Flashplayer-Direktlink, ohne Flash DLM

Irgendwie hab' ich's heute mit den Buchstaben. Das i bei weiß möge sich jeder dazudenken... :-??

Zitat von Cosmo

Dieser überflüssige Schrott (was immer sich hinter diesem sogenannten Manager verbergen mag, ich habe in einer kurzen Testinstallation nichts zum Manager gefunden und wüßte auch nicht, was es da zu managen gäbe) wird zwar "angeboten" kommt über den kleinen Umweg tatsächlich nicht mit (zuletzt beobachtet gestern Abend); es könnte natürlich sein, daß dieser Vorteil (den sogenannten Downloadmanager nicht zu erhalten) auch dadurch zustande kommt, daß ich nur aus dem eingeschränkten Benutzerkonto den Flash-Player herunterlade.

Hallo Cosmo!

Jetzt hast Du mich komplett durcheinander gebracht.... :-???

An anderer Stelle (Du kennst den Thread bestimmt noch :wink: ) hattest Du doch das hier geschrieben:

Zitat von Cosmo

Anders verhält es sich mit Plugins. Diese Addons kommen zusammen mit den entsprechenden Programmen (Flash als das wohl am weitesten verbreitete Beispiel). Diese Programm müssen zwingend vom Admin installiert werden und stehen anschließend in allen Profilen aller Benutzer automatisch zur Verfügung

Oder lädst Du Flash jetzt im eingeschränkten Konto herunter und gehst dann in das Admin-Konto, um ihn dort zu installieren?

Falls ja, ist es denn schon zu gefährlich, den Flash-Player direkt im Admin-Konto herunter zu laden?

Gruß,

Scyllo

Edit:

Zitat von bigpen

Wie alles andere, habe ich auch den Flashplayer im eingeschränkten Konto heruntergeladen. Installieren muss man ihn dann aber als Admin.

Gut, dann bin ich ja beruhigt.

Wie verhält sich aber der folgende Sachverhalt: Angenommen, man lädt nun die Installationsdatei für den Flash-Player auf den Desktop eines eingeschränkten Users und will ihn dann aus dem Admin-Konto installieren.

Ist die Installation dann "sauberer", wenn man diese Datei vor der Installation auf den Desktop des Admin "zieht" und dort ausführt oder kann ich sie auch direkt quasi vom Desktop des eingeschränkten Users ausführen?

Was mich auch noch interessieren würde: Ich habe nun versucht, sowohl den Flash-Player als auch den Shockwave-Player über offline-Installationen zu installieren. Bezüglich des Shockwave-Players habe ich jetzt aber z.B. für den Internet Explorer gar keine "Offline-Installations-Setup-Datei" gefunden und musste diesen dann doch wieder direkt bei Adobe laden....

Kann mich so dann letztendlich nicht doch wieder den DLM einfangen?

Zitat von scyllo

Oder lädst Du Flash jetzt im eingeschränkten Konto herunter und gehst dann in das Admin-Konto, um ihn dort zu installieren?

Genauso und nicht anders.

Zitat von scyllo

Falls ja, ist es denn schon zu gefährlich, den Flash-Player direkt im Admin-Konto herunter zu laden?

Es geht nicht darum, ob speziell der Download des Flash-Players im Admin-Konto gefährlich ist. Es geht darum, daß jegliches Browsen im Internet mit Admin-Rechten gefährlich ist! Es gibt dafür keinen Grund und es schon ganz und gar unvernünftig, eventuellen Angreifern auf seinem Rechner Rechte zu verschaffen (im Admin-Konto sind sie vorhanden), die für den eigentlichen Zweck (Benutzen des Internet) nicht benötigt werden.

Auf die kürzeste Formel gebracht: Ich verwende das Internet im Admin-Konto für genau einen einzigen Zweck: Zum Installieren der neuesten Windows-Patches am MS-Patchday (dem 2. Dienstag im Monat) zum frühest möglichen Zeitpunkt (ca. 19 Uhr MEZ nach meiner langjährigen Beobachtung). Punkt aus. Für nichts anderes.

