Einschleusen von Schadcode in FF

  • Hallo,

    eine dumme Idee hat Besitz von mir ergriffen und lässt mich nicht wieder los. Leider gibt es zu diesem Thema weder hier noch im Netz konkrete Infos, deshalb versuche ich es mal bei den Profis hier ;-).

    Situation:
    ein Schädling gelangt auf mein System. Dieser tauscht eine in FF vorhandene Erweiterung gegen eine mit irgendwelchen Schadcode versehene Erweiterung aus.

    Nachdemdie GUID ja generell bekannt ist und sich auch das ProfilVZ relativ einfach ermitteln lässt, wäre dies doch eine Möglichkeit.

    Ich unterstelle mal, dass es einem guten Programmierer und Freak durchaus gelingen könnte, entsprechende JS-Routinen irgendwie unbemerkt in einer Erweiterung unterzubringen und zu aktivieren, die dann z.B. Benutzereingaben abfangen (Keylogger-ähnlich) oder Schadcode nachladen.

    Nun haben ja viele Scanner (Virenscanner/Malwarescanner) entsprechende Möglichkeiten, bestimmte Dateien zu überwachen bzw. diese mit einem read-only Attribut gegen Manipulation zu schützen.

    Ich habe das mal getestet und bemerkt, dass ein globales read-only des VZ Extension nicht möglich ist (Fehlermeldungen).
    Einzelne Addon-VZ hingegen (z.B. FireFTP) kann man so sichern.

    Meine Frage(n):

    - ist solch ein Szenario realistisch ?
    - ist sowas schon mal irgendwo bekannt geworden ?
    - sofern realistisch und möglich: wie könnte man sich davor schützen ?

    Merci für geistigen Input ;)

    Giovanni

    Meine aktuell benutzte Konfiguration !
    Nicht der Wind bestimmt die Richtung, sondern das Segel ! (Lao Xiang, China)
    Wandel und Wechsel liebt, wer lebt ! (Richard Wagner, Bayreuth)
    Seit wann sind wir dem Wähler - und nicht nur Gott - Rechenschaft schuldig ?! (CSU, München)

  • Zitat von liracon

    - ist solch ein Szenario realistisch ?

    Ja, durchaus. Zumindest realistisch im Sinne von "grundsätzlich denkbar". Mit JavaScript allein wird man kaum einen Keylogger realisieren können, aber man hat ja bekanntlich die Möglichkeit, Teile von Erweiterungen auch in kompilierten Hilfsanwendungen unterzubringen, die meist im Kontext des Firefox ausgeführt werden und deshalb von einigen Firewalls sicher übersehen würden. Aus Gründen, die ich gleich aufführen werde, halte ich diesen konkreten Angriff dennoch für unwahrscheinlich.

    Zitat von liracon

    - ist sowas schon mal irgendwo bekannt geworden ?

    Dieses konkrete Szenario ist mir noch nicht begenet, denn es ist unnötig umständlich. Klar kann man theoretisch Teile von Erweiterungen austauschen, aber die Schwachstelle liegt bereits ganz am Anfang deiner Beschreibung:

    Zitat von liracon

    ein Schädling gelangt auf mein System.

    Wenn das passiert ist, ist es bereits zu spät. Ein lokal ausgeführter Schädling kann beliebige Dinge mit den Rechten des angemeldeten Benutzers tun. Dies sind nicht selten Administratorrechte und das bedeutet, dass der Schädling z. B. beliebig DLL-Aufrufe in eine laufende und in der Firewall (sofern vorhanden) freigegebene Anwendung injizieren kann. Es ist überhaupt nicht nötig, eine Erweiterung zu "kapern". Diese Technik würde ja auch nur funktionieren, wenn eine bestimmte Erweiterung vorhanden ist und natürlich muss auch der Firefox installiert sein.

    Ein Schädling, der es bereits auf das System geschafft hat, wird also (fast) immer eigene Schadroutinen installieren und sich nicht darauf verlassen, dass ein bestimmtes Programm vorhanden ist. Wenn der Schädling schon Systemzugriff hat, dann installiert er einen eigenen Keylogger und manipuliert ggf. Daten selbst.

    Zitat von liracon

    - sofern realistisch und möglich: wie könnte man sich davor schützen ?

