externe programme können einfach addons installieren

  • habe heute wieder feststellen können, dass sich ein addon ohne rückfrage in den firefox eingenistet hat.

    es handelt sich um microsoft netframework assistant.
    durch das heutige windows update wurde dieser prozess ausgelöst.

    warum benachrichtigt mich firefox nicht wenn addons von programmen installiert werden?

    weiterhin wollte ich erfragen ob ich java deinstallieren kann ohne probleme mit windows xp zu bekommen..

  • Ein Programm das Du installierst hat Adminrechte. Kann alles verändern. Auch den Firefox. Wenn die nicht wollen das Firefox die Installation bemerkt, dann kann da Mozilla absolut nix machen. Alle Sicherheitsmechanismen könnten von der installierenden Anwendungen überschrieben werden, so das Firefox meint, es wäre nie anders gewesen. Das technisch abzufangen ist einfach nicht machbar. Man könnte zwar was einbauen, aber das könnte die Entwickler einfach wieder aushebeln.

    Wenn Du sowas nicht willst, dann musst Du das dem Hersteller der Anwendung sagen, die sowas macht. Und wenn er nicht drauf reagiert, dann musst Du entscheiden, ob Du Intallationsprogrammen dieses Herstellers noch einmal Admin-Rechte gibst. Denk immer dran: Adminrechte sind Total/Vollzugriff auf dein System. Faktisch können die alles machen. Also immer vorsichtig sein, was Du installierst. ; )

    Natürlich ist das in Microsofts Fall sehr negativ, da Du Microsoft schon aus Systemsicherheit Zugriff gewähren musst. Klarer Fall von Vertrauensmissbrauch und als zahlender Kunde hast Du auch das Recht dich darüber zu beschweren. Wobei das Update meines Wissens nach das Addon so ändert, dass man es endlich auch direkt über Firefox deinstallieren kann. Das war bisher nicht der Fall (sehr zum Leidwesen aller .NET-Nutzer).

    Ob Java installiert ist oder nicht, stört weder Windows, noch Firefox. Höchstens Anwendungen, die Java benötigen.

  • achso läuft das..

    ich wollte dann noch was in bezug auf windows xp erfragen.

    microsft verschließt ja seinen quellcode für die öffentlichkeit.

    wenn jetzt der support für windows xp in bezug auf die sicherheitsupdates irgendwann eingestellt wird ist dann damit
    zu rechnen, dass es findige programmierer gibt die diese updates bereitstellen?

    könnte xp dann zu open source werden?

  • Open Source ist eine Lizenzart. Microsoft hält die Rechte an Windows. Wenn Microsoft Windows nicht als Open Source frei gibt, wird Windows auch niemals Open Source werden.

    Wenn Du allerdings meinst, was passieren würden, wenn die bei Microsoft unter Verschluss gehaltenen Quelltexte von Windows mal "abhanden" kommt, dann mag es sein, dass jemand an Windows rumfingern könnte, aber sei dir sicher. Microsoft würde jede Publikation (zu Recht) in die Steinzeit klagen. Auch Updates von "freiwilligen" Helfern würde Microsoft nicht dulden, da diese die Systemsicherheit gefährden, zumal sie nur auf illegal beschafftem Quelltext basieren würden. Und da sich dieser ständig ändert, müssten diese freiwilligen Helfer auch ständig an den aktuellen Quellcode kommen, was nicht passieren wird.

    Zudem ist Windows eine viel zu umfangreiche und komplexe Software als das sie von ein paar Leuten komplett durchschaut und gepatcht werden könnte. Der Aufwand würde sich für niemanden finanziell rechnen und das wäre ein Vollzeitarbeit. Vor irgendwas müsste der Helfe auch leben.

    Um es kurz zusammen zu fassen: Nein, es wird vermutlich niemals Patches von jemand anderem wie Microsoft selbst geben. Entweder Du vertraust Microsoft, oder Du muss das Betriebssystem wechseln.

  • Ähm. Okay. Jetzt wirds kompliziert es zu erklären.... das wird jetzt nicht 100% korrekt, weil sonst zu komplex, aber ich hoffe verständlich für Laien:

    Also.... es gibt eine Vielzahl von Programmiersprachen. Diese sind dazu gedacht vom Menschen geschrieben und verstanden zu werden. Hierbei gibt es eine Vielzahl an Abstraktionsebenen.

