drago-museweni
Admiral Pro
- Registriert
- März 2004
- Beiträge
- 9.358
Schon lustig(traurig) das die Trojaner solange nicht erkannt wurden.
News Trojaner in zwei experimentellen Firefox-Add-ons
- Ersteller Sven
- Erstellt am
- Zur News: Trojaner in zwei experimentellen Firefox-Add-ons
Dark Thoughts
Fleet Admiral
- Registriert
- Aug. 2007
- Beiträge
- 10.261
Ashantor schrieb:
Und Opera in der Bedienung ...
Man muss sich nicht das Maul zerreißen - immerhin kann solche AddOns jeder bereit stellen.
![[ChAoZ]](https://pics.computerbase.de/forum/avatars/m/491/491529.jpg?1618073566){kind=avatar}
[ChAoZ]
Rear Admiral
- Registriert
- Jan. 2010
- Beiträge
- 5.308
Kaum kamm die News schon haben wieder alle was gegen den FF, was kann Mozilla dafür? Okay, aus Fehlern lernt man, nun wird jedes Addon auf Viren u.ä. gefrüft, aber die größte Sicherheitslücke ist und bleibt der User, wer kein AV installiert hat ist selber Schuld.
Ich nutze nur den FF, gerade weil er so viele Addons bietet. Ohne Adblocker, Cooliris, Firebug, Firecookie, Web Developer Bar, MesureIt wäre ich wohl ein Opera nutzer.
Ich nutze nur den FF, gerade weil er so viele Addons bietet. Ohne Adblocker, Cooliris, Firebug, Firecookie, Web Developer Bar, MesureIt wäre ich wohl ein Opera nutzer.
B
BPhoenix
Gast
Nach dem mein Beitrag wegen nicht angemessener Wortwahl entfernt wurde, schreibe ich ihn nochmal in entschärfter Form, da man diesen Blödsinn (hoffe das gilt nicht als persönlicher Angriff, da es sich nicht auf die Person sondern nur auf seine Aussage bezieht) einfach nicht stehen lassen kann!
Hier stand eine Aussage die meinen Unmut gegenüber Leuten ausdrückte, die etwas kostenlos erhalten und sich dann noch darüber aufregen, wenn etwas schief läuft weil sie es mit etwas nutzen, das ausdrücklich als gefährlich gekennzeichnet ist und dann anstatt mal über ihre eigenen Fehler nachzudenken gleich einen schuldigen suchen müssen, den sie "packen" können.
Wozu sollte es? Es ist nicht möglich experimentelle Plugins die alle paar Minuten upgedatet werden können zu testen! Und die experimentellen Plugins sind nicht für jeden der nicht lesen kann, dass die Plugins gefährlich sein können und keine Ahnung davon hat wie er seinen Computer schützt da, sondern für Experten! Engine hast du das nun verstanden oder schreibst du hier sowas weil du zur ersteren Gruppe gehörst und weil du nicht in der Lage warst zu lesen und nun hier deinen Frust kund tun musst, weil etwas schief gelaufen ist? Naja ich wollte ja eigentlich rumheulen schreiben, aber das wäre vielleicht wieder eine Beleidigung?engine schrieb:
Stimmt die Benutzer von experimentellen Plugins, wo ausdrücklich auf Gefahren hingewiesen wird, trifft hier keine Mitschuld. Da diese nicht in der Lage waren die Hinweise zu lesen, zu begreifen was diese bedeuten und dann auch ihren Rechner entsprechend zu schützen, bedeutet, dass sie die alleinige Schuld trifft, wenn sie dies dennoch runterladen. Mozilla hätte nur Schuld wenn in den final Plugins die sie ausreichend testen und die für jeden öffentlich zugänglich sind, Viren enthalten wären, so aber nicht! Das wäre so als würde man einen Mikrowellen Hersteller der in seiner Anleitung schreibt, dass man damit keine Tiere trocknen soll eine Schuld zuschieben zu wollen, wenn man genau dies damit macht.engine schrieb:
