Sicherheitspolititk - Von schneller kann leider keine Rede..

  • Hallo,

    einige werden jetzt sicherlich sagen "Wie, erster Post und gleich sowas..", aber diese Personen sollten erst mal fertig lesen, und darüber nachdenken.

    Problem: In den Medien etc. wird immer davon geschwärmt, wie sicher FireFox und Thunderbird doch währen. Ok, das dachten auch unsere Chefs, und haben mich damit beauftragt, in der Firma zumindest auf Firefox umzustellen. Soweit sogut.

    Nur leider bekomme ich mittlerweile fast jeden Tag von einem der Chefs besuch, wo dieser mal wieder einen Security Newsletter erhalten hat ( ich habe die selben), in welchen von sicherheitslücken im Firefox die rede sind.

    Das währe soweit ja noch kein problem.

    Zu meinem bedauern muss ich aber leider feststellen, das bisher keine "Updates" erschienen sind. Es gibt zwar "nightly" versionen, aber von denen wird ja zu recht in Produktiv Umgebungen abgeraten. Außerdem ist es mir zwar im Prinzip egal, ob mein FF Englisch ist, aber einige unserer Mitarbeiter kommen mit einer Version in ihrer jeweiligen Muttersprache besser zurecht.

    So, mein Problem ist jetzt also, was ist zu tun? Woher bekomme ich "Patches", wie es bei anderen OSS Projekten üblich ist, um die "Sicherheitslücken" zu beheben. Habe diesbezüglich leider noch nichts gefunden.

    Welche möglichkeiten gibt es da jetzt, um das möglichst "Mitarbeiter" freundlich upzudaten bzw. woher bekommt man die Updates erst mal, und sind diese dann auch Sprachunabhängig?

  • Um welche "Sicherheitslücken" handelt es sich denn überhaupt?
    Diese: http://firefox.uni-duisburg.de/forum/viewtopic.php?t=14875
    oder diese: http://firefox.uni-duisburg.de/forum/viewtopic.php?t=14841

    Es gibt übriges kein Update und wird es meines Erachtens auch nicht geben. Diese Probleme werden mit Sicherheit erst mit Freigabe der Version 1.1 gefixt. Diese ist für den Frühsommer angekündigt.

    Hinweis!!!
    Die Durchführung von meinen Tips ist freiwillig und obliegt dem Administrator oder Besitzer des Rechners.
    Für Fehler, Datenverlust oder Beschädigungen übernehme ich keinerlei Verantwortung!!!
    Kein Support per Mail oder PN!!!

  • Wenn du auf die Umlautdomain-Lücke anspielst...
    http://www.heise.de/newsticker/meldung/56376

    Das kann Firefox nicht fixen, weil es kein Firefox-Problem ist, sondern ein konzeptionelles der Umlaut-Domains.
    Es betrifft jeden Browser, der dieses Feature unterstützt.
    Da kann man halt nicht mal einfach so was fixen.

    Ansonsten waren auch die Firedragging etc. nichts wirklich kritisches, insofern sind halt bisher noch keine Updates für 1.0 erschienen - einfach weil sie nicht nötig waren.
    Wo ist da das Problem?


    ..and some might argue that the earth is flat
    ..and some might argue that smoking is not harmful
    ..and some might argue that even Windows XP has become stable

  • Ich meine z.b. sowas :

    Code
    Eric Johanson meldet eine Schwachstelle in Mozilla / Firefox /Camino, ueber die eine Website die angezeigte URL, SSL-Zertifikate und die Statusanzeige beliebig veraendern kann. Das Problem beruht auf einem unbeabsichtigtem Ergebnis der IDN (International Domain Name) Implementation, die fuer internationale Zeichen in Domain-Namen zustaendig ist. Dies kann der Angreifer ausnutzen, indem er spezielle Domainnamen benutzt, die dann in vertrauenswuerdige Namen umgewandelt werden.
    
    
    Secunia stellt einen Test bereit, mit dem Sie ueberpruefen koennen ob, Ihr Browser betroffen ist: http://secunia.com/multiple_browsers_idn_spoofing_test/
    
    
    The issue ist bestaetigt fuer die Mozilla 1.7.5 and Firefox 1.0. Andere Versionen koennten jedoch ebenfalls betroffen sein.


