Ein bzw jeder Browser ist nur so sicher, wie er konfiguriert wurde.
Eine Software oder Browser zu installieren und meinen, man wäre geschützt,
ist genau so "naiv" wie ein kleines Kind, dass sich die Augen zuhält und meint,
es wäre unsichtbar.
Bsp Passwörter - ohne Masterpasswort sofort auslesbar von Malware.
Bsp unsichere Webseiten - "Und ewig lockt das Weib" (verbotene Früchte)
Firefox (und auch Opera) bietet in seiner Urform nicht die Angriffstellen,
die zB der IE anbietet - allein durch die Verquickung mit dem System.
Er ist allerdings auch gegen schädliche Javascripte und unentdeckte Bugs
nicht gefeit.
Entweder tut Anwender passiv was dagegen, Systemsicherheit - oder aktiv, brain.exe.
(passiv = AV-Software, Firewall/Contentfilter, Sandbox/VM, sonstige Filter)
Ein Browser ist aus meiner Sicht nur ein Rädchen im Getriebe und nicht mal das wichtigste.
Diskussionen über den Thread Ist Firefox sicher können hier stattfinden.
Wozu braucht es den Thread überhaupt?
Weshalb postest du und sperrst ihn dann? Sollte nicht zuerst eine Diskussion stattfinden aus der man dann die wesentlichen Aussagen und Übereinkünfte zusammenfasst und dann falls nötig als FAQ anheftet. So eine Vorgehensweise scheint mir sinnvoller.
Inhaltlich:
Abgesehen davon muss jeder Anwender egal welchen Browsers sich darüber im Klaren sein, dass es keinen Browser gibt, der zu 100% sicher ist.
Ausserdem sollte jederman sich darüber im Klaren sein, dass es eine hundertprozentige Sicherheit im Internet nicht gibt.
Wiederholung
Um über mögliche Sicherheitslücken (nicht nur in Browsern) und ihre Behebung informiert zu werden, empfiehlt es sich, die Newsletter von http://www.buerger-cert.de/ zu abonnieren.
Der Newsletter hinkt immer 1-2 Tage hinterher. Besser wäre der Verweis auf die interne Update-Funktion.
und alle anderen Programme immer auf dem neuesten Stand halten, und nicht auf alles klicken, was blinkt und bei Drei nicht auf den Bäumen ist.
Unpassende Formulierung.
Man sollte u.a. auch seinen Rechner vernünftig absichern
Geht es jetzt um den Fx oder um grundlegende Sicherheitsfragen (Betriebssystem).
Fazit:
In der Form halte ich den Beitrag inhaltlich nicht für würdig angeheftet zu sein. Eine gemeinsame Erarbeitung halte ich durchaus für eine Möglichkeit.
Ich kann zum Thema Sicherheit nur immer wieder diese Seite hier wärmstens
empfehlen
Zitat von boardraiderEine gemeinsame Erarbeitung halte ich durchaus für eine Möglichkeit.
Ich habe den Text des Threads unter Berücksichtigung Deiner Einwände zum Inhalt leicht umgeschrieben. Das soll aber beileibe nicht die finale Version sein. Der Zweck der Übung ist der, dass die in dieser Diskussion gewonnenen Erkenntnisse in den gesperrten Thread einfliessen sollen. Von daher ist Deine Mithilfe erwünscht und wird gerne angenommen.
Geht es jetzt um den Fx oder um grundlegende Sicherheitsfragen (Betriebssystem).
Es geht um Firefox. Zu grundlegenden Sicherheitsfragen (Betriebssystem) gibt es sicherlich genügend andere Seiten im Netz.
Da aber die beste Browserkonfiguration nichts nutzt, wenn das Betriebssystem ungepatcht ist und jede Menge Angriffsflächen bietet, sollte man diese grundlegenden Sicherheitsfragen zumindest am Rand erwähnen.
Weshalb postest du und sperrst ihn dann? Sollte nicht zuerst eine Diskussion stattfinden aus der man dann die wesentlichen Aussagen und Übereinkünfte zusammenfasst und dann falls nötig als FAQ anheftet. So eine Vorgehensweise scheint mir sinnvoller.
Aus 2 Gründen:
1. ich wollte vermeiden, dass jemand, der eine Frage zur Sicherheit hat, sich in diesen Thread einklinkt anstatt einen eigenen Thread zu eröffnen, und dass der Thread dadurch zu lang und zu unübersichtlich wird.