    Indem man folgendes bedenkt: Ein Schädling "kommt" nicht einfach so auf das System, sondern entweder über eine Sicherheitslücke oder über eine betrügerische Seite, die unter Vortäuschung falscher Tatsachen den unbedarften Surfer zu einer schädlichen Aktion (installieren eines "Codec-Updates") überreden wil. Die allgemeinen, tausendfach gebetsmühlenartig genannten und nicht speziell auf dein Szenario bezogenen Tipps greifen also auch hier:

    • Der meiner Meinung nach wichtigste Punkt, noch vor Sicherheitssoftware/-einstellungen, Benutzerrechten usw.: Aneignung entsprechenden Wissens, das die kritische Bewertung der Sinnhaftigkeit einer Online-Aktion ermöglicht ("Wenn mir die Seite wirklich kostenlose Software anbietet: Warum soll ich dann jetzt meine Adresse angeben?", "Wenn diese Seite möglichst vielen Besuchern kostenlose Videos anbieten will, warum verwendet sie dann einen völlig exotischen Codec, den anscheinend keiner hat und nicht Flash-Video oder DivX oder ...?")
    • Herunterladen von Software nur aus vertrauenswürdigen Quellen, am besten immer direkt vom Hersteller
    • Ungewöhnlichen Aufforderungen immer misstrauen
    • Sämtliche sicherheitskritische Software aktuell halten, insbesondere immer aktuellste Pluginversionen benutzen und das Betriebssystem aktuell halten. Falls zutreffend: Nicht auf Windows-Updates verzichten, weil die Update-Seite keine ausliefert oder man nicht "erwischt werden" will, sondern eine gültige Lizenz kaufen.
    • Wenn man ein bisschen weiter gehen will: Extrem weitverbreitete Software meiden, wenn möglich und sinnvoll. Falls eine Sicherheitslücke im Adobe Reader, in Outlook Express oder in Winamp bekannt wird, dann könnte es Schädlinge geben, die diese direkt auszunutzen versuchen. In solchen Fällen erreicht man zwar nicht die Mehrheit der Nutzer, aber eben doch mit absoluter Sicherheit ein paar. Natürlich ist das ein schwacher Punkt: Der Firefox ist schließlich auch hochgradig populär, er ist hundermillionenfach im Einsatz, aber ich wöllte nicht auf ihn verzichten. Außerdem muss man entgegenhalten:
    • Niemals glauben, dass man "vollkommen sicher" sei, nur weil man bestimmte Software einsetzt. Das gilt einerseits für dümmliches, nachgerade anmaßendes Marketinggesülze ("Tu was du willst - du hast doch dein [Müll in gelber Verpackung]"), andererseits aber z. B. auch für Browser. Ich kann mich noch gut an die Zeiten von Phoenix und Firebird, die Firefox-Vorläufer, erinnern. Damals war vieles aus heutiger Sicht noch unsicherer, eine Seite konnte z. B. einfach einen Dialog zum Installieren von Erweiterungen anziegen, ohne dass man vorher zwingend klicken musste (also etwa auch gleich beim Laden der Seite als onLoad-Ereignis). Außerdem gab es keine Whitelist, sondern jede Seite durfte dies. Ein vorschneller Klick auf OK und man hätte eine unbekannte Erweiterung installiert gehabt. Trotzdem hat diesen Angriff lange Zeit niemand audgeführt, weil er sich einfach nicht lohnte. Die Nutung des Exotenbrowsers Firebird war monatelang ein Garant dafür, dass man sich nichts einfängt. Das ist heute natürlich anders, mit zunehmender Verbreitung des Firefox traten und treten auch Angriffe auf, die gezielt für neuentdekte Sicherheitslücken dieses Browser geschrieben sind. Wer heute immer noch meint, er sei "völlig sicher", nur weil er Firefox benutzt, der hat ein paar Jahre verpasst. Der Firefox ist ein sehr sicherer Browser und er hat im Vergleich zum IE eine wesentlich bessere Lücken- und Reaktionszeitbilanz. "Kopf ausschalten" erlaubt er aber auch nicht.

    Die wichtigste Regel sei aber hier noch einmal wiederholt: Wenn der Schädling schon auf dem System ist und ausgeführt wird, dann haben (Sicherheits-)Software und kritisches Urteilsvermögen versagt und es ist in jedem Fall zu spät. Sämtliche Sicherheitsansätze sind nur sinnvoll, solange sie präventiv sind - ein wirklicher Schutz vor bereits aktiven Schädlingen, also eine Schadensbegrenzung, kann kaum zufriedenstellend gelingen. Man kann die Sicherheit nochmal um einiges verbessern, wenn man nicht mit Administratorrechten arbeitet. Ein 100%iger Schutz ist aber auch dies nicht, z. B. wenn sich Schadsoftware in freigegebene vertrauenswürdige Software einklinken kann.

  • Hallo PIGSgrame,

    hast heute wohl auch eine Nachtschicht eingelegt ;)
    Interessante Ausführung(en).

