News Sicherheitsproblem in Mozilla-Browsern
- Ersteller Steffen
- Erstellt am
- Zur News: Sicherheitsproblem in Mozilla-Browsern
shifty436
Cadet 4th Year
- Registriert
- Juni 2003
- Beiträge
- 122
eine 100%ige fehlerfreie Software gibt und wird es nie geben, software ist von menschen geschrieben und der mensch ist nunmal nicht fehlerfrei.
trotzdem ist das verhältnis der sicherheitslücken firefox vs. ie immer noch pro firefox, beim ie werden ja zum vergleich jeden monat neue lücken entdeckt.
ich benutze trotzdem weiterhin firefox, ist immer noch 99,99 % besser als der ie
trotzdem ist das verhältnis der sicherheitslücken firefox vs. ie immer noch pro firefox, beim ie werden ja zum vergleich jeden monat neue lücken entdeckt.
ich benutze trotzdem weiterhin firefox, ist immer noch 99,99 % besser als der ie
- Registriert
- März 2001
- Beiträge
- 16.894
Mittels XUL lässt sich das ganze aber extrem authentisch nachbilden, wohingegen bei einer Javascript-Variante dem Surfer denke ich aufgrund der Ladezeiten schon auffällt, dass die Fake-Oberfläche aus einzelnen Teil-Bildern zusammengebaut wird. Zudem weiß man nie, welches OS und Theme (Unterschiedliche Grautöne im Hintergrund, Fabrverläufe, ...) der Anwender verwendet, was bei dieser Sicherheitslücke hier jedoch keine Rolle spielt, da automatisch das eingestellte Theme für die Fake-Oberfläche verwendet wird und somit die Oberfläche täuschend echt aussieht.byte schrieb:
Blutschlumpf
Fleet Admiral
- Registriert
- März 2001
- Beiträge
- 20.059
Ich würd ja sagen Java/Java-Script abstellen, aber dann funktioniert ja wieder die Hälfte aller Seiten (u.a. Forumbase) nicht richtig 
ist ja auch wenig ironisch, wenn man auf der Seite, die den Fehler zeigt noch Werbung für das Programm macht
Dann hat es ja noch was gutes, dass Firefox seit der letzten Version das qute theme nicht mehr als Standard theme hat. Man kann wohl hoffen, dass nur das Standard theme nachgemacht wird.
P
phs
Gast
Ich verstehe die ganze Aufregung nicht. Da man Mozilla so wunderbar einrichten kann, werden das auch 99% aller Mozilla-User gemacht haben, und zwar jeder auf seine Art, sodass schnell klar wird, dass etwas nicht stimmt, wenn auf einmal die Standardoberfläche wieder da ist. Ausserdem denke ich, dass die meisten, die Mozilla Firefox verwenden, IT-mässig eher interessiert sind und somit auch mehr Ahnung haben. Den IE benutzt jeder DAU, einfach weil er bei Windows dabei ist. Mozilla-User hingegen müssen sich schon einmal aktiv mit Web-Browsern auseinandergesetzt haben, da sie Mozilla ansonsten gar nicht installiert hätten.
Ausserdem möchte ich alle, die gerade über Mozilla herziehen, daran erinnern, dass Firefox 0.9.2 noch gar kein offizielles Release ist. Wie gut der IE auf gleich früher Entwicklungsstufe wäre, möchte ich gar nicht wissen...
Ausserdem möchte ich alle, die gerade über Mozilla herziehen, daran erinnern, dass Firefox 0.9.2 noch gar kein offizielles Release ist. Wie gut der IE auf gleich früher Entwicklungsstufe wäre, möchte ich gar nicht wissen...
Enigma
Captain
- Registriert
- Apr. 2004
- Beiträge
- 3.844
Puh! Wenns beim Mozilla mal n Bug gibt, dann richtig
Ist irgendwie einsichtig, dass man die XUL Oberfläche auch für so verwenden kann. Für mich hört sich das so ähnlich wie der Bug mit den unsicheren Mozillla Extensions an: Beide bringen riesige Vorteile, sind jedoch mit vorsicht zu genießen.
Doch wie soll man solch einen Bug beheben? Das deaktivieren des Versteckens der Statusleiste ist nicht mal im Ansatz eine Lösung. Die einzige Lösung dir mir spontan einfällt:
Ändert eure Toolbar. Ich hab mir z.B. einen Go-Button hinter die Adressleiste geschoben. Dieser wird im Fake nicht dargestellt, genauso wie die webdeveloper toolbar.
Mal abwarten was sich die Entwickler einfallen lassen, um dieses Problem zu lösen. Eine Zwangs-Statusleiste wie für Java-Applikationen mit rotem Schriftzug wäre sinnvoll.
Ist irgendwie einsichtig, dass man die XUL Oberfläche auch für so verwenden kann. Für mich hört sich das so ähnlich wie der Bug mit den unsicheren Mozillla Extensions an: Beide bringen riesige Vorteile, sind jedoch mit vorsicht zu genießen.