2. Wenn der gesperrte Artikel fertig ist, soll er auf die Frage Ist Firefox sicher antworten. Die Wenigsten werden sich die Mühe machen, einen Thread von 10 Seiten zu diesem Thema komplett durchzulesen, insbesondere, wenn sie feststellen, dass die Erkenntnisse aus den einzelnen Beiträgen im Eröffnungsbeitrag zusammengefasst sind.
Allerdings hätte ich auch den Thread offen lassen und dann später alles ausser dem Eröffnungsbeitrag antrennen können. Da es aber nicht möglich ist, 2 Threads zusammen zu führen, muss es wohl oder übel bei der jetzt angewandten Methode bleiben.
Hallo Road-Runner,
danke erstmal für den Thread. Was ich mir bei dem Thread objektiverweise noch wünschen würde, wäre eine Auflistung möglicher Sicherheitsrisiken IM Firefox selber, also z.B. JavaScript...warum kann das gefährlich sein inkl. Link zu einer Seite, die das Problem erklärt.
Erweiterungen, Cookies etc. Das alles sollte man in dem Zusammenhang erwähnen, oder?
MfG...
Aus 2 Gründen:
Gegen die Sperre habe ich natürlich an sich nichts einzuwenden. Zugegeben, der eigentliche Schwerpunkt war nicht deutlich genug, daher nochmal klarer: ich verstehe nicht, warum du den endgültigen Thread schon von Beginn an eröffnet hast. Ich hätte die Erarbeitung in einer Diskussion vor die Eröffnung gestellt. Grundsätzlich um eben erst eine gewisse Qualität sicher zu stellen, bevor der Beitrag hier als Teil der FAQ verwendet wird. Darüber hinaus auch um zuerst die Form zu diskutieren. Ich bin kein Fan von zu vielen Stickies in Foren. So ein Beitrag könnte man stattdessen auch im Wiki erstellen, das sich besser für statische Inhalte eignet.
1. + 2.
Was den endgültigen Beitrag betrifft, ist das natürlich sinnvoll, wenn man ihn hier als Sticky veröffentlicht.
boardraider fragte:
Wozu braucht es den Thread überhaupt?[...]
Road-Runner hatte hier richtigerweise einen bereits veralteten Thread (von Belly) im Sicherheitssystem durch ein aktuelles (und hoffentlich wachsendes) Diskussionsthema ersetzt. Dabei geht es - meiner Meinung nach - nicht um Deine (boardraider) persönliche Bewertungsgewichtung dieser Massnahme, sondern eher darum, inwieweit das von Road-Runner initiierte Thema - im Zuge der neu erworbenen Erkenntnisse (i.B. des Browsers - / des System-Sicherheitskonzeptes) - hier u.U. der Allgemeinheit, langfristig, dienlich sein könnte.
boardraider erklärte darüberhinaus Folgendes:
Der Newsletter hinkt immer 1-2 Tage hinterher. Besser wäre der Verweis auf die interne Update-Funktion.
Denke noch einen Schritt weiter zurück. Woher entspringt genau die Notwendigkeit einer "internen Update-Funktion", und zwar i.B. auf Geld, Status, rechtlicher Haftung oder Imageverluste solcher online repräsentativer Firmen? (Aufmerksamkeit durch kritische Dritte / Bewusst zeitversetzte Veröffentlichungen einzelner Sicherheitslücken / Was "kosten" eigentlich aktuelle Sicherheitslücken (Zero-Day-Exploits?)).
Veröffentlichtes Risikomanagement (z.B. durch den BSI) stellt sich - meiner Ansicht nach - i.B. der Einsatzumgebungen, stets auch immer abhängig von den extern durchgeführten Strukturanalysen solcher "Dritten" selber dar. Der Faktor Geld könnte dabei u.U. eine Rolle spielen - nicht jedoch (hoffentlich nicht) die "unbestechliche" Sicherheit...
Oliver
Vielleicht wäre es hilfreich, den Begriff zu definieren, über den wir reden. Es gibt zwei Arten der Gefährdung:
1. Die Zerstörung von Daten z.B. durch Viren.
2. Die Weitergabe von Daten.
Also sicher wovor?
Mike Tyson stellte u.A. Folgendes dar:
1. Die Zerstörung von Daten z.B. durch Viren.
Diese von Dir dargestellte Virusform - und zwar als eine Befehlsfolge - welche dabei ein Wirtsprogramm zur Ausführung benötigt, ist meiner Ansicht nach inzwischen veraltet. (z.B. der Michelangelo-Virus von 1992. Damals war es als "Workaround" noch möglich, das System-Datum über die DOS Autoexec.bat, während des Boot-Prozesses zurückzusetzen, um somit die Datumsauslösung und das Zerstörungspotential dieses Viruses (6. März) zu umgehen).