    Klar kann die Brain.exe kein Tool der Welt ersetzen, gerade wenn man wahnsinnig viel Zeit im Netz verbringt, hat man auch einen entsprechenden Background. In der Tat hatte ich - seit Erscheinen des 1. PCs unter DOS - erst zweimal einen Virus (1989,1992) auf den Systemen, wobei diesen kleinen Rekord zu halten jeden Tag schwerer wird ;)

    Dennoch gibt es Schädlinge, die auf das System gelangen können, von active-Scannern nicht erkannt werden, sondern erst beim complete-Scan den einen Bösewicht finden. Selbst wenn er dann entfernt wird, können ja bestimmte Aktionen (wie das Erwähnte Austauschen eines Addon) schon passiert sein.

    Wenn man das Netz professionell benutzt, wird man aber auch diese Aktionen relativ leicht bemerken oder erkennen können.
    Aber - wie Du schon sagtest - eine grosse Mehrheit sind sicherlich die Gelegenheits-User oder sich für die Detailvorgänge nicht interessierenden Anwender.

    Die Manipulation einer Erweiterung ist relativ leicht - ich habe es kurz nach meinem obigen Posting anhand der weit verbreiteten MR Tech einfach mal probiert.

    Eine kleine Funktion eingebaut, die eine bestehende ergänzt, wieder gepackt und ins Verzeichnis geschoben.
    Firefox führt hier keine MD5/Hash oder sonstige Prüfung durch, die Dateigrösse hat sich um knapp 11KB vergrössert.

    Beim Aufrufen der "eigenen Konfiguration anzeigen" Funktion wurde die Liste wie normal angezeigt und lediglich der Inhalt einer Variable durch HALLO ersetzt. Hat wunderbar funktioniert.

    Man könnte da ja jetzt z.B. ein aufpoppendes Fensterchen einbauen, die Meldung "fehlerhafte Komponente entdeckt - bitte von hier installieren" ausgeben, der Anwender klickt dann JA, und was immer dann eben passieren kann.

    Ich bin kein prof. Programmierer, schon gar nicht JS, somit weiss ich im Detail nicht, wie weit man da gehen könnte.

    Somit ist klar: solange kein Codefehler in einem Addon drinnen ist, bemerkt FF scheinbar nichts davon. Virenscanner/Firewall sind hier aussen vor, da die Aktion ja "von innen" eingeleitet wurde, somit erstmal legitim ist.

    Ich bin auf den Gedanken gekommen, als ich kürzlich gelesen habe, dass es selbst auf top gesicherten Linux Systemen möglich sei, bestimmte Routinen im Rahmen einer virtualisierten Umgebung einzuschleusen, die selbst als root nicht ohne massiven Aufwand erkennbar sind.
    Dazu kam der Ärger, weil bei mir der Zugriff auf https://amo nur sporadisch funktioniert und ich mich über diese "blöde - natürlich sinnvolle - " Änderung des Addon-Installs von AMO geärgert habe.

    Dachte nur, man kanns auch übertreiben und habe einfach mal überlegt, wo denn die potentiellen Schwachstellen des FF sein könnten.

    Ich glaube auch nicht, dass es eine grosse Gefahr oder ein grosses Risiko darstellt, den Umweg über Addons zu gehen, aber sicherlich eine potentielle Möglichkeit darstellt.

    Natürlich wird immer ein User notwendig sein, der die Aktion irgendwie einleitet oder zumindest - leichtsinnig oder unwissentlich - Part des Szenario ist.

    Wobei es sicherlich kein grosses Problem wäre, beim Start des FF eine MD5 (o.vgl.) Prüfung der installierten und aktiven Addons durchzuführen.
    Scheinbar wird dies bei der Installation ja bereits gemacht, zumindest weist die Fehlermeldung "ungültiger Hash-Wert" ja darauf hin.

    Attachments nur aus vertrauenswürdiger Quelle usw. - ist bestimmt schon vielen klar, aber ich habe selbst erst vor 2 Wochen von meinem Bekannten ein Word-Dokument per Mail erhalten, bei dem mein Scanner sofort anschlug. Dieses Dokument hätte ich zwar beim Öffnen autom. nochmals gescannt, aber wenn mein Virenscanner evtl. diese Signatur nicht schon gekannt hätte, wäre der Bösewicht schon am System.

    Selbst VM-Ware & Co sind eben auch nicht mehr 100% isoliert.

    Nun gut, FF ist sicher 1000mal sicherer als IE, aber scheinbar gibt es doch auch einige Möglichketen, über diesen Weg Schaden zu generieren.