Doch wie soll man solch einen Bug beheben? Das deaktivieren des Versteckens der Statusleiste ist nicht mal im Ansatz eine Lösung. Die einzige Lösung dir mir spontan einfällt:
Ändert eure Toolbar. Ich hab mir z.B. einen Go-Button hinter die Adressleiste geschoben. Dieser wird im Fake nicht dargestellt, genauso wie die webdeveloper toolbar.
Mal abwarten was sich die Entwickler einfallen lassen, um dieses Problem zu lösen. Eine Zwangs-Statusleiste wie für Java-Applikationen mit rotem Schriftzug wäre sinnvoll.
Es handelt sich eigentlich um keinen Bug....
Eher war es eine Option der Oberflächeneigenschaften des Mozillas welches nun ausgenutzt wird... und das Zauberwort nennt sich DAU. Auch das Wort "sicherheitslücke" passt mir hier nich ganz, aber na ja...
Auf Bugzilla werden schon eifrig Lösungsvorschläge gesammelt.
Eher war es eine Option der Oberflächeneigenschaften des Mozillas welches nun ausgenutzt wird... und das Zauberwort nennt sich DAU. Auch das Wort "sicherheitslücke" passt mir hier nich ganz, aber na ja...
Auf Bugzilla werden schon eifrig Lösungsvorschläge gesammelt.
naja wer dumm genug ist und solche Fake Formulare ausfüllt dem kann man nicht mehr helfen Geht auf die original Seiten und die Sache ist gegessen. Wer immer noch auf Links klickt die derjenige per Mail bekommen hat, dem kann einfach nicht mehr geholfen werden 
Geht auf die original Seiten und die Sache ist gegessen. Wer immer noch auf Links klickt die derjenige per Mail bekommen hat, dem kann einfach nicht mehr geholfen werden 
marcol1979
Banned
- Registriert
- Juni 2004
- Beiträge
- 8.199
War ja nur eine Frage der Zeit bis sich Hacker auf alternative Browser einschiessen !!!
kinimod
Ensign
- Registriert
- Okt. 2003
- Beiträge
- 172
Da kann ich marcol1979 nur Recht geben. Es wird mit weiterer Verbreitung der sogenannten "Alternativ Browser" natürlich für "Hacker" interessanter sich mit eben diesen Browsern auseinanderzusetzen und vermehrt Fehler in diesen zu suchen. Aber es ist wirklich übertrieben hier von einer schweren Sicherheitslücke zu sprechen, da hier einfach nur versucht wird die Blauäugigkeit der User auszunutzen. Man sollte es doch bemerken, wenn auf einmal die Lesezeichen Symbolleiste, die bekanntlich nicht ausgeblendet werden kann verschwunden ist, oder andere Links enthalten sollte, wenn dieser Fake noch ein bisschen ausgebaut wird. Also in diesem Sinne, immer schön die Augen aufhalten und nich auf jeden Verweis klicken, der einem im Internet begegnet.
MountWalker
Fleet Admiral
- Registriert
- Juni 2004
- Beiträge
- 13.993
phs schrieb:
Es betrifft auch jeden guten alten Seamonkey, man brauch sich Mozilla nicht schön reden, ich finds sogar verwerflich. Und wie ich meinen Browser einrichte ist auch ziemlich egal, ich integriere nicht zusätzliche Buttons oder solchen Quatsch und ich klicke auch nicht edes mal, wenn eine neue Seite geladen wurde oben aufs Lesezeichenmenü um mal zu schauen ob noch alle da sind. Dieses Sicherheitsproblem ist ordentlich ernst, das ist kein Larifari-Unsinn wie die letzten Buschmeldungen.
Enigma schrieb:Puh! Wenns beim Mozilla mal n Bug gibt, dann richtig
Ist irgendwie einsichtig, dass man die XUL Oberfläche auch für so verwenden kann. Für mich hört sich das so ähnlich wie der Bug mit den unsicheren Mozillla Extensions an: Beide bringen riesige Vorteile, sind jedoch mit vorsicht zu genießen.
Doch wie soll man solch einen Bug beheben? Das deaktivieren des Versteckens der Statusleiste ist nicht mal im Ansatz eine Lösung. Die einzige Lösung dir mir spontan einfällt:
Ändert eure Toolbar. Ich hab mir z.B. einen Go-Button hinter die Adressleiste geschoben. Dieser wird im Fake nicht dargestellt, genauso wie die webdeveloper toolbar.
Mal abwarten was sich die Entwickler einfallen lassen, um dieses Problem zu lösen. Eine Zwangs-Statusleiste wie für Java-Applikationen mit rotem Schriftzug wäre sinnvoll.
