News Sicherheitsproblem in Mozilla-Browsern

[hubik]

Gibt es Möglichkeiten, Ansätze Mozilla / Firefox Updates sauber im Netzwerk zu verteilen?
Oder muß ich wieder mal vom Rechner zu Rechner laufen.
Die Conf-änderungen kann ich auch nicht ähnlich, wie mit Policy Group verteilen, oder?
Einsatz eines prof Software Management Systems kann ich hier vergessen.

 

[MountWalker]

naja der IE hat den selben fehler und es gibt da auch noch kein update.... und ich wette mozilla hat das schneller gefixt als MS

-> http://derstandard.at/?url=/?id=1745819

und das IE-Demo -> http://ja-web.de/tmp/iefake/

Beim IE wird aber immer nur der Standard angezeigt schon ein anderes System-Theme und die Oberfläche sieht völlig anders aus als bei der Demo, das Problem speziel bei Mozilla und denen die auf ihm basieren ist eben, dass die Nachbildung dein System-Theme und Browser-Theme mit imitiert, bei IE oder Opera ist das nicht möglich. Ich hoffe du hast den kleinen aber sehr feinen Unterschied hier verstanden.

 

[BigKub]

stimmt schon, doch auch das "fake" menü bei mozilla und Co hätte mich (wenn ich auf so eine seite kommen würde und ich nix davon gewust hätte!) stutzig gemacht, weil in der urlleiste keine history drin ist und ebenso das lesezeichen leer ist

 

[MountWalker]

stimmt schon, doch auch das "fake" menü bei mozilla und Co hätte mich (wenn ich auf so eine seite kommen würde und ich nix davon gewust hätte!) stutzig gemacht, weil in der urlleiste keine history drin ist und ebenso das lesezeichen leer ist

1. Wer bitte klickt jedes mal wenn er eine neue Seite geladen hat auf das Lesezeichenmen? Und die Lesezeichenleiste haben viele Anwender aus optischen Gründen abgeschaltet.

2. Diese List ist so gedacht, dass du einfach nur auf einen Link klickst und dadurch das ganze in einem neuen Fenster gestartet wird. Das neue Fenster hat noch keine History, sein Verlauf hat soeben erst begonnen und ob in der Addressleiste, wenn du diese nun aufklappst Addressen aus der Browser-History erscheienn oder nicht dürfte Otto Normal auch erst feststellen, nachdem er mit dem Inhalt des Fensters, also für den Sinn dieser List zB. eine Transaktion mit Transaktionsnummer oder halt "Paypal" fertig ist, nachdem er das getan hat.

Man muss bei Standardeinstellungen schon ganz schön Neugierig sein und ständig alles durch aufklappen überprüfen um "stutzig" zu werden. Aber die Lösung ist ja simpel und einfach, jetzt muss nur in den nächsten Releases das Ausblenden/Deaktivieren dieser Leistung in der Standardkonfiguration verboten werden und alles ist in Butter. Dabei find eich es von Mozilla schon etwas frech diese simple Lösung dem Anwender seit fünf Jahren durch simples totschweigen vorzuenthalten, womöglich feixen schon wieder irgendwelche Fans irgendwo rum wie schnell dieses Problem behebbar gewesen sei, dabei war es für mich fünf Jahre lang nicht behebbar, weil mir jegliche Kenntnis um das in Fachkreisen bekannte Problem verwehrt wurde.

Ich poste den Link unter dem man lernt wie Sicherheit besser funktioniert als durch totschweigen einfach noch einmal hierrein:

http://www.openbsd.org/de/security.html
Komplette Enthüllung

Wie viele Leser der BUGTRAQ Mailingliste, glauben wir an komplette Enthüllung von Sicherheitsproblemen. Im Bereich der Betriebssysteme waren wir wahrscheinlich die ersten, die dieses Konzept verwirklicht haben. Viele Hersteller, selbst von freier Software, versuchen immer noch, Probleme vor ihren Benutzern zu verstecken.

Sicherheitsinformationen bewegen sich sehr schnell in Cracker-Kreisen. Auf der anderen Seite ist es unsere Erfahrung, dass es typischerweise etwa einer Stunde Arbeit bedarf, um eine saubere Lösung zu programmieren und zu veröffentlichen -- somit ist eine sehr schnelle Reaktion möglich. Daher glauben wir, dass eine komplette Enthüllung Personen, die sich wirklich um Sicherheit Gedanken machen, hilft.

 

[BessenOlli]

Die Settings aus dem obigen Nachtrag, wo werden die dann
gespeichert?

Weil ich habe Firefox in meiner Slipstream und will dass dann
da direkt mit diesen Settings intergrieren.

 

[prodan]

Die geänderten Settings werden in der Datei prefs.js gespeichert. Diese Datei befindet sich im Profil des jeweiligen Benutzers.

Unter Win 2000/XP z.B:
" C:\Dokumente und Einstellungen\[User]\Anwendungsdaten\Mozilla\Firefox\Profiles\[Benutzerprofil] "

 

[MountWalker]

Damit es dir aufällt dürfte aber auch schon reichen dem Browser zu verbieten die Statusleiste auszublenden, was ja schon im grifischen Menü bei den Java-Einstellungen geht, alles was nicht ausgeblended werden darf erscheint bei der Nachbildung doppelt, wodurch der Fake auffällt.