Der sichere Browser

    @Alive
    "Ertastet blindings" ist die Aussage des Abends. "Logisches Denken" setzt Augen auf voraus und kann ohne prinzipbedingt nicht funktionieren. Der Tastsinn alleine ist leider keine adäquate Alternative und sollte nur bei entsprechenden Behinderungen in Betracht gezogen werden. Wobei ich zugebe, es ist sehr menschlich solche durch Selbsterkenntnis nur schwer erkennen zu können. An der Stelle also: Hut ab.

    PvW
    Die 2.1 ist nur eine Abspeckung von 2.0. Da gab es nämlich an mehreren Stellen Spaghettikode in der Funktion AlertBrown(), der leider in nicht wenigen Fällen bereits schon nach wenigen Datensätzen völlig unnötig im L2-Cache overgetriggerd hat und anschliessend meist zum Zurücksetzten der HW-Register führte.
    In 2.1 ist das auf das Nötigste reduziert, was alleine fast zu einer ähnlichen Leistungssteigerung aller anderen Funktionen geführt hat wie das Update von 1.0 auf 2.0.

    ----

    Sicher nach welchen Maßstäben? Was Datensicherheit angeht ist selbst der ideal full featured Browser nicht sicher, da das Netz mit seinen echten wie defakto Standards diesbezüglich by design unsicher und daher broken ist. HTML5, WebGL, JavaScript, Flash. Angesichts dessen, und leider, erfüllt diesen Ansatz nur Lynx.

    Wir haben zwar das Glück, daß es Mozilla immernoch gibt, wir die prefs.js an den markanten Stellen kennen (Cache-IDs for the win!) und auch daß jemand für uns Ghostery, BetterPrivacy, Flashblock, NoScript usw. programmiert hat, aber diese unsere glückliche Zeitlinie entstand für uns Verbraucher nur durch Glück&Zufall. Und selbst dann muß man anscheinend zu den Insidern gehören, um an den Vorzügen von Glück&Zufall teilzuhaben.

    Von den großen Architektenbüros des Netzes wurde das nicht geplant. Die walten eher so, als wenn ein sicheres Netz eine bremsende Wirkung hätte (für was eigentlich? kling-kling) und sie dabei auch hoffen würden, daß Glück&Zufall uns bald wieder verläßt und nicht zurückkehrt.

    Je nach themabezogenen Beruf/Interessen werden Netzsicherheit und Browsersicherheit daher entweder als Luftschloß, Seifenblase, Sandburg oder Farce bezeichnet. Das aktuelle Netz und seine aktuellen "Werkzeuge" sind heute ähnlich sicher wie XPsp0 heute sicher wäre.

    Bis dann mal.

    Probieren geht über Studieren

    @ BeeHaa
    Maßstäbe sollen doch keine gesetzt sein. Sicherheit funktioniert nicht mit einer einzigen Sicherheitsmaßnahme!
    Da stimme ich dir zu, wer ist aber das Netz?
    Mein Rechner gehört nicht zu einem Botnetz und ist mE sicher. Ein full featured Browser hat eben (du sprichst es an)- viele Features, welche von Hackern bzw. Malware genutzt werden könnten. Hier kommt wieder der wahrscheimlich größte Unsicherheitsfaktor User ins Spiel. Eingefügt in ein vollständig aktualisiertes System, sorgt der "sichere Browser" für ein Surfen ohne Angst, auch wenn du mal das Falsche anklickst, zB. via JS den BKA Trojaner einfängst, der bleibt in der virtuellen Umgebung.

    Wieso durch Glück/Zufall? Nö, man soll einfach wissen, was man mit diesen Progs anstellen kann. Bedenke, dass auch
    das Geschäft mit der Sicherheit erfunden wurde, deshalb dürfte es weder Glück noch Zufall sein.

    Natürlich ist das auch so, was für den Einen Sicherheit bedeutet, kann für den Anderen ein Problem darstellen. Beispiele gibt es doch mehr als genug. Verbraucherschutz, Bankenaufsicht, Polizei etc. etc.

    Wer bzw. was oder wie bezeichnet-ist belanglos. Das aktuelle Netz, aus was o. wen besteht es?, hier ist die finale Aussage bei der ich mich selbst fragen muss, was kann ICH für ein sicheres Netz tun und wie, kann ich meinen PC/meine Daten schützen?

    Einmal editiert, zuletzt von Anonymous (21. Januar 2012 um 01:39)

    Ich bitte die Begriffe zu differenzieren. Wenn ihr von "Sicherheit" sprecht, sagt, welche ihr meint. Privatsphäre und Systemsicherheit sind nicht das selbe (auch wenn letztere auch erstere beinflussen kann, wie auch in bestimmten Fällen in der anderen Richtung Beeinträchtigungen stattfinden können) und haben ganz unterschiedliche Angriffsvektoren und entsprechend auch ganz unterschiedliche Abwehrmassnahmen. Wer bei der Definition zu allgemein wird, der kann alles mit allem "belegen". Womit niemandem geholfen ist.

    Zitat von bugcatcher

    ...zu allgemein wird, der kann alles mit allem "belegen". Womit niemandem geholfen ist.

