Sicherheitslücke in Opera 10.50 und abwärts

Zitat

Also besser zur Zeit nicht auf Opera hinweisen, wenn User einen anderen Browser suchen!

Solche Empfehlungen sind nicht an solche Lücken gebunden. Sollen wir bei einer offnen Lücke im Fx den Support einstellen und die Leute in Zukunft dann auf gerade als sicher vermutete Browser verweisen?

Zitat

Nein, aber dabei auf die Lücke hinweisen.

In Konsequenz müssten wir dann hier auch bei jedem Beitrag auf offene Lücken hinweisen.

Zitat

Bei Firefox werden die Lücken sehr fix geschlossen

Bei Opera nicht?

Zitat von boardraider

In Konsequenz müssten wir dann hier auch bei jedem Beitrag auf offene Lücken hinweisen.

Die Betonung liegt bei "offen" (= dokumentiert und dadurch wahrscheinlich, ausgenutzt zu werden). Ich hatte bereits in einem Beitrag vor einigen Tagen darauf hingewiesen. Da Opera zu den hier am häufigsten propagierten Alternativ-Browsern gehört (vielleicht sogar der am häufigsten empfohlene), ist eine entsprechende Warnung die konsequente Kehrseite der Medaille.

Zitat

Was hackst du eigentlich darauf herum?

Wenn du das als Hacken empfindest - meinetwegen. Ich sehe nur keinen Zusammenhang mit einer bei jedem Browser einmal auftretenden Lücke und deiner Forderung hier dann nicht mehr oder nur eingeschränkt auf solche Browser zu verweisen. Wenn man das zum Maßstab nimmt, dann sollten wir fairerweise mit dem Fx genauso verfahren! Ich werde das weder im einen noch im anderen Fall tun, weil es in der Hinsicht keinen Zusammenhang gibt, insbesondere leben die Threads und Beiträge länger als nur ein paar wenige Tage.

Zitat

Die Lücke ist seit mindestens 06.03.2010 11:25 bekannt (Zeitpunkt der Heise-Meldung). Also sind 12 Tage vergangen, das nenne ich nicht mehr fix.

Och, Mozilla ist auch nicht schneller. Bis ein Patch in den Releases verfügbar ist vergeht auch meist einiges an Zeit. 12 Tage oder mehr kamen da auch schon vor.

Quelle: Cosmo

Zitat von Cosmo

ist eine entsprechende Warnung die konsequente Kehrseite der Medaille.

Wenn gleiches Recht für alle gilt, ok. Dann beheulen wir in Zukunft auch jede offene Lücke im Fx tagelang hier im Forum und warnen jeden Hilfesuchenden, dass er gerade einen unsicheren Browser einsetzt. Da bin ich einmal gespannt, ob das hier konsequent umgesetzt wird. Oder eigentlich bin ich es nicht...

Wenn wir gerade dabei sind:
http://www.heise.de/security/meldu…3-6-935960.html

DER FIREFOX IST GEGENWÄRTIG ALS NICHT SICHER EINZUSTUFEN UND SOLLTE DAHER NICHT VERWENDET WERDEN! MOZILLA SCHAFFT ES SEIT ÜBER EINEM MONAT NICHT EINE SICHERHEITSLÜCKE ZU STOPFEN!

Boersenfeger erklärte Folgendes:

Zitat

[...]gibt es in Opera 10.50 eine Sicherheitslücke, die es Angreifern u.U. ermöglicht, Schadcode auf dem betroffenen Rechner auszuführen.[...]

So was...

Opera ist i.B. seiner Integrität nicht besser ausgestaltet als der Firefox oder der IE.

Der kleinste gemeinsame und somit schwächste Nenner in Bezug auf die von Dir genannten Buffer-Overflow-Angriffe findet sich dagegen eher in der teilweise unzureichenden Umsetzung der C (++) Programmierung. Gerade durch solche erzwungenen „Variablen-Überschreibungen“, können sowohl auf Systemebene (also dem Betriebssystem selber), als auch auf der Anwendungsebene (im Browser) Kompromittierungen gleichermassen verteilt auftreten.

Ein Browserkleinkrieg ist – meiner Ansicht nach – somit in der heutigen Zeit irrelevant und trifft darüberhinaus auch nicht mehr den Kern der Sache. Die wahren Schwächen liegen inzwischen ganz woanders.

Boardraider erwiderte u.A. Folgendes:

Zitat

[...]Ich sehe nur keinen Zusammenhang mit einer bei jedem Browser einmal auftretenden Lücke und deiner Forderung hier dann nicht mehr oder nur eingeschränkt auf solche Browser zu verweisen. Wenn man das zum Maßstab nimmt, dann sollten wir fairerweise mit dem Fx genauso verfahren![...]

Uneingeschränkte Zustimmung.

Oliver

O.T.
Unabhängig davon ist – nach meinen bisherigen Informationen - eine Kombination aus LINUX (UNIX) und dem Firefox gegenüber einem äquivalenten Windows-Firefox-Gespann als sicherer zu betrachten, da unter dem quelloffenen LINUX separate Bibliotheksfunktionen (z.B. Libsafe) bereitstehen, welche bereits schon auf Systemebene diverse und unsichere Standard C-Bibliotheksaufrufe zu „kapseln“ (engl. wrap) vermögen, um diese dann im Anschluss durch sichere Versionen auf Systemebene selber ersetzen zu können.

Zitat

Sollte ich diesen empfehlen, werde ich auf diese Lücke hinweisen, solange sie besteht.