    Manche erlauben vereinfachte "menschlichen" Sprache zu nutzen:

    Code
    do count number until number bigger 15


    (keine echte Programmiersprache, mehr beispielhaft. In Englisch, da Programmiersprachen in der Regel Englisch gehalten sind: bedeutet "mach hochzählen nummer bis nummer größer 15).

    Anderen Sprachen sind abstrakter und ähneln eher mathematischen Formeln:

    Code
    for(count = 0; count < 15; count++)


    Im Grunde das selbe wie vorher, nur abstrakter geschrieben und meist auch mit mehr Möglichkeiten ausgestattet.

    Wie gesagt: das ist Quelltext den der Mensch eher versteht. Eine Maschine, also ein Computer versteht das nicht. Dazu gibt es so genannte Compiler, Übersetzer. Die übersetzen den in mehr oder minder menschlicher Sprache gehaltenen Quelltext in... Maschinensprache. Um es platt auszurücken... alles wird auf "1" und "0" und einer komplexen Verschachtelung von Kombinationen runter gebrochen. Das versteht die Maschine, aber kein Mensch mehr. Das Ergebnis sind ausführbare Programm-Dateien (z.B. eine exe). Wenn Du Dir den Inhalt einer exe anschaust, blickt kein Schwein mehr was. Aber der Rechner.

    Jetzt könnte man natürlich meinen, man könnte einfach wieder "Zurückübersetzen", aber so einfach ist das nicht. Wenn man einen Komplexen Satz im Deutschen z.B. ins Englische übersetzt, dann geht das nicht einfach "Wort für Wort". Gerade bei Redewendungen geht das sehr selten. Wenn ich einen Text von dir ins Englische übersetzen lasse und diesen Text von einem anderen, der den Ursprungstext nicht kennt, wieder zurück ins Deutsche, dann wirst Du zwei verschiedene Texte haben. Vor allem wenn es sich nicht nur um einen Satz, sondern z.B. um ein Buch handelt (Software ist sehr umfangreich). Ähnlich verhält es sich auch bei Programmen und Urquelltexten. In exe-Dateien ist der original Quelltext nicht gespeichert und man kann ihn in der Regel auch nicht wieder 1:1 aus der exe zurückübersetzen.

    Ich hoffe das war verständlich?

  • Hallo bugcatcher,

    nur so am Rande, Deine Erklärung hat mir hier total gefallen, die ist sachlich und auch für Programmier-Dummies wie mich gut erklärt. Weiter so.

    ciao
    katzi (m)

  • ja die erklärung ist sehr gut genau wie die weitere in meinem anderen thread.

    gibt es eine statistik wieviel patches in bezug auf die sicherheit für windows xp in vergleich mit linux herausgegeben wurde?

    mich würde nämlich interessieren ob ein offener quellcode im system weniger angegriffen wird als die verschlüsselte variante von ms.

  • Das läuft auf den Vergleich von Äpfeln und Birnen heraus. Es gibt eine Handvoll Windows-Versionen aber fast unzählige Linux-Variationen. Da muss man so sehr so sehr verallgemeinern, dass eine Aussage am Schluss wenig wert hat.

    Linux erhält in der Regel öfter und mehr Updates, allerdings nicht zwangsläufig nur sicherheitstechnischer Natur. Ein Linux mutiert im Grunde immer vor sich hin, da viele verschiedene Entwickler immer mal was beisteuern. Von außen beobachtet mag hier dann auch der Anschein entstehen das Linux unsicherer sei, weil man mehr findet. Windows kann aber ebenfalls so viele oder mehr Fehler haben, da keiner weiß, was in den Patch-Flicken alles drin steckt. Oft stuft Microsoft bestimmte Sicherheitslücken anders ein, so das diese oft später oder auch gar nicht geflickt werden. Manches sicher auch ohne das die Welt jemals davon erfährt.

    Um es auf ein kleineres Level zu holen: Firefox hatte mehr Sicherheitslücken wie alle anderen Browser in den letzten Jahren. Der Unterschied zwischen Firefox und IE ist: Mozilla liefert recht zeitnah Patches, bei Microsoft kann man auch mal einen Monat warten, bis zum nächsten Patchday. So hatte Firefox weniger Tage potenzieller Angriffszeit wie der IE, trotz mehr Lücken.