    Meine aktuell benutzte Konfiguration !
    Nicht der Wind bestimmt die Richtung, sondern das Segel ! (Lao Xiang, China)
    Wandel und Wechsel liebt, wer lebt ! (Richard Wagner, Bayreuth)
    Seit wann sind wir dem Wähler - und nicht nur Gott - Rechenschaft schuldig ?! (CSU, München)

  • Zitat von liracon

    Attachments nur aus vertrauenswürdiger Quelle usw. - ist bestimmt schon vielen klar, aber ich habe selbst erst vor 2 Wochen von meinem Bekannten ein Word-Dokument per Mail erhalten, bei dem mein Scanner sofort anschlug.

    Der Begriff "vertrauenswürdige Quelle" wird oft mißverstanden. Freunde, Bekannte, Verwandte sind in der Regel keine vertrauenswürdige Quelle, selbst wenn man ihnen menschlich zu 100% vertraut. Habe erst kürzlich von einem Freund, auf den ich mich zu 100% verlassen kann, einen Datenträger mit Bildern von unserem Urlaub erhalten. Außer den Bildern befanden sich darauf auch 2 Würmer. Da sein PC nicht einmal an's Internet angeschlossen ist, kann er diese Würmer nur auf Datenträgern von Freunden erhalten haben, denen er in Computerangelegenheiten vertraut. Womit wir wieder am Anfang meines Postings wären.

  • Abends!
    Danke , @ PIGSgrame , für Deine Ausführungen , es gibt dem kaum etwas hinzuzufügen.

    Zitat

    ...aber scheinbar gibt es doch auch einige Möglichketen, über diesen Weg Schaden zu generieren.


    Da magst Du recht haben. Der hohe Grad der Erweiterbarkeit könnte sich als Archillesferse erweisen ...
    Bei dieser Überlegung aber fehlt mir der Aspekt der "vielen Augen" und der
    tatsächlichen Nutzbarkeit einer bösartigen Manipulation via AddOn.
    Imho sind die Zeiten vorbei , wo es Böslingen schlicht ums Abschießen fremder Systeme geht - mittlerweile stehen massive wirtschaftliche Absichten im Vordergrund ( BotNet/PhischersPhritze).
    Es geht also im Wesentlichen um eine möglichst hohe Verbreitung und darum,möglichst lange unentdeckt zu bleiben.
    Der Infektionsweg bleistiftsweise via AMO oder andere mehr oder minder "offizielle" Stellen halte ich daher für ungeeignet .
    Zwar verfüge ich derzeit nicht über profundes Wissen über die aktuellen Prüfungsroutinen - ich gehe aber davon aus,das sie stattfinden.
    Gerne lasse ich mich von etwaigen Eingeweihten dazu aufklären. ;)
    Fraglich wäre dito , wielange eine bösartige Funktion auf diesem Wege , sollte sie denn dann itw sein , userseits unentdeckt/kommentiert/sanktioniert bliebe.
    Es macht schon einen Unterschied , ob ich lokal versuche , mir selbst etwas unterzuschieben - oder ob ich das im ganz großen Stil mit einem Addon versuche...
    Eine reale Gefährdung sehe ich darin , daß es sehr wohl möglich ist , eine populäre Erweiterung umzustricken und über eigene Server zu verbreiten. Wie dieses Potential einzuschätzen ist , wage ich nicht zu mutmaßen - insbesondere im Hinblick auf die zunehmende Verbreitung des Fx.
    Per se gibt es keine absolute Sicherheit - und erst recht keine Software , die das für sich in Anspruch nehmen könnte.
    Die gefühlte Sicherheit weicht nach meiner Erfahrung meist eklatant von der tatsächlichen Lage ab...

    ...snip...


    Erlaubt mir einen kleinen Seitenhieb Richtung "brain.exe"-Fraktion :
    Ob die "1.0" letztendlich stable ist , bleibt fraglich.
    Auch zu diesem hervorragenden Programm gibt's Updates und Addons.
    Hier empfehle ich gerne die "positronic.xpi" , die bestimmte Sysnapsen beschleunigt (interner Datentransfer/-abgleich) und die dt. Erweiterung "worthülse.xpi" , die einen zeitnahen Abgleich des osmotischen Innendrucks einer Worthülse mit einer real existierenden Datenbank ermöglicht.

    ...snap...
    8)
    Gruß

    P.

  • Zitat von PvW


    Hier empfehle ich gerne die "positronic.xpi" , die bestimmte Sysnapsen beschleunigt (interner Datentransfer/-abgleich) und die dt. Erweiterung "worthülse.xpi" , die einen zeitnahen Abgleich des osmotischen Innendrucks einer Worthülse mit einer real existierenden Datenbank ermöglicht.

    :lol: die kannte ich echt noch nicht !

    Meine aktuell benutzte Konfiguration !
    Nicht der Wind bestimmt die Richtung, sondern das Segel ! (Lao Xiang, China)
    Wandel und Wechsel liebt, wer lebt ! (Richard Wagner, Bayreuth)
    Seit wann sind wir dem Wähler - und nicht nur Gott - Rechenschaft schuldig ?! (CSU, München)

  • Zitat von PIGSgrame

    Mit JavaScript allein wird man kaum einen Keylogger realisieren können


    Innerhalb des Fx, warum nicht? Erweiterungen sind in JS geschrieben. Mit der Addon-API des Fx lassen sich die verschiedensten Dinge machen. Dazu braucht es keinen kompilierten Code.

    Zitat

    Dieses konkrete Szenario ist mir noch nicht begenet, denn es ist unnötig umständlich.


    http://www.heise.de/security/Spywa…s/meldung/75990

    Zitat

    Es ist überhaupt nicht nötig, eine Erweiterung zu "kapern". Diese Technik würde ja auch nur funktionieren, wenn eine bestimmte Erweiterung vorhanden ist und natürlich muss auch der Firefox installiert sein.


    Hat der User keine Admin-Rechte, so lässt sich trotzdem der Browser manipulieren. Gerade das ist eine der zentralen Schwachstellen im Erweiterungsprinzip des Fx. Es muss auch keine spezielle Erweiterung vorhanden sein. Ein Schadprogramm könnte beliebige Erweiterungen manipulieren oder sogar neue erzeugen. Insofern ist nur der Fx vorauszusetzen.

  • Zitat von liracon

    Dieser tauscht eine in FF vorhandene Erweiterung gegen eine mit irgendwelchen Schadcode versehene Erweiterung aus.


    Er könnte genauso eine neue erstellen.

    Zitat

    Ich unterstelle mal, dass es einem guten Programmierer und Freak durchaus gelingen könnte, entsprechende JS-Routinen irgendwie unbemerkt in einer Erweiterung unterzubringen und zu aktivieren, die dann z.B. Benutzereingaben abfangen (Keylogger-ähnlich) oder Schadcode nachladen.


    Dazu braucht man nicht mal gute Programmierer. Das kann sich jeder bei Lust und Laune aneignen. Ist ja alles dokumentiert und nicht wirklich schwer.

    Zitat

    bzw. diese mit einem read-only Attribut gegen Manipulation zu schützen.


    Die Frage dürfte sein, wie der Schutz realisiert ist. Das read-only-Flag zu setzen ist recht witzlos, wenn der User die Rechte hat, dieses Flag wieder zu entfernen.

    Zitat

    Ich habe das mal getestet und bemerkt, dass ein globales read-only des VZ Extension nicht möglich ist (Fehlermeldungen).
    Einzelne Addon-VZ hingegen (z.B. FireFTP) kann man so sichern.


    Grundsätzlich dürften die Verzeichnisse bzw. Dateien, die ausführbaren Code enthalten nicht mit den Rechten des Nutzers veränderbar sein.

    Zitat

    - ist solch ein Szenario realistisch ?
    - ist sowas schon mal irgendwo bekannt geworden ?
    - sofern realistisch und möglich: wie könnte man sich davor schützen ?


    Ja. Ja. Mit oben genanntem Ratschlag.

  • Zitat von liracon

    Eine kleine Funktion eingebaut, die eine bestehende ergänzt, wieder gepackt und ins Verzeichnis geschoben.
    Firefox führt hier keine MD5/Hash oder sonstige Prüfung durch, die Dateigrösse hat sich um knapp 11KB vergrössert.


    Natürlich könnte man die Dateien hashen, aber wo speicherst du die Werte? Die müsstest du ebenfalls so ablegen, dass der Nutzer keine Schreibrechte darauf hat.

    Zitat

    Man könnte da ja jetzt z.B. ein aufpoppendes Fensterchen einbauen, die Meldung "fehlerhafte Komponente entdeckt - bitte von hier installieren" ausgeben, der Anwender klickt dann JA, und was immer dann eben passieren kann.


    Da braucht es doch keine User-Interaktion mehr. Ist die schadhafte Erweiterung erstmal drin, kann sie alles automatisch machen. Die Schranken sind lediglich die Rechte des Fx-Prozesses im System.

  • Zitat von PvW

    Der Infektionsweg bleistiftsweise via AMO oder andere mehr oder minder "offizielle" Stellen halte ich daher für ungeeignet .


    Weshalb? Angenommen es gelingt eine bösartige Erweiterung dort einzuschleusen, so ist das eine geeignete Plattform. Der User vertraut im Allgemeinen solchen Seiten und installiert die Erweiterungen ohne Vorbehalte.

