Firefox 64 Bit

Du meinst die Seite die man bei Google bekommt wenn man nach "firefox 3.6 64 bit" sucht und den 4. Eintrag aufruft?

Es hat einen Grund warum Mozilla noch keine 64bit Version anbietet. Z.B. das 32bit Plugins im 64bit Firefox nicht laufen. Flash z.B. kannst Du daher gleich vergessen. Zudem liefert es kaum Mehrwert. Daher ist die Empfehlung hier: auch auf 64bit Systemen beim 32bit Firefox bleiben.

Mozilla arbeitet zur Zeit daran, Tabs und Plugins in eigene Prozesse auszulagern. Das würde auch den Einsatz von 32bit-Plugins in einem 64bit-Firefox erlauben. Aber soweit sind wir noch nicht.

Zitat von bugcatcher

Es hat einen Grund warum Mozilla noch keine 64bit Version anbietet. Z.B. das 32bit Plugins im 64bit Firefox nicht laufen. Flash z.B. kannst Du daher gleich vergessen. Zudem liefert es kaum Mehrwert.

Hier macht sich wieder Halbwissen breit. Ich möchte mich also gerne wiederholen. Gerade, weil Browser und ihre Plugins einer DER Sicherheitsprobleme in der heutigen Zeit ist.

ASLR (was ja nicht nur ein NT6 Feature ist!) bringt nur dann einen signifikanten Mehrwert, wenn es von einem 64bit OS kommt UND gleichzeitig auf 64bit Prozessse (!) angewendet wird. Ein 64bit Fx würde also einen sehr großen Merhwert bringen.

Adresspace Angeriffe auf 64bit Anwendungen - was ja ein 64bit OS voraussetzt - sind so aufwendig und eine derartige Glückssache - daß nichtmal chinesische Hacker diesen Weg verfolgen.
http://de.wikipedia.org/wiki/Address_S…t_Randomization

Es gab und gibt noch Leute die ASLR bei eienr 32bit Anwendung überlistet haben. Es gibt bis jetzt aber niemanden der auf nicht präparierten Systemen eine 100% 64bit ASLR überwinden können.

Zu behaupten, ein 64bit Fx bietet kaum Mehrwert ist also genausoein Quatsch wie zu behaupten, eine Chrome-like Sandbox würde für den Fx keinen Sinn ergeben.

Ich sagte auch "kaum" nicht nicht "keinen". Das die Mehrheit der Benutzer nach wie vor als Admin unterwegs sind, ist ein viel größeres Problem, als fehlende 64bit-Unterstützung.

Zitat von .Ulli

Nö, das sind die Benutzer und das Biotop des Browser.

Auf die Art könnte man auch Paketfilter und viele andere Sicherheitsmaßnahmen betrachten. Das gilt dann auch für Knautschzonen, Airbags oder ABS. Die Tatsache, daß man drauf verzichten könnte, wenn jeder wie Onkel Heinz fahren würde, wiederlegt nicht die Tatsache, daß diese Maßnahmen jährlich hunderte Leben retten und Tausende von dauerhaften, körperlichen Unfallschäden bewahren.

Dagegen zu sein, weil einige zu schnell/unvorsichtig unterwegs sind, ist wie gegen die Stvo insgesamt zu sein. Das hilft weder den Unfallbeteiligten die beim Fahren alles richtig gemacht haben noch verbessert es allgemein die Situation.
Um allgemeine Verbesserungen geht es aber.

Zitat

Wird hier nur als paranoide Notbremse betrachtet, wenn die regulären Sicherheitsmaßnahmen versagt haben.

Ebenfalls Quatsch, da keine aktuelle Versionen von ernsthaften Betriebssystemen auf ASLR verzichten. Beim OSX z.B. kommt es mit 10.7, Apple zieht also auch nach, weil sie keinen Bock mehr haben deswegen auf jeder "pwn2own" der Hauptdarsteller zu sein.
Auch PaX wird im offizielen Kernel nicht mehr lange auf sich warten können.

Davon ab bist du dir auch über die Probleme beim Programmieren einer "regulär" sicheren Soft :mrgreen: in C(++) absolut nicht im klaren. Ich halte dein sicheres Auftreten aus deiner Unwissenheit heraus für genauso unpassend wie irreführend. Es ist leider ein Musterbeispiel eines eingerosteten gefährlichen Halbwissens.

