[Master Joda]

@Graumagier

Zitat

normalerweise nur von *hust* zwielichtigen Anbietern verwendet.

Das normalerweise in diesem Satz sagt für mich schon aus dass die Regel nicht funktioniert. Okay klar kann man solche URLs meiden und man ist sicherer. Ein wahrhaftige Festlegbarkeit ist es somit nicht. Jedoch sicher eine weitere Info die helfen kann.

Zitat

Du liegst falsch, das Problem liegt bei Windows und nicht beim Dateiformat. Das Dateiformat tut was es tun soll, nur Windows nicht...

Nun wenn ich es bei überfliegen richtig aufgefasst habe ists doch so dass die bösen Codes im JPEG-File sind (und eigentlich gar nicht zum Bildinhalt gehören) und es ist nicht so dass Windows die da reintut. Dass Windows damit was anstellt ist klar ein Problem von Windows, doch der Ursprung liegt im JPEG-File.
Aber bin ich da wirklich wieder falsch. Muss die Sache mal genauer nachforschen, gebe zu dass ich da nur mal etwas "oberflächlich" mich informiert habe.

Zitat

Informieren, nicht raten

Ist wohl war. Doch mein Tag hat auch nur 24 Stunden und meine Freizeit möcht ich erlich gesagt nicht hauptsächlich dazu aufopfern mich nur noch über Sicherheitsaspekte zu informieren. Okay so könnte man das Sicherheitsproblem natürlich auch eindämmen. Ist halt noch Neuland für mich und ich bin auch gewillt mich da in die Materie reinzulesen doch braucht dies ja auch so seine Zeit und geht nicht nur von 0 auf 1 :D Aber ich bleib dran.

Zitat

Im Übrigen geht eine Benutzkonto mit eingeschränkten Rechten auch schon weit in diese Richtung, und dürfte auch noch einfacher zu realisieren sein.

Stimmt schon. Mir gings natürlich darum das Sicherheitskonzept noch weiter zu schrauben. Als die Basis gemäss Thread "Windows sicherer machen". Wenn auch nur mal so theoretisch. Ist ja nicht so auch wenn dies sich vielleicht so anhören mag dass ich unter Paranoia leide und dies auch alles umsetzen werden. Aufwand und Nutzen muss bei mir schon im Verhältnis bleiben.

Aber Eure Beiträge helfen mir sehr weiter mich in das Gebiet einzuarbeiten. Auch wenn ich zumindest bei Rika oft das Gefühl bekomme dass er voraussetzt dass alle auf gleichem Wissenstand zu sein haben. Das stört mich jedoch keineswegs sondern spornt mich eher noch an am Thema dran zu bleiben bzw. die Sache genauer nachzulesen.

Dieser Beitrag wurde von Master Joda bearbeitet: 25. Februar 2005 - 17:19

[Graumagier]

Zitat

Ein wahrhaftige Festlegbarkeit ist es somit nicht.

Nein. Das Leben ist nun mal nicht binär.

Zitat

Aber bin ich da wirklich wieder falsch.

Ja. Haben EXIF-Informationen deiner Meinung nach etwas mit "Bildinformationen" zu tun? Wenn nein, warum fügt sie dann trotzdem jede Digitalkamera den Bildern hinzu?

[Master Joda]

Zitat

Hier war dein Fehler, die Updates einzuspielen. If it ain't break, don't fix it.
Ansonsten nennt man das "Shit happens", dagegen hilft auch kein Virenscanner.

Stimmt natürlich habe ich ja auch selbst eingeräumt. Doch wielange ist die Wartezeit bis man das Update einspielen kann ? Eben. Die Antwort kommt aber etwas überspitzt formuliert wie diese rüber : "Selber schuld, warum verwendest Du Windows und bist nicht bei MS-DOS geblieben, dann hättest Du das Problem nicht", oder "Warum schliesst Du aber auch Deinen PC ans Internet". Okay klar ich übertreibe hier natürlich masslos. Doch wenn ich daran denke dass ich grob zumindest schon mal etwas Ahnung von Computer habe siehts bei nem normalen Computer-Heim-Anwender ziemlich düster aus und das ist nun mal die Realität, aber natürlich auch der ganze Nährboden für solche Probleme.

Ich meinte damit ja auch nicht dass mich davor der Virenscanner schützen soll sondern nur dass die Grenze zu unvernünftigem und vernünftigem Handeln ziemlich fliessend ist und auch relativ auslegbar. Hätt ja auch bei gekauter Software passieren können. Auch solche hatte schon mal Viren drin und das auch bei "seriösen" Firmen. Okay da ist natürlich die Chance grösser dass der Viren-Scanner dafür bereits schon ne Signatur hat. Nun gut klar, absolute Sicherheit gibts nun mal überhaupt nicht.

Zitat

Es geht darum daß Backups vom System physikalisch getrennt gelagert werden.

Okay, das stimmt natürlich absolut.

Zitat

Insbesondere wenn (im Falle von OpenPGP) die Zuordnung zur Person von vielen bekannten fähigen Leuten bestätigt wurde. Für mein S/MIME-Cert von Thawte habe ich auch gute Chancen demnächst genügend Notaries abzuklappern um meinen Namen ins Cert zu bekommen.