Solche Viren der "ersten Generation" (also PC-Programm, bzw. PC-Bootsektor-Viren), welche sich in den 80ér und 90ér Jahren durch Datenträgeraustausch (Disketten) (z.B. über Spiele / Shareware, etc.) verbreiteten, beinhalteten i.d.T. eine als versteckte "Payload" lokal wirkende Schadensroutine. So ein Virus wurde somit zu einem "integralen Bestandteil" seines Wirtsprogrammes selber.
Heutige Viren "erfüllen" dagegen - meiner Ansicht nach - im Zuge wachsender Netzwerke, ganz andere Funktionen als Ihre Vorgänger. Sie stellen eigentlich eher eigenständige Server dar, welche sich bloss geschickt im infizierten System "vergraben" können und dabei dennoch separat von diesem fungieren und daher auch leichter zu identifizieren sind als ihre Vorgänger.
Die wahre "Programmierkunst" obliegt dabei - meiner Meinung nach - den Autoren der ersten Viren-Generation.
Oliver
Ist es denn grundsätzlich so, dass Viren lediglich Daten zerstören, während Trojaner versuchen, diese Daten weiterzugeben?
Insofern stellt sich für mich die Frage nach dem Sinn von Viren. Diese hätten ja keinen konkreten Nutzen für den Programmierer. Denkbar wäre ein Nutzen in Form einer Steigerung des Renommes in der Szene ähnlich wie beim Sprayen von Graffiti.
Leider habe ich den Anfang der Virenkultur nicht selbst mitverfolgen können, aber so ähnlich könnte ich es mir vorstellen.
Noch eine konkrete Frage, diemir hier spontan einfällt: Mein Firefox 3 scannt alle Downloads auf Viren, bevor sie auf die Festplatte dürfen. Ich habe hier ein wenig gesucht aber nur die Information gefunden, dass ein systemeigener Virenscanner genutzt wird. Um welchen Virenscanner handelt es sich und worauf wird gescannt? Ist der Virenscanner im Firefox selbst?
Zitat von Mike TysonUm welchen Virenscanner handelt es sich und worauf wird gescannt? Ist der Virenscanner im Firefox selbst?
Firefox gibt den Download an einem auf deinem Rechner installierten Virenscanner weiter.
Da die meisten Virenscanner sowieso immer scannen, bringt das in diesem Fall keinen Sicherheitsgewinn.
Handelt es sich aber um einen Scanner, der nur bei Aufforderung scannt, erledigt diese Aufforderung der Fx nach einem download automatisch, so das nicht mehr per Hand gestartet werden muss.
Zitat von Mike TysonIst es denn grundsätzlich so, dass Viren lediglich Daten zerstören, während Trojaner versuchen, diese Daten weiterzugeben?
Viren müssen nicht grundsätzlich irgendwas zerstören. Viele machen nur Unsinn, gar nichts oder versuchen Trojaner einzuschleppen. Oft ist der Übergang zwischen Virus, Trojaner, Malware und co fleißend. ; )
Zitat von Mike TysonInsofern stellt sich für mich die Frage nach dem Sinn von Viren. Diese hätten ja keinen konkreten Nutzen für den Programmierer. Denkbar wäre ein Nutzen in Form einer Steigerung des Renommes in der Szene ähnlich wie beim Sprayen von Graffiti.
Frage niemals nach dem Sinn. Wenn ich mich jedes mal nach dem Sinn fragen würden, wenn ich wen dabei bemerke wie er Unsinn macht, würde ich aus dem Grübeln nicht mehr rauskommen. Viren sind da und sie sind potentiell gefährlich für das System.
Zitat von Mike TysonNoch eine konkrete Frage, diemir hier spontan einfällt: Mein Firefox 3 scannt alle Downloads auf Viren, bevor sie auf die Festplatte dürfen. Ich habe hier ein wenig gesucht aber nur die Information gefunden, dass ein systemeigener Virenscanner genutzt wird. Um welchen Virenscanner handelt es sich und worauf wird gescannt? Ist der Virenscanner im Firefox selbst?
Firefox bringt gar keinen Virenscanner mit. Der versucht den auf dem System installierten Scanner zu bedienen. Wenn keiner installiert ist, oder der sich nicht bedienen lässt, passiert gar nichts.
Mike Tyson fragte Folgendes:
Ist es denn grundsätzlich so, dass Viren lediglich Daten zerstören, während Trojaner versuchen, diese Daten weiterzugeben?
Der Begriff: Virus stellt - nach meinen bisherigen Kenntnissen - bloss einen übergeordneten Sammelbegriff dar.
