chip 03/2008 Firefox gefährlich

    Hallo,

    im neuen Chip ist der Artikel "Gefährliche Software"
    Meiden Sie diese Programme, sie zerstören Ihr System! CHIP listet die größten Fehlentwicklungen auf und nennt Alternativsoftware.
    Auf Platz 3 landet Firefox.
    D.h. Firefox ist das 3. gefährlichste Programm!:cry:
    Kann das denn sein?

    Jetzt sage nur noch, das Alternativprogramm wäre der IE.

    Im übrigen ist Chip für mich keine Referenz, wenn es um gefährliche oder ungefährliche Software geht.

    Zitat

    Meiden Sie diese Programme, sie zerstören Ihr System!

    Wahrscheinlich war das die Schlagzeile auf der Titelseite, und im Artikel wurde dann irgend ein Wischi-Waschi abgesondert. Irgendwie muss man ja seinen schon 10.000 mal wiedergekäuten Quark an die Leute bringen, und wenn es die in Riesenbuchstaben angepriesenen Windows-Geheimnisse nicht mehr bringen, muss es eben eine Panikmache sein. Hauptsache. die Auflage stimmt.

    Das Add-On System führt dazu das der Fx auf nicht-Unix System großen Schaden anrichten kann wenn der User eine erhebliche Unwissenheit oder einen Mangel an Intelligenz vorweisen kann. Das wäre die einzige dauerhafte Schwachstelle des Fx. Ansonsten hat man natürlich so gewaltige Nachteile wie z.B. das der Fx auch Sicherheitslücken hat *kreisch*. Wir können aber beruhigt sein das Mozilla die Updates sofort raus gibt und nicht erst wenn die Planeten zu den Sternen in optimaler Position stehen, was etwa alle 10tausend Jahre vorkommt.

    Mozilla/5.0 (X11; U; Linux x86_64; de-DE; rv:1.9.1.1) Gecko/20090702 Firefox/3.5

    Zitat von mike1234

    Auf Platz 3 landet Firefox.
    D.h. Firefox ist das 3. gefährlichste Programm!:cry:

    Klar, wenn Chip, ausgerechnet Chip, das sagt, dann heißt es das natürlich! :roll:

    Zitat von DasIch

    Das Add-On System führt dazu das der Fx auf nicht-Unix System großen Schaden anrichten kann wenn der User eine erhebliche Unwissenheit oder einen Mangel an Intelligenz vorweisen kann.

    Der Firefox tut eigentlich wirklich alles nur Denkbare, um die Installation gefährlicher Addons zu verhindern, egal ob das System unixoid ist oder nicht:

    • Die Installation kann nur per Mausklick gestartet werden, ähnlich wie beim Öffnen von Popups
    • Die Installation ist standardmäßig nur von der offiziellen Addon-Seite möglich, jede weitere Seite, selbst mozdev.org, muss freigegeben werden.
    • Der OK-Button wird verzögert freigegeben und die Box kann nicht in den Hintergrund gebracht werden, sodass man den User nicht durch falsche Informationen dazu bringen kann, die Box zu übersehen.

    Die beiden letzten Vorkehrungen kann man über about:config deaktivieren, aber das macht man ja wohl nur, wenn man gut genug Bescheid weiß. Wer sich den Firefox von einem Bekannten einrichten lassen hat, kommt wohl nicht darauf, in der erweiterten Konfiguration herumzuspielen.

    Chip ist übrigens entweder tatsächlich von sich aus schon sehr Microsoft-freundlich eingestellt oder aber sie gibt Microsoft hin und wieder die Möglichkeit, einen Artikel zu kaufen. Am offensichtlischsten war das kurz vor dem Erscheinen des SP2 für Windows XP, als es gerade eine Welle echter Sicherheitslücken dieses Betriebssystem gab. Chip schrieb damals, dass nach der Installation des SP2 (das damals noch geschlossene Beta war) Windows "vollkommen sicher und frei von jeglichen Sicherheitslücken" sei. Bei "Linux" (sie sprachen damals ohne Angabe der Distribution einfach nur von "Linux", denn die aktuelle "Linux ist ja doch gar nicht so schlecht-"Phase war damals noch nicht eingeläutet) kreidete man als "böses Sicherheitsloch" an, dass es im Internet auf PING antwortet.
    Das zweite Beispiel ist noch gar nicht alt: Microsoft hat nun schon zwei Sicherheitsreports veröffentlicht, deren Quintessenz immer war: Vista ist das sicherste Betriebssystem, denn dort wurden in letzter Zeit die wenigsten Sicherheitslücken behoben (ich hoffe, dass jeder merkt, wie unsinnig diese Argumentation ist). Dieses Gewäsch war den meisten Medien zu blöd, Chip aber gehörte zu den wenigen, die in das selbe Horn stießen wie Microsoft.

