Beiträge von Sören Hentzschel

    Wieder LastPass:


    Hinweis zu Sicherheitsvorfall - The LastPass Blog
    Update vom Mittwoch, den 30. November 2022  Sehr geehrte LastPass-Kundin, sehr geehrter LastPass-Kunde, im Sinne unseres Versprechens, stets transparent zu…
    blog.lastpass.com


    Das Unternehmen bestätigt aktuelle Aktivitäten, bei denen es Zugriff auf Kundendaten gab, wofür offenbar Informationen des letzten Hacks von August verwendet worden sind.

    Jain - im S-Modus sind nur Anwendungen aus dem Microsoft Store zugelassen. Die Option gibt es auf macOS für den Apple Store ebenfalls, ist aber nicht einmal dort Standard. Wobei das weniger ein Problem wäre als unter Windows. Denn im Apple Store gibt es 1:1 die gleichen Anwendungen, die man sich auch auf anderen Wegen installieren kann. Die Apps aus dem Microsoft Store sind technisch teilweise limitiert. Und ob nun Apple oder Microsoft, in beiden Fällen können immer auch noch Einschränkungen durch Richtlinien dazu kommen.


    Grundsätzlich ist es natürlich das Sicherste, die Installation von Apps auf eine solche Quelle zu limitieren. Aber wichtiger als ein solcher optionaler Modus wäre mir tatsächlich die weniger harte Stufe, die dafür aber standardmäßig aktiviert ist, mit der Perspektive, langfristig verpflichtend zu werden.

    Gar nicht. Die Sache ist viel mehr die, dass auf macOS nur signierte Software gestartet werden kann. Wenn du eine Anwendung neu verpackst und Dinge dazu gibst, ist die Signatur natürlich nicht mehr gültig. Und das ist es, was ich mir von Microsoft wünsche, in einem ersten Schritt zumindest optional. Auf macOS konnte der sogenannte Gatekeeper auch zunächst ein paar Jahre lang deaktiviert werden, ehe die Option entfernt worden ist.


    Ein weiterer Punkt: Um eine App signieren zu können, musst du verifizierter Entwickler sein. Das heißt, du registrierst dich bei Apple und zahlst 99 USD pro Jahr. Das hält auch einigen Blödsinn vom Ökosystem fern, weil das ein seriöser Entwickler normalerweise stemmen kann und zumindest für die ganzen Script-Kiddies eine ernsthafte Hürde darstellt.


    Dazu kommt: Apps sind auf macOS von Haus aus portabler als unter Windows. Aus zwei Gründen. Erstens: Ein Pendant zur Windows-Registry existiert nicht, in einer solchen können also sowieso keine Eintragungen durch Software vorgenommen werden. Dieser vermeintliche Vorteil portabler Software entfällt komplett. Zweitens: Während es unter Windows einen Ordner gibt, in welchem neben der .exe-Datei noch viele weitere Dateien sind, ist unter macOS alles in einer einzigen .app-Datei inbegriffen. Die .app-Datei unter macOS ist also quasi Ordner und ausführbare Datei zugleich. Per Doppelklick wird die Anwendung gestartet, per Kontextmenü kann der enthaltene Ordner geöffnet werden. Zum Transportieren der gesamten Anwendung benötigt man also nur eine einzige Datei. Benutzer-Daten wie eben beispielsweise das Firefox-Profil sind aber auch unter macOS separat. Das auch noch zusammen zu packen wäre demnach der einzige Sinn, den eine portable Version unter macOS noch hätte.


    Apple verbietet keineswegs portable Apps. Aber all diese Gründe haben dafür gesorgt, dass das Konzept portabler Apps unter macOS quasi verschwunden ist.


    Dass Microsoft die Registry verbannen und ein ähnliches Konzept wie mit den .app-Bundles unter macOS einführen wird, dürfte schon aus Kompatibilitätsgründen auf absehbare Zeit sehr unwahrscheinlich sein. Dass Microsoft Geld für Entwickler-Accounts zur Signierung verlangt, fordere ich auch nicht. Für mich geht es erst einmal wirklich nur um den ersten Punkt.