Zitat

Wenn der Fx das Biotop schützen soll, dann stimmt etwas am Biotop nicht

Das Biotop schützt dich (ASLR auf 64bit OS), wenn du an das Biotop angepasst bist (64bit Prozess). Je besser der Organismus angepasst ist, desto einfacher und sicherer lebt es sich im Biotop. Theoretisch-theologische Abhandlungen über die wahre Ursache und Wirkung interessieren die Natur genausowenig wie die Hacker oder die Benutzer die ein Hack trifft.

Andererseits ist ein Browser die Tür nach draußen. Warum man für ein sicheres Haus größte Anstrengungen unternehmen sollte, auch die Tür immer stabiler macht, ABER die Türzarge nicht bestmöglich einmauern, sondern nur mit paar Nägeln fixieren sollte, erschliesst sich mir nicht.

Falls du hier jemanden von deiner einzig wahren Einstellung überzeugen möchtest, empfehle ich dir in der OpenBSD Mailinglist zu ASLR einen Thread anzufangen und mit Theo de Raadt und anderen Spinnern aufzuräumen. Vergiß nur nicht hinterher den Link hier zu posten.

bugcatcher
Hacks die eine Erhöhung der Rechte bewirken sind zum Glück sehr selten, man sollte aber nicht annehmen, daß es sie nach dem 16bit-Hack unter Win nun auf keinem System mehr nie wieder geben wird. Es gab schon einige und soetwas wird man auch in Zukunft gelegentlich (heraus)finden. Keine der Stellen wo man besser abdichten kann, darf man also als weniger wichtig betrachten.

Systemsicherheit besteht aus einer Sicherheitskette und keinem Sicherheitspunkt. Und die Anwendung gehört immernoch genauso dazu wie das OS.
Genauso wie das Wissen über z.B. einen möglichst effizienten Taskscheduler nicht mit BSD4.4 stehen geblieben ist, ist das Wissen und die Erfahrungen über die Gefahren für das System nicht stehen geblieben. Deswegen nützt es überhaupt garnicht(s) ASLR wie Browser-Sandboxen in eine theoretisch-theologische Ecke zu zerren. Das gelingt 2010 nicht mehr.

Wenn du wirklich Ahnung davon hättest wieviele Hacks (= Vireneinschleusung) sich auf adress space stützen, würdest du auch kaum "kaum" schreiben.

Yuchu! Buffer overflows! Wheee!

Und jetzt? Davor Quatsch erzählen und anschliessend dumm grinzen wird das Thema wohl kaum ins Lächerliche ziehen können

Es ist der mit Abstand meiste Leck in C-Programmen. Du kannst ja mal nachzählen wieviele Probleme es gab und wieviele davon Sicherheitsprobleme waren, die im Fx ab 2.0 durch buffer overflows entstanden sind. Und das "kaum" damit aufzeigen :klasse: Das gleiche gilt erst recht für den Flash-Murks.

Bis später mal.

Irgendwie sehe ich nur einen Eiferer der leicht religiöse anmutende Anwandlungen hin zu einem Recht auf Alleindeutung zeigt. Seis drum. Mir sind die Gefahren und Probleme sehr wohl bewusst. Nur habe ich das Gefühl das das "große Ganze" leicht aus dem Blickwinkeln verloren gegangen ist. Buffer overflows sind aus Virenschreiber-Sicht bei Leibe nicht so ergiebig wie das immer dargestellt wird. Es gibt oft einfachere Wege die auch eine sichere Reproduzierbarkeit bieten und damit eine höhere Erfolgschance haben. Ich will auch nicht behaupten, dass die Gefahr nicht existiert, ich sage nur, dass der Fokus zur Zeit falsch gewählt ist.

Eiferer? Ich könnte das gleiche entgegnen, wenn das was ich damit meinen würde wenigstens den sachlichen (was nicht zwangsläufig korrekten bedeuten muß) Inhalt meiner Beiträge hätte. Da ist aber sogut wie garnichts. Wenn man Praxis- und Erfahrungswerten nur mit philosophischen Klamauk entgegnet, braucht man sich auch nicht wundern.
Das hat die gleiche Qualität, wie wenn ein nichts ahnender in einem OSX-Forum plötzlich eine kritisch angehauchte Frage stellt Nur, ich bin nicht nichts ahnend. Ich weiß schon davor ganz genau welche Pamphleten auf mich zukommen.

In so einem Thread geht es aber auch nicht darum die sehr dünnen Beiträge von Ulli wieder und wieder auseinanderzuflücken oder dir bestmöglich paroli zu bieten, sondern den geneigten wie auch zufälligen Leser zum Nachdenken zu bewegen und ihn nicht doof sterben lassen, in dem Glauben, dieser ideologische Bockmist der da auf uns vom Olymp runterrieselt wäre keiner.

