Hijacking bei Mozilla und Firefox ebenfalls möglich |
||
---|---|---|
#0
| ||
31.07.2004, 15:31
Member
Beiträge: 12 |
||
|
||
31.07.2004, 15:56
Member
Beiträge: 1516 |
#2
Man kann Javascript deaktivieren. Dann fällt es sofort auf, dass es um ein gefälschtes ein Browserfenster handelt.
Javascript einschränken(Hide status bar) hilft auch man muss jedoch genauer hinschauen. __________ °<- Vorsicht Trollköder und Trollfalle -> {_} Dieser Beitrag wurde am 31.07.2004 um 15:56 Uhr von spunki editiert.
|
|
|
||
01.08.2004, 10:57
Member
Beiträge: 890 |
#3
Zitat Hijacking bei Mozilla und Firefox ebenfalls möglichAlso damit keine falsche Eindrücke entstehen: Die Startseite von Mozilla/Firefox kann nicht wie bei dem IE hijacked(verändert)werden. Zitat Diese gravierende Sicherheitslücke entsteht durch unsaubere Programmiereung in der Schnittstelle zur Verwaltung von XUL Objekten - Objekten wie Addons, Plugins und Toolbars für Mozilla/Firefox. Diese können weitestgehend restriktionsfrei von Webseiten installiert und gestartet werden, ohne daß Sicherheitsfunktionen des Browsers greifen.Das ist Spoofing und es wird nichts auf dem Rechner installiert oder im Browser dauerhaft verändert.Mit dem Beweis obiger Aussage bleibt uns der Admin der Seite übrigens auch schuldig. Sensationsmacherei scheint ihm wichtiger zu sein als eine objektive Information. Zitat LimitationsDas Vorgaukeln (Spoofing) einer Seite ist ein Sicherheitsmanko und wird hoffentlich in Kürze behoben werden.Immerhin reicht schon eine minimale Anpassung des Browsers(Ansicht) an persönliche Bedürfnisse aus,um das Spoofing auffliegen zu lassen. Gruß Ajax Dieser Beitrag wurde am 01.08.2004 um 11:00 Uhr von Ajax editiert.
|
|
|
||
01.08.2004, 12:11
Member
Beiträge: 5291 |
#4
Zitat Man kann Javascript deaktivieren. Dann fällt es sofort auf, dass es um ein gefälschtes ein Browserfenster handelt.Jau das ist, dass was ich tue Firefox hat da noch nen paar Möglichkeiten, bestimmte Javascript funktionien zu deaktivieren/unterbinden. Und ich gehe stark davon aus das ich sowas eh merken würde. __________ E-Mail: therion at ninth-art dot de IRC: megatherion @ Freenode |
|
|
||
01.08.2004, 16:18
Member
Beiträge: 890 |
#5
Da ich weiterhin Opera verwende und die Entwicklung von Firefox nicht so genau verfolge ist mir bislang auch nicht aufgefallen daß obige Sicherheitslücke eigentlich schon am 27.07 mit einen nightly build behoben wurde.
Der letzte Build ist übrigens vom 01.08 Allerdings ist es dem User nicht zumutbar und auch nicht ratsam daß er sich dauernd nightly builds drüberbügelt. Daß noch keine neue ofizielle Releaseversion veröffentllicht wurde ergründet sich in der Tatsache daß man sich etwas Zeit nimmt um dann gleichzeitig mehrere bekannte Mängel zu beseitigen. In der Browserwelt bleibt Mozilla/Firefox neben Opera erste Wahl für alle Win-User. Mann stelle sich vor Microsoft würde eine öffentliche Seite über unbehobene Mängel seines Browsers führen Gruß Ajax |
|
|
||
01.08.2004, 20:13
Member
Themenstarter Beiträge: 12 |
#6
@ajax. das ist leider das problem an mozilla/firefox. die meisten anwender installieren eine der verfügbaren versionen und wiegen sich dann in sicherheit. leider gibt es noch kein benutzerfreundliches system, was vergleichbar zu windowsupdate ist - ergo werden sicherheitslücken kaum bekannt und man muss ständig die aktuellste version fahren - und das ist wirklich unzumutbar.
|
|
|
||
01.08.2004, 23:09
Member
Beiträge: 2176 |
#7
hehe war ja irgendwie beinahe klar .. man kann jedes Programm patchen und besonders diese die für Plug Ins offen sind...