    Aber auch dieser Punkt alleine ist nicht entscheidend, wenn es um die Gefährdung des Systems geht. Der IE ist nach wie vor der Marktführer. Hacker haben erheblich mehr davon eine Sicherheitslücke im IE auszunutzen, als im Firefox. Opera z.B. steht nicht so stark unter Beobachtung wie der IE oder Firefox. Auch dort gab es Sicherheitslücken aber oft wurden diese Sicherheitslücken erst bekannt gemacht, mit dem Release des Patches, da ja wie beim IE das finden von Lücken im Opera auch schwerer ist, ist der Aufwand Lücken im Opera zu finden, einfach zu groß ohne vergleichbaren Nutzen zu erlangen wie beim IE oder Firefox.

    Doch auch das alles sind bisher nur theoretische Bedrohungen. Denn Lücken sind solange keine reale Gefahr, solange eine Lücke nicht ausgenutzt wird. Opera wurde bisher noch nie effektiv Angegriffen. Bei Firefox kann man solche Aktionen an einer Hand abzählen, waren meist nicht schwerwiegend und oft nur bei hoffnungslos veralteten Versionen angewendet. Nach wie vor ist der IE schlicht das Lieblingsziel der Hacker und stellt damit die größte Bedrohnung da. Vor allem wenn er nicht regelmäßig aktualisiert wird. Und um wieder den Bogen zu bekommen: das was bei den Browsern im Kleinen gilt, gilt auch für die Betriebssysteme im Großen.

    Angriffe zielen zumeinst auf Windows, vor allem auf installiere Programme. Ein komplett gepatchtes Windows ist recht sicher, teils sicherer als ein MacOSX, das aber noch den Vorteil hat, dass die Verbreitung noch zu gering ist. Ein Linux kann schlecht gepflegt weit unsicherer sein wie ein Windows. Oft werden die Lücken aber nicht ausgenutzt. Die meisten Lücken unter Windows werden nicht durch Microsofts Produkte verursacht, sondern durch Drittanbieter.

    Da kann das Windows noch so gut gepatcht sein... wenn man (z.B.) einen veralteten Adobe Acrobatreader installiert hat, der eine schwere Sicherheitslücke aufweist, man auch noch fahrlässig als Admin unterwegs ist, dann helfen einem auch keine sicherer Browser mehr irgendwas.

    Ob Windows als Closed Source sicherer ist als ein Open Source Linux, das wird auch weiterhin eher eine Glaubenssache bleiben. Man bekommt beides zu einem recht hohen Grad sicher, und man kann beide auch zum Scheunentor verkommen lassen. Beide Ansätze haben vor wie Nachteile.

    Für den Endanwender zählt nicht wie gut ist ein Konzept, sondern ist er sicher. Nur das sicher zu stellen, ist im Grunde seine eigene Aufgabe. Er muss mit den gegeben Umständen sinnvoll umgehen, sonst hilft ihm auch das beste Konzept nichts.

  • Quelle: bugcatcher

    Zitat von bugcatcher

    Wenn die nicht wollen das Firefox die Installation bemerkt, dann kann da Mozilla absolut nix machen. Alle Sicherheitsmechanismen könnten von der installierenden Anwendungen überschrieben werden, so das Firefox meint, es wäre nie anders gewesen. Das technisch abzufangen ist einfach nicht machbar.

    Man könnte bspw. eine Liste aller aktivierten Addons führen und diese mit dem Masterpasswort verschlüsseln. Da allerdings das Masterpasswort optional ist, wird Mozilla so etwas nicht implementieren.

  • Quelle: bugcatcher

    Zitat von bugcatcher

    Nein, es wird vermutlich niemals Patches von jemand anderem wie Microsoft selbst geben.

    Es gab schon in Einzelfällen Patches von Dritten (natürlich keine Src-Code-Patches). Allerdings wird es diese aus genannten Gründen nicht im großen Stil nach dem EOL für XP geben.

  • Quelle: kontrollstelle1000

    Zitat von kontrollstelle1000

    mich würde nämlich interessieren ob ein offener quellcode im system weniger angegriffen wird als die verschlüsselte variante von ms.

    Wie von bugcatcher schon erklärt, ist Windows nicht "verschlüsselt". Windows ist Closed Source.

