Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
die aktuelle Flash-Sicherheitslücke bereitet mir Sorgen: soll ich Flash daher komplett deinstallieren? Oder ist beim Surfen mit eingeschränkten Benutzerrechten nichts zu befürchten?
Es gibt sowieso solange nix zu befürchten, wie du nicht auf Seiten rumsurfst, die manipulierte flash-Filme anzeigen. Gegen Flash-Sicherheitslücken auf unbekannten Seiten schützt NoScript (solange man die Flash-Komponenten auf der Seite eben blockiert); und auf Youtube werden es manipulierte Flashfilme schwer haben.
Kurz: Benutz NoScript und lasse Seiten nur dann zu, wenn du ihnen wirklich vertraust.
Übirgens können auch mit eingeschränkten Nutzerrechten unzählige Viren aktiv werden, weil ja längst nicht jede Software installiert werden muss. Wenn über eine Flash-Lücke z.B. erstmal Remotecode ausgeführt wird, dann wäre es bei ungeschützen Systemen ein Leichtes, Nutzerdateien 'im Namen des Firefox' oder eines anderen Prozesses zu verschicken.
Mit NoFlash (oder eben NoScript) kannst du Flash mit Hilfe einer Whitelist nur für bestimmte Seiten aktivieren und für alle anderen deaktivieren.
Die sicherste Lösung ist natürlich, Flash gänzlich zu deinstallieren. Das musst du aber entscheiden, auf wie vielen Seiten du surfst, wo Flash eine Rolle spielt. Bei mir ist es außer Werbung nur Video. Und da stellen viele Seite auf die direkte Implementation über HTML5 um. Muss man also ausprobieren, ob man damit klar kommt. Mit Einschränkungen muss man aber rechnen. Ob sie entscheidend sind, musst du entscheiden.
Aber so gravierend sind die Sicherheitslücken in Flash auch wieder nicht. Die letzte benötigt aktive Mitwirkung des Anwenders und bezieht sich nur auf die Webcam und Mikrofon. Ansonsten hat Flash ein vorzügliches Sandbox-System, mit dem man nicht so ohne weiteres an Daten rankommt. Ich bin mir auch sicher, dass die Sicherheitslücken im Browser, System oder anderen Anwendungen viel schlimmer sind, als in Flash - aber eben eine weitere Möglichkeit, auf die man ggf. verzichten könnte.
Vielen Dank für die ausführlichen Erläuterungen. Dass man auf "sicheren" Webseiten eigentlich nichts zu befürchten haben muss, dachte ich auch lange Zeit. Dann habe ich etwas über gekaperte Flash-Werbebanner gelesen, die letztendlich auch den Weg auf eine seriöse Website finden.
Ich werde es erstmal mit NoScript versuchen ...
Mit Noscript sollte man sowieso immer nur Teile von Webseiten zulassen. In der Regel ist es vollkommen überflüssig, andere Skripte als die der eigentlichen Webseite zuzulassen, z.B. hier bei Computerbase eben "Computerbase.de". NoScript blockiert aber hier auf CB darüber hinaus noch (im Moment) Freenet.de, ivwbox.de und nuggad.de, und die braucht man nicht zu erlauben (auch wenn man das hier natürlich machen sollte, damit CB Geld durch Werbung verdienen kann).
"Gekaperte Flash-Werbebanner" dürften quasi niemals auf den Servern der vertrauenswürdigen Seite liegen, sondern werden - wenn in NoScript erlaubt - von anderen nachgeladen.
D.h. du solltest niemals eine ganze Webseite, sondern immer nur bestimmte Teile erlauben. Und bei Filmen oder auch iFrames und eingebetteten *.pdfs gilt: Draufklicken und dann mithilfe des erscheinenden NoScript-PopUps nur dieses eine Element genau einmal erlauben, statt die gesamte Seite drumherum.
Am sichersten surfst du sowieso, wenn der Browser in einer Sandbox läuft.
@ FX1: Über die Ad-Banner kommen aber nicht nur verseuchte Flash-Filme, sondern auch Scripte in deinen Browser. Und davon auch mehr als Flash (wie gesagt: Flash = Sandbox). Das ist also kein alleiniges Problem von Flash, sondern von Crosssite-Scripten und Inhalten von anderen Anbietern. Das kann in der Tat auch alle großen Seiten treffen - und traf sie auch. Selbst Google war davon betroffen. Da hilft nur NoScript, Adblock o.ä. und ein guter Virenscanner. Wobei diese Attacken auch oft eine Mitaktivität der User benötigen. "Bitte hier klicken", "Bitte da klicken", "Weiterleitung erlauben?" ...
Nein, Flash arbeitet intern in einer Sandbox. Du kommst aus Flash heraus nicht auf's Dateisystem und hast keinen Zugriff auf's System. Das passiert automatisch, so ist Flash konstruiert.
Nein, Flash arbeitet intern in einer Sandbox. Du kommst aus Flash heraus nicht auf's Dateisystem und hast keinen Zugriff auf's System. Das passiert automatisch, so ist Flash konstruiert.
Wenn dem so wäre, dann würde es wohl kaum dauernd neue Alerts wegen Flash-Sicherheitslücken geben, oder? Und die Sandbox für den Adobe Reader ist bislang auch nur in Planung, veröffentlicht ist sie meines Wissens noch nicht.
Flash läuft im Firefox neuerdings im "Plugin Container", aber der ist keine Sandbox, sondern lediglich ein Schutz gegen Abstürze.
Ich weiß nicht seit wann Flash ne Sandbox ist. Aber du kannst als Entwickler nicht auf's System zugreifen. Die Sicherheitslücken, die gefixt/gemeldet werden erlauben ja auch alle keinen Zugriff auf's Dateisystem, sondern z.B. auf die Webcam, Micro, Rechner/Browser abstürzen o.ä. Zugriff auf's System hast du erst mit Adobe AIR. Das ist genau für sowas gemacht. Komisch dass es hier keine Fixes gibt - oder man bekommt über die Presse nichts mit.
Ich will nicht sagen, dass es unmöglich ist, die Sandbox von Flash zu umgehen, aber es ist ziemlich sicher - sicherer als der Browser oder dein OS. Auf der anderen Seite wird Flash immer mehr absolet. Wenn nicht so viele Websites noch auf Flash-Video setzen würden, würde ich den Flash Player komplett löschen.