Vielleicht trifft das auf 4 von 5 Virenkillern zu und das ganze wurde von dem einen getestet der es nicht erkennt, schon mal daran gedacht? Hinzu kommt, dass die experimentellen Plugins nur beim hochladen getestet werden, was vor Wochen geschah als vielleicht noch nicht jeder halbwegs aktuelle Virenkiller das entdeckt hat! Wie schon bereits so oft geschrieben, aber man kann es ja nicht oft genug wiederholen, da einige es anscheinend die ganze Zeit überlesen, es sind experimentelle Plugins, bei denen überdeutlich darauf hingewiesen wird, dass diese schädlich sein können und für die man registriert sein muss! Nur bei den finalen Plugins die für jeden zugänglich sind darf man verlangen, dass diese nicht schädlich sind, denn diese werden auch gründlich geprüft, was bei den experimentellen vom Aufwand her gar nicht möglich wäre!engine schrieb:
Das ist dein Problem und zeigt eigentlich nur, dass du den Unterschied zwischen offizielen und experimentellen Plugins und dem Aufwand der hinter einer sorgfältigen Prüfung der experimentellen Plugins steht einfach nicht begreifst oder nicht begreifen willst...engine schrieb:
Aussage zensiert, weil das dritte Wort des Satzes vorkam und der Grund für dieses einfach nur abgeändert wurde. Da aber dann das dritte Wort von mir käme, könnte es ja als Beleidigung aufgefasst werden...engine schrieb:
Wenn du experimentelle Plugins nutzt und was schief geht, dann nimm deine Hand und pack an deine Nase, dann hast du auf jedenfall den Schuldigen für die Probleme die du dann bekommst!engine schrieb:
Hier stand eine Aussage die meinen Unmut gegenüber Leuten ausdrückte, die etwas kostenlos erhalten und sich dann noch darüber aufregen, wenn etwas schief läuft weil sie es mit etwas nutzen, das ausdrücklich als gefährlich gekennzeichnet ist und dann anstatt mal über ihre eigenen Fehler nachzudenken gleich einen schuldigen suchen müssen, den sie "packen" können.
Zuletzt bearbeitet:
Das ist aber ein hartnäckiges Thema! Hier mein entschärfter Beitrag aus der PN:
Auch ein Super-Experte lädt sich ein verseuchtes Add-On herunter, wenn sein VS oder ähnliches gerade einmal 1 Stunde nicht aktuell ist oder überhaut keine Signatur vorhanden ist.
Es geht nicht um dummes- oder Expertenverhalten, sondern darum, dass einige Leute mit krimineller Energie sich die Möglichkeiten zu Verbreitung ihrer Schadsoftware suchen, die sehr einfach sind. Mozilla hat hier eindeutig geschlampt und ist somit Mittäter. Er bietet sogar mit seinem Modell Beihilfe. Jeder dreckige Hinterhof-Cracker kann sein verseuchtes Add-On anbieten und Mozilla ist zu schlampig und zu faul so etwas besser zu kontrollieren. Verantwortung kann man nicht mit einer lächerlichen Warnung delegieren. Das ist zu billig.
Da gehören ganz andere Kontrollmechanismen her. Von MS habe ich noch nie gehört, dass eine verseuchte Datei auf deren Seite bereitgestellt wurde. Mozilla muss die Add-Ons in eigener Regie einbinden und somit genau testen und prüfen AUCH besonders EXPERIMENTELLE ADD-ONS!
Es darf einfach kein Schadcode angeboten werden, auch nicht in Beta oder ähnlicher. Das muss doch einleuchten, oder?
@BPhoenix
Dein Text zeigt mir, dass du dich nicht auf gehobenem Niveau mit der Problematik auseinander gesetzt hast. Du hast nichts verstanden.
Auch ein Super-Experte lädt sich ein verseuchtes Add-On herunter, wenn sein VS oder ähnliches gerade einmal 1 Stunde nicht aktuell ist oder überhaut keine Signatur vorhanden ist.
Es geht nicht um dummes- oder Expertenverhalten, sondern darum, dass einige Leute mit krimineller Energie sich die Möglichkeiten zu Verbreitung ihrer Schadsoftware suchen, die sehr einfach sind. Mozilla hat hier eindeutig geschlampt und ist somit Mittäter. Er bietet sogar mit seinem Modell Beihilfe. Jeder dreckige Hinterhof-Cracker kann sein verseuchtes Add-On anbieten und Mozilla ist zu schlampig und zu faul so etwas besser zu kontrollieren. Verantwortung kann man nicht mit einer lächerlichen Warnung delegieren. Das ist zu billig.