Der Unterschied zur angeblichen Lücke mit den Extensions ist, dass es bei den Extensions nie eine Lücke gab, die Isntallation erfolgte ausschlieszlich nach Bestätigung und im Installationsdialog wurde und wird immer die korrekte Addresse des Anbieters angegeben, womit das ganze eben völlig normal war, dass nun der hastige Druck auf die Enter-Taste den Installieren-Button bestätigte und nicht den Abbrechen-Button kann ja nun niemandernsthaft eine "Sicherheitslücke" nennen, leider wurde es aber getan.
Dieses Problem ist hingegen wirklich ernst, wieso ist es überhaupt möglich, das von einem anderen Computer aus, von einem anderen Arbeitsplatz aus überhaupt in mein laufendes Programm derart massiv eingegriffen werden darf?
Das Problem ist seit fünf Jahren bekannt und in Hacker-Problemen kursieren in der Regel "Kennern" zu folge Sicherheitsprobleme eh recht schnell umher, egal wie geheim sie gehalten werden, da irgendjemand irgendwo immer mal was erwähnt. Wer gern der Utopie von absoluter Sicherheit möglichst nahe kommen will dem empfehle ich:
http://www.openbsd.org/de/security.html
Der text ist auch recht deutlich was Leute wie die über die wir reden anbelangt, ohne aber irgendjemanden konkret zu nennen.
Das Verheimlichen hat eben den Nachteil, dass irgendwann eh viele Hacker um das Problem wissen, der Anwender aber glaubt einen "sicheren" Browser zu haben, dabei könnte der Anwender, wäre er informiert auch selbst Übergangslösungen vollbringen, ganz so wie es hier ja auch getan wird - mit Integration zusätzlicher Buttons - im Extremfall gibt es vielleicht auch Leute die dann auf reine Textbrowser wie Lynx umsteigen.
Allen Leuten die mit ein wenig Unsicherheit leben können oder verschiedene Dinge einfach unbedingt nutzen wollen empfehle ich eine gewisse Gelassenheit, zwar wird das in der Computer-Anwender-Gesellschaft oft fast als Totsünde gesehen, aber jeder sollte sich auch bewusst machen, dass es in Deutschland bestimmt zehntausend Menschen gibt die einen handelsüblichen PKw innerhalb von zehn Sekunden geknackt bekommen und doch jeder von euch, der ein Auto besitzt dieses ohne Skrupel mtunter auch mal einfach so an den Straszenrand oder auf einen öffentlichen Parkplatz stellt.
ps.:
Und wer sagt eigentlich, dass Online-banking nun die einzige einfache Buchungsmöglichkeit ist? Es geht ja bei den meisten Banken eh nicht schneller als Brief-Banking (gibts möglicherweise nur bei Postbank) und Telefonbanking ist auch nicht wirklich schwer, die Quittung kriegt man eh erst mit den nächsten Konto-Auszügen, also ich bin nicht so sehr abhängig vom Online-Banking.
Zuletzt bearbeitet:
Für die nicht aufgepasst haben. Mit XUL lässt sich nur eine ganz schlechte Kopie erstellen. JEDER der die Statusleiste aktiv hat und JS soweit deaktiviert hat das Statusleisten ausgeblendet werden können sieht den Fehler auf Anhieb. Also... keine Panik zu möchtegern Fehlern. Menüs lassen sich in allen Browsern nachbauen, jeder der nicht die default einstellung hat oder JS richtig konfiguriert hat kann davon nicht getäuscht werden. Zumal es wirklich eine schlechte Kopie ist. Das ist keine Sicherheitslücke, das ist das Spiel mit der Dummheit der User die nach Mail Aufforderungen ihre PAsswörter in alle Welt versenden oder auf gefälschten HPs surfen und dort ihre Daten angeben. Viel heisse Luft um Nichts.
MountWalker
Fleet Admiral
- Registriert
- Juni 2004
- Beiträge
- 13.993
BSDDaemon schrieb:
Was sehe ich denn in der Statusleiste was mich aufschreckt? Ich finde das in der Nachricht nicht...
EDIT
Ah ich habs jetzt mal ausprobiert und jetzt habe ichs gesehen. Also die Falsche Statusleiste verdrängt die wirkliche nicht, es ist nur ein zusätzliches Elemant was dazu gepackt wird und nicht auffällt, weil die echte Statusleiste mit der Java-Funktion ja ausgeblendet wird. Ist also die Java-Funktion zum Ausblenden der Statusleiste deaktiviert hat man plötzlich zwei Statusleisten übereinander, vielleicht macht mal jemand einen Screenshot davon, ich kann grad nicht, weil ich meinen Webspace komischwerweise nicht erreiche (ich hab eigentlich nur wenig drauf und Tripod ist sonst eiogentlich immer zuverlässig, wer weisz was da ist), jedenfalls muss ich sagen: Ja, dass da plötzlich zwei Statusleisten übereinander stehen dürfte wirklich jedem auffallen.
Na da fühl ich mich sdoch gleich wieder sicherer.
Zuletzt bearbeitet:
