AVAST 10.0.2206, openH264-Videocodec, https-Seiten

    Heute kam eine neue Version von AVAST heraus. Versionsnummer 10.0.2206.692.

    Neu ist, auch in der Free Version, das HTTPS-Scanning. Dieses ist standardmäßig aktiviert, falls man AVAST neu installiert oder ein Update macht. Zu finden unter: Einstellungen :arrow: Aktiver Schutz :arrow: WebSchutz--Anpassen :arrow: HTTPS-Scanning aktivieren

    Abgesehen davon, dass einige https Seiten nicht mehr funktionieren, (es sei denn man fügt Ausnahmen hinzu) habe ich bei Erstellung eines frischen Firefox Profiles fest gestellt, dass auch das neue Plugin openH264-Videocodec nicht herunter geladen werden kann. Es stand dort immer nur "Wird in Kürze installiert".
    Erst als ich den Haken in Avast entfernte unter "HTTPS-Scanning aktivieren" wurde es, nach erneuten Starten des Profiles, installiert.
    siehe

    Vielleicht für den einen oder anderen hilfreich zu wissen. :wink:

    Hilfe auch im deutschsprachigen Matrix-Chat möglich oder im IRC-Chat
    Meine Anleitungstexte dürfen gerne "geklaut" und weiter verwendet/kopiert werden ;)

    3 Mal editiert, zuletzt von Zitronella (17. März 2016 um 16:29)

    @ Zitronella
    Zur Info
    Ich nutze auch Avast Free, die neuste Version 2015.10.0.2206.692.
    Bei mir ist der Haken drin bei HTTPS-Scanning aktivieren .
    Nach dem FF Update mit dem neuem Plugin openH264-Videocodec stand auch da:
    "Wird in Kürze installiert".
    Nach einem Neustart von FF war es installiert, trotz Haken.
    Habe auch (noch) nicht bemerkt, dass https Seiten nicht mehr funktionieren.

    Ergänzung
    Was aktuelle Binaries via SSL herunterzuladen im Zusammenhang damit bedeutet verstehe ich nicht,
    muss ich wohl auch nicht :oops:

    Windows 10 Home
    Firefox 98.0.1

    moment mal: WANN genau wurde denn das Plugin herunter geladen? also zu welchem Datum? sprich: Wann hast du denn das Firefox Update gemacht. Doch bestimmt vor dem 22.10.2014, oder?

    Edit: Wenn ich deinen Thread mir ansehe hast du das Firefox Update am 14.10.2014 gemacht! Da gab es aber dieses HTTPS-Scanning in AVAST noch gar nicht!

    Insofern wurde das natürlich bei dir problemlos installiert. Die Version von Avast gibts doch erst seit gestern 22.10.2014 (was ich auch schrieb)

    Hilfe auch im deutschsprachigen Matrix-Chat möglich oder im IRC-Chat
    Meine Anleitungstexte dürfen gerne "geklaut" und weiter verwendet/kopiert werden ;)

    Einmal editiert, zuletzt von Zitronella (23. Oktober 2014 um 23:29)

    Ich benutze avast 2015 pro. Keine Probleme. HTTPS Scanning aktiviert. openH264-Videocodec hat sich installiert. Noch keine Seite gefunden, die sich nicht aufrufen lässt.
    Welche Seiten sollen denn betroffen sein?

    Robbi88: Zu deiner Frage mit den Seiten. Du weißt schon dass Browser Hersteller ein Bündel an geprüften Zertifikaten in ihre Browser werfen, oder?

    Zuweilen gibt es aber https-Seiten, die z.B. selbst signierte Zertifikate haben bzw. deren Zertifikat eben nicht im Browser drin sind (aus welchen Gründen auch immer). Für diese Seiten kann man dann Ausnahmen hinzufügen.
    Dies habe ich zB. auf einer Seite gemacht. Beispiel (nicht wundern... ist nur eine leere Seite). Hier bekommt man dann die Zertifikats- Warnmeldung und kann temporär oder für immer eine Ausnahme hinzufügen.

