"Firefox aktualisieren"

Hallo @ schnell......
ja, hat es bei mir.

So, nachdem hier noch immer keine Lösung gefunden wurde... (Firefox gibt immer noch keinen Hinweis auf neue Updates, wenn man als User ohne Admin-Rechte arbeitet, "Firefox aktualisieren" ist nicht anwählbar)

Hier die Lösung, die bei mir funktioniert hat:

Man muß dem Verzeichnis in dem Firefox liegt (bei mir "Programme\Mozilla Firefox") für das User Konto folgende Rechte geben, indem man rechte Maustaste/Eigenschaften klickt, dann den TAB "Sicherheit"

Bei Gruppen- oder Benutzernamen folgende Häkchen setzen:
. Vollzugriff
. Ändern
. Schreiben

Somit hat das User Konto diese Rechte in dem "Mozilla Firefox" Verzeichnis.

Jetzt meine Frage: Handelt man sich damit ein Sicherheitsrisiko ein?

Ich finde es unmöglich daß Firefox es den Leuten, die auf Sicherheit achten und deshalb ohne Admin-Rechte arbeiten - das Leben so schwer macht.

Abschließend ein guter Link zu diesem Problem:
http://www.fz-juelich.de/jsc/sicherheit…efox-update.htm

Zitat von SledgeFox

Hier die Lösung, die bei mir funktioniert hat:

Man muß dem Verzeichnis in dem Firefox liegt (bei mir "Programme\Mozilla Firefox") für das User Konto folgende Rechte geben, indem man rechte Maustaste/Eigenschaften klickt, dann den TAB "Sicherheit"

Bei Gruppen- oder Benutzernamen folgende Häkchen setzen:
. Vollzugriff
. Ändern
. Schreiben

Somit hat das User Konto diese Rechte in dem "Mozilla Firefox" Verzeichnis.

Jetzt meine Frage: Handelt man sich damit ein Sicherheitsrisiko ein?

Und was für eins!

Die gesamte Sicherheitskonzeption moderner Betriebssysteme wird damit vollständig ausgehebelt. Und das ausgerechnet bei einem Browser. Unter dem Gesichtspunkt der Sicherheit durch getrennte Benutzerrechte ist der FF damit nicht mehr vertrauenswürdig. (Nebenbei: Vollzugriff schließt alle Rechte mit ein, Häkchen bei Ändern und Schreiben sind damit automatisch gesetzt, insofern sind 2 Drittel der Anleitung redundant.)

Übrigens: Außer den bereits in der Vergangenheit genannten Lösungsmöglichkeiten braucht man nur hin und wieder im Hilfemenü "Versionshinweise" aufzurufen und man sieht sofort, ob es eine neuere Version gibt.

Hallo Cosmo!

Danke für Deine Antwort.

Zitat

Die gesamte Sicherheitskonzeption moderner Betriebssysteme wird damit vollständig ausgehebelt.

Dadurch daß Firefox nun in sein eigenes Verzeichnis schreiben darf? Denn andere Verzeichnisse sind weiterhin schreibgeschützt...

Welches große Sicherheitsproblem entsteht hier?

Gedankenspiel:
Der Fx enthält eine Sicherheitslücke bei der der Angreifer Code auf deinem System ausführen kann. Dadurch erhält er die Möglichkeit in Verbindung mit den von dir gewährten Schreibrechten deine Fx-Installation zu manipulieren. Unbemerkt von dir könnte er damit sämtliche Aktionen innerhalb des Browsers verfolgen. Startest du den Fx einmal mit Admin-Rechten, könnte sich ein derart manipulierter Fx auch als Einfallstor für das übrige System nutzen lassen.

Btw.
Ist sowohl der hier von mir eingebrachte Workaround als auch solche Maßnahmen wohl bald überflüssig.
https://www.camp-firefox.de/forum/viewtopi…=609412#p609412

Vielen Dank für Deine Ausführungen boardraider!