Da gehören ganz andere Kontrollmechanismen her. Von MS habe ich noch nie gehört, dass eine verseuchte Datei auf deren Seite bereitgestellt wurde. Mozilla muss die Add-Ons in eigener Regie einbinden und somit genau testen und prüfen AUCH besonders EXPERIMENTELLE ADD-ONS!
Es darf einfach kein Schadcode angeboten werden, auch nicht in Beta oder ähnlicher. Das muss doch einleuchten, oder?
@BPhoenix
Dein Text zeigt mir, dass du dich nicht auf gehobenem Niveau mit der Problematik auseinander gesetzt hast. Du hast nichts verstanden.
Zuletzt bearbeitet:
B
BPhoenix
Gast
Deine Vorstellungen sind wirklich utopisch und kommen wahrscheinlich aus dem Traumland.
Es ist einfach nicht möglich 100%ige Sicherheit zu garantieren und schon gar nicht wenn unbekannte User etwas reinstellen können und dies sofort aufrufbar sein soll. Das kann dir jeder andere der etwas Ahnung von der Materie hat bestätigen! Es ist ein Ding der Unmöglichkeit! Das einzige was man hierbei tun kann ist es automatische Verfahren zu nutzen und zeitverzögert das ganze manuell / sorgfältiger zu prüfen. Das wird meines Wissens auch so gehandhabt und genau deswegen gibt es experimentelle und fertige Plugins! Und selbst dann ist keine 100%ige Sicherheit möglich aber es kommt schon ziemlich nahe an die 100% ran! Einen Vorwurf kann man Mozilla hier nicht im geringsten machen da dies so ziemlich das maximale Mögliche ist was man tun kann.
Dass bei MS sowas nicht passiert liegt daran, dass sie nur eigene Software anbieten und keine Plattform stellen wo beliebige User Software hochladen können! War etwa bisher ein Virus im FireFox selbst (denn dieser wird verglichen zu den Plugins auch selbst hergestellt)? Ich denke nicht, somit sind sie hier gleich auf, obwohl Microsoft ein vielfaches mehr an Mitteln besitzt!
Und zu dem Experten Verhalten. Mag sein, dass auch ein Experte sich so ein Addon zieht aber bei einem Experten entsteht kein Schaden. Da ein Experte weis, dass experimentelle Software schädlich sein kein und das trifft nicht nur auf mögliche Malware zu, sondern genauso auch auf Programmierfehler die ähnlich fatale Folgen haben können! Ein Experte wird niemals so eine experimentelle Software auf einem produktiven System testen. Hierfür würde er ein abgeschottetes System nutzen (zur Not z.B. eine VM, ja ich weis selbst hier ist keine 100%ige Sicherheit vorhanden) oder aber das in einer Umgebung laufen lassen in der kein Schadne angerichtet werden kann, z.B. in einem zweiten Browser, der keine Rechte hat (z.B. unter Linux mit einem zweiten Account) irgendetwas schädliches zu tun und auch nicht produktiv eingesetzt wird! Solche Leute werden auch keinen Schaden von der Malware davon tragen. Alle anderen die sowas in einem produktiven System einsetzen sind keine Experten und sind verdammt noch mal selber Schuld, wenn etwas passiert, besonders wenn es stimmt, dass die Malware von bekannten Virenkillern gefunden wird...
Ja es sollte nicht sein, dass ein Addon infiziert ist aber bei den experimentellen Addons kann das einfach passieren und die Schuld liegt ganz sicher nicht bei Mozilla, denn es ist nicht möglich derartig aufwendig zu prüfen besonders bei minütlichen updates um eine nahezu 100% Garantie zu liefern. Auch werden diese nicht von Mozilla selbst hergestellt!
Und wäre es wirklich so einfach Schadcode in Plugins zu bekommen, würden bei den tausenden veröffentlichten Plugins und den Millionen updates dieser deutlich mehr infizierte Plugins vorhaden sein als lediglich diese 3 die in der News erwähnt werden. Mag sein, dass es vielleicht mehr gibt die unerkannt geblieben sind, dennoch ist die Anzahl verdammt gering was eben auch auf zumindest angemessene Sicherheitsmaßnahmen schließen lässt. Verbessern geht immer aber perfekt wird es nie!