    Der große Unterschied ist nun, wenn man sich die Zertifikate genauer ansieht der Aussteller des Zertifikates, nämlich CAcert.org vs. Avast
    [attachment=0]certifikat-creuzinger.png[/attachment]

    Bedeutet, dass ich mit diesem HTTPS-Scanning ALLEN Zertifikate, die ich früher zu dauerhaften Ausnahmen hinzufügte jetzt noch einmal als Ausnahme hinzufügen müsste :roll:

    Und wozu das Ganze? Es wird beschrieben:

    Zitat

    HTTPS-Scanning soll den Entwicklern zufolge die Anwender vor Viren schützen, die über HTTPS-Traffic versuchen auf den Rechner zu gelangen.

    Quelle PCwelt
    .Hermes hat es in diesem Thread
    sehr gut zusammen gefasst:

    Zitat von .Hermes

    I.a.W. man misstraut sich selbst und dem / den regulär installierten Scanner.
    Außer Zeitverschwendung nichts gewonnen.


    Leider muss auch ich zu diesem, für jedermann nachvollziehbaren, logischen Schluss kommen und mich fragen, sind die AVAST Scanner so schlecht geworden, dass die eigenen Hersteller dieses Scanning einführen? Vorausgesetzt die obige Quelle berichtet seriös darüber (wofür ich meine Hand bei pcwelt.de nicht ins Feuer legen würde) :-?? Wenn dies so ist, werde ich mich demnächst wohl anderweitig orientieren müssen.

    Weitere Probleme durch dieses HTTPS-Scanning:
    -Versuche mal AdblockPlus von der Original Hersteller Seite https://adblockplus.org/ zu installieren (Auf den grünen Button "Für Firefox installieren" klicken) . Nada... geht nicht.

    -Des weiteren Probleme mit Spotify

    -Dazu kommen noch Firefox (evtl. in Verbindung mit bestimmten Erweiterungen) Abstürze

    -Opera Browser friert ein

    Ich hoffe das reicht ;)

    Bevor eure Gedanken wieder in die falsche Richtung tendieren - die Prüfung von SSL-Daten macht heutzutage viel Sinn. Malware kann sich auch via httpS über Webseiten verbreiten, es gab genügend Beispiele.

    Ohne SSL-Prüfung schlagen Daten ungeprüft direkt im Browser auf, da bringt keine normale Datenprüfung etwas, die sieht nur sinnlose Bits und Bytes. Mit SSL wird der Inhalt entpackt, geprüft und wenn ok, neu gepackt, diesmal mit Cert der AV-Software, deshalb hat Firefox auch jenes Cert als Gegenprüfung.

    Probleme ergeben sich erst, wenn wie verlinkt, die Certs der Anbieter ungültig sind, dann können auch keine Daten weitergeleitet werden, Firefox wartet endlos bzw bricht ab. Daher Ausnahmen. Und ob ihr die dann zwangsweise auch im AV eintragen müsst (in Firefox werden die ja nicht mehr gebraucht), ist eine Folge der Nutzung jene Software, soviel sollte im Vorfeld eigentlich schon klar sein - weil keine AV-Soft mehr ohne SSL-Prüfung daherkommt.

    Wenn Hermes meint, es wäre Zeitverschwendung... Unter Linux mag das teilweise zustimmen, weil Malware hauptsächlich für Windows geschrieben wird.

    Es sollte auch klar sein, dass die SSL-Prüfung den Seitenaufbau verzögert, bei heutiger Hardware wohl eher vernachlässigbar, aber messbar und manchmal auch sichtbar.

    Wer die SSL-Prüfung deaktiviert, sollte mindestens einen sicheren Browser benutzen, das schliesst zB Java & PDF auf unbekannten Seiten kategorisch aus. Eben so Scripte. Und weil Zitronella das gerade kennengelernt hat: LUA.

    Zitat von Bernd.

    Wenn Hermes meint, es wäre Zeitverschwendung

    Es ist schon traurig wenn eine SSL-Seite sich nicht selbst absichern kann.

    Zitat von Bernd.

    Unter Linux mag das teilweise zustimmen, …

    Hier verstärkt, da hier AppArmor aktiv ist. Es ist im Kernel vorhanden und braucht nur genutzt zu werden.
    I.a.W. es existiert neben der alten vertikalen Welt auch eine horizontale Welt. Somit werden der Anwendung die dem Benutzer gegebenen Rechte beschnitten.

    Zitat

    Es ist schon traurig wenn eine SSL-Seite sich nicht selbst absichern kann.