Diesen kann ich folgen, deshalb habe ich nun wieder die Rechte zurückgestellt, sodaß ich als User nicht mehr in das Firefox Verzeichnis schreiben darf.

Mich hat vor allem genervt, daß man als User keine Mitteilung bekommt, wenn ein Update verfügbar ist. Wenn ich jeden Tag auf Versionshinweise klicken muß, so wie Cosmo es vorschlug, kann ich gleich auf die Firefox Hauptseite schauen.

Im Firefox 2 hat der Updateprozess auch als User wunderbar funktioniert, was war denn damals eigentlich anders?

Hoffentlich kommt im Firefox 3.6 nun diese Updateprüfung, wie sie in Deinem Link angekündigt wird.

Warum lädst du dir die Installationsdatei nicht einfach herunter und installierst dann Firefox?

Quelle: SledgeFox

Zitat von SledgeFox

Im Firefox 2 hat der Updateprozess auch als User wunderbar funktioniert, was war denn damals eigentlich anders?

Der Updateprozess kann insofern nicht anders gewesen sein, als Schreibrechte für das Verzeichnis erforderlich sind. Damals müssen diese also bei dir vorhanden gewesen oder überhaupt durchsetzbar (beachte Dateisystem) sein.

Zitat

Hoffentlich kommt im Firefox 3.6 nun diese Updateprüfung, wie sie in Deinem Link angekündigt wird.

Diese sollte laut Status bereits in der Beta 4 drin sein.

Da hast du natürlich nicht Unrecht, deswegen war es nur ein "Gedankenspiel" und keine Einschätzung der realen Lage.

@ Boersenfeger: Weil es darum überhaupt nicht geht. Ich kann natürlich auch den Firefox als Administrator starten, auf Updates checken und wenn vorhanden - installieren.

Es geht um die Unfähigkeit von Firefox, auf Updates aufmerksam zu machen wenn man nicht Admin ist.

Zitat von boardraider

Quelle: SledgeFox

Der Updateprozess kann insofern nicht anders gewesen sein, als Schreibrechte für das Verzeichnis erforderlich sind. Damals müssen diese also bei dir vorhanden gewesen oder überhaupt durchsetzbar (beachte Dateisystem) sein.

Der Updateprozess damals hatte auch keine Schreibrechte. Aber Firefox wies auf neue Updates hin, dann klickt man "installieren" und man bekommt eine User Account Abfrage, gibt sein Admin Passwort ein und alles ist erledigt. Das war richtig praktisch. Haben KD und ich aber schon auf den früherer Seiten ausführlich beschrieben.

Nun hoffe ich - und sicher viele andere Leute die auf Sicherheit Wert legen und deshalb nicht als Admin surfen - auf Firefox 3.6

Zitat

Aber Firefox wies auf neue Updates hin, dann klickt man "installieren" und man bekommt eine User Account Abfrage, gibt sein Admin Passwort ein und alles ist erledigt.

Zu windowsspezifischen Dingen kann ich wenig sagen, unter verschiedenen Linux-Distributionen war dies so nie der Fall.

Zitat von SledgeFox

Es geht um die Unfähigkeit von Firefox, auf Updates aufmerksam zu machen wenn man nicht Admin ist.

Über dieses Übel sind wir uns sicherlich einig. Und die Ignoranz Mozilla gegenüber diese Thematik ist schon ein Armutszeugnis von Leuten, die für sich in Anspruch nehmen, den sichersten Browser der Welt anzubieten (was bei veralteten Versionen mit dokumentierten Sicherheitslücken ein Ding der Unmöglichkeit ist). Da Benutzer, die keine zeitnahe - vorzugsweise automatische - Information erhalten, logischerweise nicht updaten können, ist diese Design-Fehlentscheidung in letzter Konsequenz ein Fakt, der die eigene Aussage zur Unwahrheit werden läßt. Technische Gründe gibt es dafür keine, denn wenn zum Beispiel Forcastbar mir unaufgefordert die aktuelle Wetterlage mitteilen kann, dann kann das auch der Browser selber bezüglich der eigenen Aktualität. (Es würde ja schon reichen, wenn zum Beispiel der Throbber sich bei nicht aktueller Version rot färben würde.)