Hast du nun endlich die Fehler in deiner Denkweise erkannt?
Falls nicht, frage ich mich was du wohl sagst wenn dein Virenkiller mal einen Virus nicht findet, willst wohl dann sicher auch jemanden "packen", da mit einem Viruskiller ein System niemals infiziert werden dürfte
...
Es ist einfach nicht möglich 100%ige Sicherheit zu garantieren und schon gar nicht wenn unbekannte User etwas reinstellen können und dies sofort aufrufbar sein soll. Das kann dir jeder andere der etwas Ahnung von der Materie hat bestätigen! Es ist ein Ding der Unmöglichkeit! Das einzige was man hierbei tun kann ist es automatische Verfahren zu nutzen und zeitverzögert das ganze manuell / sorgfältiger zu prüfen. Das wird meines Wissens auch so gehandhabt und genau deswegen gibt es experimentelle und fertige Plugins! Und selbst dann ist keine 100%ige Sicherheit möglich aber es kommt schon ziemlich nahe an die 100% ran! Einen Vorwurf kann man Mozilla hier nicht im geringsten machen da dies so ziemlich das maximale Mögliche ist was man tun kann.
Dass bei MS sowas nicht passiert liegt daran, dass sie nur eigene Software anbieten und keine Plattform stellen wo beliebige User Software hochladen können! War etwa bisher ein Virus im FireFox selbst (denn dieser wird verglichen zu den Plugins auch selbst hergestellt)? Ich denke nicht, somit sind sie hier gleich auf, obwohl Microsoft ein vielfaches mehr an Mitteln besitzt!
Und zu dem Experten Verhalten. Mag sein, dass auch ein Experte sich so ein Addon zieht aber bei einem Experten entsteht kein Schaden. Da ein Experte weis, dass experimentelle Software schädlich sein kein und das trifft nicht nur auf mögliche Malware zu, sondern genauso auch auf Programmierfehler die ähnlich fatale Folgen haben können! Ein Experte wird niemals so eine experimentelle Software auf einem produktiven System testen. Hierfür würde er ein abgeschottetes System nutzen (zur Not z.B. eine VM, ja ich weis selbst hier ist keine 100%ige Sicherheit vorhanden) oder aber das in einer Umgebung laufen lassen in der kein Schadne angerichtet werden kann, z.B. in einem zweiten Browser, der keine Rechte hat (z.B. unter Linux mit einem zweiten Account) irgendetwas schädliches zu tun und auch nicht produktiv eingesetzt wird! Solche Leute werden auch keinen Schaden von der Malware davon tragen. Alle anderen die sowas in einem produktiven System einsetzen sind keine Experten und sind verdammt noch mal selber Schuld, wenn etwas passiert, besonders wenn es stimmt, dass die Malware von bekannten Virenkillern gefunden wird...
Ja es sollte nicht sein, dass ein Addon infiziert ist aber bei den experimentellen Addons kann das einfach passieren und die Schuld liegt ganz sicher nicht bei Mozilla, denn es ist nicht möglich derartig aufwendig zu prüfen besonders bei minütlichen updates um eine nahezu 100% Garantie zu liefern. Auch werden diese nicht von Mozilla selbst hergestellt!
Und wäre es wirklich so einfach Schadcode in Plugins zu bekommen, würden bei den tausenden veröffentlichten Plugins und den Millionen updates dieser deutlich mehr infizierte Plugins vorhaden sein als lediglich diese 3 die in der News erwähnt werden. Mag sein, dass es vielleicht mehr gibt die unerkannt geblieben sind, dennoch ist die Anzahl verdammt gering was eben auch auf zumindest angemessene Sicherheitsmaßnahmen schließen lässt. Verbessern geht immer aber perfekt wird es nie!
Hast du nun endlich die Fehler in deiner Denkweise erkannt?
Falls nicht, frage ich mich was du wohl sagst wenn dein Virenkiller mal einen Virus nicht findet, willst wohl dann sicher auch jemanden "packen", da mit einem Viruskiller ein System niemals infiziert werden dürfte
...
