Firefox Seiteuafbau & Viren-Gefahr

  • Hallo,

    vor paar Wochen habe ich auf einer vertrauenswürdigen Seite vom meinem residenten Virenscanner eine Virus-Warnung in einer Cache-Datei erhalten: "...\Cache\3980A96Ed01".

    Diese Datei lass ich in die Quarantäne verschieben und später auf VirusTotal und beim AV-Hersteller auf Viren testen. Es war glücklicherweise eine False-Positive-Meldung.

    Nichts desto trotz, etwas hat mich dabei beunruhigt. Als ich früher noch mit IE gesurft habe, war es so, dass IE zuerst die zu einer Web-Seite gehörenden Dateien auf der Festplatte gespeichert, und erst danach (diese geladen und) die Seite aufgebaut hat. Für einen Virenscanner war es relativ einfach, wenn ein Virus bei dem Speichern der Online-Dateien erkannt wurde, das verarbeiten der infizierter Dateien zu unterbinden.

    Bei Firefox scheint dies anders als bei IE zu funktionieren. Nach der Virus-Warnung vor paar Wochen habe ich nämlich gleich auch den Arbeitsspeicher durch den Virenscanner prüfen lassen. Er hat den gleichen angeblichen Virus in zum Firefox gehörendem Speicherbereich gefunden.

    Offensichtlich hat Firefox bereits vor dem Speichern der Daten in der fälschlicherweise als Virus gemeldeten Cache-Datei diese Daten in Speicher geladen und verarbeitet. Mir ist klar, dass die Seiten auf diese Weise etwas schneller aufgebaut werden, aber ist die Arbeitsweise von Firefox nicht ein prinzipielles Sicherheits-Risiko?

    [Nachtrag vom Autor: (Mo, 09. Mai 2011 10:22)
    Schätze ich den Sachverhalt richtig ein?
    Kann man das Firefox-Verhalten unter about:config ändern?
    Wenn ja, wie groß wären die Auswirkungen auf Performance/Seitenaufbauzeit?
    Nachtrag-Ende]

    [Nachtrag vom Autor: (Do, 12. Mai 2011 17:50)
    Bevor der Thread unter der unnötigen Polemik erdrückt wird,
    bitte vor dem Antworten unbedingt meinen Vorschlag am Ende dieses Beitrages beachten :!: Danke.
    Nachtrag-Ende]

    Gruß
    mfzb

    3 Mal editiert, zuletzt von mfzb123 (12. Mai 2011 um 17:51)

  • Zitat von PvW

    Abends & Willkommen.

    Guten Abend und danke für Deine Antwort.

    Jedoch entschuldige, ich möchte Dir nicht zu nahe treten, aber hast Du den ganzen Beitrag gelesen?
    OK, es war schon spät. :wink:

    Zitat

    Was bitte läßt Dich denken,der Firefox würde sich diesbezüglich anders verhalten?

    Ist doch oben beschrieben - Bitte lese auch den normal formatierten Teil. :idea:

    Zitat

    Der kann lediglich die lokalen Einstellungen übernehmen.

    Was hat das mit meine Frage zu tun? :-???

    Zitat

    Er ist per se kein AV- sondern schlicht ein Browser.

    Habe ich doch nicht behauptet. :!:

    Zitat

    Bestimmt hast Du schoneinmal den Firefox-Cache gelöscht?

    Und was hat das mit meine Frage zu tun?

    Zitat

    Aber ehrlichgesagt kapiere ich den Ansatz nichtmal...

    Kein Kommentar :wink:

    Zitat

    Gruß

    Gruß und bis später.
    mfzb :)

    PS
    Hoffentlich hast Du bis dahin den ganzen Beitrag gelesen. Und nichts für ungut. :wink::)

  • Zitat von Brummelchen

    Long story short: Von welchem Virus redest du?

    Es war kein Virus. Es war eine Falschmeldung.

    In meiner Frage geht es um das Seitenaufbau-Verhalten / Arbeitsweise von Firefox und die Auswirkungen auf AV-Sicherheit.

