[[ray^]]

Ist es nicht einfach auch möglich, dass die Alternativ-Browser mehr/schlimmere Sicherheitslücken enthalten, als wir annehmen? Ich mein die Tatsache, dass viel weniger User Alternativ-Browser benutzen und sie somit auch viel weniger bekannt sind sagt doch schon vieles. Ich könnte mir gut vorstellen, auf Grund der Tatsache, dass sich viel weniger Leute mit Alternativ-Browsern beschäftigen - im Sinne von Sicherheit z.B. - es viel gravirendere Mängel gibt, die zu dem auch viel langsamer an die Öffentlichkeit gelangen. Es gibt bestimmt sehr kritische Lücken in Mozilla und Co., und entsprechende Leute die diese ausnutzen. Nur weil sich zu wenige mit diesen befassen, merken wir nichts davon.

Man könnte es doch also auch so sehen: mehr public > mehr Sicherheit.

Wenn 10 Leute nach einem Fehler suchen, finden sie ihn auch schneller als wenn 2 danach suchen.

Auf der anderen Seite kann und verläuft es auch umgekehrt. Auf Grund der Tatsache, dass sich so viele mit dem IE beschäftigen, werden viele Sicherheitslücken gefunden und ausgenutzt und dazu noch stark verfeinert, damit der User vom Angriff nichts mitbekommt.

Aber mit zunehmender Popularität von Mozilla/Firefox und Co. werden auch die Veröffentlichungen bezüglich Sicherheitmängel zunehmen denke ich. Das einzige was von Vorteil - aber auch vlt von Nachteil - ist, ist der Fakt, dass diese OSS sind.

[Meltdown]

Zitat (Rika: 18.06.2004, 21:10)

Sagen wir's mal so: Ohne Alternativbrowser kann man gar nicht erst ein akzeptables Sicherheitsniveau erreichen.

@Meltdown: Es geht um spezielle Dialer und TrojanDownloader, die jetzt nicht mehr nur im ActiveX-Kleid kommen, sondern auch als Mozilla-XPI. Davon findet man auf diversen obskuren Seiten finden, aber außer dem einen gezeigten habe ich selber auch noch nie einen gesehen.

Das habe ich wohl verstanden.

Sämtliche Auto-Updates, Software-Installationsoptionen und Zusatzplugins
werden - wenn überhaupt benötigt- nur manuell gesteuert bei mir.

Selber lass ich den Browser in der Hinsicht nichts erledigen. Eben wie beim
Betriebssystem. Ich will schon noch gern dahinter kommen, was passiert.

Im Moment ist bei mir FireFox 0.9 im Einsatz. Und zwar ausschliesslich.
Anfangs war es noch die Mozilla-Suite, jetzt nur noch die FireFox-Variante.

Problematisch kann es aber immer noch werden.

Was tun wenn durch irgendwelche Overflow-Tricks mal ein Loch ins FireFox-System
freigeschaufelt wird ? Die Tatsache der schwachen Verbreitung dieses Browsers
kann dann auch mal gefährlich werden.

Bevor ich einen IE-Fehler hier im hohen Norden Deutschland aktiv bemerke,
sind schon tausende User in den USA & Japan vor mir attackiert - und damit
auch alarmiert - worden.

Das heißt nicht, das man nicht Pech haben und womöglich einer der ersten
Opfer eines neuen Wurms sein kann. Aber es ist dort unwahrscheinlicher.
Man hat hier u.U. dann mehr Reaktionszeit.

Trotzdem: den IE werde ich nicht mehr einsetzen. Fakt ist ja nun mal das dieses
Stück Software ziemlich löchrig ist.

Womöglich braucht auch die Mozilla-Ecke noch einige Updates um auch versteckte
Fallstricke noch aus dem System zu bekommen - das dauert ja meist länger.

Solange sich aber (mit einem konfiguriertem!) FireFox-Browser sich nicht gefährliche PlugIns von selbst installieren - solange werde ich auch in dieser Browser-Ecke
bleiben.

Die Liste der Vorteile ist ja so endlich lang - da müßte man schon ziemlich
doof sein wenn man diese nicht dann auch nutzen würde.

Wenn ich mir die Schlagzeilen des IE in den letzten Jahren zu Gemüte führe, wird
mir jedenfalls schlecht.

Und das ein Open-Source Projekt gerade durch seinen bekannten Quellcode
gefährlich ist, leuchtet mir irgendwie nicht ein.

Dem IE hat sein "Close-Source" Status auf jeden Fall nicht mehr Sicherheit gebracht.
Im Gegenteil: er ist auch noch nach Jahren der Entwicklung viel zu sehr verbuggt.

Grobe Fehler werden bei den Mozilla-Browsern ja sowieso durch die diversen
Pre-Releases abgefangen. Ehe dort eine Final erscheint, ist das Release doch
schon ein halbes Dutzend mal vorher groß getestet worden.

Das scheint augenscheinlich ja zu funktionieren. Auch die Release-Pläne werden
eigentlich im allgemeinen eingehalten.

Wenn ich mir die Patch-Politik da bei MS mit ihren ewigen Terminänderungen
ansehe, kann ich darin kein System entdecken.

Zumindest hat man dort schon mal anscheinend die Richtung kapiert, in der
es gehen sollte. Die monatlichen Patch-Days können da aber nur ein Anfang
sein. Das muß meiner Meinung nach noch konsequenter betrieben werden -
sonst werden die auf Jahre hinaus nie ein stabiles Windows-System auf die Beine stellen.