S
Sven
Gast
Artikel-Update: Laut dem Mozilla Add-ons Blog wurden beide Add-ons nun in Zusammenarbeit mit Sicherheitsexperten und Entwicklern geprüft. Demnach ist bei Sothink Video Downloader aufgrund eines Fehlalarms nun Entwarnung zu geben, das Add-on steht mittlerweile wieder online. Richtig war allerdings der Alarm bei Master Filer. Dennoch kann die Zahl der Geschädigten nun auf 700 korrigiert werden.
Christine A.
Commander
- Registriert
- Sep. 2009
- Beiträge
- 2.279
Bei den Steinen, die hier zum Teil geworfen werden, bleibt nur noch verbrannte Erde über und die Schuldzuweisungen, die hier im Rundumschlag von manch einem ausgegeben werden, sind nicht nur hanebüchen sondern auch unverschämt!
Dabei haben alle Hersteller mit Angriffen zu rechnen und als dumme Schuldzuweisungen abzulassen, sollte die Situation uns lehren, dass niemand vor Leuten mit hoher krimineller Energie, sicher sein kann.
Dass die Top-Produkte eher als Ziel herhalten müssen, sollten selbst die letzten geistigen Tiefflieger raffen. Vielleicht kommt der eine oder andere beratungsresistente Malware liebende Voll-Held auch noch auf den Trichter und sorgt sich um sein ungeschütztes System.
Ausnehmen, kann sich keiner. Auf wie vielen CDs, DVDs oder Downloads wurde renommierten und sehr umsichtigen, gewissenhaften, ... Herstellern, Anbietern und Lieferanten Schadsoftware unter gejubelt, die dann letztendlich auch bei den Anwendern angekommen ist. Die Liste beinhaltetet alles was Rang und Namen hat bis hin, zum letzten kleinen Krauter.
Bei dieser Problemstellung - letztendlich die Bedrohung des ganzen Netzes - kommt es auf jeden einzelnen an. Auf jeden Einzelnen, der genug Verantwortung mit bringt und sich selbst und damit auch andere Schützt!
Solange es so selbstherrliche Voll-Helden gibt - die den Menschen un-angeschnallt auf der Autobahn entgegen kommen - und sich dessen auch noch rühmen, ist es schwierig, weil gerade die, die den Mund besonders voll nehmen, die Dummschwätzer und ewig von sich überzeugten, wachsen sich zu einer ernsthaften Bedrohung aus.
Die Kiste voller Malware und Teil eines weltweiten Botnetzes, aber von Hirn reden.
Christine A.
Dabei haben alle Hersteller mit Angriffen zu rechnen und als dumme Schuldzuweisungen abzulassen, sollte die Situation uns lehren, dass niemand vor Leuten mit hoher krimineller Energie, sicher sein kann.
Dass die Top-Produkte eher als Ziel herhalten müssen, sollten selbst die letzten geistigen Tiefflieger raffen. Vielleicht kommt der eine oder andere beratungsresistente Malware liebende Voll-Held auch noch auf den Trichter und sorgt sich um sein ungeschütztes System.
Ausnehmen, kann sich keiner. Auf wie vielen CDs, DVDs oder Downloads wurde renommierten und sehr umsichtigen, gewissenhaften, ... Herstellern, Anbietern und Lieferanten Schadsoftware unter gejubelt, die dann letztendlich auch bei den Anwendern angekommen ist. Die Liste beinhaltetet alles was Rang und Namen hat bis hin, zum letzten kleinen Krauter.
Bei dieser Problemstellung - letztendlich die Bedrohung des ganzen Netzes - kommt es auf jeden einzelnen an. Auf jeden Einzelnen, der genug Verantwortung mit bringt und sich selbst und damit auch andere Schützt!
Solange es so selbstherrliche Voll-Helden gibt - die den Menschen un-angeschnallt auf der Autobahn entgegen kommen - und sich dessen auch noch rühmen, ist es schwierig, weil gerade die, die den Mund besonders voll nehmen, die Dummschwätzer und ewig von sich überzeugten, wachsen sich zu einer ernsthaften Bedrohung aus.
Die Kiste voller Malware und Teil eines weltweiten Botnetzes, aber von Hirn reden.
Christine A.