    Und eben deshalb, (weil die Beeinflußbarkeit stattfindet)-meine Sicherheit vom System resp. dessen Sicherheit abhängig ist, "rede" ich in erster Linie von Systemsicherheit.
    Ich denke auch BeeHaa tut das!
    Natürlich ist ein,sagen wir, gereizter o. angegriffener User, auch eine Gefahr für ein Computer-System!

    Hoffentlich hab ich keinen Unfug belegt oder was meinst du? :shock:

    Zitat von bugcatcher

    Ich bitte die Begriffe zu differenzieren.

    Eigentlich war die Begrifflichkeit durch den ersten Beitrag hinreichend abgegrenzt, denn …

    Zitat von Alive

    Eine virtuelle Umgebung ist ist die wohl sicherste "Sache",

    Womit eindeutig die Sicherheit des Systems adressiert war.

    Bei etwas mehr Disziplin der Mitglieder bräuchte es auch keinen berechtigten Einwand …

    Zitat von bugcatcher

    Wenn ihr von "Sicherheit" sprecht, sagt, welche ihr meint.

    Mir war das klar. Ich wollte es nur noch mal in Erinnerung rufen. ; )

    Zitat von Alive

    Hoffentlich hab ich keinen Unfug belegt oder was meinst du? :shock:


    Das war mehr in die Richtung "der Standard ist broken by default". Da driftet wer wieder ab und betreibt Philosophie. ; )

    Zitat von bugcatcher

    Mir war das klar.

    Das war mir auch klar, denn der eigentliche Kreis der Adressaten gehörte zu …

    Zitat von bugcatcher

    Da driftet wer wieder ab […]

    Vielleicht hilft die einfach nur mit anderen Worten gegeben Bestätigung deiner Aussage.

    Könnte hinhauen. Der Erstbeitrag gibt da schon mehr her als der täuschend einfache Threadname. Datensicherheit? Systemsicherheit? Wenn Bugcatcher selbst nicht die gegenseitige Beinflussung und Beinträchtigung erwähnt hätte ;)
    Eine virtuelle Umgebung haben wir hier übrigens nicht ab Werk. Die hat Chromium. Tja, durchgefallen? :)

    Die Systemsicherheit sehe ich 2012 größtenteils beim OS erfüllt und nicht beim Browser. Bei der Frage nach dem systemsicheren Browser hab ich grad von .Ulli bisschen mehr derartiger Substanz erwartet. Er kennt die Kerben in die man schlagen kann ;)

    Probieren geht über Studieren

    Zitat von BeeHaa

    hab ich grad von .Ulli bisschen mehr derartiger Substanz erwartet.

    Zu Windows kann ich nicht mehr fundiert sprechen.

    Zu Linux habe ich ja etwas aus dem Nähkästchen geplaudert. Ein längere Erörterung, die ohne Problem möglich gewesen wäre, ginge aber an der Thematik des TO vorbei, denn dieser sprach sicherlich nicht von Linux.

    @.Ulli
    So großartig verschoben sehe ich die Problemfelder nachwievor nicht ;)

    @all
    Und um zu meiner Behauptung zurückzukehren, hat hier imho nicht jeder Teilnehmer sie wirklich nachvollzogen.

    Chrome übrigens, mit seiner Sandbox, unterminiert sich momentan selbst mit NPAPI.

    Probieren geht über Studieren

    Nur gibt es hier keine Problemfelder. Die Schnittmenge der Problemfelder der Biotope ist eine leere Menge.

    P.S. den bösen Buben, der den Fx kompromittieren kann, würde ich nahezu mit einer Flasche Schampus begrüßen. Denn dieser würde mich stärken.

    Zitat von .Ulli

    Denn dieser würde mich stärken.

    Wieso sollte das nicht gehn, wegen der Ordnerverteilung?, leider oder zum Glück kann ich nicht programmen :mrgreen:

    Es ist ja kein Geheimnis, es gibt einen einzigen Ort mit voller Berechtigung im System: extensions im aktuellen Profil des Users. Ansonsten könnte man ja keine funktionsfähige Erweiterung installieren.

    Mal von der sich einem Bösewicht stellenden Problematik, bei einem Pufferüberlauf fliegt er eh raus, den Ort zu finden und dort zu schreiben, das Geschriebene bedarf einer Vergabe der Berechtigung zum Ausführen, die Thematik wurde bereits erwähnt. Selbst ein Javascript bedarf dieser Berechtigung.

    So er all diese Klippen umschifft haben sollte, dann gelten immer noch die eingestellten Berechtigungen des Fx.

    Um diese auszuhebeln zu können braucht es administrative / root -Rechte. Der Bösewicht mag es nun irgendwie geschafft haben die Rechte zu erlangen, dann kam er im keinen Deut weiter, denn dessen globale Berechtigung wird immer noch durch die Berechtigung des Fx limitiert und damit kann er sich keine andere Berechtigung verschaffen.

    Darum der Schampus.

    P.S. auch wenn es versucht wurde, dies nun mit einfachen Worten zu formulieren, die Komplexität erschließt sich damit absolut nicht.