    Code
    Eine Schwachstelle in Mozilla und Mozilla Firefox laesst sich nutzen, um Benutzer zu bestimmten Aktionen zu veranlassen.
    
    
    Das Problem sind Pop-Up-Fenster, die andere Dialoge ueberlappen koennen. Damit lassen sich beispielsweise Informationen oder Sicherheitsdialoge vor Nutzern verbergen. 
    
    
    Ein Ausnutzen der Luecke kommt allerdings mehr oder weniger auf das genutzte Windows Desktop Theme an.
    
    
    Die Luecke ist fuer Mozilla Firefox 1.0 und Mozilla 1.7.5 unter Windows bestaetigt.

    etc...

    Ehrlich gesagt finde ich das schon etwas "schwach", auf der einen Seite zu betonen, wie schnell "fehler" doch behoben werden würden, und auf der anderen Seite ist man dann doch nicht besser als eine große US-Amerikanische Firma, die wenigstens ab und zu mal einen Patch zur verfügung stellt.

    Erst nach ca. 4-5 Monaten eine neue Version rauszubringen, ist von "besser/schneller sein als die anderen" aber ziemlich weit entfernt.....

  • Zitat von Belly

    Ansonsten waren auch die Firedragging etc. nichts wirklich kritisches, insofern sind halt bisher noch keine Updates für 1.0 erschienen - einfach weil sie nicht nötig waren.
    Wo ist da das Problem?

    Damit war vor deinem Beitrag eigentlich schon alles gesagt :)

  • ShadowJumper:

    Dein Zitat 1 und 3 beziehen sich auf dasselbe nämlich Firedragging etc., das nicht wirklich kritisch ist.

    Das 2. Zitat ist das Problem mit dem Umlautdomains, das von Firefox-Seite nicht behoben werden kann.

    Also: wo ist das Problem?


    ..and some might argue that the earth is flat
    ..and some might argue that smoking is not harmful
    ..and some might argue that even Windows XP has become stable

  • Zitat von Belly

    ShadowJumper:

    Dein Zitat 1 und 3 beziehen sich auf dasselbe nämlich Firedragging etc., das nicht wirklich kritisch ist.

    Das 2. Zitat ist das Problem mit dem Umlautdomains, das von Firefox-Seite nicht behoben werden kann.

    Also: wo ist das Problem?

    Sorry, aber ich finde es schon ziemlich "schwach", das "Sicherheitslücken", die das eigene favorisierte Programm betreffen immer als "nicht kritisch" hingestellt werden.

    Die aktuellen Mail Viren z.b. verbreiten sich nicht aufgrund von schwachstellen in Mailprogrammen, sondern aufgrund der Tatsache, das der durschnittsuser jeden Anhang anklickt, mit der begründung "Ich habe doch einen Virenscanner, was kann mir da schon passieren"...

    Nur weil du und ich evt. nicht auf solche "gefälschten" Grafiken reinfallen, gilt das noch lange nicht für alle anderen.

    Solange ein Mensch den Computer bedient, ist grundsätzlich erst mal jede "Sicherheitslücke als "kritisch" einzustufen....

  • Zitat von Sebastian

    naja 5 "Lücken" im Vergleich zu mehr als 10 ungefixte vom ie?

    Naja is ja schon alles gesgat worden.

    Ahja, wirklich beruhigend, das es so einfach ist sich hinter anderen zu verstecken.

    Wenn andere aus dem Fenster springen, springst du dann hinterher :wink:

  • naja, um auf die "Lücken" reinzufallen musst schon eine Menge selber machen, also nicht wie beim IE, wo man schon beim anschauen eines Bildes oder besuchen einer Webseite infiziert wird.

    Und ich hab bisher eigentlich nie JavaScripte oder Bilder irgendwo herumgedraggt, also insofern ist das keine wilklich kritische Lücke, gegen die man sich nicht schützen kann.