  • Quelle: bugcatcher

    Zitat von bugcatcher

    Linux erhält in der Regel öfter und mehr Updates, allerdings nicht zwangsläufig nur sicherheitstechnischer Natur.

    Ergänzend: bei gängigen Linux-Distributionen werden auch die installierten Anwendungsprogramme durch die Paketverwaltung aktualisiert. Die Anzahl der Patches ist daher auf jeden Fall höher gegenüber einem Windows-System bei dem man die Anwendungen ausklammert. Aber eben Äpfel und Birnen...

    Zitat

    Um es auf ein kleineres Level zu holen: Firefox hatte mehr Sicherheitslücken wie alle anderen Browser in den letzten Jahren.

    ... hatte mehr öffentlich bekannt gewordene Sicherheitslücken ... Wie viele die ganzen Closed Source Browser wirklich hatten, ist ja nicht nachvollziehbar.

    Zitat

    Mozilla liefert recht zeitnah Patches, bei Microsoft kann man auch mal einen Monat warten, bis zum nächsten Patchday.

    Je nach Einschätzung von Mozilla werden manche Lücken auch erst mit dem nächsten Mozilla-Patchday geschlossen, der auch mal einen Monat auf sich warten lässt. Ein Fix in den Nightlies hilft in der Hinsicht nicht.

    Zitat

    Ob Windows als Closed Source sicherer ist als ein Open Source Linux, das wird auch weiterhin eher eine Glaubenssache bleiben.

    Abgesehen von strukturellen Sicherheitsfragen, Defaultkonfigurationen und der Vertrauensfrage spielt es einfach auch eine Rolle, wie viele Entwickler in dem Code tatsächlich nach Schwachstellen suchen. Ein OS-Projekt, das keinerlei Reviews und Audits unterzogen wird, kann man nicht per se als sicherer ansehen - das OS-Label allein schafft keine Sicherheit. Allerdings erlaubt OS die Beteiligung beliebiger externer Spezialisten. Potentiell sind also die Review-Möglichkeiten besser.

  • also ich lasse mein hauptsystem mit windows xp weiter laufen.
    akutalisiere regelmäßig die updates.
    installiere sumo und verwende avira in kombination mit der fritz box firewall.

    ich werde aber mal auf einem test rechner eine linux distribution installieren um mich da mal einzugewöhnen.
    ich hoffe, dass die ganzen vorgänge wie treiber oder eben die updates nicht immer über die konsole erledigt werden müssen.

    vielleicht lassen die ganzen "hacker" attacken auch mal nach oder werden zielgerichteter ausgeführt.
    wegen diesen ganzen ewigen updates ist meine platte fast schon voll.

    auch wäre es doch mal gut wennn die provider etwas unternehmen und zb. verseuchte rechner die an botnetzen hängen
    nicht mehr ins internet lassen.

  • Zitat von kontrollstelle1000

    vielleicht lassen die ganzen "hacker" attacken auch mal nach oder werden zielgerichteter ausgeführt.
    wegen diesen ganzen ewigen updates ist meine platte fast schon voll.


    Unwahrscheinlich dass irgendwer wegen deiner vollen Festplatte finanzielle Ausfälle in Kauf nimmt. Ansonsten lassen sich die Update-Installationsdateien nach dem Update auch wieder löschen, womit Du wieder ein wenig Platz schaffen kannst. Zudem kostet eine monströse Festplatte auf die eine Windows und seine Updates für die nächsten 20 Jahre passen dürfte keine 40 Euro mehr.

    Zitat von kontrollstelle1000

    auch wäre es doch mal gut wennn die provider etwas unternehmen und zb. verseuchte rechner die an botnetzen hängen
    nicht mehr ins internet lassen.


    Nein Danke. Auf totale Internetüberwachung kann ich gut verzichten.

  • Quelle: kontrollstelle1000

    Zitat von kontrollstelle1000

    ich hoffe, dass die ganzen vorgänge wie treiber oder eben die updates nicht immer über die konsole erledigt werden müssen.

    Ist bei modernen Distributionen weiterhin möglich, aber nicht zwingend - es stehen GUIs zur Verfügung. Was spricht denn unabhängig davon gegen die Konsole? Daran gewöhnt man sich schnell.