Und ja, ich halte speziell den Download des Flash-Players für besonders gefährlich. Der Grund ist der, daß die meisten Benutzer, die den Player herunterladen, bereits eine, und zwar ältere, Version installiert haben. Und soweit ich mich erinnern kann war jedes Flash-Update mit dem Schließen von Sicherheitslücken der alten Version(en) verbunden. Das heißt, die zu diesem Zeitpunkt installierte Flash-Version stellt notwendigerweise eine offene Sicherheitslücke dar, und zwar nachweislich! Und nicht nur, aber zum Beispiel bei dem Update vorgestern wurde die Lücke des alten Players zu dem Zeitpunkt bereits aktiv ausgenutzt!

Zitat von scyllo

Ist die Installation dann "sauberer", wenn man diese Datei vor der Installation auf den Desktop des Admin "zieht" und dort ausführt oder kann ich sie auch direkt quasi vom Desktop des eingeschränkten Users ausführen?

Das ist Jacke wie Hose, du kannst das machen wie du willst. Der Admin hat (ausgenommen, bestimmte Bereiche wären verschlüsselt) auch auf die persönlichen Bereiche aller Benutzer vollen Zugriff und uneingeschränkte Rechte, und auf die Rechte kommt es dabei an.

Zitat von scyllo

... als auch den Shockwave-Player ...

Brauchst du den wirklich?

Zitat von bigpen

...
Ich versuche es das nächste Mal auch mal über den Link von Global Associate, obwohl ich grundsätzlich auch gegen Downloads von nicht-originalen Seiten bin.

Ich ebenfalls, und zwar massiv.

Es gibt im übrigen noch einen weiteren möglichen Grund, warum ich von dem Adobe DLM verschont bleibe (der mir gestern aber entfallen war): Ich steuere Javascript mit Hilfe der Erweiterung von NoScript und JS wird bei mir nur von Seiten zugelassen bei denen ich einerseits feststelle, daß es ohne tatsächlich nicht geht und ich andererseits der Seite beziehungsweise dem Anbieter vertraue. (Das ist natürlich immer subjektiv. Dennoch gibt es sicherlich prinzipiell Unterschiede in der Vertrauenswürdigkeit der unterschiedlichen Seitenanbieter; welchen man in welche Vertrauenskategorie steckt, läßt sich dagegen nicht quasi naturgesetzlich begründen. Zum Beispiel vertraue ich dem Anbieter ARD soweit, daß ich JS erlaube, um mir die Flash-Videos der Tagesschau ansehen zu können.) Die Flash-Installationsdateien von Adobe kann man herunterladen, ohne JS zulassen zu müssen und in den Installerdateien (zur Zeit ca. 2,8 MB groß) ist der DLM nicht enthalten. Es könnte also auch am nicht zugelassenen JS liegen, warum ich von der Originalseite keinen angeblichen und undurchsichtigen Manager erhalte. Und mit meiner Strategie - das kann ich dir versichern - habe ich bis heute keinen DLM gesehen (von einem Test in einer virtuellen Maschine abgesehen, der bewußt erfolgte), ohne dafür jemals eine Drittanbieterseite verwendet zu haben.

Zitat von Cosmo

Und ja, ich halte speziell den Download des Flash-Players für besonders gefährlich. Der Grund ist der, daß die meisten Benutzer, die den Player herunterladen, bereits eine, und zwar ältere, Version installiert haben. Und soweit ich mich erinnern kann war jedes Flash-Update mit dem Schließen von Sicherheitslücken der alten Version(en) verbunden. Das heißt, die zu diesem Zeitpunkt installierte Flash-Version stellt notwendigerweise eine offene Sicherheitslücke dar, und zwar nachweislich! Und nicht nur, aber zum Beispiel bei dem Update vorgestern wurde die Lücke des alten Players zu dem Zeitpunkt bereits aktiv ausgenutzt!