na und da Mozilla und Co sooooo berühmt werden, werden in Zukunft auch sicherlich einige weitere Bugs auftauchen... schön allerdings ist das Mozilla und Co so ein simples aber effizientes Bug Management haben und Bugs ziemlich schnell meist in der nightly build schon gefixt sind ... da guckt ihr Microsoft, wa <<- Nachmachen! Browser Hijacking ist echt die Seuche und beinahe schon die Zukunftviren by the way. AktiveX <- genau auch hier schleichen sich beim Internet Explorer die meisten Hijacker ein! - wenn das deaktiviert ist haben die generell wesentlich schlechtere Chancen! Greetz Lp |
|
|
||
02.08.2004, 10:41
Member
Beiträge: 5291 |
#8
@vege1r
Wieso soll das unzumutbar sein, man muss ständig updaten um auf der sicheren Seite zu sein - das ist sowieso klar - das ist bei allen Applikationen so. Tuen natürlich die wenigsten, ist ja auch dann eigenes Verschulden. Auch deine Anlehnung an "windowsupdate" verstehe ich nicht kannst. Wieso brauchst du ein System um ein Browser zu updaten?? Ich mach ein komplettes "World" update einmal im Monat und dann kommen die ganzen schönen neuen Applikationen drauf So auch Firefox 0.9.1 und ich kann nur sagen das ist der schnellste Browser den ich je gesehen habe - und vermutlich auch der sicherste. Firefox wird mit jedem release ein wenig besser, ist doch logo. Natürlich musst du updaten, wenn du ein Browser von anno tuplich keine Ahnung was fährst dann ist das ja nicht das Problem der Entwickler. Man kann sehr schön sehen das sich die Entwickler von Firefox/Mozilla jedenfalls bemühen. __________ E-Mail: therion at ninth-art dot de IRC: megatherion @ Freenode |
|
|
||
02.08.2004, 14:40
Member
Beiträge: 69 |
#9
Das 0.9.2 ist auch nicht langsamer. das gibt's natürlich hier: http://firefox.stw.uni-duisburg.de/
Schönen Tag. brainbox __________ Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.0.4) Gecko/20060428 Firefox/1.5.0.4 |
|
|
||
02.08.2004, 18:37
Member
Themenstarter Beiträge: 12 |
#10
@xeper:
Ich meinte, daß es für normale Anwender, die lediglich mit Ihrem PC arbeiten wollen nicht angenehm ist, regelmäßig alle ihre Applikationen upzudaten. Daher wäre es schön, wenn die Mozilla-Entwickler ein System einführen könnten, was auf wenige Klicks die ganze installierte Mozilla-Familie auf dem jeweiligen System überprüft und aktuell hält. Nichtsdestotrotz nutze ich auch Firefox (092). |
|
|
||
02.08.2004, 19:10
Member
Beiträge: 890 |
#11
@vege1r
Zitat das ist leider das problem an mozilla/firefox. die meisten anwender installieren eine der verfügbaren versionen und wiegen sich dann in sicherheit.Das ist ein Anwender-Problem. Übrigens ist man ohnehin mit diese Browser sicherer.Diesbezüglich sind wir ohnehin der gleichen Meinung Zitat leider gibt es noch kein benutzerfreundliches system, was vergleichbar zu windowsupdate istVerschafft denn Windowsupdate die erhoffte Sicherheit ? Wie lange dauert es i.d.R bis ein Patch vom Zeitpunkt der Bekanntgabe eines Sicherheitsloches zur Verfügung steht,soweit es überhaupt einen gibt Zitat ergo werden sicherheitslücken kaum bekanntDann würde dieser Thread auch nicht existieren Zitat man muss ständig die aktuellste version fahren - und das ist wirklich unzumutbar.Wenn Du damit die Nightly Builds meinst,ja,muß man aber nicht. Diese Sicherheitslücke läßt sich auch mit Version 0.9.2 einfach vermeiden(guckst Du oben) Daß man die aktuellste Releaseversion eines Browsers(oder einer Software) benutzt ist i.d.R üblich ansonsten würden alle Versionsnummer bei 1.0.0 enden Übrigens werden diese Browser im Gegensatz zum IE auch weiterentwickelt. Eine im Browser(oder sonstige Software) eingebaute Patchmaschinerie wäre m.E. nicht wünschenswert und würde nur für eine miese Qualität der Software sprechen. Allerdings,hätten wir nicht das tolle Windowsupdate,würde der IE vermutlich eine dreistellige Versionsnummer haben Gruß Ajax |
|
|
||
02.08.2004, 20:18
Member
Beiträge: 1516 |
#12
Klar ist es ein Anwender-Problem. Da dieses Problem aber schon immer bestanden hat und auch weiter bestehen wird, ist es schon sinnvoll mindestens eine Meldung auszugeben wenn eine aktuellere Version bereitsteht.
