"Firefox aktualisieren"

  • So, nachdem hier noch immer keine Lösung gefunden wurde... (Firefox gibt immer noch keinen Hinweis auf neue Updates, wenn man als User ohne Admin-Rechte arbeitet, "Firefox aktualisieren" ist nicht anwählbar)

    Hier die Lösung, die bei mir funktioniert hat:

    Man muß dem Verzeichnis in dem Firefox liegt (bei mir "Programme\Mozilla Firefox") für das User Konto folgende Rechte geben, indem man rechte Maustaste/Eigenschaften klickt, dann den TAB "Sicherheit"

    Bei Gruppen- oder Benutzernamen folgende Häkchen setzen:
    . Vollzugriff
    . Ändern
    . Schreiben

    Somit hat das User Konto diese Rechte in dem "Mozilla Firefox" Verzeichnis.

    Jetzt meine Frage: Handelt man sich damit ein Sicherheitsrisiko ein?

    Ich finde es unmöglich daß Firefox es den Leuten, die auf Sicherheit achten und deshalb ohne Admin-Rechte arbeiten - das Leben so schwer macht. :(

    Abschließend ein guter Link zu diesem Problem:
    http://www.fz-juelich.de/jsc/sicherheit…efox-update.htm

  • Zitat von SledgeFox

    Hier die Lösung, die bei mir funktioniert hat:

    Man muß dem Verzeichnis in dem Firefox liegt (bei mir "Programme\Mozilla Firefox") für das User Konto folgende Rechte geben, indem man rechte Maustaste/Eigenschaften klickt, dann den TAB "Sicherheit"

    Bei Gruppen- oder Benutzernamen folgende Häkchen setzen:
    . Vollzugriff
    . Ändern
    . Schreiben

    Somit hat das User Konto diese Rechte in dem "Mozilla Firefox" Verzeichnis.

    Jetzt meine Frage: Handelt man sich damit ein Sicherheitsrisiko ein?


    Und was für eins!

    Die gesamte Sicherheitskonzeption moderner Betriebssysteme wird damit vollständig ausgehebelt. Und das ausgerechnet bei einem Browser. Unter dem Gesichtspunkt der Sicherheit durch getrennte Benutzerrechte ist der FF damit nicht mehr vertrauenswürdig. (Nebenbei: Vollzugriff schließt alle Rechte mit ein, Häkchen bei Ändern und Schreiben sind damit automatisch gesetzt, insofern sind 2 Drittel der Anleitung redundant.)

    Übrigens: Außer den bereits in der Vergangenheit genannten Lösungsmöglichkeiten braucht man nur hin und wieder im Hilfemenü "Versionshinweise" aufzurufen und man sieht sofort, ob es eine neuere Version gibt.

  • Hallo Cosmo!

    Danke für Deine Antwort. :)

    Zitat

    Die gesamte Sicherheitskonzeption moderner Betriebssysteme wird damit vollständig ausgehebelt.


    Dadurch daß Firefox nun in sein eigenes Verzeichnis schreiben darf? Denn andere Verzeichnisse sind weiterhin schreibgeschützt...

    Welches große Sicherheitsproblem entsteht hier?

  • Gedankenspiel:
    Der Fx enthält eine Sicherheitslücke bei der der Angreifer Code auf deinem System ausführen kann. Dadurch erhält er die Möglichkeit in Verbindung mit den von dir gewährten Schreibrechten deine Fx-Installation zu manipulieren. Unbemerkt von dir könnte er damit sämtliche Aktionen innerhalb des Browsers verfolgen. Startest du den Fx einmal mit Admin-Rechten, könnte sich ein derart manipulierter Fx auch als Einfallstor für das übrige System nutzen lassen.

    Btw.
    Ist sowohl der hier von mir eingebrachte Workaround als auch solche Maßnahmen wohl bald überflüssig.
    https://www.camp-firefox.de/forum/viewtopi…=609412#p609412

  • Vielen Dank für Deine Ausführungen boardraider! :)

    Diesen kann ich folgen, deshalb habe ich nun wieder die Rechte zurückgestellt, sodaß ich als User nicht mehr in das Firefox Verzeichnis schreiben darf.

    Mich hat vor allem genervt, daß man als User keine Mitteilung bekommt, wenn ein Update verfügbar ist. Wenn ich jeden Tag auf Versionshinweise klicken muß, so wie Cosmo es vorschlug, kann ich gleich auf die Firefox Hauptseite schauen. ;)

    Im Firefox 2 hat der Updateprozess auch als User wunderbar funktioniert, was war denn damals eigentlich anders?

    Hoffentlich kommt im Firefox 3.6 nun diese Updateprüfung, wie sie in Deinem Link angekündigt wird.

  • Quelle: SledgeFox

    Zitat von SledgeFox

    Im Firefox 2 hat der Updateprozess auch als User wunderbar funktioniert, was war denn damals eigentlich anders?