    Bitte keine Diskussionen über den Sinn von Snap. Klar gibt es ein gutes Mozilla-PPA, trotzdem sollten die Begleitanwendungen jetzt wieder laufen.


    Beides ist nicht optimal. Auch als Linux-Nutzer sollte man die Firefox-Version nutzen, die man von mozilla.org herunterlädt:


    Externer Inhalt twitter.com
    Inhalte von externen Seiten werden ohne deine Zustimmung nicht automatisch geladen und angezeigt.
    Durch die Aktivierung der externen Inhalte erklärst du dich damit einverstanden, dass personenbezogene Daten an Drittplattformen übermittelt werden. Mehr Informationen dazu haben wir in unserer Datenschutzerklärung zur Verfügung gestellt.


    Funktioniert es denn damit? Selbst wenn du die Version nicht nutzen wolltest, wäre das als Gegentest gut zu wissen.


    Was Snap-spezifische Fragen betrifft, kann ich nicht helfen.

    Hat es auf diesen Seiten (Google News, Facebook) besagte 'Self-XSS-attacks' schon öfters gegeben oder warum wird diese Meldung so prominent ausgegeben?


    Google und Facebook sind auf Grund ihrer Größe mit Sicherheit mit die attraktivsten Angriffsziele, um sich unbefugten Zugriff in Benutzerkonten zu verschaffen. Insofern ist das definitiv vorstellbar, kann aber genauso auch rein präventiv sein, ohne dass es dort vermehrt Vorfälle gab. Ich kenne von keiner dieser Seiten eine offizielle Begründung.


    So wie ich es verstanden habe, soll man ja als Besucher animiert werden, selber bösen JS-Code in die Konsole oder Addressbar zu schreiben, um sich selbst zu infizieren. Sollte dann nicht so eine Warnung permanent erscheinen und nicht nur bei bestimmten Websites?


    Firefox zeigt beim ersten Mal, bevor man etwas in die Konsole kopiert, einen Hinweis an und verlangt, dass man „Einfügen erlauben“ von Hand in die Konsole schreibt. Erst ab dem Moment ist es möglich, Dinge aus der Zwischenablage in die Konsole einzufügen. Dadurch, dass man selbst etwas eintippen muss, hat das hoffentlich einen gewissen Lerneffekt.


    Würde auf jeder Website immer eine solche Warnung erscheinen, wäre das sehr nervig für diejenigen, die mit der Konsole arbeiten.

    Das Problem oder besser das was es umständlich macht ist, dass es nur per Seite geht und nicht wie mal früher für alle Seiten oder Cookies an einer Stelle zu sehen ist. Die Info brauch man zwar nicht so oft aber hin und wieder doch mal.


    Was soll der Anwendungsfall dafür sein, nach dem Ablaufdatum von Cookies verschiedener Websites auf einmal nachzusehen? Mir fällt nämlich keiner ein.


    aber interessieren würde es mich immer noch wieso das mit den Cookies so blöde zum Teil geändert wurde.


    Das habe ich doch bereits beantwortet?


    äh, nö. Das ist nicht möglich mit den Mozilla AMO Richtlinien.


    Doch, ist es. Aber niemals ohne ausdrückliche Zustimmung des Anwenders, daher in jedem Fall optional.

    Ach so umständlich.


    Eine umständliche Tastenkombination, bestehend aus drei Tasten, brauchst du nicht. Es reicht eine einzige Taste: F12. Außerdem wird eh immer das zuletzt geöffnete Entwicklerwerkzeug geöffnet, du musst beim nächsten Mal also nicht den Reiter wechseln, sofern du dazwischen kein anderes Entwicklerwerkzeug nutzt. Alternativ erreichst du das auch über das Anwendungsmenü oder die Menüleiste.


    Ansonsten wüsste ich nicht, was daran umständlich sein soll. Einen Dialog in den Einstellungen zu öffnen, wo du in jedem Fall zunächst in den Datenschutz-Reiter wechseln musst, geht auch nicht mit weniger Aufwand.


    Weiß man wieso das komplett dort verschwunden ist?