In diesem Sinne, bis zum nächsten Thread :klasse:

Wie Du meinst. Ich bezweifle einfach auch weiterhin, dass irgendein Hacker sich für so etwas die Mühe machen würde. In Bereichen mit Hochsicherheitsanforderungen, würde ich das alles abnicken. Aber sicher nicht bei einem privaten Surfrechner. Zumal die in der Regel eh zu ~90% nicht vernünftig gewartet werden (hab doch ein Antivirus installiert!) und insofern ohnehin nicht als sicher gelten können. Da hätte der Hacker soviele Alternativen, die viel Zeitsparender und erfolgversprechender wären, dass ihm auch auf 32bit die Aufwand zu hoch wäre.

p.s.:
Das leuchtet mir nicht ein. Es leuchtet mir nicht ein warum bei jedem Ersteller von Soft, egal ob Mplayer, Vlc, PDF-Reader, Browser, selbst Packer (einige witzige Sachen in der Vergangenheit bei z.B. SFX-Archiven), Bildanzeigern (!), HyperTerminal, Mailproggis, Routerfirmwares usw. usw. usw., alle Alarmleuchten angehen, wenn plötzlich die Rede von exploitable (remote) buffer overflows ist, gerade beim Firefox man aber nicht die möglichen Anstrengungen unternehmen sollte, diese Gefahren systemgegeben stark abzumildern.

Vor allem wie gesagt, wie gesagt, wie gesagt... würde ein offizieller 64bit Build mehr Druck auf Adobe ausüben einen 64bit Flash endlich vernünftig rauszubringen. Flash ist sowieso die Seuche schlechthin, weil außer Cracks sehr viel über Flashpr0n-Seiten und "falsche" Flash-Werbung reinzukommen versucht.

Wir holen uns sowieso nichts ins System und sollten unser (leider) Nischendenken zwar weiter propagieren, aber auch keine Panik davor haben die Gesamtsituation vernünftig zu überblicken. Z.B. beim Mainstream auf NoScript, Flashblock oder Adblock+ zu verweisen ist leider realitätsfremd. Zwar immer weniger, aber weiterhin.
Die User auf "wir" und "die Opfer" aufzuteilen ist ein arroganter Bockmist.

Da wir schon mal bei Autos waren und die meisten nur dabei ihre Vorstellungskraft wirken lassen... Ein Bekannter von ADAC hat mir erzählt, beim "Unfallwirken" von ABS, ESP und Airbags spielt ABS eine ziemlich untergeordnete Rolle, weil die meisten wenn aufgeschreckt eine Panikbremsung machen und garnicht mehr versuchen dem Hindernis auszuweichen. Jetzt stell dir mal vor jemand bringt ein neues Auto ohne ABS raus und versucht auf diese Art - oder eben wie du und Ulli - zu argumentieren. Sorry, aber man sollte einfach einsehen, daß soetwas lächerlich ist.

Wenn es wirklich sinnvoll wäre den Schuldigen alleine in Redmond, SanJose oder Cupertino zu suchen, ohne selbst alles mögliche getan zu haben, müßte man auch OOPP als unwichtigen Quatsch abtun. Was haben wir bitte mit grottigen Plugins zu tun?

Zitat

Ich bezweifle einfach auch weiterhin, dass irgendein Hacker sich für so etwas die Mühe machen würde.

Wenn jemand irgendwo rein will und einen Loch in allen Fx3 findet, dann funktioniert das Loch überall. Diese Mühe lohnt sich, denn man muß halt zuerst am Browser vorbei. Dann spielt es für mich auch nur eine zweitrangige Rolle, ob das System alle Räume gut geschlossen hält. Ich möchte solche Leute weder (nur) am Fenster noch im Flur haben.
Ich bezweifle mal, daß soetwas eine falsche Einstellung sein sollte.

Da wir auch schon bei Chromes Sandbox waren und sie eben mit Hochdruck dran arbeiten 64bit Chrome diesjahr rauszubringen: Man kann von Google halten was man will. Ich bin da auch nicht sehr gut drauf zu sprechen. Wer aber meint bei Google sitzen nur Idioten die hirnverbrannte Entscheidungen treffen, der hat den Knall im Leben noch nicht einmal gehört.
Vielleicht kriegen wir mal einen vernünftigen 64bit Flash und 64bit Fx, wenn es Chrome in 64bit gibt und seine Anteile weiter steigen. Sollen sich doch erst die anderen anstrengen.

Ok. EOD.

