Firewall Leaktest Update 03/2006

#1 Es gibt ein Update des Firewall Leaktest von 2004/2005 (für XP)
http://www.firewallleaktester.com

den aktuellen Test habe ich dran gehängt, der ältere Test von 2004 ist hier zu finden.

PS jetzt noch auf die XP-Firewall schwört, ist selber schuld
Wer glücklich ist und eines der besseren Produkte hat, sollte dabei bleiben

Testsieger ist Jetico vor Outpost/LookNstop, ZApro, Norton (Platz 5!), Kerio, McAfee PF.
Abgeschlagen ZAfree und XP-Firewall

Der Testsieger Jetico ist Freeware, aber leider nur in englisch zu bekommen.

PPS LookNstop und Outpost haben sich nicht so doll weiterentwickelt
Norton hat zugelegt, Kerio auch ein wenig, trotzdem nur Unterklasse.
Das ZAfree dermassen durchfällt ist krass.

Der Test / Ergebnis:
http://www.firewallleaktester.com/tests.php

Testbedingungen:
http://www.firewallleaktester.com/docs/leaktest.pdf

Greetz Lp

#2 Interessant... ich hatte von dieser Jetico noch nie was gehört. Freeware, und platziert sich mit (85%) gleich deutlich vor Outpost und L'nS (74%).

Hat schon jemand die Jetico in neuerer Version ausprobiert?

Orpheus

#3 Hallo.

Ja, ich habe die Jeticom gestern installiert.
Sehr umfangreiches Teil, viele Einstellmöglichkeiten. Alles auf Englisch.
Bin nun dabei, mich damit vertraut zu machen, bisher klappt das schon ganz gut.
Mir persönlich gefällt sie bislang. Sehr informativ das Teil.
Aber ich muß natürlich noch etwas länger mit ihr arbeiten, um ein endgültiges Urteil abgeben zu können.
Ich kann mir vorstellen, daß die Jeticom Firewall bald bekannter sein dürfte.
Gruss Sandor

#4 Nun ich konnte es nicht lassen und habe mir Jetico kurz angeschaut
Der erste Eindruck war trügerisch.
Die Oberfläche erschien mir sehr unkonventionell und gewöhnungsbedürftig.
Eine feingliedrige Regelerstellung ist auch möglich aber nicht gerade intuitiv.
Je länger ich aber damit herumspielte (insgesamt 3 Std) umso sympathischer wurde das Teil.
Jetico lief auf einen 500Mhz Rechner (w2k) sehr unauffällig und ressourcenschonend.
Sogut wie kein unnötiger Schnick-Schnack, ein ausgereifter Paketfilter mit einer sehr guten Programmüberwachung.
Falls ich mich für eine Desktop-FW zu entscheiden hätte, wäre mir die Wahl zwischen meine jetzigen Faworiten, Look'n'Stop und Jetico, bestimmt nicht leicht.
Wobei Jetico auch noch Freeware ist. Frage mich bloß wie lange
Ist Jetico auch weniger erfahrenen Usern zumutbar? Ich würde sagen ja, solange sie an Einstellungen die sie nicht verstehen nicht herumschrauben.
Installation und Deinstallation verliefen problemlos.
Wer also eine wirklich gute Desktop-FW für lau haben möchte sollte Jetico ausprobieren.

Gruß
Ajax

#5

Zitat

Breakout sends to the IE's address bar the URL to launch, via the 'SendMessage' Windows API. No code is injected, it's unfortunately once again a nice "feature" from the Windows Operating System. Very hard to prevent for a firewall.

Dieser Test ist der Killer für jede Firewall. Hintergrund ist das in Windows ständig unzählige Messages durch die Gegend geschickt werden. Jedes Programm kann dem Standardbrowser eine URL schicken und genau das passiert auch wenn man über Start/Ausführen eine URL eingibt oder irgendwie in einem anderen Programm eine URL aufruft. Die Firewall weiß nicht ob die URL von Outlook oder einem lustigen Keylogger kommt. Nun hat man die Wahl ob man jedes mal gefragt werden will was jeder Anwender spätestens nach ein paar Tagen entnervt aufgibt oder sich damit abgibt das jede Windows-Firewall gegen ausgehende Verbindungen machtlos ist.

Besonders lustig wird es natürlich wenn man den Browser dann irgendwie gebändigt hat und die Messages als nächstes dort landen wo überall der IE dahinter steckt z. B. den Active Desktop:
"No firewall tested passed this breakout variant."
Wie auch bei einem Windows Design Flaw?
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.

#6 Hallo!

Vielen Dank für Eure Einschätzungen.

Meine geb' ich trotzdem noch hinterher, weil sie das Bild aus der Sicht eines (zugegeben) Nicht-Profis abrundet.

Also: ich hab gestern abend mal probe-installiert, bevor hier noch einer gepostet hatte. Das ganze Ding war irgendwie wie ein Bilderrätsel mit Fortsetzungen für mich. Mir fehlte die Führung. Kaum etwas wurde erklärt. Gleich am Anfang wurde ich aber wach: ich sitze hinter einem NAT-Router (192.168.0.1), und bin als einziger dahinter: 192.168.0.2. Der Einrichtungsassistent erkannte ein LAN. "Folgerichtig" empfahl er mir, das ganze 192'er-Netz als "vertrauenswürdig" einzustufen. Also... sogar ICH weiß, daß das idiotisch wäre... aber welcher DAU weiß das noch? Bei der Einrichtung/Regelerstellung ging's dann ähnlich weiter, und alsbald hatte ich keinen Bock mehr.

Nach weniger als 60 min war dann das vorige Image meiner Platte wiederhergestellt. Ist aber schön zu hören, daß Jetico gut hinter sich sauber macht... andere tun das nicht, siehe hier. Drum mache ich immer ein Backup mit TrueImage, bevor ich eine neue Security Software ausprobiere. Dieses sich tief ins Betriebssystem eingrabende Zeug kann einem alles mögliche hinterlassen.

Orpheus

P.S.:
Meine "Stamm-Firewall" ist Outpost, obwohl ich um die Version 3.5 einen weiten Bogen mache. OP 3.0 ist ja OK, aber v3.5 ist schei..auaa... , siehe hier. (Ihr könnt ja mal nach Keywords wie "BSOD", oder "is_a_Flop" Ausschau halten.)

Ich schätze aber nach wie vor, daß OP das System transparent macht und auch unerfahrenen Leuten eine -relativ- sichere Konfiguration ermöglicht.

P.P.S:
Der letzte Satz enthielt das Wort RELATIV. Man findet überall Diskussionen, ob Desktop-Firewalls überhaupt was bringen. Weil man die doch immer wieder austricksen kann. (Hase-und-Igel-Problem.) Im Ansatz seh' ich diese Art Diskussion auch weiter oben.

Ich finde: sie bringen was. In dem Sinne wie ein Sicherheitsgurt oder ein Airbag im Auto was bringen. Bei Kollisionen von 30-80: lebensrettend. Bei 200 gegen Brückenpfeiler: wirkungslos. Aber wie oft kommt das vor? Wer provoziert das? Oder anders gesagt: nicht daß Katzenhaltung oder Mausefallen die Mäuse je ausrotten werden... aber ohne wär's echt nicht auszuhalten.

Meine Meinung
Orpheus

#7

Zitat

Orpheus postete
Gleich am Anfang wurde ich aber wach: ich sitze hinter einem NAT-Router (192.168.0.1), und bin als einziger dahinter: 192.168.0.2. Der Einrichtungsassistent erkannte ein LAN. "Folgerichtig" empfahl er mir, das ganze 192'er-Netz als "vertrauenswürdig" einzustufen. Also... sogar ICH weiß, daß das Idoit wäre... aber welcher DAU weiß das noch?

Ach ja? Wieso ?
192.168.0.x ist ein privater Adressbereich, übers Interent werden diese Adressen nicht geroutet ! Von Internetseite wird da also nichts kommen. Und wenn Du einen Router hast, dort WLAN abgeschaltet oder zumindest richtig mit WPA konfiguriert (falls WLAN vorhanden), muss schon jemand ein Kabel in Deinen Router stecken, was Dir ja wohl sicher auffallen dürfte.
Nun klär mich bitte auf, warum das so idiotisch ist.

#8 [Ironie]Nun ja, falls Outpost wirklich "das ganze 192'er-Netz" als vertrauenswürdig einstufen wollte,
wäre das wirklich als idiotisch zu bezeichnen. (192.0.0.0/24) [/Ironie]

Asdrubael schrieb in Bezug auf ZA und Breakout.exe:

Zitat

Hintergrund ist das in Windows ständig unzählige Messages durch die Gegend geschickt werden. Jedes Programm kann dem Standardbrowser eine URL schicken und genau das passiert auch wenn man über Start/Ausführen eine URL eingibt oder irgendwie in einem anderen Programm eine URL aufruft. Die Firewall weiß nicht ob die URL von Outlook oder einem lustigen Keylogger kommt. Nun hat man die Wahl ob man jedes mal gefragt werden will was jeder Anwender spätestens nach ein paar Tagen entnervt aufgibt[..]

Was wiederum voll und ganz sowohl von der C't 02/06 S.166 ff. als auch von Volker Birk ("Wenn sie [Anm. ZA] zu streng filtern, machen sie Fremd-Anwendungen kaputt.
Wenn sie zu schwach filtern, bleiben Loecher fuer Schadprogramme.") bestätigt wird.

@Leaktest generell, andersrum gelesen:
Und die Moral von der Geschicht'? Keine PF war in der Lage, sämtliche Tests zu bestehen. Der Testsieger liess 4 von 17
Programme kommunizieren. Überträgt man diese Erkennungsrate von 85,2% z.B. auf einen Patch, welcher ein Sicherheitsloch
eines OS stopfen soll, ist dies mehr als deprimierend. "Unser Patch behebt den Fehler zu 85,2%. Installieren sie ihn bitte trotzdem.".
Würde man sich mit so einem Bugfix letztendlich anfreunden können? Wohl kaum. Bei den PFs anscheinend jedoch schon.

Wenn man jetzt noch überdenkt, wie schnell Breakout-WP von V. Birk programmiert wurde, nachdem sich Zone Labs rühmte, ihre
PF trotze der (älteren) Breakout.exe, sollte man schon ins Grübeln kommen.

Laserpointa schrieb:

Zitat

PS jetzt noch auf die XP-Firewall schwört, ist selber schuld

Dann muß ich mich ab sofort verdammt schuldig fühlen.

Gruß,

Sepia

#9

Zitat

PS jetzt noch auf die XP-Firewall schwört, ist selber schuld

Wer weiss welche versteckte Botschaft in dieser Zeile steckt.
Eine mögliche Interpretation wäre:

XP-Firewall -> Windows -> Microsoft

Zitat

Dieser Test ist der Killer für jede Firewall.

Nicht aber für Security-Suiten. [Ironie an]Deren Firewall sieht nämlich alles.[Ironie aus]
Nicht umsonst erfreuen sich solche Suiten einer immer größeren Beliebtheit.
Not macht erfinderisch und auch Kaspersky hat schnell von der Konkurrenz gelernt. Muhaha Hauptsache der böse Test wurde bestanden und der unbedarfte User fühlt sich geborgen.

BTW, ich kann mir nicht vorstellen wie eine PFW Breakout verhindern könnte.

Gruß
Ajax

#10 Oupps,

jetzt haben wir hier doch die Grundlagen-Diskussion. Ich kann's nur noch mal anders sagen... und bitte entschuldigt meine militärischen Vergleiche: wenn ich eine "kugelsichere" Weste trage, dann ist das sicherer als ohne. Aber: sie schützt nicht den Kopf und sie schützt auch nicht vor Elefanten-Büchsen. Trotzdem hat man mit ihr eine höhere Heimkehr-Wahrscheinlichkeit. Deshalb müssen unsere Leute sie tragen, egal ob Kosovo oder Afghanistan. Über den Helm könnte man ähnliches sagen, aber genug davon.

Das eigentliche Drama ist ja, daß man eigentlich nur surfen, mailen, chatten und skypen wollte, aber "dank" der Natur des Netzes und des meistvekauften Betriebssystems dazu Helm und Weste braucht... und trotzdem "abgeschossen" werden kann. 85% sind nicht 100% - aber viel besser als 0%. Vorausgesetzt daß auch Nicht-Experten die 85% da rausgeholt kriegen.

@PerryRhodan:

Zitat

192.168.0.x ist ein privater Adressbereich, übers Interent werden diese Adressen nicht geroutet ! Von Internetseite wird da also nichts kommen. Und wenn Du einen Router hast, dort WLAN abgeschaltet oder zumindest richtig mit WPA konfiguriert (falls WLAN vorhanden), muss schon jemand ein Kabel in Deinen Router stecken, was Dir ja wohl sicher auffallen dürfte.
Nun klär mich bitte auf, warum das so idiotisch ist.

Also 1: bei mir wird nicht gefunkt. Alles nur Kabel. (Was soll ich mit Funk, wenn mein einziger PC direkt neben der Telefondose steht?) 2: Noch aus der Zeit wo dies die Regel war... guckst Du hier: http://dingens.org/

Zitat

Ich habe einen filternden NAT-Router. Was muss ich filtern?

Wenn Sie einen filternden NAT-Router haben, dann brauchen Sie "Windows-Dienste abschalten" wahrscheinlich nicht. Dann können Sie diesen so einstellen, dass Sie auch so keine Dienste ins Netz anbieten.

Dazu filtern Sie alle Pakete, die von außen ankommen, und als Absenderadresse eine aus den Netzen 192.168.0.0/16, 10.0.0.0/8, 172.16.0.0/12 oder 127.0.0.0/8 haben.

Zweckmäßig ist es auch, alle Pakete zu filtern, die von außen ankommen, und nicht für die Adresse der externen Schnittstelle bestimmt sind, sprich: eine andere Zieladresse haben als die externe Schnittstelle.

Wie das geht, Ihren filternden NAT-Router so einzustellen, dass diese Filterfunktionen aktiviert sind, erfahren Sie aus der Dokumentation Ihres Gerätes.

Guck Dir das schräg gedruckte noch mal genau an. Für mich heißt das: man KANN "private" Adressen spoofen. Zumindest wenn man nahe dabei sitzt.

Ich hatte da auch schon mal so einen Fall. Auf einmal sah ich aus den Logs, daß ich Datenaustausch mit einem 192.168.0.3 hatte. Jetzt sag Du mir, wo der hergekommen sein soll.

War egal. Acronis TrueImage, letzes sauberes Abbild wieder drauf. Ganzes Ding so umkonfiguriert daß es bla.0.2 (mich) gibt, außerdem nur bla.0.1 (Zugang), sonst NIX, und daß letzterer NICHT vertrauenswürdig ist... und Ruhe war. 192.168.0.3 hab ich nie wieder gesehen. Keine Ahnung was das war. Aber spätestens seit dem suche ich in einer Firewall-Software eins: Diagnose-Software.

Ansonsten: 192.168.0.1 ist halt der Zugang zum Internet. Wo auch der Browser alles her holt. Per se ungefähr so vertrauenswürdig wie die Wohnungstür, an die plötzlich, völlig unangemeldet, ein Fremder klopft. Würdest Du da einfach aufmachen, ohne einmal zu gucken wer und wie viele das sind? Es ist DEFINITIV nicht der Rechner vom Kollegen nebenan, der GEFEUERT wird, wenn er hier am Arbeitsplatz rumhackt. Aber zu genau dem wollte Jetico alle 192.168.0.x-Adressen einstufen.

Die Experten können ja gern was dazu sagen... SIND private IP's wirklich sicher? SPINNT der CCC, oder kann man private Adressen zumindest aus der Nähe spoofen? Warum würden die empfehlen, von außen kommende Pakete mit solchen Adressen zu droppen, wenn da nicht DOCH was ginge?

Gruß,
Orpheus

#11 @Orpheus

Der Name dieses Threads lautet "Firewall Leaktest Update 03/2006" und nicht "Verstehe die Welt nicht mehr"

Niemand ist allwissend und daher gibt es auch keine dumme Fragen.
Anders steht es aber mit Behauptungen die auf ein mangelhaftes Wissen beruhen.
Wenn Du also Fragen hast sollst Du sie auch ruhig stellen aber bitte eröffne dafür einen neuen Thread.

Gruß
Ajax

#12 Diese Vergleiche mit kugelsicheren Westen, Sicherheitsgurten etc. sind ja alle sehr schön, aber doch unpassend. Der relevante Teil von Breakout umfasst gerade mal um die 10 Codezeilen die jeder Programmierer der schon mal Winapi programmiert hat ohne Probleme nachvollziehen kann. Diese Befehle sind auch alle kein Geheimnis sondern vollständig und gut in der MSDN dokumentiert sogar mit Beispielen.

Wenn jemand eine Firewall wirklich umgehen will dann schafft er das auch mit minimalem Aufwand und Know How. Siehe auch den seit Mitte 2003 bekannten Leaktest Copycat den immer noch die meisten Firewall nicht bestehen. Das einzige was man dann noch an ausgehenden Verbindungen blockieren kann ist angebliches "Phonehome" von Programmen die aber meist doch nur nach irgendwelchen Updates suchen etc. Aber auf dem Gebiet sind eh 99% Paranoia.

Was weiterhin sehr sinnvoll ist und was Microsoft deswegen in XP auch eingeführt hat ist eine Firewall die eingehende Verbindungen blockiert.
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.

#13 Auf Dingens.org steht:

Zitat

Ich habe einen filternden NAT-Router. Was muss ich filtern?

Dazu filtern Sie alle Pakete, die von außen ankommen, und als Absenderadresse eine aus den Netzen 192.168.0.0/16, 10.0.0.0/8, 172.16.0.0/12 oder 127.0.0.0/8 haben.

Orpheus schrieb:

Zitat

ich sitze hinter einem NAT-Router (192.168.0.1), und bin als einziger dahinter: 192.168.0.2. Der Einrichtungsassistent erkannte ein LAN. "Folgerichtig" empfahl er [Anm. Jetico PF] mir, das ganze 192'er-Netz als "vertrauenswürdig" einzustufen.

Zitat

SIND private IP's wirklich sicher? SPINNT der CCC, oder kann man private Adressen zumindest aus der Nähe spoofen? Warum würden die empfehlen, von außen kommende Pakete mit solchen Adressen zu droppen, wenn da nicht DOCH was ginge?

Das beisst sich! Du redest von einer PF, Dingens.org von einem Router. Würdest du die o.g. Adressbereiche in (d)einer
PF blocken, hättest du einen sehr hohen Fun-Faktor. Wie willst du in einem Subnetz (LAN) kommunizieren, wenn
du keinem internen Host vertraust? Insofern stimmen beide Aussagen: Du kannst deinen *Router* dahingehend
konfigurieren, gespoofte Pakete aus dem *WAN* kommend zu verwerfen und die *PF* sollte dein Subnetz als vertrauenswürdig
einordnen.

Ich hoffe, Perry Rhodan ist mir jetzt nicht böse, dass ich auf seine an ihn gerichtete Frage mitbeantworte.

@Leaktest

Zitat

[..]wenn ich eine "kugelsichere" Weste trage, dann ist das sicherer als ohne. Aber: sie schützt nicht den Kopf und sie schützt auch nicht vor Elefanten-Büchsen.

Körper = OS
Weste, Helm = PF
Waffe = Leaktests bzw. zu blockender ausgehender Traffic

Du hast bei deiner Gleichung tatsächlich in's Schwarze getroffen. Wenn wir davon ausgehen, dass eine kugelsichere
Weste nur Geschosse aus Waffen abhalten kann, für die sie entwickelt wurde, passt das schon.
Das Problem ist nur, dass es Unmengen an Waffen gibt, gegen die die besagte Weste naturgemäß nichts ausrichten
kann! Sinnbildlich wäre dies so zu interpretieren, dass eine PW bereits bei den 17 (teilweise seit Jahren bekannten)
Leaktests scheitert, indem sie nur einen gewissen Prozentsatz erkennt und blockt (Fastfeuerwaffen <-> kugelsichere Weste).
IIRC sind diese 17 Leaktests von 13-15 verschiedenen Programmierern gecodet worden. Diese Leaktests sind also
publik, von jedermann anwendbar und warten mit einer detailierten Beschreibung auf.
Wieviel fähige Programmierer werden jedoch auf diesem Planeten existieren, die in der Lage sind, weitere Techniken
zur Umgehung einer PF coden zu können? Bei ca. 6 Mrd. Seelen dürften sich wohl einige finden. Diese
"echten" Leaktests werden die PF tunneln und legen weder Wert auf Bekanntheit noch kommen sie mit
einer Dokumentation daher. (sonstige Waffen <-> kugelsichere Westen). Spätestens bei Rootkits hört der Spass eh' auf.

Um es nochmals zu verdeutlichen: Keine PF war in der Lage, läppische 17 (in Worten: siebzehn) Prgramme wirksam
zu erkennen und zu blocken!
Demgegenüber stehen zig Tausende (Millionen?) von Programmieren, die wahrscheinlich in der Lage wären,
Schadsoftware zu entwickeln, die sich einen Dreck um eine vorhandene PF kümmert.

Du kennst folgende Aussage über die letztendliche Wirksamkeit von Virenkillern?

Zitat

Wenn ein Virenkiller meldet, es sei kein Virus vorhanden, bedeutet dies nicht, dass kein Virus vorhanden ist.
Es bedeutet nur, dass der Virenkiller meldet, es ist kein Virus vorhanden.

Nun streiche die Wörter "Virenkiller" und "Virus" und setze "Personal Firewall" und "ausgehender Verkehr" ein.

@Asdrubael
Full ACK!

Gruß,

Sepia

#14 Es ist ja gar nicht sooo lange her da schmückte auch meinen Rechner eine PFW
Es war die Conseal(Signal 9). Die hatte noch keine Application-Filtering.
Später wechselte ich zu AtGuard, dann zur Tiny und zuletzt lief dann die Kerio 2.15.
Meine Erkenntnis über die Unsinnigkeit des Paketfilters (auf dem Einzelrechner waren keine aktive Dienste) war bitter denn ich hatte mich schon an meiner PFW gewöhnt. Auch würde ich den pädagogischen Wert einer PFW nicht unterschätzen. Lernen durch Experimentieren. Jedenfalls war's bei mir so.
Ich finde aber daß der User selber zu einer Erkenntnis kommen sollte. Es dauert halt ein wenig aber sie kommt
Ansonsten werden kategorische Behauptungen (deine PFW ist sinnlos) für den unbedarften User schwer nachvollziehbar sein.
Für Leute aber die nie zu einer Erkenntnis kommen weil sie sich für solche Sachen nicht interessieren ist es dann mit oder ohne PFW, sowieso egal
Ich finde Guillaume's Leaktester-Seite nett und informativ.
Bei einer näheren Betrachtung könnte es sowohl als Werbung für PFWs betrachtet werden als auch das Gegenteil
Immerhin bietet sich dem User ein guter Überblick und die Möglichkeit sein Lieblingsspielzeug selber mal zu testen.
Zumindest hier sollte es aber dem User klar werden daß mit wenig Aufwand seine PFW schnell umgangen werden könnte.
Ich möchte nicht daß dieser Thread wieder mal in eine Grundsatzdisskussion über PFWs ausartet aber einer möglichen Frage würde ich trotzdem entgegenkommen.
Sind alle Fachleute aus der IT-Branche die eine PFW empfehlen dumm?
Keineswegs. Sie haben dafür gute Gründe wobei leider die Aufklärung unbedarfter User nur eine untergeordnete Rolle spielt

Gruß
Ajax

#15 Ajax, ich stimme dir in sämtlichen Punkten voll zu! Mir persönlich ist es auch vollkommen egal, ob jemand eine
PF irgendeines Herstellers nutzt. Ich bin demzufolge weder ein Gegner noch ein Verfechter dieser Art Software.
Jedem Tierchen sein Plesierchen...

Konkret: Fragt mich jemand, ob er sich eine PF installieren soll, würde ich *immer* wie folgt antworten:

"Du kannst dir eine PF installieren, wenn...

...dein System auch ohne PF keinerlei Angriffspunkte bieten würde,
...du in der Lage bist, deine PF zu verstehen, zu konfigurieren und zu administrieren,
...du weißt, dass das Blocken *sämtlicher* ausgehender Verbindungen nicht möglich und deshalb eine Werbelüge ist,
...obige Punkte erfüllt sind und du dich autodidaktisch mit Hilfe der PF i.S. Netzwerktechnik 'weiterbilden' möchtest."

Zitat

Ich möchte nicht daß dieser Thread wieder mal in eine Grundsatzdisskussion über PFWs ausartet[..]

Nun ja, zum Thema PF äussere ich mich prinzipiell nur noch in den sog. Grundsatzdiskussionen.

Zitat

Sind alle Fachleute aus der IT-Branche die eine PFW empfehlen dumm?

Wahrscheinlich nicht. Leider verschweigen sie überwiegend jedoch konkrete Fakten und agieren somit überwiegend als
Multiplikator der Hersteller. Ausnahmen sind rar gesät.

Mich kotzt es nur an, dass eine PF als Must-have und essentiell wichtig propagiert wird. Sie sind und bleiben
ein optionales Stück Software. Mehr nicht.

Wenn ich jemals von einem PF Hersteller lesen würde, dass "unsere Firewall Rosette v2.0 eine Vielzahl (oder den
überwiegenden Anteil) ausgehender Verbindungen blockt", mache ich einen Kniefall. Das entspräche ansatzweise
der Wahrheit. Und eigentlich geht es doch nur darum. 70% der User installieren sich eine PF um angeblich gegen
das 'nach hause telefonieren' gewappnet zu sein. Die Zahl ist zwar aus der Hüfte geschossen, aber so schätze
ich das ein.

Gruß,

Sepia