Firedragging, Firetabbing, Fireflashing ...

    Mal schauen, wann es richtig gefixt ist. Bin mal gespannt :)

    Ansonsten würde ich mal wieder sagen, dass sich diese Fehler nicht so wild sind. Also jedenfalls kein Grund zur Panik.


    ..and some might argue that the earth is flat
    ..and some might argue that smoking is not harmful
    ..and some might argue that even Windows XP has become stable

    Für mich sind das ja "Böhmische Dörfer". Aber wenn ich Belly's Kommentar so lese, dann sollte man sich keine großen Gedanken machen. oder???

    Einfach warten bis die Version 1.01 verfügbar ist und dann ist alles wieder im Lot :wink:

    Wissen ist Macht, nichts wissen macht auch nichts ;o)

    Ich seh das ähnlich wie Belly, meiner meinung nach sind die von Heise beschriebenen Sicherheitslücken bzw zitierten, ganz normale Sicherheitslücken die "Fehlverhalten" eines Users ausnutzen.

    Also im Sinne einer Browsersicherheitslücke sind es also gar keine.

    Denn mann muss schliesslich ne Menge als User machen damit diese Lücken im Firefox überhaupt erst aufgerissen werden (Z.B. 1. per Drag&Drop Bild rüberziehen auf Desktop usw. siehe heise)

    D.H. wenn jeder User aufpasst beim surfen
    (Sollte man sowieo und nicht einfach mal nur clicken)
    kann wenig passieren.
    Wie so oft ist also die Sicherheitslücke Nr. 1 immer der User der Software evtl. fehlerhaft bedient. (Da schliesse ich mich persönlch nicht aus)

    Ich glaube auch kaum das wir irgendwann es schaffen eien Software zu schreiben die So komplex ist wei ein Webbrowser die auf jedes Userverhalten sicher eingeht.
    Klingt für mich nämlich fast unmöglich da die kreativität von Menschen schliesslich gerenzelos ist.

    mfg

    Ich dachte es war die Dummheit der Menschen die endlos war?

    Es sind schon Sicherheitslücken. Aber keine akute oder kritische. Wenn man weiss, wo die sind, kann man sich drauf einstellen und gut ist. Und auf ein passendes Update warten halt. Was sich durch die geringe Kritischkeit wohl noch ein wenig auf sich warten lassen kann.

    Naja. Der Dau lässt sich damit unter Umständen täuschen. Der etwas erfahrenere Nutzer wird sich sicherlich erstmal fragen: "Warum?"

    Bei meiner aktuellen Version (Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.7.5) Gecko/20050206 Firefox/1.0.1 (MOOX M0)) gehen alle Versionen von Firetabbing schon nicht mehr.
    Fireflash... hmm... Damit könnte man höchstens.. ja, ein paar Sicherheitseinstellungen senken... aber soo viel hat man damit dann auch nicht gewonnen... die Installationsabfrage kommt doch sowieso noch...
    Obwohl... war da nicht mal ein Bug bei dem man irgendwas auf true stellen musste... naja. Trotzdem unwahrscheinlich.
    Firedragging... naja gut. Im heise Artikel steht dass der normalerweise verlinkt werden sollte... hm... dann hab ich nen link und der dau denkt sich "hä" lädt die Datei runter, speichert und führt sie aus.
    Zu Fireflash will ich nix sagen, Tabbed und Dragged... naja. In der nächsten Version sind die Fehler weg, und sicherheits technisch... naja. Ich glaube ein Link "flashgame.exe" mit dem Standardflash Icon ist da gefährlicher (gibt ja auch swfs die direkt als exe kommen)...

    http://www.heise.de/security/news/…&forum_id=73564
    Zitat:
    ...
    ++ Fakteticker ++