Den Link auf den Thread lösch ich anschliessend. Garantiert :twisted: Also:

Das ist eine Reaktion auf ein direktes Aussperren. Das ist klar etwas anderes. Hier kann man (erstmal) garnichts tun. Wobei das Beispiel doch etwas taugt, weil man sich ein weiteres "Opfer bringen" nicht mehr wirklich erlauben kann. Die Stimmung gegen AdobeFlash ist mittlerweile da. Bei denen brodelt es auch schon gewaltig. Da kommt es nicht mehr auf Trotzreaktionen an. Die müßen was tun und das werden sie. Oder meinst du die peilen es nicht, daß sie sonst weg vom Fenster sind??

Flash ist gleichzeitig aber noch allgegenwertig. Und Flash ist doch wohl nicht nur ein Video im Browser. Das muß ich wohl kaum erklären hier oder?

Wie dem aber auch sei ist Flash64 in dem Thread zum Glück nur ein Nebenthema gewesen :wink:

Und tschüß.

Zitat von BeeHaa

Das leuchtet mir nicht ein. Es leuchtet mir nicht ein warum bei jedem Ersteller von Soft, egal ob Mplayer, Vlc, PDF-Reader, Browser, selbst Packer (einige witzige Sachen in der Vergangenheit bei z.B. SFX-Archiven), Bildanzeigern (!), HyperTerminal, Mailproggis, Routerfirmwares usw. usw. usw., alle Alarmleuchten angehen, wenn plötzlich die Rede von exploitable (remote) buffer overflows ist, gerade beim Firefox man aber nicht die möglichen Anstrengungen unternehmen sollte, diese Gefahren systemgegeben stark abzumildern.

Kann ich nicht beurteilen. Von mir stammen zumindest keine Alarmglocken. Ich spreche mich auch überhaupt NICHT gegen 64bit aus. Aber ich sehe eben so wenig keine übermäßige Dringlichkeit. Zudem sollten Buffer Overflows grundsätzlich behoben werden, ganz unabhängig davon ob ein entsprechender Buffer Overflow in 64bit schwerer auszunutzen wäre. Immerhin ist jeder Buffer Overflow nicht nur ein Sicherheitsrisiko sondern viel mehr eine Fehlerquelle generell.

Zitat von BeeHaa

Vor allem wie gesagt, wie gesagt, wie gesagt... würde ein offizieller 64bit Build mehr Druck auf Adobe ausüben einen 64bit Flash endlich vernünftig rauszubringen. Flash ist sowieso die Seuche schlechthin, weil außer Cracks sehr viel über Flashpr0n-Seiten und "falsche" Flash-Werbung reinzukommen versucht.

Ich bezweifle das Flash mit 64bit noch zu retten ist. ; )

Zitat von BeeHaa

Wir holen uns sowieso nichts ins System und sollten unser (leider) Nischendenken zwar weiter propagieren, aber auch keine Panik davor haben die Gesamtsituation vernünftig zu überblicken. Z.B. beim Mainstream auf NoScript, Flashblock oder Adblock+ zu verweisen ist leider realitätsfremd. Zwar immer weniger, aber weiterhin.
Die User auf "wir" und "die Opfer" aufzuteilen ist ein arroganter Bockmist.

Ich persönlich empfinde NoScript als wenig nützlich. Ist halt erst dann eine Notlösung, wenn man ungepatcht unterwegs ist (warum auch immer). Und Flashblock und Adblock sind bei mir auch nicht wegen der Sicherheit am Start. Sondern um mich vor dem nervigen Müll von Werbung zu schützen. Im Grunde braucht Firefox eine Whitelist für alle Plugins. Einen "Policy Manager". Damit wäre viel mehr für die Sicherheit des Systems getan als mit 64bit. Sobald Firefox installiert ist, drängeln sich gleich alle installierten Plugins in den Browser und sind aktiv, ohne das der Otto Normal das überhaupt wüsste. Und was der noch weniger weiß ist, ob die Plugins aktuell sind. Gerade Player wie Quicktime oder auch der Acrobat Reader werden ein mal Installiert und dann nie wieder aktualisiert. Sind aber Jederzeit über den Browser ansprechbar.

Zitat von BeeHaa

Da wir schon mal bei Autos waren und die meisten nur dabei ihre Vorstellungskraft wirken lassen... Ein Bekannter von ADAC hat mir erzählt, beim "Unfallwirken" von ABS, ESP und Airbags spielt ABS eine ziemlich untergeordnete Rolle, weil die meisten wenn aufgeschreckt eine Panikbremsung machen und garnicht mehr versuchen dem Hindernis auszuweichen. Jetzt stell dir mal vor jemand bringt ein neues Auto ohne ABS raus und versucht auf diese Art - oder eben wie du und Ulli - zu argumentieren. Sorry, aber man sollte einfach einsehen, daß soetwas lächerlich ist.