    Und wegen dem IDN, da kann der Firefox nicht viel dafür, das ist eher ein Fehler in den Spezifikationen dieses Features, auf die Mozilla keinen/kaum Einfluss hat. Außerdem kann mans abschalten: http://firefox.uni-duisburg.de/forum/viewtopic.php?t=14841

  • 1) Mozilla und Firefox pruefen zwar ein Bild anhand des "Content-Type" HTTP Header. Beim Speichern mit Drag’n’Drop nutzen sie jedoch die Dateierweiterung der URL. Dadurch kann dem Benutzer statt eines Bildes eine ausfuehrbare Datei beim Drag’n’Drop untergeschoben werden.
    1.) Wer Drag&Dropt schon ein Bild?
    2.) Das ist in etwa so wie ein Dateidownload. Einen Virus wie jede andere Datei Downloaden zu können ist keine Sicherheitslücke.

    2) Beim Drag’n’Drop einer Javascript-URL in ein anderes Browserfenster kann beliebigen HTML- und Script-Code im Kontext einer beliebigen Seite ausgefuehrt werden.
    1). Schon wieder: Wer drag&dropt javascript-Links?

    3) Ein Fehler beim Laden von URI-Handlers via Plugins kann genutzt werden, um auf abgesicherte Seiten wie „about:config“ zu verlinken. Dadurch kann ein Benutzer zum Aendern der Sicherheitseinstellungen verleitet werden.
    Ich kann ein Benutzer zum ändern der Sicherheitseinstellungen genauso verleiten, wie wenn ich sage 'öffne mal bitte about:config und geb da [...] ein'.

    Eric Johanson meldet eine Schwachstelle in Mozilla / Firefox /Camino, ueber die eine Website die angezeigte URL, SSL-Zertifikate und die Statusanzeige beliebig veraendern kann. Das Problem beruht auf einem unbeabsichtigtem Ergebnis der IDN (International Domain Name) Implementation, die fuer internationale Zeichen in Domain-Namen zustaendig ist. Dies kann der Angreifer ausnutzen, indem er spezielle Domainnamen benutzt, die dann in vertrauenswuerdige Namen umgewandelt werden.

    Problem liegt nicht an Mozilla, sondern an dem Konzept von IDN.

    Eine Schwachstelle in Mozilla und Mozilla Firefox laesst sich nutzen, um Benutzer zu bestimmten Aktionen zu veranlassen.

    Das Problem sind Pop-Up-Fenster, die andere Dialoge ueberlappen koennen. Damit lassen sich beispielsweise Informationen oder Sicherheitsdialoge vor Nutzern verbergen.
    Diese "Sicherheitslücke" ist humbug. Wer das öffnen vom Popupfenstrn schon als Sicherheitslücke empfinget, kann es in den Einstellungen abstellen.

  • Zitat von Master X

    naja, um auf die "Lücken" reinzufallen musst schon eine Menge selber machen, also nicht wie beim IE, wo man schon beim anschauen eines Bildes oder besuchen einer Webseite infiziert wird.

    Und ich hab bisher eigentlich nie JavaScripte oder Bilder irgendwo herumgedraggt, also insofern ist das keine wilklich kritische Lücke, gegen die man sich nicht schützen kann.


    Und wegen dem IDN, da kann der Firefox nicht viel dafür, das ist eher ein Fehler in den Spezifikationen dieses Features, auf die Mozilla keinen/kaum Einfluss hat. Außerdem kann mans abschalten: http://firefox.uni-duisburg.de/forum/viewtopic.php?t=14841

    Naja, die Leute, die auf z.B. Phishing Attacken "reinfallen" machen das ja auch alles selber, und nicht der Browser....

    Was mich direkt stört, ist die tatsache, das es "fehler" gibt, die dann leider entweder vor dem User "verheimlicht" werden, oder "runtergespielt" werden.

    Nu mal als Beispiel : Mal angenommen es währe in einem Mercedes prinzipiell so, das die gefahr bestünde, das der Tank explodieren würde. dann würde sich Mercedes sicherlich nicht damit rausreden, das es "relativ unkritisch sei", weil man dazu nach links Blinken müsste, gleichzeitig Radio hören müsste, die Klimaanlage müsste laufen, und dabei müsste hinden einer versuchen das rechte Fenster zu öffnen. Auch wenn es noch so unwahrscheinlich währe, würde Mercedes denoch sofort alle fraglichen Fahrzeuge prüfen und entsprechend "reparieren" lassen.

    Aber Mercedes würde sich sicherlich nicht damit rausreden, das im aktuellen 5er BMW wesentlich mehr noch nicht behobene Fehler drinnen währen.....