    Schwere Sicherheitslücke in allen Betriebssystemen entdeckt

    Wie ein Expertenteam um Linux-Kernelentwickler Alan Cox heute bekannt gab, wurde der Fehler, der sämtliche Betriebssysteme betrifft, bereits vor einigen Wochen gefunden. Man wollte den Herstellern jedoch die Möglichkeit einräumen, vor Bekanntgabe einen Patch zu liefern.
    Bei dem Sicherheitsproblem, dass es einem Angreifer ermöglicht, über eine Webseite die Festplatte zu formatieren, wird zunächst der verwendete Browsertyp abgefragt. Abhängig vom Ergebnis wird dem Besucher der manipulierten Webseite dann die manuelle Ausführung einiger Befehle abverlangt. Unter Windows beispielsweise das Öffnen der Eingabeaufforderung gefolgt von der Eingabe der kryptischen Zeichenkette "format C:". Unter allen Unix-Derivaten wird dem Benutzer abverlangt, sich Superuser-Rechte zu verschaffen und dann an einer zu öffnenden Shell die Zeichenfolge "rm -rf /" einzugeben.
    Steve Ballmer, der erstmals gemeinsam mit Linus Torvalds in einer Pressekonferenz auftrat, erklärte, dass für dieses schwerwiegende Sicherheitsrisiko vorerst keine Gegenmassnahmen zur Hand seien.
    Man arbeite allerdings unter Hochdruck an einer Lösung. Torvalds empfahl den Benutzern als wirksame Schutzmaßnahme den Druck auf die "Pause"-Taste unmittelbar nach dem Einschalten des PC.
    Nach Aussagen informierter Kreise sollen Apples Rechner, die unter MacOS-X laufen, ebenfalls von dieser Lücke betroffen sein, wenngleich hier die "Wahrscheinlichkeit, dass jemand tatsächlich so dumm ist, das
    auszuführen" von einem Pressesprecher "nahe Null" eingestufft wurde.
    ;)

    Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.8.0.6) Gecko/20060728 Firefox/1.5.0.6

    Wer das Denken nicht attackieren kann -- attackiert den Denkenden / Teppfihler ? pat.pend.

    Ich weiß auch nicht für wie doof diese "Experten" bei den Medien die User halten.
    Wenn ich z.B. dieses Bild auf den Desktop ziehe, dann sehe ich kein Bildchen sondern eine .bat Datei und bei wem bei dem Unterschied dann nicht die Alarmglocken schrillen und das anklickt, dem ist eh nicht mehr zu helfen.
    Das ist genau diese Hype mit dem Umlautpishing...Ok, es ist nicht in Ordnung, dass es ohne Probleme ausgeführt wird. Aber die Lösung wird mit Sicherheit nicht lange auf sich warten lassen. Aber in diesem Zusammenhang immer gleich von Sicherheitslücken zu sprechen ist wohl "leicht" übertrieben.

    Hinweis!!!
    Die Durchführung von meinen Tips ist freiwillig und obliegt dem Administrator oder Besitzer des Rechners.
    Für Fehler, Datenverlust oder Beschädigungen übernehme ich keinerlei Verantwortung!!!
    Kein Support per Mail oder PN!!!

    Aslo ich finde, wir sollten diese entdeckten Probleme nicht einfach so herunterspielen - es sind echte Sicherheitslücken und wir hätten sicher alle stolz mit dem langen Finger auf Microsoft gezeigt, wenn diese Bugs dort aufgetreten wären.

    Jetzt wo es öffentlich ist, werden auch sicher sehr schnell die ersten - besser als die Demos programmierten - Hacks rauskommen und versuchen, bei den "normalen" Menschen ihren Coup zu landen.

    Ich persönlich habe Flash erstmal deaktiviert, Spoofstick angepasst und Tabbed Browsing ebenfalls abgeschaltet und auf Links in Phishing Mails werde ich auch nicht klicken ;)
    Und wenn mich doch mal eine Mail so überzeugt hat, hoffe ich auf den modifizierten Spoofstick.

    Es gab ja auch noch einen weiteren Trick mit sich überlagernden Fenstern und die Kombination aus allem wird sicher den einen oder anderen empfindlich treffen können - obwohl UNS das alles natürlich NIEMALS passieren wird.

    Hoffen wir also auf einen schnellen Bugfix bei der 1.01 und ggf. ein kleines Update. (was ich persönlich eher begrüssen würde, als wieder den Browser komplett neu installieren zu müssen auf allen Rechnern.

