Richtig?? oder Falsch''

    Hallo.
    Ist es richtig,das ich mir bei der Installation von Erweiterungen im Firefox
    Troyaner und anderes Ungeziefer auf meinen Rechner laden kann.Dann ist die Mähr vom sicheren Browser ja passe.
    Dieses habe ich auf der Seite vom Symantec gelesen oder ist das nicht so.!!
    Ich bin da nichr so f"Firn".
    Lothar

    Die Sprache ist die Quelle aller Missverständnisse.

    Das ist FALSCH!
    Klar kann man in eine XPI einen Trojaner packen, allerdings musst du dessen Installation bestätigen (Installieren). Und so doof wirst du doch nicht sein? ;)
    Erkennen kann man diese bösartigen XPIs übrigens an

    a) der URL (Beispiel xxxtoolbar.com)
    b) der Tatsache das plötzlich ein Installations-Dialog aufgeht, obwohl du garnicht auf einen Link zu einer XPI geklickt hast / bzw. du das wolltest

    Besonders wichtig hier zu betonen ist, dass KEINERLEI AUTOMATISCHE installation geschieht. Der User muss immernoch selber "OK" drücken. Und wer das, wie Nizzer schon sagte, bei unaufgeforderten Installations-Dialogen macht, dem ist nichtmehr zu helfen. Dann ist das Sicherheitsleck VOR dem Monitor. Firefox macht nur was der Anwender ihm sagt.

    Man sollte Den Ratschlägen der Security -Seiten nicht immer so einfach glauben.Manches ist auch viel Polemik. Neulich habe ich bei Symantec einen Sicherheits-Chek gemacht und siehe da? Trotz Installation von Norton Symantec Security offene Ports und keine Firewall installiert.
    Sehr merkwürdig?. oder.
    Nach Portscan auf der Seite des Datenschutzbeauftragten von Niedersachsen 65431 Ports gescannt und siehe da. Alles ok.
    Aber ich finde, fragen ist immer besser. Ich habe,da ich ein Frischling bin, in diesem Forum schon allerhand erfahren.
    Lothar

    Die Sprache ist die Quelle aller Missverständnisse.

    Beim bösen heise.de in der Security Abteilung gibt es einen sehr negativen Artikel über Mozilla und der angeblich automatischen Installation von XPI. Interessanterweise haben die User diesmal selbst gemerkt das der Artikel in den Anus integriert gehört und haben tonnenweise scharfe Kritik geübt.

    Zitat von Mac

    Wieso wird heise wegen eines Mozillakritischen Artikels so unsachlich kritisiert, und gar beleidigt!? Der Artikel bringt nocheinmal den viel zu wenig beachteten Aspekt der xpis zur Sprache. Es wird eh Zeit ein Zertifizierungssystem zu entwickeln

    Das soll ein Artikel sein?
    Es fehlen

    - Lösungen
    - Alternativen
    - Vorschläge

    Außerdem ist eine XPI keine Sicheheitslücke.

    Sicherheit - Was ist von dieser Meldung zu halten ?
    Plugin's+Erweiterungen verbergen Risken
    Mozilla: Das Ende der Idylle

    Der Artikel ist unsachlich und reisserisch formuliert. Man meint, Mozillas XPI-System wäre genauso unsicher, gar unsicherer als das ActiveX-System von IE. Was der reinste Blödsinn ist!

    Richtig ist, dass den Leuten klargestellt werden sollte, dass eine Erweiterungs-Installation von kriminell orientierten Quellen schaden zufügen kann.

    Kann eine heruntergeladene und ausgeführte EXE-Datei aber auch.

    In beiden fällen muss der User sein OK geben. Beim IE muss er das nichtmal. Da merkt er es manchmal nichtmal DAS was installiert wurde.

    Hier lesen:
    http://www.heise.de/security/news/…&forum_id=58484

    Einmal editiert, zuletzt von bugcatcher (19. Juni 2004 um 14:51)

    Ich hatte dem Autor Herrn Schmidt gestern dazu eine Email geschrieben, in der ich ihn bat, den Artikel mit Hinblick auf fehlende Fakten zu überarbeiten, die er beim gründlichen Lesen der mit grün markierten Kommentare zum Artikel erkennen könnte.

