Sicherheit des Firefoxes

  • Das mit dem anderen Theme stimmt (leider) so nicht. Das ist ja gerade der Witz an der Sache, dass es per XUL mit jedem installierten Theme funktioniert. Ich konnte das z.B. mit dem iCandy jr. nachvollziehen.

    Was man aber machen kann: unter "Extras - Einstellungen - Webfeatures - Javascript erweitert" alle Häkchen entfernen. Dann wären nämlich auf so einer phishing-Seite jeweils zwei Menü- und Statusleisten sichtbar. Wem das dann nicht auffällt, der sollte lieber seinen Internetzugang kündigen... :wink:

    Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.8.0.2) Gecko/20060308 Firefox/1.5.0.2

  • Übles Ding. Hoffe das wird in kommenden Releases unterbunden.

    Allerdings leicht zu erkennen. Zumindest bei mir. Einerseits wird das Interface in default-Einstellung angezeigt (Ich hab keine Googlebar, keinen Stopbutton und kleine Icons ... ausserdem fehlt die Lesezeichenbar).

    Und da ich in meiner user.js noch folgende Einträge stehen hab:

    Zitat

    user_pref("dom.disable_window_open_feature.resizable", true);
    user_pref("dom.disable_window_open_feature.minimizable", true);
    user_pref("dom.disable_window_open_feature.menubar", true);
    user_pref("dom.disable_window_open_feature.location", true);


    Hab ich das Interface doppelt. Das fällt mir dann ganz besonders auf. : )

  • irgendwie ist mir der die Funktion und Zweck von SpoofStick schleierhaft, Iusser das in einer separaten Statusbar nocheinmal die Adresse angegeben wird, die wie ich bemerkte, nicht immer korrekt wiedergegeben wird (unterschiedliche adressangabe bei öffnen eines Links im selben Tab und öffenen in einem neuen Tab) wie es sogar bei diesem Forum geschieht.

    Eine Erklärung für einen Nicht-Informatiker wäre nett, da ich in vielen Diskussionen hier nur Bahnhof verstehe.

    LG
    Laird

  • @ bugcatcher

    Ich habe die TBE installiert und so eingestellt, dass statt eines neuen Browserfenster nur noch TAB's geöffnet werden können. So kann ich den Trick sofort erkennen.

  • Zitat von silvia

    wenn ich richtig liege siehst du damit einfach ob der Url auch der
    tatsächliche ist und nicht eine Pseudowebsite dargestellt wird die mit der
    eigentlichen Website nichts gemein hat.

    Zitat von LonesomeWolf

    wenn ich im Fx den Frame, neu laden lasse, bekomme ich auch die orginale Adresse angezeigt. Übrigens braucht man nur auf einen Link zu zeigen und schon bekommt man unten die orginale Adresse angezeigt.


    Möglicherweise werfe ich hier zwei verschiedene Dinge in einen Topf. Das Eine ist eine "gefälschte" URL, das Andere ist eine Weiterleitung (=Redirects?) auf eine andere Seite.
    Ich kapier´s nicht richtig und würde darum gerne nochmal das Beispiel http://www.kazaa.tk nehmen:
    Wenn man jetzt hier auf den Link geht, kriegt man wieder http://www.kazaa.tk angezeigt, also NICHT die tatsächliche Zieladresse.
    Wenn man dem Link folgt, wird im Adreßfenster auch nur ...tk angezeigt, also wieder NICHT die tatsächliche Zieladresse.
    Die Zieladresse lautet nämlich
    http://www.mp5networks.com/site/index.asp….net&d=kazaa.tk
    und daran könnte auch ein Blinder mit ´nem Krückstock sehen, daß da evtl. was nicht stimmt.
    Die Oreiginaladresse kriege ich im Firefox eben NICHT zu sehen, wenn ich dem ...tk-Link folge. Auch nicht mit dem SpoofStick.

    Es hätte da doch jetzt ein Link stehen können, wie z.B. http://www.ebay.tk und die Seite sieht auch genauso aus. In Wirklichkeit lautet die Adresse aber http://www.mustermann.de.
    Ist das denn nicht auch eine Pseudo-Webseite, und wo kann man das im Firefox erkennen??
    Natürlich, man sieht es in diesem Fall an der Endung "tk". Aber kann man das immer daran erkennen? Und selbst wenn ja, man kann es leicht übersehen und ANfängern würde es vielleicht gar nicht erst auffallen.

    Zitat von silvia

    Den Patch den du meinst ist wahscheindlich der für die 0.91 Version des FUX. ftp://ftp.mozilla.org/pub/mozilla.or…/shellblock.xpi

    Ne, ich glaub der shellblock hat damit nichts zu tun, das ist auch älter. Der kam genau ein Tag später raus, nachdem ich zu Firefox übergewechselt war :wink:

    Also weder Shellblock noch Spoofstick helfen da meiner Meinung nach weiter :?