Vielleicht verstehe ich jetzt wieder etwas falsch.....aber ist denn diese Lücke (oder die Lücken) beispielsweise im Flash-Player nicht nur dann gefährlich, wenn ich auf irgendeiner dubiosen Seite auch Flash ausführe? Sollte es nicht so sein, dass die Adobe-Seite, auf der man ja auch das Update lädt, soweit sicher ist, dass man prinzipiell auch mit einem Admin-Konto dort die Updates lädt?

Windows hat ja mitunter auch diverse Sicherheitslecks und dennoch ist es ja sicher, die Updates von der entsprechenden Microsoft-Seite zu laden (so wie Du es ja auch machst), oder nicht?

Oder können beim Flash-Player auch Angriffe auf mich selbst auf der Adobe-Seite erfolgen, wenn ich Flash unter Umständen gar nicht ausführe (so wie Tiere, die man am besten an der "Tränke" fängt)?

Auch ich werde jetzt alles mögliche über das eingeschränkte Konto laden und dann erst als Admin installieren; aber interessieren würde mich das oben Gefragte schon.

Zitat von scyllo

..aber ist denn diese Lücke (oder die Lücken) beispielsweise im Flash-Player nicht nur dann gefährlich, wenn ich auf irgendeiner dubiosen Seite auch Flash ausführe?

Dazu müsstest du wissen, ob bereits beim Aufruf einer Webseite der Flashplayer gefordert ist oder nicht. Ein Beispiel wäre Youtube. Ohne Einstellungen bzw. Erweiterungen, wie etwa das bereits benannte NoScript, fängt beim Besuch einer Seite von Youtube das Laden des Contents und je nach Rechnerstärke und der Verbindungsgeschwindigkeit auch das Abspielen an. Dies passiert dir auf immer mehr Seiten im Netz. Auf die anderen Fragen gehe ich nicht ein, da anderweitig bereits begründet abgelehnt.

bigpen:
Was den Download des Flash-Players betrifft: Ganz einfach, ich muß mich korrigieren. Ich habe es nach deinem Beitrag noch einmal kontrolliert und es ist richtig, die Adobe-Seite benötigt zum Download aktiviertes JS (und ist hier auch so konfiguriert). Richtig ist, daß ich JS über NoScript nur gezielt erlaube, ich hatte vor meinem letzten Beitrag die Einstellung jedoch nicht noch einmal nachgesehen und mich in meiner Erinnerung getäuscht. Entschuldigung dafür. Der Grund für meinen Irrtum lag darin, daß mir nach einem Beitrag von dir einfiel, daß das Aktivieren von JS ganz generell ungewollte Aktivitäten einer Seite ermöglichen kann; ich hätte allerdings im Kontext noch einmal nachsehen sollen, ob das im Falle Adobe relevant und das Abschalten von JS möglich ist.

Was aber auf der anderen Seite bedeutet, daß auch bei aktiviertem JS der DLM nicht auf den Rechner kommt, und darum geht es ja letztlich. Folglich kein Grund, auf eine Drittanbieter-Seite zu gehen.

Frage an dich: Du schreibst, daß bei dir der DLM untergeschoben werden sollte. Woran machst du das fest? An dem Text auf der Downloadseite, in der Adobe sybillinisch schreibt, daß der DLM eingesetzt werden könne (mit dieser Formulierung drücken sie sich so richtig an der Wahrheit vorbei), oder gibt es noch eine andere Beobachtung? Ich bekomme die Installerdateien und das war's. (Adobe - ich formuliere es mal so - schummelt mit der Wahrheit noch weiter an der betreffenden Stelle, den sie begründen den Downloadmanager damit, daß der zu Installation dienen solle. Ein Downloadmanager ist aber nach üblichem Verständnis eine Software zur Organisation von Downloads, nicht zur Installation von Software. Der betreffende Satz könnte dahin gehend interpretiert werden, daß die besagte "Unterstützung" der Installation für die Online-Installation zutrifft. Und die Schaltfläche für den Download besagt ja auch "installieren" und nicht "herunterladen". Was ich zusätzlich noch mache ist, das Flash-Plugin mit dem IE herunterzuladen und das ActiveX-Control mit dem FF; bemerkenswerterweise erscheint dabei auch jeweils die McAfee-Option gar nicht erst.

