[born2flame]

Zitat (The_Nightflyer: 13.03.2004, 13:00)

Und dieses Phone home verhalten deines
Browsers kannst du ganz einfach unterbinden!

Damit:Mozilla

Oder:Firefox

Jetzt rate mal warum das Plugin runter geflogen ist und ich noch immer die Umlautdomains besuchen kann.
Ja, wegen Opera, die waren ja sogar so nett mir einen Donation Key zu geben.

Es war einfach nur ein Test und Paranoia?

Nöö, einfach ein Grundsatz bei mir mit dem ich gut Leben kann.

Ich starte nicht einfach irgend etwas und raustelefonieren lasse ich kein Programm wo für mich nicht ein guter Grund vorhanden ist.

Das ein Phonehome nicht immer böse gemeint ist versteht sich, aber warum sollte ich es zulassen?

Also weg mit dem Plugin und fertig.



Edit:
Ich habe mir mal die Lizenzbedingungen von dem Plugin durchgelesen und das PhoneHome ist geklärt:

Zitat

Übertragung von Informationen über die Konfiguration des Computers. Nach Ihrer Annahme dieses Vertrages wird die Software eine sichere Wählverbindung zum VeriSign-Server herstellen und bestimmte Informationen in Bezug auf die Konfiguration Ihres Computers übertragen

Ich verzichte also danken drauf, das geht die gar nichts an was hier läuft, aber das kennst sicher auch du als aktiver TCPA Gegner(kann ich auch gut drauf verzichten). Auch wenn ich nichts zu verbergen habe lasse ich meine Haustüre nicht offen stehen.

Dieser Beitrag wurde von born2flame bearbeitet: 13. März 2004 - 13:34

[Ich]

Urgl... Umlautdomains... ich finde nicht nur das Wort in seinem Zusammenhang gruselig

[gagaricka]

Zitat (simcard: 13.03.2004, 11:59)

Und bist dir wirklich sicher, dass Sygate eine 6 hat?
Hier mal ein Test von diesem Schmierblatt aus dem August 2003 mit der Free-Version Sygate Personal Firewall free 4.2
"In unserem Test wehrte Sygate Personal Firewall in der Standard-Konfiguration alle Angriffe bis auf einen erfolgreich ab: Mit einem Ping-of-Death-Angriff ("Nuken") brachten wir den Rechner zum Absturz. Der Online-Service von Sygate bietet unerfahrenen Anwendern die Möglichkeit, die Konfiguration des Programms überprüfen. Auch eine Hilfefunktion steht zur Verfügung"

Ja ne glatte 6 im bereich sicherheit. Übrigens die XP-Firewall hat sogar ne 2,5 genauso wie Zone Alarm 4.5, Norton Firewall 2004 und McAfee Firewall 2004. Letztere war Testsieger.

[Rika]

@simcard: Spammen, beleidigen und regelmäßig gepfelgte Texte als alt bezeichnen, das kann jeder. Ich vertrete ja immer noch das Prinzip der unabhängigien Meinungsbildung, die über den Tellerrand diverser COmputerzeitschriften weit hinaus geht.

Übrigens, kannst du rechnen? 10 MB ~ 2 Mio. Zeilen Assemblercode ~ 400000 Zeilen C-Code ~ 200000 Zeilen C++-Code. Selbst bei guten Programmierern darf man mit 1 Fehler pro 50 Zeilen Code rechnen, also etwa 8000 Fehler. Davon ist bei Softwaredesigns wie DTFs mit etwa 1 ausnutzbarem Fehler pro 10 Fehlern zu rechnen, das allein sind dann 800 Sicherheitslücken. Dem gegenüber stehen in der Defaultkonfiguration von WinXP nur der SSDP-Suchdienst und der Remoteprozedurdienst mit epmap. Wenn jeder davon auch nur 200 Fehler hat, was für die Codemenge vergleichsweise sehr viel wäre, wäre es immer noch sicherer. Das mit de, potentiell fehlerhaften Code IST ein Argument.

@The_Nightflyer: Gute Vertretung. Allerdings hat das nix mit Sturheit, sondern mit Logik und etwas Statistik zu tun.

@all:TCPA/TCG per se ist nicht schädlich, in der Art und Weise, wie es geplant ist, stellt es eine wirkliche Verbesserung der Sicherheit dar. Schädlich ist einzig und allein, was man damit möglicherweise anstellen kann und erfahrungsgemäß auch anstellen wird, und deshalb sollte man dagegen sein. Ebenso ist es kein Ersatz für weitere Sicherheitsmaßnahmen, zertifizierte Software kann genauso fehlerhaft sein, dank mangelender Prüfung der FUnktionalität von Software wird auch Malware zertifizeirt werden, und warum TCPA/TCG gegen Spam helfen soll, wissen nur diverse Marketingdrohnen.

@Ich: Im Zweifelsfalle müßte ich nachweisen, daß ich beauftragt worden wäre. Dann muß ich die Zeugen auftreuben und die Echtheit dieser Postings nachweisen - daher ist eine vorherige Vereinbarung immer erforderlich. Außerdem müßte eher jemand beweisen, daß ein Windows-Rechner inklusive Benutzerkompetenz nicht so konfiguriert werden kann, daß er vor etwas nicht geschützt ist, vor dem eine DTF schützt. Die Nullhypothese ist nämlich immer, daß eine Software NICHT benötigt wird.

[The_Nightflyer]

Wenn hier wirklich jemand glaubt er braucht ne Firewall, dann kann
ich nur eine empfehlen!

++klick++

Ist günstig, und sehr sicher!

[Ich]

Zitat

@Ich: Im Zweifelsfalle müßte ich nachweisen, daß ich beauftragt worden wäre. Dann muß ich die Zeugen auftreuben und die Echtheit dieser Postings nachweisen - daher ist eine vorherige Vereinbarung immer erforderlich.

hmm, man kann also nicht anhand des Forums dieses Gespräch zurückverfolgen? Selbst wenn dir jemand damit an den Karren pissen will, sind die Zeugen hier und haben IP's hinterlassen...

Zitat

Außerdem müßte eher jemand beweisen, daß ein Windows-Rechner inklusive Benutzerkompetenz nicht so konfiguriert werden kann, daß er vor etwas nicht geschützt ist, vor dem eine DTF schützt.

Das verwirrt mich etwas... Derjenige, der die DTF einsetzt soll dir beweisen, dass es auch ohne geht? Wenn er diese Kompetenz hätte, würde er sich gleich nen Hardwarerouter mit Firewall für ~35EU bestellen und nicht den Tag damit verbringen sich über den aktuellen Stand aller Sicherheitsthemen zu informieren, wo er doch nur wissen wollte, ob das bei Biolek im Kochkurs heute nun Tortollini oder Schupfnudeln waren

Zitat

Die Nullhypothese ist nämlich immer, daß eine Software NICHT benötigt wird.

Wenn es danach geht, surf mit Lynx im runlevel 3, oder wenns denn ganz sicher sein soll nur den Kernel, nen Compiler, lynx und runlevel 1... dann kann dir selbst der Hacker am seriellen Port nix mehr Ums mal konkret zu sagen: Wenn man seine Zeit nicht mit Manuals, Security bulletins oder hoaxes vertrödeln will, da es Leute gibt, die etwas mehr zu tun haben als "Schule->PC" oder "8,5 Stunden Büro->PC", dann ist man mit der HW Firewall am besten beraten. Sitzt man viel mehr am PC, und speichert 90% seines Lebens/Unterhalts auf dem Rechenknecht, dann tut es ein Netzwerk bestehend aus zwei Routern und einer mini DMZ.... für Firmen gibts dann entsprechend größere Geschichten, wie in meinem Falle mit Honeypot und einem Haufen TCP Wrapper hinter den Ports, die wieder hinter der ersten Firewall liegen... Will heißen: ich tendiere stets dazu meinen Client behandeln zu können wie ich will... Mir soll es egal sein, ob ich Trojaner, Spyware, Virii oder auch Guildo Horn auf/in/an meinem Client habe. Wenn ich an meinem PC keine Software testen kann, ohne durch den Source zu wühlen, wenn ich keine Zeit habe Foren zu "wälzen" ob eine Software nach Hause telefoniert, oder wenn ich einfach mal Bock darauf habe auf meiner einzigen Windows Kiste den Dialer die chance zu geben irgendwo etwas zu finden womit er mich auf die Porno Seiten bringt... Ein Client kann und darf eigentlich nicht die Instanz sein, die jemandem von außen den Zugriff verwährt....

Darum verstehe ich wie gesagt noch immer nicht wirklich, warum du DTF so verteufelst. Sicher ist beides nicht, um den Traffic zu überwachen braucht man ohne DTF trotzdem "Progrämmchen", die die gewünschten Effekte einer solchen imitieren... bla bla

Was mich wundert ist einfach, dass jemand, der sich offensichtlich mit der Materie befasst hat etwas empfiehlt, was offensichtlich keine wirkliche Verbesserung darstellt, wenn man erstmal alle Elemente zusammengetragen hat... Es ist wie der Streit zwischen Windows und Linux, oder Intel und AMD... es liegt doch in der Natur der Sache, dass unklare Vorsprünge in endlosen Diskussionen enden.

ABER: Warum, wenn du so bewandert bist, schlägst du dich noch immer mit dem geschehen auf dem Client rum und gibst nicht gleich den Hinweis zu der Variante, die keine so großen Wellen schlägt, weil sie unumstritten sicherer ist?! Mir wäre der Aufwand viel zu groß darüber zu diskutieren, was nun wie und wo unsicher sein könnte... Es will einfach nicht in meinen Schädel.... diese Grenze zwischen "Viel Wissen zum Thema" und dennoch das "Schwimmen mit der Masse" ...

TILT

[Rika]

Weil eine typische DTF den Rechner mit Funktionen überfrachtet, die er nicht braucht, die absolut nix taugen, aber trotzdem exploitet werden können. Und weil Ottonormal-User alles mögliche Unsinnige versprochen wird, und er es glaubt. Das richtet letztendlich mehr Schaden als, als es Nutzen bringt. Das ist das Problem: Nichts ersetzt den minimalen Einsatz von Brain 1.0, aber keiner der DTF-Hersteller, die sich ja angeblich um die Sicherheit des Nutzers kümmern, weist sie mal darauf hin. Und von unsinnigen Funktionen können sie nicht mehr Abstand nehmen, weil es bereits an ersterer Sache scheitert und deren Durchsetzung gerade dafür die Grundvoraussetzung ist.

[Ich]

hmm, dann halte ich deine Art jemandem, der nicht lernwillig ist etwas zu vermitteln allerdings für die denkbar fruchtloseste Methode... Wenn du dich damit an die Faulen DAU's richtest, hast du mit der HWF deutlich schneller einen weiteren PC abgesichert, zumal du dabei noch vom Vorteil der vernetzung mehrerer PC's und dem damit verbundenen zeitgleichen online gehens, erzählen kannst.

Wäre das nicht eigentlich die einfache Variante, die auf den Anwendungsfall "Einfacher Anwender" besser zugeschnitten wäre?

[Rika]

DTF: Eine DTF meldet dem DAU, daß "The Ultimate Hacking Tool for Windows" auf's Internet zugreifen will. Er hat keine Ahnung, was das bedeutet, und klickt verwirrt auf OK. Sehr nützlich.
Paketfilter: Alles sperren und dann nur spezielle Sachen freischalten? Siehe DTF - bei Unwissend nützt das so gar nichts, bei HFW geht dann sogar gar nix mehr. Alles per Default erlauben und nur ganz bestimmte Ports sperren? Geht viel einfacher mit IPSEC.
Virenscanner: Immerhin minimal DAU-tauglich. Egal ob er OK oder Abbrechen klickt, der Zugriff auf die Datei wird wenigstens verwehrt, und er gibt Windows die Schuld.
HFW: Siehe Paketfilter.

Keines dieser Szenarien ist auch auch nur ansatzweise vernünftig, aber Paketfilterung und Virenscanner sind selbst bei absoluten DAUs ein Kompromiss, der sie davon abhält, sich Probleme einzufangen und mich damit zu belästigen und mir Spam und Würmer zu senden. DTFs sind auch bei Unbelehrbaren keine Lösung.

Einfaches Script, das Dienste abdreht und die wichtigsten Ports blockiert, gibt's bei http://www.ntsvcfg.de/ schon lange - passende IPSEC-Scripte gibt's auch massenhaft. Ein Großteil dieser Sachen wird bei WinXP SP2 umgesetzt werden - hoffentlich wird es auch unter den DAUs viele geben, die es sich installieren. Und hoffentlich werden die Entwickler von XP Antispy endlich die FUnktion zum Abschalten des Auto-Update-Dienste endlich für DAUs unzugönglich machen.

Aber hast schon recht, lieber 'ne HFW oder 'n billiger NAT-Router als eine DTF. Virenscanner wäre sowieso sinnvoller.

Übrigens hat sich mal wieder das viel-potentiell-unsicherer-Code-Argument bestätigt: In NPF/NIS 2004 und ISS BlackICE wurden (mal wieder) remoteausnutzbare Buffer-Overflows gefunden. (http://www.theinquir.../?article=14741). Na, irgendwelche Wetten, welche DTF als nächstens dran ist?

Dieser Beitrag wurde von Rika bearbeitet: 17. März 2004 - 02:16

[Ich]

Zitat

DTF: Eine DTF meldet dem DAU, daß "The Ultimate Hacking Tool for Windows" auf's Internet zugreifen will. Er hat keine Ahnung, was das bedeutet, und klickt verwirrt auf OK. Sehr nützlich.
Paketfilter: Alles sperren und dann nur spezielle Sachen freischalten? Siehe DTF - bei Unwissend nützt das so gar nichts, bei HFW geht dann sogar gar nix mehr. Alles per Default erlauben und nur ganz bestimmte Ports sperren? Geht viel einfacher mit IPSEC.
Virenscanner: Immerhin minimal DAU-tauglich. Egal ob er OK oder Abbrechen klickt, der Zugriff auf die Datei wird wenigstens verwehrt, und er gibt Windows die Schuld.
HFW: Siehe Paketfilter.

Würde ich so nicht unterschreiben, zumal viele HW Firewalls bereits mit einer recht guten Ausgangskonfiguration daherkommen.

Allerdings ist bei jedem Punkt zumindest die Kenntniss eines Problems von Nöten, um überhaupt auf eine dieser Lösungen zu kommen. Wer den Weg zur Lösung des Problems kennt und weiß, wie man sich ein Programm/HWF installiert, der wird auch seinen Browser öffnen können, die IP der HWF eingeben und dem Wizzard folgen können, der die Zugangsdaten verlangt und fragt, ob die Fireall aktiviert werden soll

Ein gewisses Maß an intelligenz muß man demjenigen, der zumindest schon selber auf die Lösung gekommen ist wohl zutrauen.

Deine Argumentation ist an dieser Stelle fehlerhaft. Du listest als erstes Argumente gegen die Möglichkeiten auf, meinst, dass der DAU zu unerfahren sei all diese Dinge zu implementieren, aber schreibst 10 Zeilen tiefer, dass ein DAU mit Virenscanner und vernünftig konfiguriertem Paketfilter besser bedient ist als mit allem anderen, womit wieder einmal der eigentliche Knackpunkt verfehlt wurde... eine einfache Installation, ohne Hilfe und lediglich mit einem quickstart Manual ausgerüstet. Der Virenscanner ist prinzipiell zwar sehr leicht aufzusetzen, was man aber von einem Paketfilter nicht sagen kann. Ich als Anwender will mich um Ports, Regelsets und Adressbereiche nicht kümmern. Ich will etwas installieren und es soll seinen Dienst per default tun.

Und nocheinmal betone ich, dass ein Client vollkommen ungeeignet ist um etwas sicher zu machen. Die Lösung kann und darf nicht an der Stelle sitzen, wo durch Fremdprogramme eine Lücke entstehen und durch die Unachtsamkeit eines Benutzers alle Schutzfunktionen außer Kaft gesetzt werden können. Der beste Paketfilter/Virenscanner/blafasel bringt nichts, wenn ein Programm die Schutzfunktionen deaktiviert und das "Bollwerk" einreißt ...

[Rika]

@simcard:

Argumente sind nie falsch, sie sind höchstens unwahr. Über den Wahrheitsgehalt hast aber zum Glück nicht du zu entscheiden.
Übrigens, Zeile im Bezug auf welche Programmsprache? Der 20mal größere Assemblercode ist genauso zu der exakt gleichen lauffähigen Variante kompilierbar und erlaubt ebenfalls eine Analyse der Programmsablaufs. Zusammenfassen zu vermutlichen C/C++-Code ändert daran nix, bringt aber höchstens etwas Übersichltichkeit und vermutlich eine andere Darstellung von genau dem gleichen Programmablauf mit, die Darstellung wird sich aber unterschieden. Tipp: Erst denken, dann posten.

Und dein Konzept bezüglich nicht normal fnktionierender Dienste ist totaler Humbug, oder hats du noch nie was davon gehört, wie ein typischer Trojaner sich typischerweise in svchost.exe einklinkt? Kapiere doch mal, daß du mit Anwendungen, die auf dem gleichen Berechtigungsniveau wie Malware läuft, prinzipiell keine andere Software wirkungsvoll kontrollmäßig einschränken kannst.

(BTW, du hast außerdem nicht verstanden, was PLONK bedeutet.)

@Ich:

Ich schätze mal, du glaubst an minimale Intelligenz bei Computerusern noch weniger als ich. Jemand der so intelligent ist, eine HFW minimal zu konfigurieren, kann auch mit einer bebliderten Anleitung Dienste abdrehen und erreicht damit ähnlich viel.

Was ich meinte, war eine automatische Einrichtung, entweder mit einem Programm oder von Helfer Gernehelf. Ein echter DAU kommt meist gar nicht auf die Idee, einen Virenscanner zu installieren - wenn aber einer das tut, dann schützt es wenigstens den Rechner teilweise vor den Dummheiten eines DAUs. Ein einfaches IPSEC-Configscript als Batch-File könnte vermutlich genauso gut funktionieren.

Übrigens, genau das ist der Punkt: Eire Firewall ist ein Konzept, daß sowohl Client als auch Netz betrifft. Paketfilter, Proxies und Vershclüsselung dienen zur sicheren Trennung zwischen sicherem und unsicherem Netz, Dateisystemverschlüsselung, unnötige Dienste und sichere Software sollen den Client weniger angreifbar machen - wenn du das mit dem Proxy regeln möchtest, daß die eben nicht notwendigen Probleme des Clients zware xistieren, aber nicht ausgneutzt werden, handelst du grob fahrlässig, weil du nur die Symptome, nicht aber die Ursache bekämpfst - das geht meistens in die Hose, siehe IE.

[born2flame]

Noch immer keine Mail bei mir angekommen was den "Test" angeht!?

Na dann lese ich hier auch nicht weiter in den Thread - in der Hoffnung - das ich hier etwas zu meiner Idee vorfinde und denke mir meinen Teil.


Danke und Gruß,
b2f