[Gitarremann]

 Zitat (Rika: 11.09.2006, 01:26)

Besserer Vergleich bezüglich IE-Sicherheitslücken: Es ist egal, mit welchem Kaliber du erschossen wirst.

das erzähl mal dem, der die sauerei nachher aufwischen muß.

[ph030]

Zitat

das erzähl mal dem, der die sauerei nachher aufwischen muß.

Ich dachte, die Zivis sind dazu da, den Unrat der Bundler wegzumachen - Widerrede gibt's nicht!

@(mehr oder weniger)Topic

So langsam wird's wohl doch Zeit, dass ich mir nen Popcorn-Maker zulege, schließlich kann man sich bei solchen Diskussionen wesentlich mehr amüsieren als bei jedem aktuellen Kinofilm.
Das Schlimme daran ist nur, dass die ganze Diskussion (leider) wohl kaum was bringen wird, da mindestens eine Seite nicht von ihrer Position abweichen wird, selbst wenn das (leicht überspizt) den Tod bedeutet.

Ich für meinen Teil muss sagen, ob das jetzt Mythen oder Wahrheiten sind, ist mir, gelinde gesagt, schnurzpiepe. Seit v.0.8 hab ich den FF immer wieder getestet, aber wirklich zufriedengestellt hat er mich nie und für meine Bedürfnisse wurde es (leider) eher schlimmer als besser. Etwas (für mich) besseres als Opera konnte ich bis her nicht auftreiben und da JS, Java und sämtliche anderen Plugins bei mir global erstmal deaktiviert sind und mir abgesehen davon momentan keine wirkliche Lücke bekannt ist, brauche ich mir da auch keine Sorgen zu machen.
Über den IE möcht ich erst gar nicht lästern, da ist mir jeder Anschlag zu viel. Von mir aus soll doch jeder das Ding nutzen und "glücklich" werden, solange er a) sich nicht bei mir über Probleme beschwert und b) damit kein System verschandelt, auf das ich angewiesen bin. Allerdings ist es doch "erstaunlich", was einem aktuell gepatchten System passieren kann, wenn man sich damit ins(/in die falschen Gegenden des) Internet(s) wagt.

Nun ja, auch wenn Opera kein (F)OSS ist, es ist der einzige graphische Browser, der meinen Ansprüchen/Wünschen genügt und für alles andere hab ich ja noch links (-g) und wer glücklicher mit dem FF ist, viel Spaß damit.

Dieser Beitrag wurde von ph030 bearbeitet: 11. September 2006 - 02:20

[Gitarremann]

 Zitat (ph030: 11.09.2006, 03:00)

Ich dachte, die Zivis sind dazu da, den Unrat der Bundler wegzumachen - Widerrede gibt's nicht!

noja schön isses selbst für nen zivi nicht, obwohl der singemann eigentlich immer sagt, dass zermanschte leichen gar nicht so schlimm sind. wasserleichen sind wohl ekliger.

au ha - aber jetzt sind wir ja richtig vom thema wech. schnell zurückrudern.

[Rika]

Zitat

und da JS, Java und sämtliche anderen Plugins bei mir global erstmal deaktiviert sind

Der Witz an Mozilla/Firefox ist doch, daß du selektiv (potentiell gefährliche) Funktionen von JavaScript deaktivieren kannst, ohne es komplett abschalten zu müssen. Bei Opera hast du im Wesentlich nur eine Ja/Nein-Entscheidung.

Und mit NoScript kannst du auch bequem im laufenden Betrieb Java und Plugins aktivieren bzw. deaktivieren, ohne den Browser zu beenden.

Zitat

davon momentan keine wirkliche Lücke bekannt ist

Also in der aktuellen Version gibt's zumindest eine DoS-Möglichkeit mit kaputten Server-Antworten, die ihn abstürzen lassen. Ansonsten scheint Opera auch nicht sonderlich ordentlich zu sein, hat hin und wieder doch arge Sicherheitsprobleme mit JavaScript, die dank dem in reinem C/C++ verfassten Interpreter dann meist auch ordentlich durchschlagen.

Zitat

Allerdings ist es doch "erstaunlich", was einem aktuell gepatchten System passieren kann, wenn man sich damit ins(/in die falschen Gegenden des) Internet(s) wagt.