    Zitat

    Zwar verfüge ich derzeit nicht über profundes Wissen über die aktuellen Prüfungsroutinen - ich gehe aber davon aus,das sie stattfinden.


    Es bleibt zu hoffen dennoch:
    http://www.heise.de/security/Firef…/meldung/107591
    Auf AMO mag es zwar Prüfungen geben, aber wie sieht es bei anderen Seiten aus? erweiterungen.de bspw. Wer prüft dort jede Erweiterung auf Herz und Nieren?

    Zitat

    Eine reale Gefährdung sehe ich darin , daß es sehr wohl möglich ist , eine populäre Erweiterung umzustricken und über eigene Server zu verbreiten. Wie dieses Potential einzuschätzen ist , wage ich nicht zu mutmaßen - insbesondere im Hinblick auf die zunehmende Verbreitung des Fx.


    Gedankenspiel:
    Ein User ist mit Fx und diversen Erweiterungen unterwegs. Wie jeder anständige Surfer hat er JS aktiviert. Wie auch immer kommt er auf die böse Seite evil.org. Jetzt nehmen wir mal an, dass via JS festgestellt werden kann, welche Erweiterungen der User hat.
    Wäre doch möglich, dass dem User dann eine Seite präsentiert wird, die dem AMO-Layout recht ähnlich sieht und ihn darauf hinweißt, dass es ein Update für eine seiner Erweiterungen gibt. Anbei natürlich eine entsprechend Anleitung: Link speichern unter, auf dem Desktop speichern, in den Fx ziehen und anschließend löschen.
    Wie viele User würden darauf wohl reinfallen?

  • wenn das tatsächlich "so einfach" ist, JS-Code in FF einzuschleusen, dann frage ich, wieso die Entwickler solche Szenarien nicht besser berücksichtigen.

    Ich war bisher der Meinung, der JS-Code (oder ggf. auch compilierter Code) in Erweiterungen wird maximal mit den Rechten des FF ausgeführt, die - so meine Vorstellung - auch maximal den Evironmentspace des FF nutzen können.

    Firefox läuft bei mir auf 2003Server unter eigenen Prozessrechten, also nicht mit den identischen Userrechten des angemeldeten.
    Im Bewusstsein der Risiken bin ich aber immer per Admin unterwegs, weil das manuelle umstricken unter Win der ganzen Rechte doch recht aufwändig ist.

    zurück... Somit dürfte eine JS-Erweiterung !nicht! auf ein Verzeichnis zugreifen dürfen, das als Rechtevergabe Admin only hat.

    Gerade getestet: interessiert keinen, die Erweiterung listet mein Verzeichnis auf, dass Admin (Group) als einziges Recht definiert hat.

    Somit übernimmt FF - ungeachtet der Prozesseinstellungen - MEINE Rechte (mein Username ist in Group admin) und nicht die des Prozesses (group ONLINE).

    Getestet: unter Linux passiert sowas nicht !

    Somit wäre das Fazit doch eigentlich klar: FF ist viel sicherer wie IE, aber dennoch recommended: benutze FF nur auf Linux (klar, ist ein Problem von WIN primär und nicht von FF).

    Wenn ich meine Erfahrungen - und das, was hier im Forum über die letzten Jahre gepostet wird - mal bewerte, benutzen viele FF eben DESWEGEN, weil er sicherer ist als IE (Opera benutze ich fast ausschliesslich nur auf WinMobil, daher keine Erfahrungen).
    Eventuell sollte man dann dieses "Marketinginstrument" Sicherheit bei FF ein bisschen relativieren. Sicherer: ja, aber so "blind vertrauenswürdig" sicher: deutlich nein.

    Meine aktuell benutzte Konfiguration !
    Nicht der Wind bestimmt die Richtung, sondern das Segel ! (Lao Xiang, China)
    Wandel und Wechsel liebt, wer lebt ! (Richard Wagner, Bayreuth)
    Seit wann sind wir dem Wähler - und nicht nur Gott - Rechenschaft schuldig ?! (CSU, München)

  • Blind vertrauenswürdig gibt es nirgendwo.

    Und das Firefox die Verzeichnisse listen kann, liegt nicht daran das er sich nicht an Richtlinien hält. Das zeigt nur das ihm das System zu viele Rechte einräumt. Und alles was Firefox darf, dürfen auch Erweiterungen. Insofern hast Du das richtig erkannt, dass das ein Windows- und kein Firefox-Problem ist. Und Mozilla kann nicht wirklich für jede Lücke in Windows einen Patch browserseitig liefern. ; )

  • Zitat von liracon

    Gerade getestet: interessiert keinen, die Erweiterung listet mein Verzeichnis auf, dass Admin (Group) als einziges Recht definiert hat.