    Im genannten Zusammen sogar sehr, weil Oracle :roll:

    Das SSL aber nicht immer ein Garant ist, dafür kann man sich u.a. bei Comodo bedanken, quasi für den SSV an Certs Deswegen sind Meldungen und Reaktionen zu SSL ernst zu nehmen, wenn da keine vorgelagerte Prüfung besteht. Daher auch die Panik um den Heartbleed-Bug, das Teil war schon eine heftige Nummer. MS ist da auch direkt dran und ein Grund, warum Windows Update mitlaufen sollte. Selbst der Explorer und andere (gute) Dateimanager prüfen signierte Dateien, lokal und wenn nicht vorhanden, über entsprechende Server.

    ich kann dir darauf nicht antworten, was mir auffällt ist dass zb.bei der Postbank Seite (andere Bank Seiten habe ich jetzt nicht überprüft) im Zertifikat nix von Avast steht, trotz HTTPS-Scanning. Bei https Seiten von Google hingegen schon.

    [attachment=0]Avast-https-scanning.png[/attachment]

    Entschuldigt, dass ich als Newbie mich hier bei den alten Hasen einklinke. Eigentlich ist der Firefox auch gar nicht mein Revier. Da kennt ihr euch bestimmt besser aus als ich.
    Ich würde aber behaupten, dass dass ich mich in Sachen Programmierung und Verschlüsselung recht gut auskenne. Und weil ich hier eine Frage gestellt habe und mir jemand Hilfe angeboten hat, kann ich mich zu diesem Thema vielleicht im Gegenzug revanchieren.

    Ich habe allerdings zu einem großen Teil erst einmal Fragen, weil hier für mich schon etwas merkwürdige Dinge geschrieben wurden.

    Zitat von .Hermes


    Es ist schon traurig wenn eine SSL-Seite sich nicht selbst absichern kann.

    Hier verstehe ich nicht, was gemeint ist. Eine https-Seite unterscheidet sich von einer http-Seite zunächst einmal nicht. Der Unterschied ist der, dass der Server bei https sicherstellt, dass der Transport vom Server zum Client über das Internet verschlüsselt erfolgt. Der Server sichert über sein Zertifikat zu, dass er wirklich der Server ist, der er vorgibt zu sein. Die zusätzliche Sicherheit besteht also darin, dass man oder Mozilla dem Herausgeber des Zertifikats vertraut. Damit ist schon sehr viel gewonnen.
    Der Client muss sich dabei nicht sicher identifizieren. Warum sollte eine https-Seite also sicherer sein? Https schützt den Server nicht vor Angriffen.

    Zitat von Bernd.


    Mit SSL wird der Inhalt entpackt, geprüft und wenn ok, neu gepackt, diesmal mit Cert der AV-Software, deshalb hat Firefox auch jenes Cert als Gegenprüfung.

    Du meinst sicher entschlüsselt und verschlüsselt nicht entpackt und gepackt, oder?. Mit packen hat das ja überhaupt nichts zu tun.
    Was der Avast in diesem Fall macht ist nichts weiter als eine vom Benutzer erlaubte "Man-in-the-Middle-Attack". Er gaukelt dem Firefox vor, er sei der Server, den man eigentlich aufgerufen hat. Dazu benötigt er das Zertifikat und das Vertrauen.

    Was meinst du denn mit Gegenprüfung? Wenn man dem Zertifikat einmal das Vertrauen ausgesprochen hat, findet doch gar keine weitere Prüfung statt.

    Zitat von Bernd.


    Probleme ergeben sich erst, wenn wie verlinkt, die Certs der Anbieter ungültig sind, dann können auch keine Daten weitergeleitet werden, Firefox wartet endlos bzw bricht ab

    Wen meinst du mit mit Anbieter? Die Problem entsteht normalerweise nicht nicht durch den Anbieter der Webseite sondern durch die Man-in-the-Middle-Attack des AV-Herstellers.

    Zitat von .Hermes


    Hier verstärkt, da hier AppArmor aktiv ist.

    Das verstehe ich nicht. In wie weit verstärkt AppAmor die Sicherheit von https-Seiten gegenüber http-Seiten?

    Zitat von Bernd.