Die falschen Gegenden == Google, Yahoo, NY Times, BBC, ja sogar WinFuture? Die haben alle in Form von Werbung die Inhalte von Dritten eingebunden, die schon so manches mal diverse IE-Exploits für aktuelle Lücken beinhaltete.
Außerdem ist das trivial, da ja dokumentiert ist, daß die Sicherheitsfunktionen des IE nur dann greifen können, wenn der Gegenüber selbst von vornherein vertrauenswürdig ist, was auf's Internet nicht zutrifft.

[ph030]

Zitat

Der Witz an Mozilla/Firefox ist doch, daß du selektiv (potentiell gefährliche) Funktionen von JavaScript deaktivieren kannst, ohne es komplett abschalten zu müssen. Bei Opera hast du im Wesentlich nur eine Ja/Nein-Entscheidung.

Und mit NoScript kannst du auch bequem im laufenden Betrieb Java und Plugins aktivieren bzw. deaktivieren, ohne den Browser zu beenden.

Also ich weis ja nicht, bei welcher Version du das letzte Mal in Opera reingeschaut hast, aber ich kann hier pro Seite auswählen, ob und was ich an "Features" haben möchte und den Browser dazu neustarten muss ich erst recht nicht.
Wenn ich mir dann die (standardmäßig!) vorhandenen Einstellungsmöglichkeiten bezüglich JS anschaue, dann seh ich da keinen wirklichen Unterschied zwischen FF und Opera, ebenso die Sachen, die sich via about:config bzw. opera:config setzen lassen. Natürlich hätte ich beim FF die Möglichkeit mich durch die Sourcen zu wühlen und noch ganz andere Sachen meinen Wünschen entsprechend anzupassen, aber ernsthaft, wieviele Prozent(oder sollte ich eher Promille sagen) der User machen das schon?

Da hätte ich jetzt also bitte mal einen exakt formulierten Kritikpunkt, wenn möglich/nötig mit einem ungefärbten Link.

Zitat

Also in der aktuellen Version gibt's zumindest eine DoS-Möglichkeit mit kaputten Server-Antworten, die ihn abstürzen lassen.

Ich hab grad mal Secunia und SecurityFocus durchgesehen, da steht nichts zur aktuellen Version, was a) noch nicht gepatched ist oder b) sich nicht durch Browsermittel umgehen läßt, also bitte mal eine genaue Quelle!
Selbst wenn, solange er dadurch nicht aus meiner Screen-Session ausbricht und sich dadurch root-Rechte beschaffen lassen, dann stört mich dann nicht wirklich - v.a. dann nicht, wenn ich bedenke wie oft mir der FF abgestürzt ist(mit Standardsettings direkt nach der Installation wohlgemerkt).

Zitat

Ansonsten scheint Opera auch nicht sonderlich ordentlich zu sein, hat hin und wieder doch arge Sicherheitsprobleme mit JavaScript, die dank dem in reinem C/C++ verfassten Interpreter dann meist auch ordentlich durchschlagen.

"Scheint" ist kein Argument und da ich bezweifle, dass du den Code vorliegen hast, können wir erstmal getrost bei Seite legen. Gut, JS ist (imho) zu 95% böse und zu 98% unnütz, ergo hab ich es komplett deaktiviert und aktiviere es nur selektiv. Mein Links ist auch ohne Support für JS kompiliert und ich bin noch nirgends auf Probleme gestoßen, wofür sollte ich JS also (wirklich) dringend brauchen? Unter dem Gesichtspunkt kann man Opera ja wohl erst recht nicht ankreiden, dass er in C(++) geschrieben ist, schließlich bringt das im Gegenzug auch einige Vorteile mit sich(Speed/Größe z.B.).

Zitat

Die falschen Gegenden == Google, Yahoo, NY Times, BBC, ja sogar WinFuture? Die haben alle in Form von Werbung die Inhalte von Dritten eingebunden, die schon so manches mal diverse IE-Exploits für aktuelle Lücken beinhaltete.
Außerdem ist das trivial, da ja dokumentiert ist, daß die Sicherheitsfunktionen des IE nur dann greifen können, wenn der Gegenüber selbst von vornherein vertrauenswürdig ist, was auf's Internet nicht zutrifft.

Mh, Ironie-Tags übersehen und die Klammern wohl nicht richtig gewertet?!

Keine Software ist 100%ig Bug-frei, manche sind alleine vom Konzept her Broken, andere leiden unter Flüchtigkeitsfehlern oder Unwissenheit und auch wenn es sich gar nicht lohnt über die unzähligen Probleme des IE zu reden, so ist der FF trotzdem kein Allheilmittel und das ultimative Browserwerkzeug.
Mozilla hat mit dem FF ein gutes Stück Code abgeliefert, aber es ist nicht näher an der "Perfektheit" als Opera, Konqueror oder Safari. Das selbe trifft übrigens (imho!) auch auf ThunderBird zu, welcher trotz unzähliger Extensions nicht mal annähernd an gestandene Clients wie Mutt(NG), Sylpheed(-Claws) oder Mullberry(hier besonders bezüglich IMAP) herankommt.

Dieser Beitrag wurde von ph030 bearbeitet: 11. September 2006 - 05:40

[Rika]

Zitat

Wenn ich mir dann die (standardmäßig!) vorhandenen Einstellungsmöglichkeiten bezüglich JS anschaue, dann seh ich da keinen wirklichen Unterschied zwischen FF und Opera, ebenso die Sachen, die sich via about:config bzw. opera:config setzen lassen.

http://www.mozilla.org/projects/security/c...nfigPolicy.html

Nein, solche Granularität gibt's bei Opera nicht. Leider.

Zitat

also bitte mal eine genaue Quelle!

http://securityreaso...xploitalert/994 - wobei ich eigentlich noch eine andere meinte, die ähnlich war... wäre schade, wenn die Opera-Leute jetzt plötzlich wie Microsoft anfangen und sowas lange nicht patchen.

Zitat

Scheint" ist kein Argument und da ich bezweifle, dass du den Code vorliegen hast, können wir erstmal getrost bei Seite legen.

Legen wir es mal auf einen Vergleich mit Mozilla an, wo ein strikte Grenze zwischen Gecko-Engine und XUL/Chrome existiert, wobei letzteres trivial sicher gegen Buffer Overflows, Heap Overflows und Double-Frees ist und zudem eine starke Kontexttrennung ermöglicht. Bei Opera ist alles eine einzige, gleichsam hochgradig unsichere Domäne.

Und Code gab's in letzter Zeit ja genug, von Boundary Errors in überlangen URLs über Buffer Overflows mit überlange URLs in a:background:url() bis hin zu einem Heap -Overflow in Forms mit internen Styles. Hat mit JavaScript auch wenig zu tun, sowas kann man direkt generieren.

Der letzte Fehler im reinen Binärcode von Firefox liegt hingegen schon laaaaange zurück, und das war ein Fehler in den RegExps der Dritthersteller-Bibliothek Boost-RegExp in FF 1.0.6.

Bei Firefox hat man im Wesentlich viele kleine Lücken von meist sehr geringem Umfang und schwerer Ausnutzbarkeit, bei Opera sind eher sehr wenige, dafür oft regelrecht banale und meist auch sehr kritische Lücken.

[ph030]

Zitat

http://www.mozilla.o...nfigPolicy.html

Nein, solche Granularität gibt's bei Opera nicht. Leider.

Kannte ich noch nicht, thx dafür.
Allerdings muss ich die entsprechenden Einstellungen per User.js und somit von Hand machen(oder gibt's dafür eine erleichternde Extension?). Das ist (imho) nichts, was der ONU einfach mal so entdeckt und macht, selbst wenn er überhaupt versteht, was er da tut - ändert allerdings nichts daran, dass die Möglichkeit prinzipiell besteht. Werde nach dem Aufstehen mal schauen, ob ähnliches nicht auch mit Opera umsetzbar ist - eine totale Unmöglichkeit könnte ich mir jedenfalls schwer vorstellen.

Zitat

http://securityreaso...xploitalert/994

IIRC stand/steht das auch bei Secunia, hab ich allerdings ignoriert, da ich den integrierten IRC-Client nicht nutze. Das ist eine CoreComponent und ich gebe zu, das ist ein Bug. Diesbezüglich mag der komplette Opera jetzt schon mal X+1 Bugs mehr als FF haben, allerdings frage ich mich, ob neben FF auch dessen Extensions gründliche Security Audits erfahren und wie es dort aussieht, wenn ich alle Extensions nutze, die ich brauche, um auf Operas Auslieferungszustand zu kommen.

Zitat

wäre schade, wenn die Opera-Leute jetzt plötzlich wie Microsoft anfangen und sowas lange nicht patchen

Wäre in der Tat nicht besonders schön, aber ich denke/hoffe, dass es soweit nicht kommen wird. Ich hoffe ja immer noch darauf, dass der Code irgendwann freigegeben wird, muss ja nicht unbedingt die aktuellste Version sein.

Zitat

Legen wir es mal auf einen Vergleich mit Mozilla an, wo ein strikte Grenze zwischen Gecko-Engine und XUL/Chrome existiert, wobei letzteres trivial sicher gegen Buffer Overflows, Heap Overflows und Double-Frees ist und zudem eine starke Kontexttrennung ermöglicht. Bei Opera ist alles eine einzige, gleichsam hochgradig unsichere Domäne.

Und Code gab's in letzter Zeit ja genug, von Boundary Errors in überlangen URLs über Buffer Overflows mit überlange URLs in a:background:url() bis hin zu einem Heap -Overflow in Forms mit internen Styles. Hat mit JavaScript auch wenig zu tun, sowas kann man direkt generieren.

Das ist alles wahr und möchte ich auch gar nicht bestreiten, allerdings ist das auch gleichzeitig kein Grund, Opera pauschal zu verteufeln. Von mir aus kann FF gerne besser als alle andern sein, aber solange ich über einen nennenswerten Zeitraum(>7 Tage wäre das für mich) kein Scheunentor in den Teilen von Opera habe, die ich nutze, solange wird es extrem schwer sein, mich von den (möglichen) Vorteilen des FF zu überzeugen.

Zitat

Der letzte Fehler im reinen Binärcode von Firefox liegt hingegen schon laaaaange zurück, und das war ein Fehler in den RegExps der Dritthersteller-Bibliothek Boost-RegExp in FF 1.0.6.

Zumindest der letze bekannte Fehler

Zitat

Bei Firefox hat man im Wesentlich viele kleine Lücken von meist sehr geringem Umfang und schwerer Ausnutzbarkeit, bei Opera sind eher sehr wenige, dafür oft regelrecht banale und meist auch sehr kritische Lücken.

Kann angehen, allerdings hat Opera bis jetzt weder eine kritische Masse, bei der es sich wirklich lohnen würde und b) kenne ich z.B. keinen, der das Standardsetup ohne Anpassungen in Punkto Sicherheit nutzt.

(Nun bin ich erstmal müde und verkrümel mich in die Koje. Falls du mir bis später einen Link organisieren kannst, der

Zitat

Nein, solche Granularität gibt's bei Opera nicht. Leider.

definitiv bestätigt, würd ich mich freuen, dann brauch ich nicht nach dem Gegenteil suchen )

Nächtle,
ph

Dieser Beitrag wurde von ph030 bearbeitet: 11. September 2006 - 08:08

[Rika]

Zitat

oder gibt's dafür eine erleichternde Extension?

http://piro.sakura.n...manager.html.en

Ansonsten wird nachwievor noch darüber diskutiert, siehe http://bugzilla.mozi...ug.cgi?id=38966

Zitat

ob neben FF auch dessen Extensions gründliche Security Audits erfahren und wie es dort aussieht

GreaseMonkey war mal eklig, ansonsten scheint's bislang keine Probleme zu geben. ChatZilla als Teil der Mozilla Suite wird auch direkt von den Entwicklern mitgepflegt.

[darkbutcher666]

Es ist ja nicht nur der IE der unsicher ist, das sollte doch auch mal klar sein. Zum anderen weiß doch jeder wie es am Anfang bei M$ mit den Viren und Trojaner was es da noch so alles gibt! Das wurde auch ewig Abgestritten, dass das möglich wäre.

Genau so läuft es bei Mozilla ab. Aber dennoch hab ich bisher keine Stellungnahme von einem Verantwortlichen gelesen?! Ein funken Wahrheit muss also dahinter Stecken. Zudem behandelt der Test ja von der Aktuellen Version 1.5.0.6!

Was ich aber nicht verstehe, nur weil einige dennoch M$-IE Benutzten sind diese dumm? Ich glaube nicht, da ich die Entscheidung jeden selbst überlasse.

Warum wird eigendlich in erster Linie meist M$ Produkte angegriffen? Weil eine vielzahl von Leuten benutzten, oder?

Nur weil ich keinen Schweinerüssel essen mag, kann ich niemanden vorschreiben, dass der der es eben mag nicht mehr essen darf, oder?

[|DeathAngel|]

Zitat (Rika: 10.09.2006, 01:21)

Die Webseite ist voller technischem Bullshit und zieht sich vor allem die "Quellen" zugute, die ihre Argumentation befürworten - auch wenn dort ebenfalls totaler Bullshit steht oder vollkommen falsche Schlussfolgerungen gezogen werden.

Nebenbei sind manche [...cut...] und über jede Kritik erhaben ist.

unglaublich... hätte nicht gedacht, dass ich mit dir mal einer meinung sein könnte...

[darkbutcher666]

 Zitat (shiversc: 11.09.2006, 09:39)

das ist der ein grund, weil man so schnell das meiste geld verdienen kann bzw den größten erfolg erzielt, weil windowsuser nachweislich die systempflege vernachlässigen. ein anderer anreiz ist die tatsache das sich sehr oft das ganze system übernehmen lässt und/oder man einfach und effektiv remote arbeiten kann. ie und outlook haben in der vergangenheit sehr sehr viele möglichkeiten geschaffen. das unterscheidet die produkte, weil ff z.b. von der ersten überlegung das verhindern wollte und erfolgreich geschafft hat, weil es keinen system-kontext benötigt um die vielen funktionen audzubieten.

damit ich nicht das mit dumm gemeint, geistig minderbemittelt zu sein, so wird es ja gern aufgefasst und dann als persönlciher angriff gewertert, der wahrlich niemanden zusteht. aber die tatsache allgemeingültige erkenntnisse zu ignorieren oder ad absurdum zu labbern, weil "mir ist in zehn jahren nciht passiert" oder .... weitere übliche "argumente anzuführen", sei es nur die anführung der mythen über konkurrenzprodukte, dann kann man das echt nur dumm-dämlich nennen. obwohl das verteidigen der nachweislich falschen/widerlegten argumente in meinen augen auch was mit dreistigkeit zu tun hat.

Ich weiß ja deshalb kann aber doch der FF doch diese Fehler haben oder? Zudem gibt es kein Sicheres Programm sobald man im WWW ist.

Man kann nur die Potenzielen Angriffsflächen verringern (meine Meinung) seit der Version von FF 1.5.0.6 hat er bei mir ein Speicherproblem, das ist leider fakt (bei mir) so das wenn ich eine Website aufmache braucht FF fast genausoviel Speicher wie der M$-IE hab ich ja oben schon erwähnt.

Zudem gibt es ja genug Themen im WWW über Sicherheit. Es wird auch viel um die FW vom SP2 geschimpft, aber dennoch wird z.B. von ChaosComputerClub gerade diese zum Schutz vorgeschlagen.

Hier nochmal zum Thema Firewall und so weiter (Da wird der FF als Browser vorgeschlagen), ich bilde mir keine Vorurteile sondern nur meine Meinung

[darkbutcher666]

Ach ja noch ein kleiner Vergleich am Rande:

Der Docia Logan hat sogut wie keine Sicherheitsausstattung und wird doch gekauft! Ich weiß schlechter vergleich aber das ist doch so oder nicht? Aus

a) bequemlichkeit (bzw. Günstigen) steigt man eben auch bei etwas schlechteren ein

b) wenn das andere machen muß ich das doch nicht machen

Ach ja ich kenne einige, die zu FF's Anfängen begeistert waren, da es noch ein sog. Underground-Porodukt war und mittlerweile wieder zu M$-IE oder zu Opera (seit sie wieder kostenlos ist) gewechselt sind.

Das ist meine Meinung - Meinungen gehen bekanntlich auseinander!