  • 1.) Noch sind keinerlei Bilder aufgetaucht, die diese Lücke ausnutzen würden. Solange es diese nicht gibt, ist es weit weniger schlimm als man denken mag. Zumal das "Firedragging" eine äusserst seltene Aktion ist. Ich hab bis noch niemanden sowas mal machen lassen. Und dann muss er natürlich noch das passende Bild "firedragen". Insofern würde ich das auch nicht als kritisch einstufen. Und was nicht kritisch ist, kann ruhig beim nächsten Versionssprung behoben werden. Und wer sich unsicher fühlt, kann gerne eine nightly benutzen.

    2.) Javascript-Links taugen eh nie zum Dragen ins neue Fenster. Und macht auch eigendlich keiner, weil ein mittlerer mausklick für ein neues tab reicht. Ist zudem immernoch nichts was direkt zugriff auf irgendwelche Systeminforationen/Resourcen erlaubt. Würde man den preparierten link normal anklicken, käme nur müll bei rum. halte ich auch für wenig kritisch.

    3.) das ist wohl schon ein sehr ärgerliches problem. aber nicht primär der fehler vom firefox. die erweiterung "spoofstick" ist als hilfe sehr nützlich: http://www.extensionsmirror.nl/index.php?showtopic=258

    Code
    Eric Johanson meldet eine Schwachstelle in Mozilla / Firefox /Camino, ueber die eine Website die angezeigte URL, SSL-Zertifikate und die Statusanzeige beliebig veraendern kann. Das Problem beruht auf einem unbeabsichtigtem Ergebnis der IDN (International Domain Name) Implementation, die fuer internationale Zeichen in Domain-Namen zustaendig ist. Dies kann der Angreifer ausnutzen, indem er spezielle Domainnamen benutzt, die dann in vertrauenswuerdige Namen umgewandelt werden.
    
    
    Secunia stellt einen Test bereit, mit dem Sie ueberpruefen koennen ob, Ihr Browser betroffen ist: http://secunia.com/multiple_browsers_idn_spoofing_test/
    
    
    The issue ist bestaetigt fuer die Mozilla 1.7.5 and Firefox 1.0. Andere Versionen koennten jedoch ebenfalls betroffen sein.


    Nochmal wie punkt 3.

    Code
    Eine Schwachstelle in Mozilla und Mozilla Firefox laesst sich nutzen, um Benutzer zu bestimmten Aktionen zu veranlassen.
    
    
    Das Problem sind Pop-Up-Fenster, die andere Dialoge ueberlappen koennen. Damit lassen sich beispielsweise Informationen oder Sicherheitsdialoge vor Nutzern verbergen. 
    
    
    Ein Ausnutzen der Luecke kommt allerdings mehr oder weniger auf das genutzte Windows Desktop Theme an.
    
    
    Die Luecke ist fuer Mozilla Firefox 1.0 und Mozilla 1.7.5 unter Windows bestaetigt.


    Ganz ehrlich? Wie willst du das verhindern? Wer nicht erkennt, dass da 2 fenster in der taskleiste baumeln, sollte vielleicht doch lieber die finger von rechnern lassen. Alternativ: deaktiviere Javascript! Das ist keine Sicherheitslücke. Das ist dämlichkeit des Benutzers. Und sorry. Firefox ist ein Browser und nicht das Gehirn des Anwenders. Er ist ein Werkzeug und keine Versicherung.

    Wenn du denkst alles was da so theoretisch als sicherheitslücke dienen könnte, wäre kritisch, dann solltest du evtl. die leute nichtmehr ins netz lassen. irgendwo hört die vorsicht auf und beginnt der wahnsinn. mag du jetzt nicht gerne hören, ist aber so. wenn man alles als kritisch einstuft, dann muss im netz nahezu alles verboten werden. je mehr du die leute mit warnmeldungen, "pseudokritischen" sicherheitsupdates und ähnlichen sachen nervst, des do weniger sensibel reagieren sie drauf.... "Noch eines? keine lust." .... und klicken "ja", "ja", "ja", egal was da kommt.

