meldungen Ernst. Das der User doch richtig <schauen> und <klicken> kann stimmt zwar, aber ist das die Realität? Wird nicht viel zu schnell der Finger auf der <Enter> - Taste bewegt? Werden nicht "bequeme" Einstellungen gesucht?
Also melden, informieren und reagieren.
@ Dr. Evil,
':oops:'wo Du Recht hast, da hast Du Recht, aber ich gehe davon aus, daß ich [1] nicht meinen Finger gemeint habe und Du [2] auch sicher verstanden hast, was ich ausdrücken wollte.':wink:'
Also mich würde mal interessieren, welche Version genau betroffen ist und welche Voraussetzungen erfüllt sein müssen.
Ich habe das jetzt ein paar mal versucht und jedesmal bemerke ich den Schwindel weil die "EULA" ausgeblendet wird wenn der Downloaddialog kommt. Allerdings steht bei mir die Option "dom.disable_window_flip," auch auf "true"
Also wenn nicht noch etwas nach kommt, dann sehe ich nur viel Wind um nichts. :roll:
so habe mir mal die mühe gemacht und son nen schwachsinn für den IE gebastelt ..
http://home.arcor.de/bender_21/firespoofing.htm
wer lust hat kann sich das ja mal angucken ... :roll:
[edit]
für alle die kein ie mehr haben/haben wollen...
so sieht es bei mir aus ..
[Blockierte Grafik: http://img11.exs.cx/img11/8816/capture011120052050263gs.th.jpg]
Spiegel Online hat auch nen Artikel geschrieben, wobei ich den aber deutlich zu böse für dieses relativ unkritische Problem finde:
http://www.spiegel.de/netzwelt/techn…,336352,00.html
Aber die Browserstatistikzahlen von Spiegel Online sind sehr interessant:
ZitatIm Verlauf der letzten vier Wochen stieg der "Marktanteil" von Mozilla/Firefox von 21,64 auf 26,06 Prozent. Netscape konnte im genannten Zeitraum 3,15 Prozent verbuchen, Opera 3,26 Prozent. Zugleich fiel der Anteil von MSIE von 69,36 auf 65,33 Prozent.
Ähm. Wasndas fürn Quatsch? Mal ganz davon abgesehen, dass bei mir das download-fenster nach dem EULA-Fenster kommt und darum über dem EULA-Fenster liegt, ist das ganze an sich schon höchst unsinnig. Sowas ist eine Sicherheitslücke????????????? Ist ja wohl der Witz hoch drei.
In gewisser Weise könnte man das bestimmt auch misbrauchen.
Ich bin dafür den Button 'OK' in Speichern, Herunterladen oder so umzubennenen. :wink:
Obwohl man wirklich blöd sein muss, um sowas nicht zu bemerken.
tja. Immer die armen leute die die daus verteidigen. Wenn man keine Ahnung hat sollte man's lassen. Für autofahren braucht man ja auch nen führerschein und keiner hat sich beschwert. sowas wäre für pc's auch nicht schlecht. sicher wird sich keiner dran halten, aber wenn man sowas beim internet kauf vorweisen müsste (oder gleich beim pc kauf) wäre auch nicht schlecht. das ruft es den leuten wenigstens mal ins bewusstsein, dass die daus an pcs nix zu suchen haben.