    Ich werde mir den aktuellen Artikel bei Gelegenheit mal besorgen, aber ohne dass ich ihn kenne, sage ich jetzt voraus:

    • Road Runner hat Recht, die angebliche Begründung lässt sich ohne viel Nachdenken wiederlegen
    • Die von Chip empfohlene Alternative ist der IE, vielleicht mit der Begründung, dass dieser ins System integriert ist und daher schneller und statabiler laufe, und dass außerdem Sicherheitslücken, wenn überhaupt, nur monatlich behoben werden "müssen".

    Sorry, mike1234, aber du kannst auch Lexika des KKK lesen und dann fragen: Haben Schwarze wirklich die Intelligenz von Affen?

    Die Chip verdient ihr Geld wie die Bild durch Panikmache, Aufbauschung, Verklärung und weiteren unseriösen Mitteln die fernab jeder richtigen Information liegen.

    Was ist denn das gefährlichste Programm? XP-Antispy?

    mike1234: Warum soll Firefox denn jetzt die dritt-gefährlichste Software sein?


    Ich kann mich nur an den lächerlichen Browsertest aus der Chip 01/2008 erinnern, in der dem Firefox zB angekreidet wurde, dass er zB Mausgesten und diverses nicht kann. Sie schruben auch, dass Addons nicht berücksichtigt wurden. Ein Witz.

    Zitat von PIGSgrame

    Der Firefox tut eigentlich wirklich alles nur Denkbare, um die Installation gefährlicher Addons zu verhindern, egal ob das System unixoid ist oder nicht:

    • Die Installation kann nur per Mausklick gestartet werden, ähnlich wie beim Öffnen von Popups
    • Die Installation ist standardmäßig nur von der offiziellen Addon-Seite möglich, jede weitere Seite, selbst mozdev.org, muss freigegeben werden.
    • Der OK-Button wird verzögert freigegeben und die Box kann nicht in den Hintergrund gebracht werden, sodass man den User nicht durch falsche Informationen dazu bringen kann, die Box zu übersehen.

    Die beiden letzten Vorkehrungen kann man über about:config deaktivieren, aber das macht man ja wohl nur, wenn man gut genug Bescheid weiß. Wer sich den Firefox von einem Bekannten einrichten lassen hat, kommt wohl nicht darauf, in der erweiterten Konfiguration herumzuspielen.

    Eigentlich wollte ich ja erst mal abwarten was überhaupt in diesem Text steht.
    Aber, lieber PIGSgrame, nun muss ich wiedersprechen, Firefox tut fast gar nichts um gefährliche Erweiterungen abzuwehren.
    Jedes beliebige Programm kann, ohne zu fragen, und ohne es verhindern zu können, in den Firefox eine Erweiterung einbinden.
    Und das sogar ohne das der User das nachträglich bemerkt, da es möglich ist diese Erweiterung nicht im Add-On Manager anzeigen zu lassen.
    Einfachstes Beispiel ist hier JAVA, welches bei der Installation eine Firefox Erweiterung "Java Konsole" in das Firefox Hauptverzeichniss (Plugins) instaliert, welche im Add-On Manager nicht angezeigt wird.
    Auch der Free Download Manager installiert eine Erweiterung im Hauptverzeichniss, diese wird aber angezeigt.
    Da diese Erweiterungen im Programmordner gespeichert werden sind sie auch in einem neuen Profil aktiv.
    Nun sind das keine "bösen" Programme.

    Aber es ist für mich einfach unverständlich daß Fx es überhaupt zulässt das ihm Erweiterungen aufgedrängt werden können, und das hab ich auch schon mehrmals angeprangert.

    @ Palli:

    was Du da ansprichst, sind keine Erweiterungen, sondern Plugins.

    Das ändert nichts an der Tatsache, dass Du, was Java betrifft, Recht hast.

    Beim Free Download Manager ist das aber etwas anders: da musst Du schon in den Einstellungen des Managers einstellen, dass er in Firefox eingebunden werden soll. Ich habe diese Einstellung nicht aktiviert und auch kein FDM-Plugin im Fuchs (auch nicht im Unterordner Plugins des Programmordners).


    Im eigentlichen Artikel, also um die laut Chip wirklich gefährliche Software, taucht Firefox nicht auf, sondern Codec Packs, TuningSoftware usw. Firefox taucht nur in der Tabelle auf am Rand auf.

    Wie Sinnvoll (bzw dämlich) es ist das Risiko einer Software an der Zahl und nicht an der schwere und schnelligkeit der Behebung der Lücke festzumachen, erübrigt sich eigentlich zu erwähnen. Aber so ist es natürlich reißerischer...

