Hallo @ schnell......
ja, hat es bei mir.
"Firefox aktualisieren"
-
tiare -
23. Juni 2008 um 09:23 -
Erledigt
-
-
So, nachdem hier noch immer keine Lösung gefunden wurde... (Firefox gibt immer noch keinen Hinweis auf neue Updates, wenn man als User ohne Admin-Rechte arbeitet, "Firefox aktualisieren" ist nicht anwählbar)
Hier die Lösung, die bei mir funktioniert hat:
Man muß dem Verzeichnis in dem Firefox liegt (bei mir "Programme\Mozilla Firefox") für das User Konto folgende Rechte geben, indem man rechte Maustaste/Eigenschaften klickt, dann den TAB "Sicherheit"
Bei Gruppen- oder Benutzernamen folgende Häkchen setzen:
. Vollzugriff
. Ändern
. SchreibenSomit hat das User Konto diese Rechte in dem "Mozilla Firefox" Verzeichnis.
Jetzt meine Frage: Handelt man sich damit ein Sicherheitsrisiko ein?
Ich finde es unmöglich daß Firefox es den Leuten, die auf Sicherheit achten und deshalb ohne Admin-Rechte arbeiten - das Leben so schwer macht.
Abschließend ein guter Link zu diesem Problem:
http://www.fz-juelich.de/jsc/sicherheit…efox-update.htm -
Zitat von SledgeFox
Hier die Lösung, die bei mir funktioniert hat:
Man muß dem Verzeichnis in dem Firefox liegt (bei mir "Programme\Mozilla Firefox") für das User Konto folgende Rechte geben, indem man rechte Maustaste/Eigenschaften klickt, dann den TAB "Sicherheit"
Bei Gruppen- oder Benutzernamen folgende Häkchen setzen:
. Vollzugriff
. Ändern
. SchreibenSomit hat das User Konto diese Rechte in dem "Mozilla Firefox" Verzeichnis.
Jetzt meine Frage: Handelt man sich damit ein Sicherheitsrisiko ein?
Und was für eins!Die gesamte Sicherheitskonzeption moderner Betriebssysteme wird damit vollständig ausgehebelt. Und das ausgerechnet bei einem Browser. Unter dem Gesichtspunkt der Sicherheit durch getrennte Benutzerrechte ist der FF damit nicht mehr vertrauenswürdig. (Nebenbei: Vollzugriff schließt alle Rechte mit ein, Häkchen bei Ändern und Schreiben sind damit automatisch gesetzt, insofern sind 2 Drittel der Anleitung redundant.)
Übrigens: Außer den bereits in der Vergangenheit genannten Lösungsmöglichkeiten braucht man nur hin und wieder im Hilfemenü "Versionshinweise" aufzurufen und man sieht sofort, ob es eine neuere Version gibt.
-
Hallo Cosmo!
Danke für Deine Antwort.
ZitatDie gesamte Sicherheitskonzeption moderner Betriebssysteme wird damit vollständig ausgehebelt.
Dadurch daß Firefox nun in sein eigenes Verzeichnis schreiben darf? Denn andere Verzeichnisse sind weiterhin schreibgeschützt...Welches große Sicherheitsproblem entsteht hier?
-
Gedankenspiel:
Der Fx enthält eine Sicherheitslücke bei der der Angreifer Code auf deinem System ausführen kann. Dadurch erhält er die Möglichkeit in Verbindung mit den von dir gewährten Schreibrechten deine Fx-Installation zu manipulieren. Unbemerkt von dir könnte er damit sämtliche Aktionen innerhalb des Browsers verfolgen. Startest du den Fx einmal mit Admin-Rechten, könnte sich ein derart manipulierter Fx auch als Einfallstor für das übrige System nutzen lassen.Btw.
Ist sowohl der hier von mir eingebrachte Workaround als auch solche Maßnahmen wohl bald überflüssig.
https://www.camp-firefox.de/forum/viewtopi…=609412#p609412 -
Vielen Dank für Deine Ausführungen boardraider!
Diesen kann ich folgen, deshalb habe ich nun wieder die Rechte zurückgestellt, sodaß ich als User nicht mehr in das Firefox Verzeichnis schreiben darf.
Mich hat vor allem genervt, daß man als User keine Mitteilung bekommt, wenn ein Update verfügbar ist. Wenn ich jeden Tag auf Versionshinweise klicken muß, so wie Cosmo es vorschlug, kann ich gleich auf die Firefox Hauptseite schauen.
Im Firefox 2 hat der Updateprozess auch als User wunderbar funktioniert, was war denn damals eigentlich anders?
Hoffentlich kommt im Firefox 3.6 nun diese Updateprüfung, wie sie in Deinem Link angekündigt wird.
-
Warum lädst du dir die Installationsdatei nicht einfach herunter und installierst dann Firefox?
