McAee SiteAdvisor oder WOT?

Ohne eines dieser Tools einzusetzen:

Der McAfee ist als problematische Erweiterung gelistet.

Von daher würde ich diese Erweiterung schon mal nicht nehmen.

Ob Du WOT brauchst, musst Du selbst entscheiden.

Wenn man eines dieser Tools einsetzt, gibt es genau 2 Möglichkeiten:
- man verlässt sich auf das Tool. Dann kann es vorkommen, dass man auf Seiten landet, die zwar vom Tool als vertrauenswürdig angesehen wurden, es aber in Wirklichkeit nicht sind.
- man überprüft nochmals selbst, ob die Seite auch wirklich vertrauenswürdig ist. Dann braucht man keine dieser Erweiterungen, da man die ganze 'Arbeit' ja sowieso selbst macht.

Für mich persönlich sind beide Erweiterungen uninteressant, da ich es mir durchaus zutraue, selbst entscheiden zu können, ob eine Seite vertrauenswürdig ist oder nicht.

Das ist allerdings nur meine ganz persönliche Meinung. Wenn Du eine der Erweiterungen einsetzen willst, ist und bleibt das Deine Entscheidung.

Solang Firefox brav aktuell gehalten wird, ist die Gefahr sich was über Firefox, völlig unabhängig von der Seite die man besucht, recht gering. Insofern ist das einzige, auf das man aufpassen muss: die Downloads.

Und wenn man sich etwas runter lädt, dann immer nur von der Herstellerseite. Auch nicht bei Chip, oder sonst wem. Nur beim Hersteller. Basta. Die Mehrheit der Leute nutzen ja Virenscanner als Backup. Sobald man was runter geladen hat, wird das brav erst gescannt, bevor man das ausführt. Wenn man auf Seiten geht bei denen es um Transaktionen geht oder bei denen Zugangsdaten benötigt werden, folgt man keinen Links von anderen Seiten. Man gibt die Adresse selbst ins Adressfeld ein, oder nutzt halt Lesezeichen. Damit verhindert man effektiv Phishing.

Und wer das macht, kann sich allen anderen Müll sparen.

Zitat

Solang Firefox brav aktuell gehalten wird, ist die Gefahr sich was über Firefox, völlig unabhängig von der Seite die man besucht, recht gering

Dabei sollte man allerdings die Plugins und Erweiterungen nicht außer Acht lassen.

Zitat von boardraider

Dabei sollte man allerdings die Plugins und Erweiterungen nicht außer Acht lassen.

Sehr korrekt. Aber das gilt im Grunde für alle Programme. Alles muss brav aktuell gehalten werden. Gibt keine Sicherheitsmassnahme (neben einem Konto mit eingeschränkten Rechten), die mehr Sicherheit bietet als seiner Patch-Pflicht nachzukommen.

Ich hoffe allerdings wirklich, dass Mozilla mit dem Plugin-Version-Checker irgendwann so weit ist, dass es im Firefox integriert ist und nicht nur auf der Start-/Updateseite von Mozilla zu finden ist.

Sinnvoll ist die Erweiterung NoScript, die das Ausführen von Javascript von jeder Feld-, Wald- und Wiesen-Seite (inklusive sogenannter Dritt-Anbieter) unterbindet, auf vertrauten Seiten auf denen es gebraucht wird, aber erlaubt (nebst weiteren Sicherheit-relevanten Features).

Zumindest erheblich sinnvoller wie McAfee SiteAdisoren oder WOTs.

Zitat

mach es Dir doch was die Erweiterungen/ Themes betrifft einfacher, es gibt ein AddOn das automatisch auf Updates überprüft und diese auch automatisch installieren kann

Eigentlich nichts was der Fx nicht aus selbst kann. Die die "automatische Installation" macht der Fx eben nach dem nächsten Neustart in Verbindung mit einem Mausklick.

Zitat

ist bekannt, na und ?

Dir vielleicht. Aber unbedarften User eigentlich unnötige Erweiterungen empfehlen? Ich sehe es als gerechtfertigt an auf Alternativen hinzuweisen, insbesondere wenn es einfachere Lösungen sind.

Hallo emi

Da Du ja sehr sicherheits- Bewusst bist, da gäbe es noch ein Add-on - Erweiterung,
die Dich vielleicht interessieren könnte:
RequestPolicy 0.5.12

Domain übergreifende Anfragen kontrollieren. Schütz vor Cross-Site-Forgery-Requests (CSFR) und anderen Angriffen.

boardraider und bugcatcher was haltet Ihr davon? Nützlich oder nur Müll?

Viele Grüße
Endor

Ich vermute mal das ist so nützlich wie NoScript (hab mich aber nicht so eindringlich damit beschäftigt). Ich persönlich nutze NoScript nicht. Ich nutze ein Konto mit eingeschränkten Rechten (dank SURun; danke an dieser Stelle an Cosmo. Das Ding hat zwar ein paar Einschränkungen, aber ich hab mich damit arrangiert. Ist jetzt im Testlauf bei meiner Mutter. Da dürfte das im Grunde optimal sein)) und Autoupdate aller Programme. Damit dürfte die Angriffsfläche recht gering sein, zumindest für mein "Preis-Leistungs"-Bedürfnis. Da brauch ich mir keine NoScripts usw. mehr installieren, die im Grunde zu Gunsten von mehr Sicherheit den Surfkomfort einschränken.