Zitat von scyllo

Vielleicht verstehe ich jetzt wieder etwas falsch.....aber ist denn diese Lücke (oder die Lücken) beispielsweise im Flash-Player nicht nur dann gefährlich, wenn ich auf irgendeiner dubiosen Seite auch Flash ausführe? Sollte es nicht so sein, dass die Adobe-Seite, auf der man ja auch das Update lädt, soweit sicher ist, dass man prinzipiell auch mit einem Admin-Konto dort die Updates lädt?

Es sollte so sein, aber vieles ist nicht so, wie es sein sollte. Und kannst du das mit Sicherheit ausschließen? Es hat in der Vergangenheit zum Beispiel auch Herstellerseiten von Mainboards gegeben, auf denen Viren verbreitet wurden (irrtümlich, wie ich mal glauben will, aber nichtsdestotrotz auf Grund einer unverantwortlichen Nachlässigkeit des Herstellers), und es gab auch schon wiederholt Schadware, die sich auf original vom Herstellern ausgelieferten USB-Sticks und MP3-Playern befunden haben. Das Sony-Rootkit-Debakel vor einigen Jahren nicht zu vergessen. Nicht daß ich glaube, daß man hundertprozentig alle Risiken und Angriffstechniken ausschließen könnte, aber alles was mit vernünftigem Aufwand getan werden kann, um Risiken zu vermeiden oder zumindest zu reduzieren und dann auf Grund einer nachlässigen oder fahrlässigen Konfiguration und Betrieb des Rechners nicht getan wird, ist eine vom Benutzer initiierte Sicherheitslücke. In der Hoffnung, keine Information übersehen zu haben, schotte ich mein System gegen solche vermeidbaren Angriffsvektoren ab.

Das Grundprinzip bei Sicherheit besteht nicht darin, alles zuzulassen, von dem man nicht definitiv weiß, daß es gefährlich oder schädlich ist, sondern alles zu vermeiden, was nicht unvermeidlich für einen bestimmten Zweck erforderlich ist. Der Flash-Player-Download ist definitiv ohne Admin-Rechte möglich und die Frage, ob und in welchem Grad mit Admin-Rechten reale Risiken bestehen, stelle ich mir folglich erst gar nicht. Warum sollte ich?

Windows-Updates gehen nun mal nicht ohne die Windows-Update-Seite, jedenfalls nicht im vollen Umfang; die optionalen Updates stehen weder beim automatischen Update (wo in der Tat kein IE verwendet wird) noch bei WSUS-Offline-Update zur Verfügung. Und auf Windows-Updates zu verzichten ist mit Sicherheit die verkehrteste "Lösung".

Zitat von bigpen

Eigentlich nur daran, weil sich beim Klick auf den Downloadbutton der Adobeseite, das Add-onfenster des Firefox öffnete und Adobe eine DLM-Erweiterung installieren wollte. Den Dowloadmanager habe ich später in Systemsteuerung/Software gefunden.

Ok, das ist allerdings ein manifeste Beobachtung, deckt sich allerdings nicht mit meiner Erfahrung. Einen möglichen Grund dafür hast du im übrigen ja selber genannt und die erscheint mir durchaus plausibel.

Zum VLC-Player:
Ich setze ihn nicht und kann somit aus eigener Erfahrung nichts dazu beitragen. Wenn ich allerdings hier lese so finde ich, daß die Codecs nicht zum eigentlichen Programm gehören. Dadurch stellt sich mir der Gedanke, daß es an den installierten Codecs liegt? (Nur mal als unverbindliche Idee.)