-
Zitat von SledgeFox
Im Firefox 2 hat der Updateprozess auch als User wunderbar funktioniert, was war denn damals eigentlich anders?
Der Updateprozess kann insofern nicht anders gewesen sein, als Schreibrechte für das Verzeichnis erforderlich sind. Damals müssen diese also bei dir vorhanden gewesen oder überhaupt durchsetzbar (beachte Dateisystem) sein.
ZitatHoffentlich kommt im Firefox 3.6 nun diese Updateprüfung, wie sie in Deinem Link angekündigt wird.
Diese sollte laut Status bereits in der Beta 4 drin sein.
-
-
Da hast du natürlich nicht Unrecht, deswegen war es nur ein "Gedankenspiel" und keine Einschätzung der realen Lage.
-
@ Boersenfeger: Weil es darum überhaupt nicht geht. Ich kann natürlich auch den Firefox als Administrator starten, auf Updates checken und wenn vorhanden - installieren.
Es geht um die Unfähigkeit von Firefox, auf Updates aufmerksam zu machen wenn man nicht Admin ist.
Zitat von boardraiderDer Updateprozess kann insofern nicht anders gewesen sein, als Schreibrechte für das Verzeichnis erforderlich sind. Damals müssen diese also bei dir vorhanden gewesen oder überhaupt durchsetzbar (beachte Dateisystem) sein.
Der Updateprozess damals hatte auch keine Schreibrechte. Aber Firefox wies auf neue Updates hin, dann klickt man "installieren" und man bekommt eine User Account Abfrage, gibt sein Admin Passwort ein und alles ist erledigt. Das war richtig praktisch. Haben KD und ich aber schon auf den früherer Seiten ausführlich beschrieben.
Nun hoffe ich - und sicher viele andere Leute die auf Sicherheit Wert legen und deshalb nicht als Admin surfen - auf Firefox 3.6
-
Zitat
Aber Firefox wies auf neue Updates hin, dann klickt man "installieren" und man bekommt eine User Account Abfrage, gibt sein Admin Passwort ein und alles ist erledigt.
Zu windowsspezifischen Dingen kann ich wenig sagen, unter verschiedenen Linux-Distributionen war dies so nie der Fall.
-
Zitat von SledgeFox
Es geht um die Unfähigkeit von Firefox, auf Updates aufmerksam zu machen wenn man nicht Admin ist.
Über dieses Übel sind wir uns sicherlich einig. Und die Ignoranz Mozilla gegenüber diese Thematik ist schon ein Armutszeugnis von Leuten, die für sich in Anspruch nehmen, den sichersten Browser der Welt anzubieten (was bei veralteten Versionen mit dokumentierten Sicherheitslücken ein Ding der Unmöglichkeit ist). Da Benutzer, die keine zeitnahe - vorzugsweise automatische - Information erhalten, logischerweise nicht updaten können, ist diese Design-Fehlentscheidung in letzter Konsequenz ein Fakt, der die eigene Aussage zur Unwahrheit werden läßt. Technische Gründe gibt es dafür keine, denn wenn zum Beispiel Forcastbar mir unaufgefordert die aktuelle Wetterlage mitteilen kann, dann kann das auch der Browser selber bezüglich der eigenen Aktualität. (Es würde ja schon reichen, wenn zum Beispiel der Throbber sich bei nicht aktueller Version rot färben würde.)Leider ist die Welt nicht perfekt, die Mozilla-Welt stellt da keine Ausnahme dar.
Nur darf man deswegen eben nicht in den Fehler verfallen, eine wesentlich größere Sicherheitslücke zu öffnen, um das derzeit Unmögliche doch möglich zu machen. Ich hatte hier bereits mehrfach auf heise security als News-Feed hingewiesen, abonniert kommt der (bei mir im Thunderbird) automatisch, sehr zeitnah und ich kann reagieren, während viele Benutzer noch mit ihrer alten Gurke - häufig genug zusätzlich mit administrativen Rechten - Schadware die grüne Ampel zeigt.
-
Vielen Dank nochmals an euch beide, boardraider und Cosmo. Für eure Zeit und Mühe. :klasse:
Cosmo, Dein Post war auf den Punkt, genau so sehe auch ich diese Sache. Hoffen wir daß Firefox 3.6 es besser macht. Wie vorher schon gesagt, habe ich die Schreibrechte für den User-Account wieder zurückgenommen, nachdem boardraider mir auf Seite 6 eine mögliche Sicherheitslücke zur Aufmerksamkeit brachte.
Hoffe, daß unsere Unterhaltung vielleicht auch anderen Firefox Benutzern nützlich war.
Wünsche euch beiden schöne und besinnliche Weihnachten! <;)
-
Bevor ihr euch da noch weiter gegenseitig beweihräuchert...
http://www.wilderssecurity.com/showthread.php…735#post1589735Updateprüfung schön und gut, der Rest bleibt!