    Genau das meinte ich ja oben: Die Sicherheit einer Software an der Zahl behobener Sicherheitslücken festzumachen, ist eine arg laienhafte Milchmädchenrechnung. Solange aber noch einige darauf herienfallen, werden viele Hersteller auch weiterhin Lücken heimlich, still und leise beheben oder gar nicht, "denn Lücken, die keiner kennt, werde ja nicht ausgenutzt".

    Palli: Meine Liste bezog sich wirklich nur auf Erweiterungen, und bei diesem Thema ist es auch sehr wichtig, zwischen Erweiterungen und Plugins genau zu unterscheiden.

    Es ist völlig richtig, dass ein lokaler Installer dem Firefox Erweiterungen und Plugins unterschieben kann. Dieses Problem hat aber jeder Browser und ist noch nicht einmal auf Browser beschränkt. Eine Schadsoftware, die sich bereits auf dem Rechner befindet, kann im Rahmen ihrer Rechte nach Belieben Unsinn anrichten. Dieser Unsinn kann darin bestehen, einem Browser Plugins unterzuschieben (und jeder moderne graphische Browser hat eine wie auch immer geartete Pluginschnittstelle) oder darin, ein paar Dateien zu löschen oder zu ersetzen. Wichtig ist, dass eine Schadsoftware gar nicht erst auf den Rechner kommt.

    Beim Firefox haben Plugins sehr weitreichende Rechte, am Beispiel vom QuickTime- oder WMP-Plugin stellen sie zum Beispiel eine Verbindung zwischen einer Website und einem lokal installierten Programm her, was natürlich ein sicherheitskritischer Vorgang ist. Aufgrund dieser Fähigkeiten von Plugins ist es nicht vorgesehen, dass Webseiten solche Plugins direkt installieren können.
    Anders verhält es sich mit Erweiterungen. Auch Erweiterungen können kompilierte Teilmodule enthalten (vgl. Flashgot, Autohide, Tidy u.a.), haben in der Regel aber weniger weitreichende Rechte und ergänzen oft nur die Firefox-Oberfläche. Aufgrund dieser Tatsache dürfen Erweiterungen über Webseiten installiert werden, aber dieser Vorgang ist hinreichend abgesichert, sodass ein Nutzer in der Regel nur solche Erweiterungen installiert, die er wirklich haben möchte. Dass trotzdem vor allem für Laien ein Restrisiko bleibt, möchte ich nicht abstreiten.

    Hat es eine Schadsoftware erstmal bis auf den Rechner geschafft, dann sind die Probleme sowieso ganz andere als die Frage, ob man dem Browser etwas unterschieben kann.

    Man kann das ungefragte Einrichten von Erweiterungen durch Installer überigens wirksam verhindern, indem man dem Ordner extensions im Firefox-Programmverzeichnis die Schreibrechte entzieht. Das habe ich auch getan. Nicht primär aus Sorge um die Sicherheit, sondern weil ich es einfach hasse, wenn Programme ungefragt andere Programme "sinnvoll ergänzen". Bestes Beispiel ist da wohl der RealPlayer, der ohne jede Rückfrage eine Erweiterung einrichtet, die für die allermeisten vollkommen nutzlos ist, aber viele Probleme verursacht.

    Zitat von PIGSgrame


    Anders verhält es sich mit Erweiterungen. Auch Erweiterungen können kompilierte Teilmodule enthalten (vgl. Flashgot, Autohide, Tidy u.a.), haben in der Regel aber weniger weitreichende Rechte und ergänzen oft nur die Firefox-Oberfläche.


    Das ist eine Fehlannahme. Erweiterungen erhalten alle Rechte, die auch Firefox selbst hat. Und dieser hat die Rechte des Benutzers. Und damit in der Regel Admin-Rechte. Mit Hilfe einer entsprechenden Erweiterung, kann man problemlos alles machen, was man mit ActiveX auch kann. Der Erweiterungsentwickler ist nicht darauf beschränkt, nur die von Firefox bereit gestellten Funktionen zu nutzen, sondern kann eigene Programme einbetten. Um es platt auszudrücken. Eine Erweiterungen ist nichts anderes als eine exe-Datei. Daher muss man sehr aufpassen, was für eine Erweiterung man installiert. Man könnte über eine Erweiterung auch ein Plugin inkl. dem dazugehörigen Programm installieren. Und auch könnte der Entwickler das so machen, dass man das als Anwender nicht mitbekommt und denkt ich hab mir nur eine Erweiterung installiert, die einen zusätzlichen Menu-Eintrag im Firefox bewirkt.

    Das die Manipulation lokal durch andere Software immer und bei jedem Programm besteht, ist aber genauso wie der Umstand, dass die Webinstallation von Erweiterungen durch Mozilla gut abgesichert ist, absolut richtig.