Du kannst natürlich tun oder lassen was du willst.
Lesen wir dann auch bei jedem deiner Beiträge zum Thema Fx eine aktuelle Warnung bzgl. der seit einem Monat offenen Lücke? Dies beim Fx nicht zu tun wäre scheinheilig und ignorant.

Btw.
Gestern frisch erschienen: http://blog.mozilla.com/security/2010/…visory-sa38608/
Auch nett, so dauert es jetzt voraussichtlich noch bis Ende März, bis der Patch im Release-Channel landet. Dann sind es fast zwei Monate seit der Exploit mindestens einem zweifelhaften Kreis zur Verfügung stand:
https://forum.immunityinc.com/board/thread/1…age=1#post-1165

Ein Hinweis in der Signatur erspart den genannten Hinweis in jedem Beitrag. :mrgreen:

Solange der persistente Hinweis im Beitrag den zeitlichen Bezug beinhaltet, wäre das ein akzeptabler Kompromiss zur nicht-persistenten Signatur.

Zitat

da ich aber davon ausgehe, das Firefox-User sich über den jeweils benutzten Browser informieren [...]
Und das ist der Unterschied zwischen beiden. Wenn sich User nicht informieren, fällt das Wissensloch auf sie selber zurück

Tatsächlich? Unterscheiden sich Fx-Nutzer denn von Opera-Nutzern? Sind letztere dämlich und Fx-Nutzern geistig unterlegen? Oder wie soll man das auffassen?

Zitat

wenn sie einen alternativen Browser angedient bekommen, sollten sie daraufhin gewiesen werden.

Wenn man Nutzern den Fx angedient hat und sie damit wegen Problemen hier landen, sollten wir Versäumtes doch nachholen.

Zitat

keine Wissenschaft

Das ist keine Wissenschaft, es geht um einen fairen und neutralen Umgang. Die Firefox-Community sollte dort mit guten Beispiel voran gehen.

Zitat

Lies mein letztes Statement nochmal langsam

Das ändert nichts an der missverständlichen Formulierung.

Zitat

Ein anderes Problem

In dem Kontext eben nicht.

Zitat

nur wo wäre ich hier unfair gewesen

Indem du den generellen Verweis auf einen alternativen Browser (und damit auch den Browser selbst) verknüpfst mit einer in der Hinsicht unnötigen da flüchtigen Warnung. Gleichzeit willst du aber Fx-Nutzer bei gleicher Lage nicht warnen, obwohl es dann konsequenterweise keinen Unterschied geben dürfte. Das ist für mich weder neutral noch fair. Und wenn du als Begründung dazu noch Unterschiede zwischen den Nutzern verschiedener Browser einbringst oder es zumindest in der Hinsicht missverständlich formulierst, dann kann ich das so nicht kommentarlos stehen lassen.

Ich sag mal so:
Was Informationen über aktuell bekannte Sicherheitsprobleme im FF gibt, wäre es eine Überlegung wert darüber nachzudenken, wie man hier darüber informiert; den diesbezüglichen Gedanken von Bordraider folge ich soweit. (Aber vom Topic ist das hier nicht am Platz, ein eigener Thread dagegen durchaus sinnvoll.)

Hier (im Thread) geht es aber um den Opera. Vielfach wird im Forum darauf hingewiesen, einen alternativen Browser einzusetzen, aus welchen Gründen auch immer. Zum Beispiel weil ein User dies oder jenes im aktuellen Fuchs nicht mag, ein sehr subjektiver Aspekt also. Von FF-Forums-Mitgliedern kann nicht erwartet werden, über die alternativen Browser ebenso gut informiert zu sein, wie über den "eigenen".

Mir stellt sich anläßlich dieses Threads ernsthaft die Frage, ob es wirklich richtig und angebracht ist, alternative Browser zu benennen. Wer einen anderen sucht, soll sich selber umsehen, so schwer ist das nicht und in Kürze wird bei den Windows-Benutzern der Browser-Auswahlbildschirm installiert sein (sofern nicht abgewählt oder bei den Windows-Updates generell geschlampt wird), dort sind die Alternativen nicht nur genannt, sondern direkt erreichbar.

Also: Auf die Verwendung anderer Browser hinzuweisen, wenn Anlaß dazu besteht: Ja. Diese zu benennen: Das sollte man einfach sein lassen; was dem einen oder anderen behagt oder nicht gefällt, muß er letztlich sowieso immer selber entscheiden. Wenn nichts konkret aufgeführt wird, braucht man auch nicht die nicht mehr gemachten namentlichen Nennungen mit Warnhinweisen zu versehen. Und das Thema ist vom Tisch.

Ich fürchte nur, daß so ein Verhalten daran scheitern wird, daß der eine oder andere das anders sieht und weiterhin die Alternativen benennt. Konsens wäre wünschenswert, ist aber wohl eher nicht zu erwarten. Immerhin: Wenn in Zukunft einzelne was auch immer namentlich empfehlen, sind sie auch dafür verantwortlich, wenn die Empfehlung zeitweilig zweifelhaft zu bewerten ist.

Das hier ist ein Forum über den FF, nicht über Browser allgemein. Deswegen braucht man die anderen nicht mit Mißachtung oder Ächtung zu belegen, aber eine aktive Empfehlung ist nicht das, was dem Sinn dieses Forums entspricht.

Boersenfeger erklärte u.A. Folgendes:

Zitat

[...]OT: @ Oliver: Schön, das du mal wieder deine Vorliebe für Linux in den Fokus bringen konntest! Trotzdem werde ich es nicht nutzen.

Was Du persönlich nutzt ist völlig uninteressant.

Versuche durch Dein Wissen zu helfen und nicht durch „kindische Klugscheissereiei“.

Oliver