ZitatWenn ich jeden Tag auf Versionshinweise klicken muß,
Je nachdem, wieviele Erweiterungen du drin hast, sogar mehrfach am Tag.Zitatwas war denn damals eigentlich anders?
Das Mozilla endlich Rücksicht auf Benutzerrechte genommen hat, statt sie dauernd zu übergehen?
Und das war nicht nur hier so, viele Programme, die anfänglich allgemein arbeiteten,
legen ihre Daten jetzt schön im Benutzerordner bzw entsprechendem Registryzweig ab.
Sollte eigentlich seit NT4 so sein, aber kam erst mit XP richtig ins Rollen.
Bei diversen Progammen, die ich selbst schon länger kenne, wundert es mich, dass
sowas erst nach 1-2 Jahren praktiziert wird - einerseits ok, andererseits bedeutet es
für mich speziell mehr Aufwand bei der Datensicherung zu diesem Programm.BTT Mozilla - hatte ich ja oben geschrieben, warum es für einen LUA immer noch Blödsinn
ist, diese Meldung zu erlauben bzw zu aktivieren. Dass diese Option JETZT zugänglich ist,
ist schon ok, per default wäre ich für "deaktiviert" (alternativ beim Setup nachfragen). -
Zitat von Cosmo
Über dieses Übel sind wir uns sicherlich einig. Und die Ignoranz Mozilla gegenüber diese Thematik [...]
Kann es sein, du liest nicht alle Beiträge eines Themas ?
Zitat von Cosmo[...] eine wesentlich größere Sicherheitslücke zu öffnen, [...]
Was ist denn dann die "kleinere Sicherheitslücke" ?
-
Zitat von .Ulli
Kann es sein, du liest nicht alle Beiträge eines Themas ?
Ich habe sogar diesen von SledgeFox gelesen, der sich unmittelbar unter dem meinigen befindet und ich habe dort auch gelesen:Zitat von SledgeFoxCosmo, Dein Post war auf den Punkt, genau so sehe auch ich diese Sache.
"Kann es sein", daß du provozieren willst? Denn offenkundig hast du eben das getan, was du mir vorwirfst oder - wahrscheinlicher - du filterst bewußt das, was dir nicht paßt. Gut, daß du dein Verhalten so gut nachvollziehbar vorgeführt hast. Diskutieren kann man so nicht, jedenfalls nicht mit mir. Du darfst dich aber mit dem Ignore-Filter weiter lächerlich machen.EOD
-
// Oh, Leute...... ist heute zu kalt draussen oder was?
-
Zitat von Brummelchen
Bevor ihr euch da noch weiter gegenseitig beweihräuchert...
http://www.wilderssecurity.com/showthread.php…735#post1589735
Ich sehe einen Thread über DefenseWall, ja und?Zitat von BrummelchenUpdateprüfung schön und gut, der Rest bleibt!
Welcher? Meinst du das ...
Zitat von Brummelchen
Je nachdem, wieviele Erweiterungen du drin hast, sogar mehrfach am Tag.
Was hat das damit zu tun? Update-Erinnerungen für Erweiterungen erhalte ich im eingeschränkten Konto alle paar Tage (Maone sei Dank). Und warum sollte das auch anders sein? Sie werden im Benutzerkontext im Benutzerkonto gespeichert. Für Erweiterungen klicke ich nicht ein einziges Mal auf Versionshinweise - und was soll mir das in Bezug auf Erweiterungen überhaupt bringen? Eine bessere Alternative für diesen Klick (in Bezug auf den Browser) hatte ich übrigens oben ebenfalls genannt. Infolgedessen klicke ich dort gar nicht.Was den Rest betrifft: Ich erinnere mich, daß wir das Thema und speziell den Sinn der Update-Erinnerung für LUA schon einmal hatten, das muß nicht alles noch einmal geschrieben werden. Deswegen nur als Erinnerung: Mir fallen auf Anhieb mindestens 2 Multiplattform-Programme ein, die damit keine Probleme haben (OpenOffice und Virtual Box). Du magst Update-Erinnerungen für LUA für Blödsinn halten, ich halte diesen Standpunkt für eben dieses.
-
Zitat von Cosmo
"Kann es sein", daß du provozieren willst?
Nö.
Nach dem BeitragZitat von boardraiderIst sowohl der hier von mir eingebrachte Workaround als auch solche Maßnahmen wohl bald überflüssig.
https://www.camp-firefox.de/forum/viewtopi…=609412#p609412Kam
Zitat von CosmoUnd die Ignoranz Mozilla gegenüber diese Thematik ist schon ein Armutszeugnis von Leuten, [...]
Da man hier nicht von Ignoranz sprechen kann, bleibt ja nicht viel.
-