    Somit übernimmt FF - ungeachtet der Prozesseinstellungen - MEINE Rechte (mein Username ist in Group admin) und nicht die des Prozesses (group ONLINE).


    Nein er übernimmt nicht deine Rechte, kann ein Programm sowieso nicht, dass macht das OS.
    Unter Windows hat deine ONLINE group wahrscheinlich Leserechte auf das Verzeichnis.

    Mozilla/5.0 (X11; U; Linux x86_64; de-DE; rv:1.9.1.1) Gecko/20090702 Firefox/3.5

  • liracon stellte Folgendes dar:

    Zitat

    [...]ein Schädling gelangt auf mein System. Dieser tauscht eine in FF vorhandene Erweiterung gegen eine mit irgendwelchen Schadcode versehene Erweiterung aus.[...]

    Der FF ist nicht das System. Der FF muss sich dem zugrundeliegendem System (OS / Windows / Linux, etc.) beugen...

    Deine obige Darstellung ist - meines Wissens nach - daher auch nicht realisierbar. Das solltest Du (liracon) eigentlich bereits wissen, da wirklich sensible Anwendungen (z.B. Online-Banking, PW-Verfügungen etc.) niemals im Kontext des Firefoxes selber laufen, sondern eher "tiefer" greifen würden. Der FF (und seine somit "kompromittierbaren" (Pearl / Java) Erweiterungen) stellen - meiner Ansicht nach - dagegen bloss nur harmlose Anwendungen dar, welche bloss nicht-relevante Daten, im Kontext des FF selber verarbeiten.

    liracon stellte darüberhinaus noch Folgendes in Frage:

    Zitat

    Ich unterstelle mal, dass es einem guten Programmierer und Freak durchaus gelingen könnte, entsprechende JS-Routinen irgendwie unbemerkt in einer Erweiterung unterzubringen und zu aktivieren, die dann z.B. Benutzereingaben abfangen (Keylogger-ähnlich) oder Schadcode nachladen.[...]

    Ist technisch leider Unsinn, denn innerhalb der FF-Browser-Verfügung (und anderer Browser-Verfügungen auch), gibt es definitiv keine System-Kompromittierungen über eingeschleuste Anwendungs-Scripte. Denkbar wären dagegen eher Scripte, (über z.B. externe ungesicherte Downloads), welche u.U. auf den Windows Script Host (WSH) zugreifen könnten, um dann von dort aus das System (wenn auch nur eingeschränkt) kompromittieren zu können.

    Die Basis wird - meiner Ansicht nach - stets ein sauberes und abgesichertes Betriebssystem bilden. Der Browser steht dagegen erst an zweiter Stelle...


    Oliver

  • ich sagte ja bereits mehrfach: ich bin mit Sicherheit kein Technik-Freak oder Profi, eher ein EDV-Insider mit 20jähriger Halbwissenshistory.

    Somit kann ich (leider/glücklicherweise) nicht beurteilen, ob es tatsächlich stimmt, dass der FF ein isoliertes Environment anbietet, in dem alle "includierten Routinen" ablaufen.

    Fakt ist jedenfalls:

    die weitverbreitete Erweiterung MR TECH bietet die Option "installieren einer Erweiterung von Speichermedium" an.

    Auf das angegebene Netzlaufwerk kann diese Erweiterung zugreifen.
    Ändere ich die Berechtigung dieses Speicherplatzes auf ADMIN only (keine Vererbung, keine weiteren Benutzerrechte), interessiert das MR TECH überhaupt nicht. Es wird unverändert alles aufgelistet (analog: über Browser installierte Addons in Verzeichnis zusätzlich speichern).

    Firefox wird unter einem anderen Benutzernamen (nicht mein Loginname) ausgeführt. Diese Kennung gehört zu einer Gruppe, die eingeschränkte Rechte hat. Ich persönlich habe Admin-Rechte.

    Somit schliesse ich daraus, dass Firefox nicht mit den eigentlich gewollten Benutzerrechten, sondern mit denen, des angemeldeten Users arbeitet. Dieser Rechtestatus wird dann von FF an die in seinem Environment ablaufenden Prozesse vererbt/delegiert.

    Ob es letztendlich möglich ist, definitiv dadurch Schaden anzurichten, kann ich nicht beurteilen, deswegen habe ich zur Horizonterweiterung auch diese Diskussion eröffnet.

    Besuchte Seiten (genannten Onlinebanking z.B.) sind laienhaft ausgedrückt ja Applikationen, die in einem Bereich des Browsers ablaufen.
    Inwieweit FF diesen Bereich von sich aus restriktiv behandelt, kann ich nicht beurteilen, aber ich denke, dahingehend sind alle Browser mit entsprechenden Sicherheitsfeatures ausgestattet.