Dieser Beitrag wurde von Meltdown84 bearbeitet: 22. Juni 2004 - 13:50

[Koopatrooper]

Naja, der Beitrag von Heise ist mehr als dürftig. Es wird unnötig Panik gemacht.

Ein im System fest verankerter Browser, der zahlreiche seit Monaten bekannte Bugs enthält, ActiveX unterstützt und weder über einen Pop-Up Blocker noch über gescheite Warndialoge verfügt und Sachen ohne Wissen des users im Hintergrund installieren lässt, ist unsicherer als jeder andere Browser.

Das er sich an keinen Standard hält und dadurch die Entwicklung des Internet hemmt, lassen wir mal außen vor.

Sicher, die elegantere Lösung wäre die automatische Softwareinstallation im Firefox per default zu deaktivieren, so dass versierte Anwender es einfach bei Bedarf wieder aktivieren. Aber dieser Beitrag suggeriert Unsicherheit, dass ist so einfach nicht richtig.

Sowohl Opera als auch Mozilla heben wesentlich weniger bekannte Lücken als der IE, durch das Bugtraking System von Mozilla, werden kritische Bugs recht schnell gefixed.

In meinen Augen nur heiße Luft, da Heise ja kurze Zeit später über eine neue Variante des URL Spoofing Bugs in Opera berichtet hat, könnte man meinen, MS hat denen eine kleine Finanzspritze verpasst.

Dieser Beitrag wurde von Koopatrooper bearbeitet: 26. Juni 2004 - 21:31

[Rika]

@Tribble: Das ist Erfahrungssache. Früher war Netscape beliebter und wurde stärker analysiert, die derzeite Analysestärke bei Alternativbrowser ist im Vergleich zu der Menge an Analysten, die sich um den IE scheren (z.B. Analüst... Vorsicht: böses Wortspiel), nur unwesentlich geringer. Trotzdem wird praktisch nix gefunden, und wenn, dann meist auch nix wirklich schlimmes. Die Sicherheitspolitik beim IE hingegen ist katastrophal, das Design total kaputt und bekannte Fehler werden nicht wirklich ernstgenommen.

@Meltdown84:
Buffer-Overflow in Mozilla/Firefox? Das möchte ich mal sehen. Das gesamte Interface sowie große Teile des Gecko-Engine bestehen doch ausschließlich aus XUL = XML + JavaScript, das sauberstens geparst wird. Buffer-OVerflows sind da praktisch ausgeschlossen, man findet allerhöchstens noch Probleme mit der rechteverwaltung diverser XUL-Objekte - und daran feilten Netscape und nun die Mozilla-Entwickler schon so lange rum, daß der letzte Bug in dieser Hinsicht in Mozilla 1.4 bzw. Firefox 0.5 gefunden wurde - und auch der war ziemlich unkritisch.

@Koopatrooper: "Sponsored by SYMANTEC". Und rate mal mit welchen Sicherheitslücken in welcher Software von welchem Hersteller Symantec Geld verdient...

[ShiaiTenshi]

Zitat

"Sponsored by SYMANTEC". Und rate mal mit welchen Sicherheitslücken in welcher Software von welchem Hersteller Symantec Geld verdient...

Microsoft ®! Windows ®

[hubba]

die sogenannter "sicherheit" von mozilla&co ist so langsam als vergangen zu betrachten. immer mehr steigen auf alternativ browser um bzw. haben es schon getan. klar das die leute mit "den bösen absichten" schon längst gleichgezogen haben.

ich verweise hier auf die konkurrenz, computerbase hat erst heute eine news zu diesem thema veröffentlicht.

Dieser Beitrag wurde von hubba bearbeitet: 31. Juli 2004 - 15:04

[Rika]

Und jetzt vergleiche mal die Schwere der Sicherheitslücken von IE und Mozilla. Ersteres hat URL-Sppofing, Umgehen der Sicherheitszonen und Buffer Overflows - bei Mozilla hast du ein Zertifikatspoofing, bei dem die gefälschte URL aber ganz offen in der Adresleiste angezeigt wird. Na, was ist schlimmer?

[hoschen]

Zitat (shelby: 18.06.2004, 12:48)

Die Zahl der Webseiten die Mozilla-Sicherheitslücken ausnutzen wächst rasant.
Gerade die Plug-ins und Browsererweiterungen erweisen sich als sehr gefährlich.

Laut heise ist Mozilla nicht wesentlich sicherer als der IE wenn man das wichtigste Plug-in nicht benutzt: Brain 1.0

http://www.heise.de/...r/meldung/48363


Mozilla. Das Ende der Idylle

Sponsored by Symantec.

ich hab es gestern gelesen, muß sehen, dass ich es wiederfinde:

es soll schon BRAIN 1.2 geben!

[Rika]

1. 'S soll viel.
2. Ja genau... schon mal daran gedacht daß ein Trojaner ja gerade darauf aus ist _keine_ Aufmerksamkeit zu erregen? Prozesstabelle tarnen, Dateizugriffe umleiten, Virenscanner etc. täuschen bzw. dank fehlender Siganturen gar nicht erst beachtet werden...
3. Wenn dein Rechner als Spam-Relay missbraucht wird, dann kündigt der Provider _dir_ den Vertrag. Wenn dein Rechner zur Verbreitung von KiPo und Warez missbraucht wird, konfisziert das LKA _deinen_ Rechner. Wenn du bei Amazon oder eBay deine Daten eingibst, dann kauft der Kriminelle auf _deine_ Rechnung ein.

Herr, las Hirn regnen...

Dieser Beitrag wurde von Rika bearbeitet: 31. Juli 2004 - 23:02