    Nur sind akzeptierte Erweiterungen halt nicht weniger gefährlich wie die eben genannten exe-Dateien.

    Verbessert mich, wenn meine Information diesbezüglich veraltet sind.

    Erweiterungen erhalten in der Tat die Rechte des Benutzers, es gibt nicht etwa eine Sandbox oder eine vergleichbare Technologie, die unerwünschte Vorgänge verhindern könnte.
    Trotzdem würde ich Erweiterungen weder mit ActiveX noch mit Plugins vergleichen. Ich bin nämlich der Meinung, dass man per Erweiterung kein lokales Programm direkt in die Ausgabe der Gekko-Engine einbetten kann. Allerdings bin ich mir hier nicht ganz sicher. Statt "Rechte" wäre in meinem oben zitierten Satz also das Wort "Möglichkeiten" treffender gewsen.

    Dass man Erweiterungen ein vorkomplities Programm oder eine DLL mitgeben kann, habe ich ja schon erwähnt und ich bin sehr wohl ebenfalls der Ansicht, dass man damit Unsinn treiben kann. Wie weit die Möglichkeiten von Erweiterungen reichen, siet man an diversen Online-Malwarescannern, die mittels einer Erweiterung mit den lokalen Dateien auf dem (Windows-)Rechner kommunizieren können.

    Trotzdem glaube ich, dass man mit Erweiterungen weniger anstellen kann als mit Plugins. Damit möchte ich aber nicht in Abrede stellen, dass auch Erweiterungen eine Gefahr darstellen können. Die Absicherung durch den Firefox ist allerdings sehr umfangreich, Plugins können gar nicht, Erweiterungen nur nach deutlichem Hinweis von Webseiten installiert werden und in diesem Mechanismus ist keine Lücke bekannt. Eine bösartige Erweiterung kann also nicht "durchschlüpfen", sondern man kann allenfalls den unbedarften User dazu bringen, die Erweiterung bewusst zu akzeptieren.

    FF ist Open Source, binnen kurzem fällt sowas auf, oder nicht?

    Ich halte das für eine angeblich verkaufsfördernde Schlagzeile, und mehr nicht!

    @ vommie

    Zitat

    Auf den Kontoauszügen von Chip.


    ahnte ichs doch! :wink:

    Zitat von Boersenfeger

    FF ist Open Source, binnen kurzem fällt sowas auf, oder nicht?

    Was meinst du mit "sowas"? Dass Firefox selbst keine Schadsoftware enthält, steht außer Frage. Das Problem ist aber eben, dass man per Erweiterung oder Plugin Scadsoftware einspielen könnte, auch wenn es von außen (also per Website) nicht einfach ist.

    Zitat von Boersenfeger

    Ich halte das für eine angeblich verkaufsfördernde Schlagzeile, und mehr nicht!

    Logisch. Chip zeigt sich hier mal wieder klar von ihrer besten Seite, ich denke, das bedarf keiner weiteren Diskussion.

    Mit "sowas" meine ich, das es der Nutzergemeinde bald auffällt, wenn eine Erweiterung Schad-Code einbringt. Der User selber ist der Verantwortliche. Erweiterungen von den bekannten Seiten sind wohl sicher, andere werden von mir zunächst ausreichend ( hoffentlich) beobachtet, (in Foren etc.) bevor ich sie installiere!
    Allerdings ist mein Bedarf zur Zeit gedeckt, so das ich erstmal keine weiteren installieren werde!
    Ich behaupte das der Fuchs sicherer ist, als der Internet Explorer, was das angeht, bzw im Allgemeinen :wink:

    Die gemeinhin bekannten Erweiterungen sind natürlich sicher, aber für eine bösartige Seite kann man ja eine eigene Erweiterung zusammenzimmern, die man dann natürlich nicht AMO anbietet.

    Natürlich hast du völlig recht: Auch wenn man mit Erweiterungen theoretisch Unheil anrichten kann, muss man den Benutzer erstmal dazu bringen, sie zu installieren. Da es keine gewollte oder ungewollte Möglichkeit gibt, eine Erweiterung von einer Website aus einfach unterzuschieben, muss man den User dazu bringen, sie bewusst zu akzeptieren. Klar, dass darauf nur absolute Laien hereinfallen. Wer unbekannte Erweiterungen von einer unbekannten Website annimmt (und dazu erst die unbekannte Website freischaltet, dann auf einen Install-Link klickt, 3 Sekunden wartet und auf OK klickt), der hat ganz sicher bereits andere PC-Probleme :wink:

    Insofern sage auch ich: Obwohl man mit Erweiterung vieles machen kann, geht von ihnen keine nennenswerte Gefahr aus.