    Wenn ich den oben beschriebenen Sachverhalt richtig interpretiere, verarbeitet Firefox (anders als Internet Explorer) die zu einer Web-Seite gehörenden Dateien noch bevor diese Dateien im Cache auf der Festplatte gespeichert werden, und baut die Seiten sozusagen direkt aus dem Netz im Arbeitsspeicher auf.

    Dies macht den kompletten Seitenaufbau insgesamt etwas schneller und man sieht fast sofort die ersten Seiten-Elemente, ABER diese Arbeitsweise macht es der Mehrheit der residenten Anti-Virus-Programme unmöglich, das Verarbeiten eventuell infizierter Web-Dateien durch den Browser zu verhindern, weil die Meisten nur Festplatten-Zugriffe überwachen und nur den Virus im Cache merken aber nichts dagegen tun können, wenn er bereits davor (direkt aus dem Netz) im Arbeitsspeicher landet und verarbeitet wird.

    Die Fragen selbst waren:
    - Interpretiere ich die Arbeitsweise von Firefox und die damit verbundenen Risiken richtig?
    - Kann man die Arbeitsweise in about:config ändern?
    - Wie stark würde sich diese Änderung auf die Performance/Schnelligkeit beim Seitenaufbau auswirken?

    Gruß
    mfzb

  • Zitat

    Es war kein Virus. Es war eine Falschmeldung.


    Darum geht's mir gar nicht.
    Wenn ich weiss, worüber du schreibst, kann auch entscheiden,
    ob Firefox dafür zuständig ist oder nicht.

    Javascript - ja, Flash - Nein, CAB/jar - nein (weil JAVA) usw.
    Andere Erweiterungen -> andere Programme/Plugins.

    Es ist eigentlich ziemlich egal, ob Dateien erst auf der Platte landen oder zuerst im Speicher.
    Zumal sich dieses Verhalten bei Firefox auch noch einstellen lässt, ob oder ob nicht.
    Mit dieser Vorgehensweise liesse sich deine Theorie untermauern oder widerlegen.
    Auch beim IE kann man den Festplatten-Cache deaktivieren.
    Standardverhalten ist beides als Zielort, zeitnah (unabhängig jetzt von der Reihenfolge).

    Deine Aussage bzgl Virenscanner ist zwar korrekt, aber trifft nicht bei allen zu:

    Zitat

    Für einen Virenscanner war es relativ einfach, wenn ein Virus bei dem Speichern der Online-Dateien erkannt wurde, das verarbeiten der infizierter Dateien zu unterbinden.


    Standardeinstellungen:
    IdR werden Daten beim Schreiben geprüft - aber nicht alle können Daten bereits beim Download prüfen!
    Es gibt eine mir bekannte Software, die keinen Webguard anbietet - Avira Free.
    Dort können Daten ungehindert im Browser aufschlagen, wenn jene nicht vorher
    oder beim Vorher-Schreiben-Nachher-anzeigen-Fall geprüft werden.

  • Hallo Brummelchen,

    leider kann ich Dir nicht sagen, was für ein Datei-Typ das war - habe versäumt, in die Cache-Datei vor dem Leeren der Quarantäne mit einem Editor reinzuschauen.

    Wo kann man das Verhalten umstellen? In about:config? Welcher Parameter?

    Wartet dann Firefox mit dem Seiten-Aufbau bis alle Dateien auf Festplatte gespeichert sind, oder beginnt der Seitenaufbau bereits mit der ersten auf der Festplatte gespeicherten Datei? Das erste wäre ziemlich ungünstig.

    Wie stark sind die negativen Auswirkungen auf die Performance? Ich vermute, dass sie kaum merkbar sind, oder?

    Betreffend AV-Software werde ich demnächst von Avira wahrscheinlich auf Avast umsteigen. Trotzdem interessiert mich jetzt das Thema und würde es gerne ausprobieren, wie sich die andere Einstellung auf das Surfen auswirkt.