    Im genannten Zusammen sogar sehr, weil Oracle :roll:
    Das SSL aber nicht immer ein Garant ist, dafür kann man sich u.a. bei Comodo bedanken, quasi für den SSV an Certs

    Hier habe ich den Faden verloren. Was haben Oracle und Comodo mit diesem Thema hier zu tun?

    Zitat von Bernd.


    Daher auch die Panik um den Heartbleed-Bug, das Teil war schon eine heftige Nummer. MS ist da auch direkt dran und ein Grund, warum Windows Update mitlaufen sollte.

    Auch das verstehe ich nicht. Windows Update ist selbstverständlich immer zu empfehlen. Nur, was hat denn Heartbleed mit diesem Thema zu tun? Heartbleed ist/war eine Lücke im OpenSSL. Das heißt diese Lücke kann nicht von einem Virenscanner erkannt werden sondern muss im OpenSSL gelöst werden. Was Microsoft damit zu haben soll will mir ebenfalls nicht einleuchten. Außer natürlich, dass sie ebenfalls OpenSSL implementiert haben, deshalb betroffen waren und einen Fix geliefert haben.

    Zitat von Bernd.


    Wer die SSL-Prüfung deaktiviert, sollte mindestens einen sicheren Browser benutzen, das schliesst zB Java & PDF auf unbekannten Seiten kategorisch aus. Eben so Scripte.

    Mit Java kennst du dich wohl nicht wirklich gut aus. Vielleicht habe auch ich hier eine Wissenslücke. Gibt es einen AV-Scanner, der in der Lage wäre Java-Byte-Code zu analysieren? Ich kenne keinen. Dann wäre es egal, ob https beschnüffelt werden darf oder nicht.


    Zitat von Sören Hentzschel


    ich frage mich gerade, wie sich das eigentlich mit Public Key Pinning verträgt…


    Das ist eine gute Frage. Grundsätzlich sollte es sich ja dann vertragen, wenn ich einem Zertifikat das Vertrauen ausspreche. Nun weiß ich nicht wie der Firefox damit im Detail umgeht. Weißt du, wie das Public Key Pinning im Firefox genau funktioniert? Public Key Pinning überprüft meines Wissens anhand eines Hash-Codes, ob ein Zertifikat wirklich von der CA stammt, von der es vorgibt zu stammen. Woher stammen denn die Hashes?


    Valerie

    Zitat von Valerie

    Entschuldigt, dass ich als Newbie mich hier bei den alten Hasen einklinke


    Da gibt es nix zu entschuldigen. Sei willkommen ;)

    Zitat von Valerie

    Ich würde aber behaupten, dass dass ich mich in Sachen Programmierung und Verschlüsselung recht gut auskenne.

    Prima, ich hatte nämlich auch so einige Fragezeichen in den Augen bei Post11. Mir erschien da so manches nicht wirklich schlüssig und nicht logisch aber ich stecke eben nicht so in dem Thema drin, dass ich es so detailliert auseinander nehmen konnte und erst recht nicht mit Fakten belegen konnte. Dazu hätte ich mich mehr einlesen müssen. Es war eher so ein globales "nee da stimmt was nicht" und das war auch der Grund meiner Zurückhaltung. Ich habe wohl insgeheim gehofft, dass Leute, die sich damit besser auskennen hier noch was dazu schreiben. Aber das ist ja nun geschehen. Gerade bei:

    Zitat von Bernd.

    Ohne SSL-Prüfung schlagen Daten ungeprüft direkt im Browser auf

    dachte ich: hm, das tun sie doch auch bei normalen (nicht SSL-Seiten). Oder irre ich mich da und habe etwas missverstanden?

    Mir leuchtete auch nicht ein, warum die SSL-Prüfung durch den Antivirenhersteller sicherer sein sollte als die Zertifikate, die Mozilla in seinen Browser integriert. Da stellt sich für mich dann einfach die Frage wem ich mehr vertrauen schenken sollte. Und ich schenke eher dem Original das Vertrauen als jemandem der sich einfach "einklinkt". (HTTPS-Scanning wurde mit dem Update aktiviert)

    Spannendes Thema auf jeden Fall. Ich danke dir für deinen Post, denn einiges ist mir dadurch klarer geworden.

    Hilfe auch im deutschsprachigen Matrix-Chat möglich oder im IRC-Chat
    Meine Anleitungstexte dürfen gerne "geklaut" und weiter verwendet/kopiert werden ;)