Ein "Multimendia/Internet Pc" hat Browser,Emailclient,2-3 Mediaplayer,2-3 Plugins (Java Runtime Environment,Flash) mindestens ein Schreibprogramm vielleicht noch ein Messenger . Wie soll ein User der sich nicht für Computer interessiert, vielleicht ist ihm nichtmal bewusst das Software upgedatet werden muss, die Updates einspielen und das auch noch möglichst schnell? Soll er vielleicht täglich die 10 verschieden Seiten der Hersteller, falls er die Hersteller den kennt und täglich am Pc ist, nach den Updates durchsuchen? Was ist also schlecht an einer Updatefunktion? __________ °<- Vorsicht Trollköder und Trollfalle -> {_} |
|
|
||
02.08.2004, 21:09
Member
Beiträge: 890 |
#13
Zitat Klar ist es ein Anwender-Problem. Da dieses Problem aber schon immer bestanden hat und auch weiter bestehen wird, ist es schon sinnvoll mindestens eine Meldung auszugeben wenn eine aktuellere Version bereitsteht.Unter 'Anwender-Problem' habe ich das 'in Sicherheit wiegen' gemeint Zitat ist es schon sinnvoll mindestens eine Meldung auszugeben wenn eine aktuellere Version bereitsteht.Der von mir angedeutete Nightly Build ist in diesem Sinne nicht als neue downloadbare Version für die Massen gedacht Nightly Builds sind eher etwas für experimentierfreudige und erfahrene User. Ich wollte damit bloß andeuten daß eine Lösung des Problems schon gefunden wurde. Bis zu einer ofiziellen Releaseversion kann man sich ohnehin gegen diese Sicherheitslücke schützen. Zitat Wie soll ein User der sich nicht für Computer interessiert, vielleicht ist ihm nichtmal bewusst das Software upgedatet werden muss, die Updates einspielen und das auch noch möglichst schnell?Ofizielle neue Releaseversionen werden schon auf der Homepage verkündet. Gruß Ajax |
|
|
||
02.08.2004, 21:43
Member
Beiträge: 1516 |
#14
k dann hab ich etwas vorbeigeredet.
Zitat Der von mir angedeutete Nightly Build ist in diesem Sinne nicht als neue downloadbare Version für die Massen gedachtIch meinte nicht, dass jeder neuer Nightly Build angezeigt werden soll. Sondern schwere Sicherheitslücken auch wenn sie selten sind. Zitat Bis zu einer ofiziellen Releaseversion kann man sich ohnehin gegen diese Sicherheitslücke schützen.In der Annahme, dass sie die Sicherheitslücken kennen und ein Howto/Patch dazu haben können sie sich davor schützen. __________ °<- Vorsicht Trollköder und Trollfalle -> {_} |
|
|
||
02.08.2004, 22:17
Member
Beiträge: 5291 |
#15
@vege1r
Ne du das ist definitv Aufgabe des OS'. Stell dir vor jedes Programm hat sein extra update System ** - Ich glaube nicht das, dass das wäre was die Anwender gerne hätten. Wenn schon dann müßte dies von einem ganz anderen System übernommen werden was alle Applikationen verwalten kann. Aber ich denke sowas ist bei Windows nicht realisierbar. @Ajax Zitat Der von mir angedeutete Nightly Build...Nennt man sowas nicht Snapshot? @spunki Zitat Soll er vielleicht täglich die 10 verschieden Seiten der Hersteller, falls er die Hersteller den kennt und täglich am Pc ist, nach den Updates durchsuchen?Tja irgendetwas sollte man schon wissen, oder am besten finger vom Computer lassen Zitat Was ist also schlecht an einer Updatefunktion?Nunja sowas gibt es schon - zwar nicht für windows ... aber du glaubs ja nich das ich meine 425 Pakete immer von Hand update und 425 Hersteller Seiten besuche Aber wie ich schon oben erläutert hab denke ich das so etwas zu windows nicht passt - schon allein deswegen weil von M$ ausgesehen Dinge wie Firefox zb. als Fremdkörper angesehen werden - um eine einheitliche Update Funktion muss sich M$ kümmern - niemand sonst. Weil nur für den Browser lohnt sich das schlicht einfach nicht, den kann man doch au manuell runterladen. Aber sowas wird bei Windows ein Märchen bleiben - es funktioniert einfach nicht weil es nunmal so ist wie es ist. Und für eine einzige Applikation ist eine Updatefunktion ja nicht besonders wichtig, dann kann man auch doch noch die Seite besuchen und nach dem neusten Release schauen. __________ E-Mail: therion at ninth-art dot de IRC: megatherion @ Freenode |
|
|
||
Zitat
http://www.desktopsecurity.de/modules.php?name=News&file=article&sid=181&mode=&order=0&thold=0