  • Die Spoofing-Sache fliegt natürlich sofort auf, wenn man nur mit Tabs arbeitet. Und eigentlich checkt man's ja auch sofort, wenn man irgendwas verändert hat (Toolbar). Ich kann mir allerdings schon vorstellen, daß der unbedarfte, ahnungslose, nichtswissende Internet-Surfer auf sowas reinfällt. Aber dazu muß man ja erstmal auf so eine Site kommen - ist ja nicht so, daß sowas von ganz allein im Browserfenster angezeigt wird...

  • Libby,
    jetzt mal ganz blöd nachgefragt: wieso fliegt das auf, wenn man mit Tabs arbeitet, ich sehe da keinen großen Unterschied.

    Und schreibt sich der Firefox nicht die Sicherheit groß auf die Fahne?
    Das Argument "aaach, das kommt soooo selten vor" ist nicht unbedingt vertrauenserweckend. Denn wie groß das Risiko tatsächlich ist, das kann ich (und viele andere bestimmt auch) nicht beurteilen. Man muß da schon den "Spezialisten" vertrauen. Und daß die gerne mal was unter den Teppich kehren, ist ja wohl bekannt.
    Daher wäre vielen "gar kein Risiko" bestimmt lieber als "nur ein geringes" Risiko.
    Erinnert mich irgendwie an "ein bißchen Schwanger" :)

    Außerdem habe ich den Eindruck, daß die Sache mit den gefälschten Seiten schwer im Kommen ist.

    Ok, generell darf man sich nie auf die Software komplett verlassen, Schwachstellen kann es immer geben. Und wenn man ein wenig die Augen aufsperrt, dann kann man schon einiges vermeiden.
    Von ganz allein wird sowas nicht im Browserfenster angezeigt, da hast Du natürlich Recht :)
    Dennoch sind die User das größte Risiko und meiner Meinung nach muß die Software entsprechend angepaßt sein, um schlimmeres zu verhindern.

  • Libby,

    jein.

    Ja, sowas MUß auffallen, wenn die Seite so angezeigt wird wie in Deinem Beispiel.

    Nein, die Seite wird bei mir anders angezeigt als bei Dir. Frag mich nicht wieso, keine Ahnung.
    Wenn ich in
    http://www.nd.edu/~jsmith30/xul/test/spoof.html
    den Link für die Firefox versions anklicken will, dann steht "in neuem Tab öffnen" erstmal gar nicht zur Verfügung, also wird die Seite im neuen Fenster geöffnet, ohne den doppelten Kopf wie bei Dir.
    Allerdings merkt man es in dem Beispiel trotzdem noch leicht, daß da was nicht stimmt

    Unter http://www.intern.de/news/5875.html steht auch was interessantes dazu.
    Sch..ß Java!

  • bei mir kommt auch grad ein neuer tab mit doppelter leiste.
    ich schiebs mal auf die tabbrowser extensions, die ich dahingehend eingestellt habe, dass sie ALLES in einem neuen tab öffnen, sofern nichts anderes verlangt.

    fällt dann schon auf.

    Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.8.0.3) Gecko/20060426 Firefox/1.5.0.3 +Tabmixplus + adblock plus + Cookieculler
    ~Charamel
    ~ Pegasus V4.31 ~ :þ ... die schärfsten Kritiker der Elche / waren früher selber welche (oder sind es noch)....

  • Das Problem mit dem Nicht-Installieren-können bei Firefox mit Themes/Themen hatte ich auch. (man klickt, nichts
    passiert)

    Ich habe ewig rumgesucht, und dann aufgegeben.

    Jetzt durch Zufall gefunden:

    Ich war so auf Sicherheit bedacht, unter Einstellungen" - "Erweitert" - "Software-Update" die Option "Websites das Installieen von Software erlauben" auszuschalten.

    Nach dem Einschalten gings!

    Grüße

    clerus

  • Typischer IE-Reflex. Um den Browser ansatzweise sicher zu bekommen, sollte mal alles, aber auch wirklich alles deaktivieren.

    Dummerweise gilt das NUR für IE. Bei allen anderen Browser ist bei solchen Einstellungen dann richtig "Schotten-dicht", weil die Sicherheit ernst nehmen und in der Grundeinstellung schon nur wenige lücken haben. Und beim Mozilla werden bekannte Stellen meist innerhalb kurzer Zeit geflickt. Wer also seinen Firefox aktuell hält, kann auf dessen Kastration verzichten.

  • Zitat von bird

    Hab gerade die Version 0.9.3 installiert und leider festgestellt dass diese Sicherheits Lücke nicht behoben wurde... :?

    Welche Lücke meinst du denn?


    ..and some might argue that the earth is flat
    ..and some might argue that smoking is not harmful
    ..and some might argue that even Windows XP has become stable