    Logischerweise liegt das Problem immer zuerst einmal am darunterliegenden OS - hier hat Windows ja bekanntlich schon diverse Problemzonen, inklusive der sehr "eigenwilligen" Rechteverwaltung.

    Nur interessiert das einen Normalanwender nicht, er verlässt sich primär auf die Produktaussagen und Erfahrungsberichte von Anwendern.

    Deswegen auch meine - maybe - provokative Aussage "FF unter Win = weitaus sicherer als IE, FF unter Linux = sicher".

    Meine aktuell benutzte Konfiguration !
    Nicht der Wind bestimmt die Richtung, sondern das Segel ! (Lao Xiang, China)
    Wandel und Wechsel liebt, wer lebt ! (Richard Wagner, Bayreuth)
    Seit wann sind wir dem Wähler - und nicht nur Gott - Rechenschaft schuldig ?! (CSU, München)

  • IE unter Linux ist nicht unbedingt sicher. Ein Angriff darüber und der IE ist übernommen und Wine läuft besser als man glauben mag. Es gibt durchaus Viren die damit mehr oder weniger laufen. Zumindest gut genug als dass sie Probleme erzeugen.

    Die Problematik mit den Rechten hat nichts mit Firefox oder einer anderen Anwendung zu tun. Das Betriebssystem hat Firefox diese Rechte gegeben anders ist dieses Verhalten nicht zu erklären. Programme bekommen nicht gesagt "Hey du hast nur die und die Rechte, mach bitte nicht mehr".

    Mozilla/5.0 (X11; U; Linux x86_64; de-DE; rv:1.9.1.1) Gecko/20090702 Firefox/3.5

  • Zitat von liracon

    wenn das tatsächlich "so einfach" ist, JS-Code in FF einzuschleusen, dann frage ich, wieso die Entwickler solche Szenarien nicht besser berücksichtigen.


    Weil sie darin kein ausreichendes Bedrohungspotential sehen. Um es auch nochmal zu Konkretisieren in Bezugnahme auf den Beitrag von Oliver:
    Ein JS-basierter Keylogger wäre implizit natürlich nur im Fx wirksam. Eine Kompromittierung des Systems ist allein mit JS nur eingeschränkt möglich, allerdings kann weiterer Code nachgeladen und ausgeführt werden. Solange der Fx-Prozess über die entsprechenden Rechte verfügt, ist dabei auch das System gefährdet. Insofern hat er mit seiner Schlussfolgerung vollkommen recht.

    Zitat

    Ich war bisher der Meinung, der JS-Code (oder ggf. auch compilierter Code) in Erweiterungen wird maximal mit den Rechten des FF ausgeführt, die - so meine Vorstellung - auch maximal den Evironmentspace des FF nutzen können.


    Was du unter Environmentspace verstehst bleibt offen, aber grundsätzlich hat der Code in Erweiterungen die Rechte des Prozesses.

    Zitat

    zurück... Somit dürfte eine JS-Erweiterung !nicht! auf ein Verzeichnis zugreifen dürfen, das als Rechtevergabe Admin only hat.


    Hast du denn wirklich geprüft, ob das Leseberechtigungen für andere Gruppen ausschließt, so wie es DasIch angedeutet hat?

    Zitat

    Eventuell sollte man dann dieses "Marketinginstrument" Sicherheit bei FF ein bisschen relativieren. Sicherer: ja, aber so "blind vertrauenswürdig" sicher: deutlich nein.


    Verkauft sich in der Ehrlichkeit schlecht. Deswegen hebt Mozilla eben die Sicherheitsfeatures hervor und redet nicht über die ganzen Einschränkungen. Das machen aber i.d.R. alle Software-Hersteller so. Für den normalen User sind detaillierte Schilderungen ohnehin weder verständlich noch interessieren sie ihn wirklich.
    Ärgerlicher sind eher die Fanboys, die noch immer unreflektiert durch das Web jagen und den bösen IE verteufeln, der ja so unsicher im Vergleich zur "Sicherheitsfestung" Fx ist. So nach dem Motto: "Fx installieren und du bist die ganzen Probleme los!"

  • Zitat von Boersenfeger

    Spricht also doch alles dafür ohne Admin-Rechte zu surfen, oder?


    Ja. Es spricht sogar alles dafür gar nichts mit Admin Rechten zu tun, wenn diese nicht notwendig sind.

    Mozilla/5.0 (X11; U; Linux x86_64; de-DE; rv:1.9.1.1) Gecko/20090702 Firefox/3.5