Und der Witz ist, wenn sie ABS deaktivieren würden, kämen sie oft früher zum stehen, wenn sie eh nur Vollbremsung können. Klarer Fall von Technik die nur denen Hilft die damit umgehen können. Ich würde eh einen Großteil von dem Zeug wieder ausbauen lassen. Mit jeder neuen Sicherheitstechnik werden die Leute nur noch unvorsichtiger (schöne Analogie zu Firewall und Virenscanner: die machen das schon!), so das die Unfallzahlen nicht wirklich gesunken sind. Wohl sind sie oft weniger schwer, was natürlich etwas gutes ist. Aber nur für die die in diesen Hochsicherheitszellen sitzen. Die Leute die nicht entsprechend "hochgerüstet" sind, stehen oft schlechter dar. Und damit mein ich nicht nur andere Autofahrer, sondern vor allem Radfahrer und Fussgänger. Technik ersetzt niemals Verantwortungsbewusstsein, Verständnis der Materie und Voraussicht. Ob im Auto oder bei Computersicherheit.

Zitat von BeeHaa

Wenn es wirklich sinnvoll wäre den Schuldigen alleine in Redmond, SanJose oder Cupertino zu suchen, ohne selbst alles mögliche getan zu haben, müßte man auch OOPP als unwichtigen Quatsch abtun. Was haben wir bitte mit grottigen Plugins zu tun?

Ich suche den Schuldigen in erster Linie vor dem Bildschirm. Und oft bewahrheitet sich der Generalverdacht. Die Leute brauchen nicht mehr Technik, die brauchen mehr Plan.

Zitat von BeeHaa

Wenn jemand irgendwo rein will und einen Loch in allen Fx3 findet, dann funktioniert das Loch überall.

Ein Buffer Overflow ist aber nicht per Definition ein Loch. Kommt immer drauf an welchen Adressbereich er überschreibt. Öfter als ein aktives Sicherheitsloch, findet man nur eine Möglichkeit das Programm zum Absturz zu bringen.

Zitat von BeeHaa

Diese Mühe lohnt sich, denn man muß halt zuerst am Browser vorbei. Dann spielt es für mich auch nur eine zweitrangige Rolle, ob das System alle Räume gut geschlossen hält. Ich möchte solche Leute weder (nur) am Fenster noch im Flur haben.
Ich bezweifle mal, daß soetwas eine falsche Einstellung sein sollte.

Hat auch nie wer gesagt, dass man die Leute rein lassen soll. Nur befürworte ich z.B. Prävention. Verhindern des Buffer Overflow. Durch CodeReviews, Patches, usw. Das sollte zuerst gemacht werden. Dann kann man sich um Backups kümmern. Wenn Zeit für beides ist, um so besser.

Zitat von BeeHaa

Da wir auch schon bei Chromes Sandbox waren und sie eben mit Hochdruck dran arbeiten 64bit Chrome diesjahr rauszubringen: Man kann von Google halten was man will. Ich bin da auch nicht sehr gut drauf zu sprechen. Wer aber meint bei Google sitzen nur Idioten die hirnverbrannte Entscheidungen treffen, der hat den Knall im Leben noch nicht einmal gehört.

Kann mich nicht erinnern irgendwen von Google als Idioten hingestellt zu haben. Die Wortwahl fährst Du die ganze Zeit ins Rennen. ; )

Zitat von BeeHaa

Vielleicht kriegen wir mal einen vernünftigen 64bit Flash und 64bit Fx, wenn es Chrome in 64bit gibt und seine Anteile weiter steigen. Sollen sich doch erst die anderen anstrengen.

Mozilla lässt sich nicht drängeln. Es kommt wenns fertig ist. 64bit ist ja bereits geplant. Genauso wie die Prozessteilung, die in Kürze final ausgeliefert wird.

Zitat von bugcatcher

Hat auch nie wer gesagt, dass man die Leute rein lassen soll. Nur befürworte ich z.B. Prävention. Verhindern des Buffer Overflow. Durch CodeReviews, Patches, usw. Das sollte zuerst gemacht werden.

Es geht doch nicht darum was zuerst gemacht werden sollte. An welcher Stelle hat 64bit-ASLR nichts mit Prävention zu tun? Meinst du die Leute um OpenBSD machen keine code reviews mehr, seitdem sie ASLR haben? :-??

Verhindern von BOs in C? Ja glaub das mal
http://media.ccc.de/browse/confere…securities.html