    Gruß
    mfzb

  • Welch paranoide Vorstellung.

    Da liegt etwas, aka Objekt, mit einer virusartigen Signatur im Cache herum.
    Egal wie es dort hinein kam, es tut nichts, es kann nichts tun - es liegt einfach nur so herum.

    Eine unbekannte Seite meinte es zu benötigen, wozu auch immer. Das Objekt liegt sowohl genutzt innerhalb des Fx vor als auch im Cache für einen späteren, wiederholten Gebrauch. Erst wenn der Cache im Speicher nicht mehr ausreicht findet eine Verdrängung auf die Platte statt.

    Überdenke deine Vorstellung.

  • Zitat von .Ulli

    Welch paranoide Vorstellung.

    Da liegt etwas, aka Objekt, mit einer virusartigen Signatur im Cache herum.
    Egal wie es dort hinein kam, es tut nichts, es kann nichts tun - es liegt einfach nur so herum.

    Eine unbekannte Seite meinte es zu benötigen, wozu auch immer. Das Objekt liegt sowohl genutzt innerhalb des Fx vor als auch im Cache für einen späteren, wiederholten Gebrauch. Erst wenn der Cache im Speicher nicht mehr ausreicht findet eine Verdrängung auf die Platte statt.

    Überdenke deine Vorstellung.


    Welch ein toller Beitrag mein Herr. Ihr hättet Dichtungen schreiben sollen und nicht die Fertigkeiten für rechnende Gerätschaften Euch eineignen.

    Überdenke Du deine Einstellung. Wenn alle Beiträge so wertvoll wären wie dieser von Dir, dann könnte man sich ruhig alle Foren sparen. Leider sieht man immer mehr solche Beiträge. Hauptsache der Beitragszähler hat was zu erfassen.
    Zuerst alles lesen, versuchen zu verstehen und dann antworten - nicht umgekehrt. Und wenn man es nicht verstanden hat, dann gar nicht Antworten oder um eine genauere Erklärung bitten.

    Dieser Kommentar trifft auch auf die erste Antwort von PvW in diesem Thread zu. Nur die erste Antwort war zumindest nicht so frech wie diese von Ulli.

  • Ulli, also manchmal - aber diesmal versteh ich echt nichts von dem, was du meinst. :-???

  • Zitat von mfzb123

    Nur die erste Antwort war zumindest nicht so frech wie diese von Ulli.

    Nein, die Antwort war nicht frech.
    Sie war nur eine in höflicher Form verklausulierte Antwort, du hast keinen Schimmer über die Realität. Da besteht bei dir ein Nachholbedarf.

    P.S. wenn du meinst, ein Beitragszähler - aka Lametta - würde für mich eine Rolle spielen, dann bist du nochmals falsch gewickelt.

  • Zitat von Brummelchen

    aber diesmal versteh ich echt nichts von dem, was du meinst

    OK, welche Passage ?

  • Alles!? O_o

    Naja, fast - ich komme nicht auf deine Schlußfolgerung von dem, was rumliegt,
    solange es nicht benötigt oder "verdrängt" (gelöscht) wird.

    Und selbst wenn, ist das IMO nicht ganz die Antwort, die der TO haben wollte.
    Wobei es auch für mich von Interesse wäre, ob Firefox zuerst den Speicher,
    dann die Festplatte beschreibt oder umgekehrt (bei Standardeinstellungen).

    :-???

  • Zitat von .Ulli

    Nein, die Antwort war nicht frech.
    Sie war nur eine in höflicher Form verklausulierte Antwort, du hast keinen Schimmer über die Realität. Da besteht bei dir ein Nachholbedarf.

    P.S. wenn du meinst, ein Beitragszähler - aka Lametta - würde für mich eine Rolle spielen, dann bist du nochmals falsch gewickelt.


    Na jetzt aber langsam - Dein Beitrag ist wieder beleidigend. Die Fragen nicht verstehen und großmaulige Antworten geben - so was habe ich echt gern.