Verstehe da eigentlich nur Bahnhof, macht aber überhaupt nichts, beinhaltet genügend Stichworte damit ich dies mit ein bisschen nachforschen in eine für mich verständliche Sprache bekommen kann. Macht mich neugierig sowas.

[Master Joda]

Zitat

Ja. Haben EXIF-Informationen deiner Meinung nach etwas mit "Bildinformationen" zu tun? Wenn nein, warum fügt sie dann trotzdem jede Digitalkamera den Bildern hinzu?

Ja wie jetzt nun. Heisst ja ich liege flasch, und es ist richtig dass Windows diese Informationen in die Bilddateien bringt und nicht ein böswilliger Programmierer ?

Zitat aus eine gefundenen Internet-Seite auf www.aladdin.de :

Die Ursache dafür liegt in einer bereits lokalisierten Sicherheitslücke, die es Angreifern ermöglicht, Dialer, Trojaner und Viren mit Hilfe eines speziell präparierten JPEG-Bildes auf fremde Rechner zu schleusen.

Sind wir uns einig dass der Code im JPEG-File ist. Bewusst eingeschleust versteht sich. Dass Windows Programm und Daten nicht strickt trennt ist mir bewusst und klar das Sicherheitsloch. Doch der Ursprung des Problems ist ja das JPEG-File (aus Sicht des Surfers). Will ich nun den Ursprung bekämpfen und nicht das Sympton (was man mit dem Satz vernünftiges Handeln eigentlich auch vor hat), muss man ja sämtliche JPEG-Files sperren. Wie dann ne Internet-Seite aussieht kannst Du Dir ja vorstellen. Und genau das meine ich mit Verzicht. Dass das Problem natürlich bei Windows liegt und das Dateiformat nichts dafür kann ist mir klar. Wobei sind eigentlich EXIF-Informationen in den Spezifikationen von JPEG enthalten oder läuft das das Dateiformat ausserhalb den Spezifikationen ?

[Graumagier]

Zitat

Verstehe da eigentlich nur Bahnhof, macht aber überhaupt nichts

OpenPGP = Ein Programm zur Verschlüsselung von Daten, in erster Linie von Emails. Dazu muss dem Sender der Nachricht der individuelle Schlüssel des Empfängers bekannt sein, mit dem die Nachricht auch verschlüsselt wird. Also eine maßgeschneiderte Verschlüsselung. Die Schlüssel kann man z.B. über öffentliche Zertifikatsserver bekommen. Da man die Schlüssel jedoch prinzipiell selbst erstellt und somit quasi beliebige Namen angeben kann, kann man den Schlüsseln prinzipiell nicht vertrauen. Aus diesem Grund kann man die Schlüssel von dritten, vertrauenswürdigen Personen gegen Vorlage identitätsbestätigender Dokumente signieren lassen. c't beispielsweise führt(e !?) solche Aktionen ebenso wie zahlreiche kommerzielle Unternehmen auf diversen Computermessen durch. Durch das Sammeln möglichst vieler "Unterschriften" kann man das "Ansehen" der Schlüssel immer weiter steigern, da diese bei dem Schlüssel angezeigt werden.

Dieser Beitrag wurde von Graumagier bearbeitet: 25. Februar 2005 - 18:09

[Rika]

Zitat

Stimmt natürlich habe ich ja auch selbst eingeräumt. Doch wielange ist die Wartezeit bis man das Update einspielen kann ? Eben.

Ein Update, das man nicht benötigt, spielt man gar nicht ein.

Zitat

Will ich nun den Ursprung bekämpfen und nicht das Sympton (was man mit dem Satz vernünftiges Handeln eigentlich auch vor hat), muss man ja sämtliche JPEG-Files sperren.

Nein. Du spielst den Patch ein und schon verschwindet die Möglichkeit daß die Daten als Code interpretiert werden.

Zitat

Wobei sind eigentlich EXIF-Informationen in den Spezifikationen von JPEG enthalten oder läuft das das Dateiformat ausserhalb den Spezifikationen ?

Außerhalb. Ein paar unterbelichtete Kamerahersteller meinten daß die User überbelichtete Bilder direkt von Kamera auf Drucker schicken können sollten und haben dazu die optionale Datenfelder im JPEG-Format genutzt. Das ganze Problem hat aber nicht mit EXIF zu tun. Die Informationen gehören nicht zum Bildinhalt und müssen nicht interpretiert werden.

[Master Joda]

Zitat

Ein Update, das man nicht benötigt, spielt man gar nicht ein.

Davon habe ich aber nie geredet. Nun erweitern diese Updates die Features des Programms und beheben Bugs. Somit muss man abwägen ob man die Features gerade unbedingt braucht oder ob einen die Bugs stören. Gerade deshalb gibt es keine Wartefristen bei Updates. Im Hobby-Bereich sind die Worte wirklich brauchen immer so ne Sachen. Da führen meist eher die Worte nutzen wollen.

@Graumagier
Danke für die Beschreibung.