Leider ist die Welt nicht perfekt, die Mozilla-Welt stellt da keine Ausnahme dar.

Nur darf man deswegen eben nicht in den Fehler verfallen, eine wesentlich größere Sicherheitslücke zu öffnen, um das derzeit Unmögliche doch möglich zu machen. Ich hatte hier bereits mehrfach auf heise security als News-Feed hingewiesen, abonniert kommt der (bei mir im Thunderbird) automatisch, sehr zeitnah und ich kann reagieren, während viele Benutzer noch mit ihrer alten Gurke - häufig genug zusätzlich mit administrativen Rechten - Schadware die grüne Ampel zeigt.

Vielen Dank nochmals an euch beide, boardraider und Cosmo. Für eure Zeit und Mühe. :klasse:

Cosmo, Dein Post war auf den Punkt, genau so sehe auch ich diese Sache. Hoffen wir daß Firefox 3.6 es besser macht. Wie vorher schon gesagt, habe ich die Schreibrechte für den User-Account wieder zurückgenommen, nachdem boardraider mir auf Seite 6 eine mögliche Sicherheitslücke zur Aufmerksamkeit brachte.

Hoffe, daß unsere Unterhaltung vielleicht auch anderen Firefox Benutzern nützlich war.

Wünsche euch beiden schöne und besinnliche Weihnachten! <;)

Zitat von .Ulli

Kann es sein, du liest nicht alle Beiträge eines Themas ?

Ich habe sogar diesen von SledgeFox gelesen, der sich unmittelbar unter dem meinigen befindet und ich habe dort auch gelesen:

Zitat von SledgeFox

Cosmo, Dein Post war auf den Punkt, genau so sehe auch ich diese Sache.

"Kann es sein", daß du provozieren willst? Denn offenkundig hast du eben das getan, was du mir vorwirfst oder - wahrscheinlicher - du filterst bewußt das, was dir nicht paßt. Gut, daß du dein Verhalten so gut nachvollziehbar vorgeführt hast. Diskutieren kann man so nicht, jedenfalls nicht mit mir. Du darfst dich aber mit dem Ignore-Filter weiter lächerlich machen.

EOD

// Oh, Leute...... ist heute zu kalt draussen oder was?

Zitat von Brummelchen

Bevor ihr euch da noch weiter gegenseitig beweihräuchert...
http://www.wilderssecurity.com/showthread.php…735#post1589735

Ich sehe einen Thread über DefenseWall, ja und?

Zitat von Brummelchen

Updateprüfung schön und gut, der Rest bleibt!

Welcher? Meinst du das ...

Zitat von Brummelchen

Je nachdem, wieviele Erweiterungen du drin hast, sogar mehrfach am Tag.

Was hat das damit zu tun? Update-Erinnerungen für Erweiterungen erhalte ich im eingeschränkten Konto alle paar Tage (Maone sei Dank). Und warum sollte das auch anders sein? Sie werden im Benutzerkontext im Benutzerkonto gespeichert. Für Erweiterungen klicke ich nicht ein einziges Mal auf Versionshinweise - und was soll mir das in Bezug auf Erweiterungen überhaupt bringen? Eine bessere Alternative für diesen Klick (in Bezug auf den Browser) hatte ich übrigens oben ebenfalls genannt. Infolgedessen klicke ich dort gar nicht.

Was den Rest betrifft: Ich erinnere mich, daß wir das Thema und speziell den Sinn der Update-Erinnerung für LUA schon einmal hatten, das muß nicht alles noch einmal geschrieben werden. Deswegen nur als Erinnerung: Mir fallen auf Anhieb mindestens 2 Multiplattform-Programme ein, die damit keine Probleme haben (OpenOffice und Virtual Box). Du magst Update-Erinnerungen für LUA für Blödsinn halten, ich halte diesen Standpunkt für eben dieses.