Firefox und Blake Ross in der BILD

  • Zitat von dogfriedwart

    die c't nähert sich, wie ich finde, auch immer mehr den PC-Massenmedien á la PC Welt, Computer Bild etc an, wie man an der aktuellen Ausgabe feststellen kann. Eigentlich sehr interessante Themen (Alles mögliche zu Desktop-Moddingg), aber wollen nicht so richtig zur c't passen.

    Ja das stimmt, dass sich irgendwie immer dem Pc-Massenmedien anpassen. Da sich sehr viel nicht Computerfreak Computer kaufen, müsse natürlich auch das Niveau immer weiter runter gehen. Aber Gott sei dank gibt noch IX, die wissen wengisten über was sie schreiben.

  • Ach, wie süß. Die Bild versucht mal wieder eine ihrer Schmutzkampagnen.
    Mal sehen, ob sich Heise noch von diesem "Artikel" distanziert.

    Ich glaube aber nicht, dass dieser Artikel so speziell etwas damit zu tun haben muss, dass MS den Springer-Verlag sponsort - eher geht es wieder mal um die Aufdeckung eines "Skandals".

    Wer ihn noch nicht kennt, unbedingt mal in den Bildblog reinschauen :)

    Quis custodit custodes?

  • bugcatcher

    Zitat

    Mir persönlich ist aber nicht bekannt, dass jemals irgendwer von Aussen Zugriff auf die Chrome-Funktionen bekommen hätte.

    Doch. Das geht, mittels Java Script wäre das durchaus denkbar. Ich hab dazu erst vor ein paar Tagen was gelesen. Leider finde ich das jetzt nicht mehr.

    Den chrome-Bereich des Firefox könnte man in etwa gleichsetzen mit dem Zonenmodell des IE. Er entspräche dann der Zone der vertrauneswürdigen Seiten.

    Shit, daß ich den link nicht mehr habe. Falls ich ihn wiederfinde, reich ich den mal nach.

    Firefoxuser

    Zitat

    Gamestar statt Computerbildspiele

    Also, die Gamestar nimmt sich da wohl auch nicht viel imo...:roll:

    Gruß,
    Bang

  • Zitat von Bang

    Doch. Das geht, mittels Java Script wäre das durchaus denkbar. Ich hab dazu erst vor ein paar Tagen was gelesen. Leider finde ich das jetzt nicht mehr.


    Das wäre doch fatal, wenn Webseite XYZ da fummeln könnte.

    Zitat von <woltlab-metacode-marker data-name=

    Component Security" data-link="">

    ...
    # Chrome only runs from the local filesystem (i.e., no downloadable chrome, only installable chrome)
    ...
    # No access of web content to the surrounding chrome


    Ich hoffe ich bin jetzt nicht auf dem Holzweg damit...

  • Hi Henne,

    wenn ich mich recht entsinne, war das wohl so, daß man theoretisch einen jslink spoofen könnte, der verdeckt die chrome aufruft und dann ebenfalls per jsscript Einträge ändert und dergleichen.

    Ich hab nur überhaupt k.A. mehr, wo ich das gelesen hab. Möglicherweise sogar im Mozillaforum. :?:

    Ich werde auf jeden Fall noch mal nach dem link suchen.

    Ich mach das selber aber auch schon von je her so, daß ich JS per default aus habe und per pref-button aktiviere. Meine Lieblngseiten gehen eh alle ohne JS, deswegen hat mich das auch nicht sonderlich erschüttert.

    Gruß,
    Bang

  • Ich hab jetzt das Mozilla Forum noch mal durchgeforstet und leider nicht gefunden...

    Hm. Womöglich bei bugzilla? Shit, das ärgert mich jetzt wirklich. Wenn man was behauptet, sollte man das schon mit Quellenangabe belegen können...:roll: Mach ich normalerweise auch so. War halt ein spontanes post, hätte vorher suchen sollen. :wink:

    Gruß,
    Bang

  • Hi,

    Zitat

    Den chrome-Bereich des Firefox könnte man in etwa gleichsetzen mit dem Zonenmodell des IE. Er entspräche dann der Zone der vertrauneswürdigen Seiten.

    Shit, daß ich den link nicht mehr habe. Falls ich ihn wiederfinde, reich ich den mal nach.

    ok. Ich hab jetzt was dazu gefunden. Hier ist der bug beschrieben. Ist in der 1.0.3. aber mittlerweile gefixt. :)

    Gruß,
    Bang

  • Der Bug ist blockiert. Muss man authorisiert sein um reinschauen zu dürfen. Insofern kann man nichts genaueres über die Wirkung sagen. Klingt für mich zwar aktuell mehr nach "überschreiben" von werten (vermutlich praktisch fürs hijacken von startseiten), als irgendwie freie hand für den hacker, aber nichts desdo trotz wohl schwerwiegend genug. Ist wohl auch der Bug der die Versögerung von 1.0.3 verursacht hat, da es dabei zu problemen mit den Erweiterungen kam.

    Auch in anbetracht von den anderen beiden schwereren Fehlern:
    http://www.mozilla.org/security/announce/mfsa2005-39.html
    http://www.mozilla.org/security/announce/mfsa2005-37.html
    ist ein Update auf 1.0.3 mal ernsthaft dringlich zu empfehlen (den 1.0.2er hab ich nicht für sonderlich wichtig gehalten).

    Wären wohl auch mal echte Lücken, mit denen Hacker effektiv was anfangen könnten.

  • bugcatcher

    Zitat

    Der Bug ist blockiert. Muss man authorisiert sein um reinschauen zu dürfen.

    Ist wohl auch besser so...Wer weiß, wer sich bei Bugzilla sonst noch so rumtreibt. Als Autor von Malware wäre das wohl meine erste Anlaufstelle...:roll:

    Gruß,
    Bang

  • Zitat von Nemoflow

    Der Fx wieder zu Gast bei BILD.T-Online.de


    Viren, Würmer und Trojaner
    Wie sicher ist Firefox wirklich?

    Dazu noch ein Interview mit Blake Ross (rechte Seite)

    Puh, da hatte der Firefox allerdings nochmal Glück, dass Michael Krax, der in Bild auch zu Wort kommt, zu diesem Zeitpunkt noch nicht das <a href="http://www.mikx.de/firelinking/">Firelinking Exploit</a> geschrieben hatte, da wäre ein gewisses Verdauungsprodukt nämlich wirklich am Dampfen...