    wenn du der sicherheitspolitik von mozilla nicht traust, nehm halt einen anderen browser. gibt doch genug. wenn du besser weisst, was kritisch ist als fachleute (z.B. http://secunia.com/product/4227/), solltest du evtl. eigene produkte entwickeln, die deinen sicherheitsansprüchen eher ensprechen. du kannst problemlos dir selbst einen firefox kompilieren, inkusive deuscher sprache und nightly-patches. liegt alles bei mozilla für jeden bereit, wenns wem nicht schnell genug geht.

    kritische löscher wurden bei mozilla jedenfalls immer schnell geflickt.

    was ich viel "schwächer" finde, als die mozilla-sicherheitspolitik, ist dass es leute gibt, die alles besser wissen und die an ein gänzlich kostenloses produkt, das in der beanstandeten disziplin besser abschneidet als jedes andere, auch noch ansprüche stellt. *kopfschüttel*

    PS: Durch das dragen der vermeintlichen grafik selber entsteht auch noch kein schaden, sprich: der tank explodiert nicht. und ein Mercedes ist auch eine andere preisklasse als "kostenlos".

  • Beim Firefox "explodiert aber nicht der Tank". Es gibt keine Sicherheitslücke, die das Ausführen von Code ermöglicht. Lediglich unbeabsichtigter Dateidownload und das Ausführen von Javascript in anderen Fenstern sind möglich. Das Ausführen von Javascript kann zwar Sicherheitsprobleme, wie das Auslesen von Passwörtern machen, aber ein Benutzer müsste da schon regelrecht aufgefordert werden: Geh auf die Loginseite von ebay, gib deinen Benutzernamen und dein Passwort ein, und ziehe folgenen Link auf das Fenster...
    Wer sowas macht ist schön blöd. :roll:

    Aber du hast natürlich recht: Die Fehler gehören behoben, und zwar möglichst schnell.

  • Zitat von ShadowJumper


    Naja, die Leute, die auf z.B. Phishing Attacken "reinfallen" machen das ja auch alles selber, und nicht der Browser....

    Was mich direkt stört, ist die tatsache, das es "fehler" gibt, die dann leider entweder vor dem User "verheimlicht" werden, oder "runtergespielt" werden.

    Nu mal als Beispiel : Mal angenommen es währe in einem Mercedes prinzipiell so, das die gefahr bestünde, das der Tank explodieren würde. dann würde sich Mercedes sicherlich nicht damit rausreden, das es "relativ unkritisch sei", weil man dazu nach links Blinken müsste, gleichzeitig Radio hören müsste, die Klimaanlage müsste laufen, und dabei müsste hinden einer versuchen das rechte Fenster zu öffnen. Auch wenn es noch so unwahrscheinlich währe, würde Mercedes denoch sofort alle fraglichen Fahrzeuge prüfen und entsprechend "reparieren" lassen.

    Aber Mercedes würde sich sicherlich nicht damit rausreden, das im aktuellen 5er BMW wesentlich mehr noch nicht behobene Fehler drinnen währen.....


    Nur mal ne Frage, was hast Du für den FF bezahlt und was bezahlst Du für ein Mercedes?
    Dein Vergleich hinkt ganz gewaltig, wenn ich was bezahle kann ich fordern,
    das die Fehler behoben werden, wenn ich allerdings ein Produkt für Lau
    bekomme, kann ich höchsten mal nachfragen oder darum Bitten.

    Gruß
    Kailash


    Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.9.2) Gecko/20100115 Firefox/3.6

  • Zitat von bugcatcher

    was ich viel "schwächer" finde, als die mozilla-sicherheitspolitik, ist dass es leute gibt, die alles besser wissen und die an ein gänzlich kostenloses produkt, das in der beanstandeten disziplin besser abschneidet als jedes andere, auch noch ansprüche stellt. *kopfschüttel*

    PS: Durch das dragen der vermeintlichen grafik selber entsteht auch noch kein schaden, sprich: der tank explodiert nicht. und ein Mercedes ist auch eine andere preisklasse als "kostenlos".

    Hm, witzig, der IE ist auch kostenlos, und über den zieht ihr her, als wenn die Mitarbeiter von M$ der letzte Dreck währen.

    Aber schon klar, haubtsache die anderen sind immer die Bösen :lol:

  • Wenn Dir das alles nichts paßt, dann zwingt niemand Dich oder Deinen Chef den Fx einzusetzen.
    Allerdings verstehe ich nicht, wie Du bei den aktiven Sicherheitslücken des IE überhaupt schlafen kannst, wenn Dich die kleinen Unzulänglichkeiten des Fx schon stören.
    Übrigens...der IE ist nicht kostenlos. Er ist Bestandteil des Betriebsystems und dieses kostet eine Menge Geld.

    Hinweis!!!
    Die Durchführung von meinen Tips ist freiwillig und obliegt dem Administrator oder Besitzer des Rechners.
    Für Fehler, Datenverlust oder Beschädigungen übernehme ich keinerlei Verantwortung!!!
    Kein Support per Mail oder PN!!!

  • Zitat von ShadowJumper


    Hm, witzig, der IE ist auch kostenlos, und über den zieht ihr her, als wenn die Mitarbeiter von M$ der letzte Dreck währen.

    Aber schon klar, haubtsache die anderen sind immer die Bösen :lol:

    Schlecht ist der IE nicht, aber der FF ist eindeutig um Längen besser.
    Aber warum nörgelst Du hier nur rum, nimm einen anderen Browser und
    gut ist, es wird niemand gezwungen den ach so unsicheren FF zu nutzen.

    Gruß
    Kailash


    Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.9.2) Gecko/20100115 Firefox/3.6

  • Zitat von ShadowJumper

    Hm, witzig, der IE ist auch kostenlos, und über den zieht ihr her, als wenn die Mitarbeiter von M$ der letzte Dreck währen.


    Klarer Fall von "denkste". Nur weil man ihn "kostenlos" herrunterladen kann, heisst das nicht, dass MS ihn nicht per Windows subvensioniert. Und damit ist der Preis des IEs im Preis von Windows enthalten. Das der IE seit über 3 jahren nichtmehr weiterentwickelt wird und sicherheitspatches nur deshalb noch gemacht werden, weil MS sich selbst den strickt damit gedreht hat, den IE zu tief ins OS zu schrauben, sollte jedem klar sein. Wer Windows mit IE vertreibt und der IE als fester Bestandteil des Betriebssystems eine beträchtliche sicherheitslücke darstellt, muss ihn auch gezwungener massen patchen. Und die dadurch entstehenden unkosten für MS werden auch über windows und office wieder auf die kunden abgewälzt. Aber auch hier schneidet MS schlechter ab als Mozilla.

    MS sind klar die "Bösen". Aber dreh es ruhig rum wie Du willst. Die Sicherheitspolitik von Mozilla ist die zur Zeit beste, egal wie schlecht du sie reden willst. Und wenn Mozilla schon "schwach" ist, ist der rest "schwächer".

    Hatte ich dir schon den tipp gegeben, dir selbst einen firefox zu kompilieren? oder macht das zuviele umstände?

    Einmal editiert, zuletzt von bugcatcher (15. Februar 2005 um 13:36)

  • Sag mal, hast du überhaupt gelesen, was wir dir hier versucht haben zu vermitteln?
    Beim Internet Explorer 6 waren z.B. zwei Monate lang Lücken offen, bei denen der Besuch einer Webseite gereicht hat um ohne weitere Interaktion Programme zu installieren! Und zwar ohne Interatktion oder Dialoge oder Pop-Ups, und auch trotz Service Pack 2.
    Das sind kritische Sicherheitslücken!
    Und nicht so ein Kinderkram wie die "Lücken" in Firefox, bei dem selbst die Entdecker sagen, dass sie unkritisch sind. Sowas gehört natürlich auch behoben in der nächsten Version, aber das ist kein Fall für einen Sofortpatch.

    Das mit den Umlautdomains ist in der Tat ein echtes Sicherheitsproblem, aber nunmal nichts, an dem von Browserseite was geändert werden kann.

    PS: Mir scheint eher, dass du keine Gegenargumente hören willst, als das wir unbelehrbar wären - ganz ehrlich.

    PPS: Das Autoherstellerbeispiel hinkt auch so ganz gewaltig. Da wird auch nur zurückgerufen, wenn gilt: Imageverlust+erwartete Schäden+Schadensersatzklagen > Rückrufkosten.


    ..and some might argue that the earth is flat
    ..and some might argue that smoking is not harmful
    ..and some might argue that even Windows XP has become stable