//

Zitat von bugcatcher

.. keine NoScripts usw. mehr installieren, die im Grunde zu Gunsten von mehr Sicherheit den Surfkomfort einschränken.

Einspruch! Ich nutze WOT und NoScript und kann für mich keinerlei Einschränkung im Surfkomfort (was das ist, müsste man vielleicht noch klären) feststellen. Aber das ist vielleicht auch eine Gefühlssache.

Wie ich angedeutet habe, ist das natürlich alles Ermessenssache. Wie sehr der Komfort leidet, liegt natürlich an der subjektiven Schwelle eines jeden einzelnen. Es kann sein, dass jemand ständig auf Javascript-lastigen Seiten rumgondelt und dann dafür erst eine Whitelist anlegen muss. Den einen wäre das zu nervig, der andere nimmt das nicht mal wahr. Andere wiederum laufen nur auf Seiten rum, die eh kein Javascript brauchen und damit hat sich die Whitelist-Pflege für ihn erledigt.

Ich für mein Teil halte NoScript (hatte ich eine ganze Weile benutzt) für überflüssig (wobei ich eh nach dem Prinzip "weniger ist mehr" vorgehe und vermeide zu viele Erweiterungen zu installieren. Da miste ich regelmässig aus). Aber ich hab auch keinen Virenscanner. Ich denke meine Sicht der Dinge ist weder weit verbreitet noch für jeden geeignet. ; )

Zitat von bugcatcher

Ich nutze ein Konto mit eingeschränkten Rechten (dank SURun; danke an dieser Stelle an Cosmo.

Da antworte ich doch gerne mit "Gern geschehen". - Bei Fragen diesbezüglich bin ich gerne zu antworten bereit.

Zitat von bugcatcher

Ich für mein Teil halte NoScript (hatte ich eine ganze Weile benutzt) für überflüssig

Das sehe ich anders. Mit dem eingeschränkten Konto schützt du dein System, aber nicht dein Konto.

Beispiel: Alles in deinem Profil funktioniert mit Benutzerrechten und ist mit diesen Rechten auch änderbar und folglich angreifbar. Erweiterungen - so schön und flexibel die FF-Architektur diesbezüglich auch sind - sind ein Knackpunkt in Bezug auf Sicherheit. Zwar hat FF einen rudimentären Selbstschutz, aber da er auf Software-Einstellungen beruht, kann er durch Software (JS ist auch nichts anderes) auch ausgehebelt werden. Software, die ich gar nicht will und die ich daran hindern muß, auf meinen Rechner zu kommen (JS von Seiten, die es nicht wirklich brauchen, insbesondere von Seiten, die ich gar nicht wirklich besuche - Stichwort Drittanbieter - und infolgedessen auch nicht vermeiden kann), ist mir alle Mal unsympathischer als eine Erweiterung, die allgemein gut bekannt ist, die hervorragend gepflegt wird (da macht Maone keiner was vor) und die - wohl wegen ihrer Popularität - auch bei AMO bei neuen Versionen kaum und bestenfalls kurz im Sandkasten versandet (mit anderen Worten: da wird IMHO ganz schnell geguckt und geprüft). Ich sehe auch wie Boersenfeger keine Komfortprobleme. JS könnte zum Beispiel eine installierte, legitime Erweiterung oder auch die Einstellungen des Browsers so verändern, wie es ein Angreifer für seine Zwecke braucht, und da hilft nun das eingeschränkte Konto nichts.

Aus derselben Überlegung habe ich übrigens auch im Office das Ausführen von aktiven Inhalten (Makros) reglementiert; es ist also keineswegs nur ein Browser-Thema.

Quelle: Endor

Zitat von Endor

RequestPolicy 0.5.12
[...]
boardraider und bugcatcher was haltet Ihr davon? Nützlich oder nur Müll?

Zunächst handelt es sich nicht um Müll. Ob es nützlich ist, muss jeder für sich evaluieren. Empfehlen kann man es jedoch, insbesondere da noch einige Funktionen auf der Agenda stehen. Grundsätzlich stehen in Sicherheitsfragen einer möglichen Schutzwirkung stets die Kosten gegenüber. Kosten sind dabei allgemein gehalten, diese können sich in zeitlicher oder monetärer Form äußern, genauso aber in Arbeitsaufwand.

RequestPolicy verfolgt einen radikalen Whitelist-Ansatz (default deny) analog zu NoScript. Je nach Gewohnheiten kann damit ein großer Teil des genutzten Webs zunächst außer Funktion gesetzt sein. Dessen sollte man sich bewusst werden. Danach müssen Seiten einzeln freigegeben werden. An der stelle ähneln sich RequestPolicy und NoScript.

Unter Sicherheitsaspekten ist die Verwendung denkbar und ebenso eine Verbesserung. Ob es letztlich praktikabel ist, hängt vom individuellen Nutzer und dessen Ansprüchen ab. Statt des radikalen Ansatzes bliebe für NoScript-Nutzer der dort implementierte Blacklist-Ansatz in Form von ABE. Als AdBlock-Plus-Nutzer mag vielleicht auch die third-party-Option eine Möglichkeit darstellen. Wobei in beiden Fällen die Funktionalitäten nicht deckungsgleich zu RequestPolicy sind.