    Interessanterweise hat Brummelchen meine Frage verstanden. Wo liegt also das Problem? Ok, vielleicht ist mein erster Beitrag etwas zu lang geraten, sollte aber trotzdem bei genauem Lesen für fast alle verständlich sein.

    Deine Antwort zeigt eindeutig, dass Du die Frage(n) aus welchen Gründen auch immer nicht verstanden hast. Vielleicht liest Du einfach zu schnell. Die Fragen kannst Du nochmal am Ende des fünften Beitrages in Kurz-Fassung nachlesen.

    Falls auch das nicht hilft, und Du keine konstruktiven Beiträge schreiben willst oder kannst, klinke Dich bitte aus diesem Thread aus. Ich habe keine Lust auf unnötige Polemiken, die mit Thema nichts zu tun haben.

  • Nur ein Streit oder Stress, dass bringt uns alle nicht weiter,
    ebenso ausgelassene Beiträge ;) (wobei das anderen echt gut besser stände ^^)

  • .Ulli erklärte u.A. Folgendes:

    Zitat

    [...]Da liegt etwas, aka Objekt, mit einer virusartigen Signatur im Cache herum.
    Egal wie es dort hinein kam, es tut nichts, es kann nichts tun - es liegt einfach nur so herum. Eine unbekannte Seite meinte es zu benötigen, wozu auch immer. Das Objekt liegt sowohl genutzt innerhalb des Fx vor als auch im Cache für einen späteren, wiederholten Gebrauch.[...]


    Meiner Ansicht nach richtig und verständlich.

    Im Puffer-Bereich (also Cache) des Browsers (z.B. des Firefoxes) abgelegte Datenfragmente stellen im Zuge ihrer „Benutzung“ nur genau dann ein Sicherheitsproblem dar, sofern diese Datenfragmente aktiv ausführbare Scripte enthalten, welche wiederum durch den einmaligen oder auch nachhaltigen Zugriff wie auch immer gearteter Interpreter (z.B. Programme / Prozesse) zur Ausführung gelangen können / dürfen - was ja eigentlich nicht sein soll.

    Dabei ist es - meinen bisherigen Kenntnissen nach - unerheblich, ob diese Zugriffsverfügungen des Browsers im Registerbereich des RAM´s residieren oder längerfristig auf dem Datenträger abgelegt werden. Entscheidend sind vielmehr die wiederholbaren Zugriffsmöglichkeiten auf diesen Cache unter verschiedenen Browserkonfigurationen. (z.B. mit oder ohne JavaScript, FlashCookies, zugeschalteten Prozessen innerhalb der bereits konfigurierten und individuellen Browserumgebung).


    mfzb erwiderte u.A. Folgendes:

    Zitat

    Na jetzt aber langsam - Dein Beitrag ist wieder beleidigend. Die Fragen nicht verstehen und großmaulige Antworten geben - so was habe ich echt gern.[...]


    .Ulli hat Dich nicht beleidigt. Er erwiderte - meiner Beurteilung nach - auf Deine Anfrage hin mit einer technisch korrekt ausgestalteten Antwort, die Du vielleicht falsch auffasstest, um diese darüberhinaus durch technisches Unverständnis u.U. als Beleidigung gegenüber Deiner Person zu interpretieren.

    Dir obliegt darüberhinaus nicht das Recht „Spitzen“ gegen technische elaborierte Antworten zu „fahren“, dessen Essenz Du im Ansatz vermutlich noch nicht einmal verstanden hast.

    Frage lieber nach. Dafür sind wir alle hier. ;)


    mfzb fragte u.A. Folgendes:

    Zitat

    [...]Betreffend AV-Software werde ich demnächst von Avira wahrscheinlich auf Avast umsteigen. Trotzdem interessiert mich jetzt das Thema und würde es gerne ausprobieren, wie sich die andere Einstellung auf das Surfen auswirkt.


    Mache Dir bitte Gedanken über die sog. präventiven Massnahmen (also eine im Vorfeld etablierte Systemabsicherung Deines Computers) zur Abwehr kompromittierender Einwirkungen (z.B. gegenüber Viren / Würmer / Makroprotokolle / etc.).