    In der Antwort hat er dies abgelehnt und verweist auf Bugzilla, wo die Probleme ebenfalls angesprochen werden:
    http://bugzilla.mozilla.org/show_bug.cgi?id=240552

    Daraufhin habe ich ihm eine weitere Mail zukommen lassen:

    Zitat

    Hallo Herr Schmidt,

    erst einmal vielen Dank, dass Sie sich die Zeit genommen haben, auf meine Email zu antworten. Damit hätte ich ehrlich gesagt nicht gerechnet...

    Was die Kommentare auf Bugzilla angeht, muss ich Ihnen bedingt zustimmen. Allerdings rechtfertigt selbst das in den bisherigen Versionen (vor 1.7) auftretende Verhalten keinesfalls ein gleiches oder sogar schlechteres Abschneiden im Vergleich mit der "Sicherheit" des Internet Explorers. Um mit dem IE *halbwegs* sicher unterwegs zu sein (heißt: Vermeiden von Viren/Trojanern, die sich OHNE Klick installieren), muss man schon ActiveScripting komplett abschalten. Versuchen Sie mal, mit so einem Krüppelbrowser die einfachsten Webseiten zu besuchen, da scheitert man ja schon an spiegel.de. Mozilla hat keine Sicherheitslücke, die eine Infizierung allein durch den Besuch einer Webseite ohne weitere Aktion erlaubt. Darüberhinaus reicht es bei Mozilla/Firefox aus, über die Optionen die Installation durch Webseiten zu deaktivieren, ohne dass das Surfverhalten in irgendeiner Weise eingeschränkt wäre. Einen sichereren Browser kann man sich doch gar nicht wünschen!

    Wenn man bedenkt, dass in den neuen Versionen 1.7/0.9 noch einige zusätzliche Sicherheitsvorkehrungen getroffen sind, die DAUs vom schnellen Klicken ohne Nachdenken abhalten, ist ihr Bericht durchaus aktualisierungswürdig. Besonders der Hinweis auf das Abschalten der Softwareinstallation durch Webseiten sollte Ihnen eine Ergänzung wert sein. Die Quintessenz Ihres Berichtes ist ja völlig richtig: die Verantwortung liegt beim User. Aber dies allein an Mozilla festzumachen und womöglich noch einen Teil der Benutzer zum "dank völlig sicherem ActiveX und nicht umgehbarem Zonenmodell so sicheren IE" zurückzutreiben, ist nicht in Ordnung.

    Vielen Dank für Ihr Interesse an Kritik und freundliche Grüße,
    Armin C. Schneider


    Mal sehen, ob hierauf noch eine Antwort kommt...

    Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.8.0.2) Gecko/20060308 Firefox/1.5.0.2

    Zu dem Artikel fällt mir ein Sprichwort meines alten Fachlehrers ein und zwar "onanie im Luftleeren Raum"... es ist grober Unfug was sich der Redakteur dort geleistet hat! Zumal ihm nicht mal bekannt war das er mit einem veralteten Mozilla die "Tests" gemacht hat... steht im Heise Thread.

    Mfg Oliver

    Linux is like a wigwam, there are no windows, and a apache is inside.

    hehe ich hab da auch kräftig mitkritisiert und der artikel ist wirklich schon so formuliert "dank der supersicheren active x zterifizierung"
    wenn ich das schon lese. eigentlich macht es wenig unterschied ob ich dem zertifikat von xxxtoolbar.com vertraue oder ob ich ein plugin von xxxtoolbar.com installiere.
    und wenn ich dann noch lesen "sicheres zonenmodell beim ie"
    und 2 klicks weiter lese ich "mit folgendem link kann man für jede webseite die sicherheitseinstellungen anderer seiten klauen" dann frage ich mich was wirklich sicher ist. das problem ist einfach der user und ich finde dafür sind dioe progger nicht verantwortlich.

    Aber naja. Den Link den bugcatcher gepostet hat erklärt das ja nochmal sehr deutlich. Vielleicht sollte man den Autor kontaktieren und fragen ob er ein Achtung, Ironie! vergessen hat.
    Bin mal gespannt wie er auf die Mail von Electroluchs antwortet. Halt uns auf dem laufenden.
    xeen

    Ich gehe mal davon aus, dass die Antwort von Herrn Schmidt nicht als "private Email" gilt sondern im allgemeinen Interesse liegt, daher poste ich einfach mal wertungsfrei den Inhalt seiner zweiten Antwort:

    Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.8.0.2) Gecko/20060308 Firefox/1.5.0.2