Während die Viren der "ersten Generation" - nach meinem Wissen - vordringlich destruktiv ausgerichtet waren, findet man unter den "aktuellen Viren" hauptsächlich solche, die gezielt einen weiteren Angriff vorbereiten (s. Beitrag: Bugcatcher) und zwar indem sie sicherheitsrelevante Informationen des Zielsystems (z.B. Passworte) sammeln - oder indem sie gezielt Konfigurations - bzw. Systemdateien dahingehend modifizieren, um solche sensiblen Daten dann unbemerkt über die Netzwerke übertragen zu können.
Mike Tyson stellte Folgendes dar:
[...]Denkbar wäre ein Nutzen in Form einer Steigerung des Renommes in der Szene ähnlich wie beim Sprayen von Graffiti.
Der Vergleich ist nicht so ganz von der Hand zu weisen. Damals haben solche Virenautoren z.T. noch ihre pers. Signatur - oder auch eine (politische) Botschaft lesbar im System hinterlassen - bevor dieses dann "abstürzte". 
Mike Tyson fragte noch Folgendes:
Insofern stellt sich für mich die Frage nach dem Sinn von Viren.[...]
In der Vergangenheit ging es z.T. um die "Eleganz der konstruktiven Zerstörung" - bzw. auch um die "Vorherrschaft" (Status: "Eleet" / "31337" / "Elite", etc.), so eines zerstörten oder gekaperten Systems. Eine Art subkultureller und inoffizieller Wettbewerb auf Kosten der Ahnungslosen.
Heutzutage geht es - meiner Ansicht nach - eher um kommerzielle (Industrie) - Spionage, wobei der Status so einer System-Infektion dabei möglichst langfristig getarnt verbleibt.
Meiner Ansicht nach, werden die konzeptionellen Unterschiede zukünftiger Viren mit den wachsenden Wert der Daten, welche durch solche Viren geschöpft werden können, einhergehen. Dies könnte dann u.U. sogar dazu führen, dass im Zuge zunehmender biometrischer Zugänge (z.B. Fingerprint-Sensoren) analog auch die Bereitschaft zur persönlichen "Gewaltkriminalität" steigen würde.
Oliver
Allein ein Exploit kann soviel wert sein wie dass Jahresgehalt eines Durchschnittsbürgers.
Ein ganzes Botnetz kann durchaus Millionen Wert sein.
Die Motiviation kommt da schon ganz von alleine.
DasIch erklärte Folgendes:
Allein ein Exploit kann soviel Wert sein, wie dass Jahresgehalt eines Durchschnittsbürgers.
Du meintest vermutlich ein Zero-Day-Exploit. Meiner Ansicht nach hast Du damit Recht.
Unterschätze dabei auch nicht den Tatbestand, dass weltweit bereits Ausschreibungen (mit Preisgeldern) für junge und willige IT-Studenten (auch in minderbemittelten Ländern) existieren, um solche aktuellen Programm-Sicherheitslücken zu offenbaren - bzw. um sogar Garantien für solche Zero-Day-Exploits zu leisten. (Stichwort: Sub-Märkte / Auftfagsbeschaffungen, gemessen an "Werten" von solchen aktuellen Sicherheitslücken).
Die allgemeine "Intelligenz" zur Auffindung solcher Exploits ist i.d.R. - nach meiner Auffassung - weltweit gleichermassen verteilt. Die Erlöse (an Geld) - und zwar zur Auffindung solcher Exploits - werden dagegen in unterschiedlichen Währungen (leider noch) unterschiedlich vergütet. (Knowledge vs. Capital).
Wissen ist immer noch Macht...
Oliver
Firefox lässt den Nutzer glauben, wenn er seine Cookies löscht, wären die Cookies gelöscht und er hätte etwas für seinen Datenschutz getan.
Das ist nicht so.
Die Flashcookies existieren weiter und sind viel gefährlicher für den Datenschutz.
*plonk*
https://www.camp-firefox.de/forum/viewtopi…=560660#p560660
Wenn Du keine Flashcookies willst, wende Dich an Adobe.
Ansonsten bei AMO suchen:
https://addons.mozilla.org/de/firefox/sea…id=5&sort=&lup=
Da fällt mir "BetterPrivacy" ins Auge - siehe auch -> https://www.camp-firefox.de/forum/viewtopi…=612232#p612232
Firefox lässt den Nutzer glauben
Und wie macht das der IE, oder Opera, oder Safari, oder Chrome, oder ... :-?? Statt so einen BS zu schreiben hätten zwei Minuten googlen genügt.