    Gruss aus der UMTS/DSL-freien Zone in
    13° 05' 50" East - 52° 12' 30" North
    Martin

    wer weiss, wie ich mich verhalten muss, wenn ich wie bei heise (07-02-05) beschrieben die variable network.enableIDN auf false gesetzt habe: muss ich nun den rechner die ganze zeit laufen lassen oder etwa jedesmal beim neustart die variable erneut auf false setzen damit sie auch wirkt :evil: Evil or Very Madly sadly

    ich steig da nicht durch :? Combused

    und was sit eigentlich, wenn ich die textcode -einstellungen des browsers so wähle, dass erst gar keine umlaute, sonderzeichen etc angezeigt werden (solange bis das problem behoben ist):?: Question

    es gibt nichts gutes
    ausser man tutes

    also, wenn ich das hier so lese, habe ich das gefühl, dass bei manchen zeitgenossen (ich meine jetzt nicht die forumsmitglieder) der blick für die relationen verlorengeht.

    das grösste sicherheitsrisiko sitzt vor dem pc, daran wird man nie etwas ändern können, 120 jahre autoentwicklung beweist dies: da sitzt das gleiche, unsterbliche sicherheitsrisiko hinter dem steuer. ihr könnt mal googlen, wieviel tote es deswegen jedes jahr in der welt gibt .

    Firedragging, Firetabbing, Fireflashing :roll:

    gruss

    "Krieg ist ein zu ernstes Geschäft, als daß man ihn den Generälen überlassen dürfte." Georges B. Clemenceau (1841-1929), Französischer Journalist und Politiker/Ministerpäsident

    Zitat

    wer weiss, wie ich mich verhalten muss, wenn ich wie bei heise (07-02-05) beschrieben die variable network.enableIDN auf false gesetzt habe: muss ich nun den rechner die ganze zeit laufen lassen oder etwa jedesmal beim neustart die variable erneut auf false setzen damit sie auch wirkt

    Der Bug ist, dass trotz gespeicherter Einstellung auf "False" nach jedem Browserstart diese Einstellung wieder auf True und zurück auf False gesetzt werden muß.

    Da nehme ich lieber den aktuellen Spoofstick 1.05 (der braucht jetzt keine eigene Leiste mehr !), wo der hier beschriebene Bug auch behoben ist.

    Die Textcode-Einstellungen des Browsers haben damit nach meinem Kenntnisstand nichts zu tun. Es geht ja nicht um die Anzeige an sich, siondern um die Erkennung, ob Du auf der "richtigen" Seite stehst.

    Gruss aus der UMTS/DSL-freien Zone in
    13° 05' 50" East - 52° 12' 30" North
    Martin

    Zitat

    wer weiss, wie ich mich verhalten muss, wenn ich wie bei heise (07-02-05) beschrieben die variable network.enableIDN auf false gesetzt habe: muss ich nun den rechner die ganze zeit laufen lassen oder etwa jedesmal beim neustart die variable erneut auf false setzen damit sie auch wirkt

    Öffne die "Compreg.dat" im Profilverzeichnis mit einem Editor und kommentiere alle Einträge die sich mir "IDN" befassen mit einer # aus. Dann sollte die Vergesslichkeit des Fx behoben sein.
    So beschrieben im MozillaZineForum als "Workaround"

    Hinweis!!!
    Die Durchführung von meinen Tips ist freiwillig und obliegt dem Administrator oder Besitzer des Rechners.
    Für Fehler, Datenverlust oder Beschädigungen übernehme ich keinerlei Verantwortung!!!
    Kein Support per Mail oder PN!!!

    Zitat

    Öffne die "Compreg.dat" im Profilverzeichnis mit einem Editor und kommentiere alle Einträge die sich mir "IDN" befassen mit einer # aus. Dann sollte die Vergesslichkeit des Fx behoben sein.
    So beschrieben im MozillaZineForum als "Workaround"

    Korrekt,
    aber leider auch nur bis zum Einspielen / Entfernen der nächsten Erweiterung - macht man ja nicht jeden Tag, aber wissen muss man es halt.

    Gruss aus der UMTS/DSL-freien Zone in
    13° 05' 50" East - 52° 12' 30" North
    Martin

    Zitat

    Öffne die "Compreg.dat" im Profilverzeichnis mit einem Editor und kommentiere alle Einträge die sich mir "IDN" befassen mit einer # aus. Dann sollte die Vergesslichkeit des Fx behoben sein.


    Ganz so kann man diese Aussage nicht stehen lassen. Workaround:

    Zitat

    Note that you will have to repeat this edit if you install any themes or extensions, as compreg.dat gets regenerated.