    Der Updateprozess kann insofern nicht anders gewesen sein, als Schreibrechte für das Verzeichnis erforderlich sind. Damals müssen diese also bei dir vorhanden gewesen oder überhaupt durchsetzbar (beachte Dateisystem) sein.

    Zitat

    Hoffentlich kommt im Firefox 3.6 nun diese Updateprüfung, wie sie in Deinem Link angekündigt wird.

    Diese sollte laut Status bereits in der Beta 4 drin sein.

  • Zitat von boardraider

    Gedankenspiel:
    Der Fx enthält eine Sicherheitslücke bei der der Angreifer Code auf deinem System ausführen kann. [...]

    Nur ergänzt:
    Es gibt aber auch Biotope, bei dem das beschriebene Szenarium nicht anwendbar ist.

  • @ Boersenfeger: Weil es darum überhaupt nicht geht. Ich kann natürlich auch den Firefox als Administrator starten, auf Updates checken und wenn vorhanden - installieren.

    Es geht um die Unfähigkeit von Firefox, auf Updates aufmerksam zu machen wenn man nicht Admin ist.

    Zitat von boardraider

    Quelle: SledgeFox

    Der Updateprozess kann insofern nicht anders gewesen sein, als Schreibrechte für das Verzeichnis erforderlich sind. Damals müssen diese also bei dir vorhanden gewesen oder überhaupt durchsetzbar (beachte Dateisystem) sein.

    Der Updateprozess damals hatte auch keine Schreibrechte. Aber Firefox wies auf neue Updates hin, dann klickt man "installieren" und man bekommt eine User Account Abfrage, gibt sein Admin Passwort ein und alles ist erledigt. Das war richtig praktisch. Haben KD und ich aber schon auf den früherer Seiten ausführlich beschrieben.

    Nun hoffe ich - und sicher viele andere Leute die auf Sicherheit Wert legen und deshalb nicht als Admin surfen - auf Firefox 3.6

  • Zitat

    Aber Firefox wies auf neue Updates hin, dann klickt man "installieren" und man bekommt eine User Account Abfrage, gibt sein Admin Passwort ein und alles ist erledigt.

    Zu windowsspezifischen Dingen kann ich wenig sagen, unter verschiedenen Linux-Distributionen war dies so nie der Fall.

  • Zitat von SledgeFox

    Es geht um die Unfähigkeit von Firefox, auf Updates aufmerksam zu machen wenn man nicht Admin ist.


    Über dieses Übel sind wir uns sicherlich einig. Und die Ignoranz Mozilla gegenüber diese Thematik ist schon ein Armutszeugnis von Leuten, die für sich in Anspruch nehmen, den sichersten Browser der Welt anzubieten (was bei veralteten Versionen mit dokumentierten Sicherheitslücken ein Ding der Unmöglichkeit ist). Da Benutzer, die keine zeitnahe - vorzugsweise automatische - Information erhalten, logischerweise nicht updaten können, ist diese Design-Fehlentscheidung in letzter Konsequenz ein Fakt, der die eigene Aussage zur Unwahrheit werden läßt. Technische Gründe gibt es dafür keine, denn wenn zum Beispiel Forcastbar mir unaufgefordert die aktuelle Wetterlage mitteilen kann, dann kann das auch der Browser selber bezüglich der eigenen Aktualität. (Es würde ja schon reichen, wenn zum Beispiel der Throbber sich bei nicht aktueller Version rot färben würde.)

    Leider ist die Welt nicht perfekt, die Mozilla-Welt stellt da keine Ausnahme dar.

    Nur darf man deswegen eben nicht in den Fehler verfallen, eine wesentlich größere Sicherheitslücke zu öffnen, um das derzeit Unmögliche doch möglich zu machen. Ich hatte hier bereits mehrfach auf heise security als News-Feed hingewiesen, abonniert kommt der (bei mir im Thunderbird) automatisch, sehr zeitnah und ich kann reagieren, während viele Benutzer noch mit ihrer alten Gurke - häufig genug zusätzlich mit administrativen Rechten - Schadware die grüne Ampel zeigt.

  • Vielen Dank nochmals an euch beide, boardraider und Cosmo. Für eure Zeit und Mühe. :klasse:

    Cosmo, Dein Post war auf den Punkt, genau so sehe auch ich diese Sache. Hoffen wir daß Firefox 3.6 es besser macht. Wie vorher schon gesagt, habe ich die Schreibrechte für den User-Account wieder zurückgenommen, nachdem boardraider mir auf Seite 6 eine mögliche Sicherheitslücke zur Aufmerksamkeit brachte.

    Hoffe, daß unsere Unterhaltung vielleicht auch anderen Firefox Benutzern nützlich war.

    Wünsche euch beiden schöne und besinnliche Weihnachten! <;)

  • Bevor ihr euch da noch weiter gegenseitig beweihräuchert...
    http://www.wilderssecurity.com/showthread.php…735#post1589735

    Updateprüfung schön und gut, der Rest bleibt!

    Zitat

    Wenn ich jeden Tag auf Versionshinweise klicken muß,


    Je nachdem, wieviele Erweiterungen du drin hast, sogar mehrfach am Tag.

    Zitat

    was war denn damals eigentlich anders?


    Das Mozilla endlich Rücksicht auf Benutzerrechte genommen hat, statt sie dauernd zu übergehen?
    Und das war nicht nur hier so, viele Programme, die anfänglich allgemein arbeiteten,
    legen ihre Daten jetzt schön im Benutzerordner bzw entsprechendem Registryzweig ab.
    Sollte eigentlich seit NT4 so sein, aber kam erst mit XP richtig ins Rollen.
    Bei diversen Progammen, die ich selbst schon länger kenne, wundert es mich, dass
    sowas erst nach 1-2 Jahren praktiziert wird - einerseits ok, andererseits bedeutet es
    für mich speziell mehr Aufwand bei der Datensicherung zu diesem Programm.

    BTT Mozilla - hatte ich ja oben geschrieben, warum es für einen LUA immer noch Blödsinn
    ist, diese Meldung zu erlauben bzw zu aktivieren. Dass diese Option JETZT zugänglich ist,
    ist schon ok, per default wäre ich für "deaktiviert" (alternativ beim Setup nachfragen).

  • Zitat von Cosmo

    Über dieses Übel sind wir uns sicherlich einig. Und die Ignoranz Mozilla gegenüber diese Thematik [...]

    Kann es sein, du liest nicht alle Beiträge eines Themas ?

    Zitat von Cosmo

    [...] eine wesentlich größere Sicherheitslücke zu öffnen, [...]

    Was ist denn dann die "kleinere Sicherheitslücke" ?

  • Zitat von .Ulli

    Kann es sein, du liest nicht alle Beiträge eines Themas ?


    Ich habe sogar diesen von SledgeFox gelesen, der sich unmittelbar unter dem meinigen befindet und ich habe dort auch gelesen:

    Zitat von SledgeFox

    Cosmo, Dein Post war auf den Punkt, genau so sehe auch ich diese Sache.


    "Kann es sein", daß du provozieren willst? Denn offenkundig hast du eben das getan, was du mir vorwirfst oder - wahrscheinlicher - du filterst bewußt das, was dir nicht paßt. Gut, daß du dein Verhalten so gut nachvollziehbar vorgeführt hast. Diskutieren kann man so nicht, jedenfalls nicht mit mir. Du darfst dich aber mit dem Ignore-Filter weiter lächerlich machen.

    EOD

  • Zitat von Brummelchen

    Bevor ihr euch da noch weiter gegenseitig beweihräuchert...
    http://www.wilderssecurity.com/showthread.php…735#post1589735


    Ich sehe einen Thread über DefenseWall, ja und?

    Zitat von Brummelchen

    Updateprüfung schön und gut, der Rest bleibt!

    Welcher? Meinst du das ...

    Zitat von Brummelchen


    Je nachdem, wieviele Erweiterungen du drin hast, sogar mehrfach am Tag.


    Was hat das damit zu tun? Update-Erinnerungen für Erweiterungen erhalte ich im eingeschränkten Konto alle paar Tage (Maone sei Dank). Und warum sollte das auch anders sein? Sie werden im Benutzerkontext im Benutzerkonto gespeichert. Für Erweiterungen klicke ich nicht ein einziges Mal auf Versionshinweise - und was soll mir das in Bezug auf Erweiterungen überhaupt bringen? Eine bessere Alternative für diesen Klick (in Bezug auf den Browser) hatte ich übrigens oben ebenfalls genannt. Infolgedessen klicke ich dort gar nicht. ;)

    Was den Rest betrifft: Ich erinnere mich, daß wir das Thema und speziell den Sinn der Update-Erinnerung für LUA schon einmal hatten, das muß nicht alles noch einmal geschrieben werden. Deswegen nur als Erinnerung: Mir fallen auf Anhieb mindestens 2 Multiplattform-Programme ein, die damit keine Probleme haben (OpenOffice und Virtual Box). Du magst Update-Erinnerungen für LUA für Blödsinn halten, ich halte diesen Standpunkt für eben dieses.

  • Zitat von Cosmo

    "Kann es sein", daß du provozieren willst?

    Nö.
    Nach dem Beitrag

    Zitat von boardraider

    Ist sowohl der hier von mir eingebrachte Workaround als auch solche Maßnahmen wohl bald überflüssig.
    https://www.camp-firefox.de/forum/viewtopi…=609412#p609412

    Kam

    Zitat von Cosmo

    Und die Ignoranz Mozilla gegenüber diese Thematik ist schon ein Armutszeugnis von Leuten, [...]

    Da man hier nicht von Ignoranz sprechen kann, bleibt ja nicht viel.