    Von Relevanz ist dabei nicht ein wie auch immer ausgestalteter und perfekter Virenscanner, sondern eher die duch Dich im Vorfeld durchgreifend ausgestaltete Absicherung Deines Computer-Systems.


    Oliver

  • Zitat von Oliver222

    Mache Dir bitte Gedanken über die sog. präventiven Massnahmen


    Ergänzend im Sinne von sicherer Surfen:

    Ein Ansatz eines Sicherheitskonzeptes für Windowsnutzer

    * nicht mit administrativen Rechten surfen!
    * regelmäßig alle Windows- und Programmupdates installieren
    * das DSL-Modem als Router betreiben, wenn vorhanden
    * WLAN-Netz verschlüsseln
    * mit dem Notebook nie unverschlüsselt in vorhandene Zugangspunkte (Flughäfen, Zug, Gaststätten etc.) einloggen
    * Firewall einschalten resp. installieren
    * Antiviren-Programm installieren und automatisch updaten lassen
    * nur Programme aus sicheren Quellen (vom Hersteller) installieren

    Weiterführende sicherheitsrelevante Gesichtspunkte

    * für gelegentliche andere Benutzer ein zusätzliches eingeschränktes Benutzerkonto einrichten
    * keine fremde Hardware (Sticks, externe Festplatten, Handys etc) an den Computer anschließen
    * Aktive Inhalte deaktivieren, die Erweiterungen NoScript und AdBlock Plus halten schon eine Menge ab.
    * PDF-Dateien nicht im Browser anschauen, sondern herunterladen und dann anzeigen lassen
    * bei Installation von Software möglichst benutzerdefiniert installieren und genau lesen, dabei ungewollte Drittsoftware abwählen
    * regelmäßig Datensicherung durchführen
    * E-Mails nicht blindlings öffnen, besonders nicht, wenn sie von unbekannten Absendern stammen
    * Mailanhänge von unbekannten Absendern am besten gleich löschen
    * Mailanhänge vor dem Öffnen auf Malware prüfen
    * gleiches gilt für Dateiempfänge innerhalb sozialer Netzwerke
    * Auf Spam-Mails nicht antworten, sonst kommt noch mehr Spam
    * nicht auf alles klicken, was blinkt

  • Zitat von Brummelchen

    […] ich komme nicht auf deine Schlußfolgerung von dem, was rumliegt,[…]

    Ich glaube, mit der weiterführenden Erläuterung von Oliver222 ist diese Frage beantwortet.

    Zitat von Brummelchen

    Wobei es auch für mich von Interesse wäre, ob Firefox zuerst den Speicher, dann die Festplatte beschreibt oder umgekehrt […]

    Natürlich erst den Speicher, denn dort landen die erledigten, der Erfolg ist egal, Anfragen.

    Im Standard werden die Objekte dann gemäß der Vorgaben des Servers für den weiteren Gebrauch vorgehalten, d.h bei den Objekten im Cache ist der Fx der Besitzer aber kein Eigentümer.

    Die Speicherung auf den langsamen Datenträger erfolgt dann asynchron zum Benutzerverhalten, denn dieser soll ja in seinen Freiheitsgraden, z.B. durch Wartezeiten, nicht behindert werden.

    Eine Gegenprobe wäre die Abschaltung aller vom Benutzer erreichbaren Caches. Da der Fx seine Funktion erkennbar immer noch erfüllen kann, hat er weiterhin seinen privaten Cache, der nun jedoch nicht mehr dem des Benutzers geteilt wird.

    Eine weitere Gegenprobe ist die Verlagerung des Plattencache auf eine Floppydisk. Der Benutzer spürt von den Schreibzugriffen erstmals nichts.

  • Ah ja, toll, danke. Also wie der TO schon vermutet hat.
    Alles andere wär mir egal, ich hab nichts gefährliches im Speicher,
    auch keine Leichen im Keller :mrgreen: