News Sicherheits-Updates für Firefox und Thunderbird

Also, ich stimme natürlich den Firefox-Verteidigern zu, momentan ist es einfach der bessere Browser, auch ganz sicher der sicherere. fehlerlos ist aber auch er nicht.
Aber was mich hier wirklich stutzig macht sind die Leute, die diese Sache ungefähr so darstellen:

Firefox ist nur sicherer, weil er noch nicht so verbreitet ist. Man sollte kein Firefox benutzen, weil damit die Chancen steigen, dass Hacker sich für den Firefox interessieren. (Dann kann man im Endeffekt gar nicht mehr surfen...)

Das mag sicherlich prinzipiell zutreffen. Allerdings ist Firefox mittlerweile auch schon sehr verbreitet, demnach müssten also schon die ersten Hacker am Werk sein. Und das ist auch ganz sicherlich nicht der Hauptgrund für die höhere Sicherheit. Der IE ist einfach zu tief mit Windows verzweigt und bietet sich da sozusagen als "betriebssystemeigene Hackingschnittstelle" an, um das mal übertrieben zu formulieren. Das mögen jetzt einige wieder nicht hören, weil jeder der was gegen MS sagt, das ja immer ohne Grund tut... Ich hätte bestimmt nichts gegen MS, wenn sie endlich mal vernünftige Produkte auf den Markt bringen würden, die auch den Anforderungen der Benutzer gerecht werden.
 
ich erreiche manchmal mit dem FireFox 1.01 knappe 90MB im SystemCache, ist das nicht etwas zu viel?
 
Bei mir sind es so um die 30-40MB. 90MB scheinen mir schon etwas viel zu sein, wobei ich auch sagen sollte, dass ich bereits Version 1.0.2 laufen habe.
 
eikaramba_de schrieb:
Manchmal find ich es schade, wie sehr andere User gleich angegriffen werden und vorallem, das manche sich die Beiträge dann scheinbar garnicht bis zum Ende durchlesen. MountWalker, du schreibst

"Du bist doch so sehr davon überzeugt, dass der IE nicht deutlich unsicherer wäre als jeder andere Web-Browser, dass du allen Vorwürfe machst, die das eben nicht so sehen. ;)"

mitschu hat das NICHT gesagt. Er sagte:

"Ich sage ja nicht, dass der IE sicherer ist oder so, deshalb sehe ich das Problem nicht. Auch im Firefox werden neue Lücken gefunden werden, falls sich viel mehr Leute daran machen, diese Lücken zu finden - ist doch einfach nur logisch."

Und dieser Punkt bleibt bestehen, das ist eine ganz normale Gegebenheit und die Realität hat uns das gezeigt. Wann kammen denn die ersten ICQ Viren, die ersten Handy Viren, wann endeckten findige User plötzlich die ersten Sicherheitslücken in bekannten Programmen, als sie populär werden. Diese Verhaltensstruktur zu leignen ist einfach falsch.

Wir werten doch garnicht, ich werte doch garnicht. Ich und auch mitschu sind nur der Meinung, dass eben solche Sicherheitslücken wahrscheinlich eher gefunden werden, wenn Firefox populärer wird(noch mehr als jetzt). Hacker sind in der Hinsicht natürlich wie Marktanalysen. Was die meisten benutzen versuche ich doch als solcher natürlich irgendwie zu hintergehen.

Du führst einen weiteren Punkt an
"Ich fange auch nicht an irgendetwas zu erklähren, aber einen Punkt hat TeeKay bereits genannt. Dass du diesen Punkt nicht beachtest zeigt mir doch gerade, dass jeder Aufklährungsversuch von Leuten wie dir chancenlos ist."

Zur Erinnerung. TeeKay sagte:
"Eine Sicherheitsluecke ist entweder da, oder sie ist es nicht. Auf keinen Fall entstehen Sicherheitsluecken erst ab einer bestimmten Groesse der installierten Basis."

Das stimmt, nur kannst du es keineswegs zu deiner Argumentation benutzen. Wieso? Weil TeeKay mitschu nur berichtigt hatte. Rambo hatte genau das gemeint, hatte sich jedoch nur etwas falsch ausgedrückt. Okay, also wieso soll das jetzt ein Argument dagegen sein, dass Sicherheitslücken proportional zur Bekanntheit des Programms endeckt werden? Eben keins. Und da wir ja nicht gewertet haben, ob IE oder Firefox sicherer ist(siehe oben), kann dies also keiner deiner "1000" Gründe sein.

Sorry, aber manchmal muss ich einfach was schreiben zu einzelnen Kommentaren.

Ach und ich benutze beides, IE und Firefox.



1.
An der Mozilla-Code-Basis suchen seit Jahren mehr Leute nach Sicherheitsproblemen und Fehlern als das bei IE jemals der Fall war.

2.
TeeKay sagte:
TeeKay schrieb:
Eine Sicherheitsluecke ist entweder da, oder sie ist es nicht. Auf keinen Fall entstehen Sicherheitsluecken erst ab einer bestimmten Groesse der installierten Basis.

OpenSource Software hat den Vorteil, dass vorhandene Sicherheitsluecken potentiell schneller entdeckt, publiziert und geschlossen werden.
Ein sehr wichtiger Vorteil bei beliebten Open-Source-Projekten.

3.
Apache vs. Microsoft IIS
Was ist stärker verbreitet, was hatte bisher mehr wichtige Probleme in "stabilen Veröffentlichungen" die behoben werden mussten und wo wurde schneller gefixt? Irgendwie scheint dann die Verbreitung doch nicht das einzige Sicherheitskritierium zu sein!

4.
Welche Vorteile hat ein IE+ActiveX gegenüber Mozilla Firefox? Ich habe diese Frage hier, in diesem Thread schonmal gestellt, aber eine Antwort kennt ihr vermutlich eh nicht.

5.
Wie lange dauert es, bis ein wichtiges Mozilla-Sicherheitsproblem, das in Bug-Mailing-Lists auftaucht gelöst wird und wie lange dauert es bis ein wichtiges IE-Sicherheitsproblem, das in Bug-Mailing-Lists auftaucht gelöst wird?


Bei einer weiteren Antwort, welche wieder den Schwachsinn verteidigen soll, jede Software hätte ähnliche Sicherheitsmängel und der einzige wichtige Unterschied wäre die Verbreitung bitte ich Dieter Nuhr zu berücksichtigen.
 
Zuletzt bearbeitet:
Es ist schon ermüdend, hier immer wieder die gleichen Märchen zu hören.

Ein Software wird NICHT fehlerhafter, wenn sie von mehr Leuten genutzt wird! Die Fehler sind entweder da oder nicht, unabhängig von der Benutzerzahl! Die Anzahl der GEFUNDENEN Fehler steigt mit der Benutzerzahl. D.h. also je mehr Leute eine Software nutzen, umso mehr Fehler werden gefunden, und im Fall von Firefox auch behoben, UND UMSO SICHERER IST DIESE SOFTWARE!

Ganz abgesehen davon, war Firefox von Anfang an auf Sicherheit ausgerichtet. Den Entwicklern kam es nie in den Sinn unsichere, unportable, nicht-standardisierte Technologien wie ActiveX zu verwenden oder den Browser irgendwie in das Betriebssystem zu integrieren, um so noch schwerwiegendere Fehlerquellen zu provozieren!
 
Tea&Fruit schrieb:
fehlerlos ist aber auch er nicht.
Allerdings ist Firefox mittlerweile auch schon sehr verbreitet, demnach müssten also schon die ersten Hacker am Werk sein.
dem muß ich widersprechen, nur weil ff in der statistik bei cb mit ~40-50% den ie eingeholt hat heißt das noch lange nicht, dass der browser sehr stark verbreitet ist. bei kommerziellen seiten (nicht eine seite für computerfreaks wie cb) ist der ie noch meilenweit vor firefox (bei spiegel.de sind das gerade mal um die 10-15%)! die lücke wird zwar geringer, aber die anzahl der ff nutzer reichen generell im internet bei weitem nicht an die des ie ran.

auch ist keine software fehlerfrei!

aber ich muss den meisten hier zustimmen, denn mit der höheren verwendung bzw. akzeptanz von software, wird auch das sicherheitsproblem immer akuter, denn dort ist die chance wesentlich höher, dass der schöpfers mit seinem schädling die meisten internet surfer erreicht.
erst vor kurzem hatte ich ne webseite die es schaffte einen virus mit ff1.0 auf einem rechner zu installieren. das gabs seit ich ff nutze noch nicht (und das sind ca 2 jahre jetzt). ich denke das ist auch ein zeichen für die immer weitere verbreitung von ff.

edtit:
wir sollten eigentlich alle froh sein, dass wir mit ff einen "sicheren" und kostenlosen browser haben der auch noch weitergepflegt wird.
 
Zuletzt bearbeitet:
dem edit von guillome kann ich nur zustimmen.
Und zu den anderen Sachen kann ich nur zwei Sachen sagen:

- FF ist sicher als IE 6
- Auch FF ist nicht fehlerlos
(Ein fehlerlosen Code bei der anzahl an Code zeilen wie FF sie hat ist sogut wie unmöglich. Es geht nur darum diese auf ein minimum zu reduzieren.)
MFG
 
guillome schrieb:
...ist der ie noch meilenweit vor firefox (bei spiegel.de sind das gerade mal um die 10-15%)!
Gerade bei Spiegel.de hat Firefox fast 30 % Anteil.

Weltweit siehts allerdings tatsächlich anders aus, geschätzte 5 - 6%.


/edit
Und das ist die Verbreitung in Europa, allerdings gemessen an einem Sonntag, somit ohne Firmen-PCs.
 
Zuletzt bearbeitet:
ähm bleibt das jetzt bei den 1.0.2 RC oder kommt da noch eine 1.0.2 Final in DEUTSCH
 
Firefox wird schneller gefixt als IE und das, NUR das, ist der Entscheidende Punkt!
 
MountWalker schrieb:
5.
Wie lange dauert es, bis ein wichtiges Mozilla-Sicherheitsproblem, das in Bug-Mailing-Lists auftaucht gelöst wird und wie lange dauert es bis ein wichtiges IE-Sicherheitsproblem, das in Bug-Mailing-Lists auftaucht gelöst wird?
das mag zwar für viele open source projekte stimmen, da aber diese sehr von gutem code abhängig sind, lassen sich viele bugs nicht einfach so ruck zuck fixen. wenn du dich ein bisschen informierst, hättest du gefunden, dass die patch taktiken vom mozilla team mittlerweile recht angegriffen werden. dein argument gilt für mich von dem her für das projekt nicht mehr uneingeschränkt. sicher gibt es immer noch vorzeige sicherheitslücken, die schnell gefixt werden. aber das gibts beim IE mittlerweile auch wieder.

hier z.b. eine kurzlektüre davon in deutsch: heise.de: der Mythos vom schnellen Patch

wenn du ein bisschen googelst, wirst du noch viele weiter artikel dazu finden.

gruss ganto
 
Zuletzt bearbeitet:
Ganto schrieb:
das mag zwar für viele open source projekte stimmen, da aber diese sehr von gutem code abhängig sind, lassen sich viele bugs nicht einfach so ruck zuck fixen. wenn du dich ein bisschen informierst, hättest du gefunden, dass die patch taktiken vom mozilla team mittlerweile recht angegriffen werden. dein argument gilt für mich von dem her für das projekt nicht mehr uneingeschränkt. sicher gibt es immer noch vorzeige sicherheitslücken, die schnell gefixt werden. aber das gibts beim IE mittlerweile auch wieder.

hier z.b. eine kurzlektüre davon in deutsch: heise.de: der Mythos vom schnellen Patch

wenn du ein bisschen googelst, wirst du noch viele weiter artikel dazu finden.

gruss ganto
Die Verheimlichungstaktiken wurden bereits vor einem Jahr und früher deutlich angegriffen, Mozilla 1.4.0 war monatelang für IE-Exploits anfällig, was in Bug-Mailing-Lists bekannt war, ich selbst habe mich damals auch köstlich über Mozilla aufgeregt, einige Artikel haben dann eben etwas auffälliges:
Sie frischen uralte Themen auf und tun so, als seien die aktuellen Probleme auch tatsächlich von dem alten Kaliber ohne aber dem Leser irgendeinen konkreten Hinweis/Fakt darauf zu geben welches Kaliber die genannten Probleme haben.

Das für Full Discolsure bekannte OpenBSD-Projekt hatte noch bis vor einigen Monaten Mozilla direkt im eigenen Security-FAQ kritisiert, mittlerweile wurde das entfehrnt, vielleicht, weil die effektorientierte Berichterstattung der Onlinemedien (mag der erhoffte Effekt auch redlich sein) eben in guter alter ....-Manier nicht wirklich aufklährt und vielleicht verschweigt, dass sich einige Projekte längst wieder gebessert haben könnten, so auch bei dem tollen Beispiel im Heise-Artikel:
http://www.heise.de/security/news/meldung/54710
Wie, was ist denn jetzt die irre wichtige Erkenntnis? Meint man etwa aus der Tatsache dass der Browser abstürzt - was die Mozilla Foundation genau so auch bestätigt hatte - einen Vorwurf führen zu können? Wo bitte wurde versucht beim Absturz Code auszuführen? Warum wurde das weder seitens Heise noch von irgend einer anderen Online-Zeitschrift versucht?

Die Moz Foundation hat den Bug offiziell gemacht, weil man gegen die gemachte Stimmung eh nicht ankommt, ob Moz aber möglicherweise Recht hatte, und beim Absturz tatsächlich keine Möglichkeit mehr bestand Malware auszuführen hat niemand überprüft; hatte man möglicherweise Angst davor eben genau das am Ende noch besätigen zu müssen? Wir haben keine Ahnung, es war ja niemand bereit für uns einen Versuch durchzuführen um das festzustellen. Nur mal eben für die Massen bewiesen, dass der Browser abstürzt, mehr nicht.

Was der Artikel auch noch gekonnt verschweigt um Stimmung zu machen:
Mozilla war zumindest in den letzten drei Jahren nie ein Full-Disclosure-Projekt (die direkte Kritik an "einigen anderen Open-Sourrce-Projekten wie beispielsweise Mozilla" stand in der OpenBSD-Security-FAQ einige Jahre bis vor ein paar Monaten die FAQ komplett erneuert wurde), aber toll, dass uns ein Heise-Artikel soetwas als Weltneuheit verkauft.

Betrachtet man die Anzahl von Lücken die tatsächlich erwiesenermaßen das Ausführen von schadhaftem Code oder die Installation von schadhaftem Code ermöglichen stellt man im Rückblick immernoch fest, dass Mozilla deutlich besser ist beim Beheben von Problemen als Internet Explorer.
Natürlich betreffen beim IE die meisten Probleme ActiveX, gerade deswegen wäre es ja mal an der Zeit gewesen beim IE7 an dieser Stelle etwas neues zu präsentieren, dann hätte ich am IE deutlich weniger auszusetzen, aber auf ActiveX will Microsoft ja nicht verzichten.
 
Der Speicherbedarf (v.a. beim tab problem) wurde in trunk builds schon erheblich gesenkt, das ganze bekommt der "normale" benutzer dann in 1.1.
 
Zurück
Oben