    Weil es keinen sinnvollen Grund dafür gibt, zwei Oberflächen für exakt das Gleiche zu haben und die Endnutzer-Relevanz dieser Information verschwindend gering ist. Das ist normalerweise höchstens für Entwickler interessant, daher Entwicklerwerkzeuge - die es noch nicht gab, als die frühere Oberfläche in den Firefox-Einstellungen implementiert worden war. Außerdem gibt es heute noch weitere Speichertechnologien wie Indexed DB, Cache Storage, Local Storage sowie Session Storage - was ja auch nicht in den Firefox-Einstellungen integriert war, aber thematisch sehr eng bei den Cookies liegt. Daher ist es naheliegend, das alles gemeinsam an einem zentralen Ort zu verwalten.

    Ganz einfach - die Registry kennt kein JSON-Format:


    Ich kann drei Fremdsprachen. Dass Chinesisch darunter ist, was ich offensichtlich schreibe, war mir neu. :/ Die Registry kennt Strings. Die erwähnte Firefox-Richtlinie erfordert einen JSON-String. Bitte lies auch meine Antwort an Speravir. Da habe ich es ausführlicher erklärt.


    Laut Text, den mir die Richtlinie gibt, muss ich diese Richtlinie aktivieren, um eine policies.json mit so einer Regel nutzen zu können. Entweder ist der Text dort falsch, oder deine Interpretation falsch.


    Die Datei policies.json wird dort mit keiner Silbe erwähnt. Das schrieb ich aber auch schon in meinem vorherigen Beitrag, dass das da nicht steht. Und meine „Interpretation“ ist vollkommen richtig. Erstens hat Mozilla das selbst als JSON dokumentiert, zweitens habe ich es wie gesagt getestet. Hier ein Beweis-Screenshot (mit locked statt default als Status, damit man in den Einstellungen durch das Ausgegraute sieht, dass die Richtline funktioniert):



    Da ich aber davon ausgehe, dass die policies.json wirksam ist ohne GPO, ist deren Text falsch. Ob nun falsch geschrieben oder falsch übersetzt, spielt keine Rolle mehr, der Text ist falsch.


    Der Text ist vollkommen richtig.


    JSON steht für JavaScript Object Notation. Das ist ein Datenformat (nicht Dateiformat!). Also eine Struktur, welche Daten beinhaltet. Die Aussage, dass Daten als JSON beschrieben sein müssen, beinhaltet keine Aussage darüber, ob die Daten am Ende in einer Datei mit der Dateiendung *.json, in einem Textfeld oder auf einem Blatt Papier stehen. Das ist eine Aussage über den Inhalt. Im Kontext von GPO gehört der Inhalt logischerweise in das entsprechende Feld in der Registry - wie es durch Mozilla auch ausdrücklich dokumentiert ist. Alles andere würde auch gar keinen Sinn ergeben.

    Ich weiß nicht, ob du meine Begründung nicht verstanden hast oder ob du absichtlich meine Worte verdrehst, aber ich sprach explizit von einem ohnehin nur übersetzten und nicht originalen Namen sowie der Voraussetzung, dass eine deutsche Schreibweise auf der offiziellen Webpräsenz nicht existiert, im Gegensatz zur englischen Schreibweise. Wieso sollte ich den Namen einer deutschen Universität, welche mit ziemlicher Sicherheit auch eine deutsche Website hat und dort ihren deutschen Namen verwendet, in eine fremde Sprache übersetzen? Das war eine rhetorische Frage. Es wäre wünschenswert, wenn sich weitere Beiträge um das Thema drehten. Denn tatsächlich handelt es sich bei Firefox Translations 1.2.0 um eine sehr gute und wichtige Weiterentwicklung der Erweiterung. Das Update verdient mehr Beiträge als solch eine alberne Namens-Diskussion.

    Äähm, reden wir aneinander vorbei? Sprichst du von einem ADMX-Template? Ich bezog mich die ganze Zeit auf regedit und reg, weil für mich die GPO in der Registry abgespeichert wurden, bis mir die Existenz der Templates klar wurde. Wenn ich nicht direkt im Registrierungseditor arbeite, dann kann ich eben meines Wissens nur per Registrierungsdatei Einfluss nehmen, die aber im Prinzip das Ini-Fomat besitzt oder besser mit ihm eng verwandt ist.


    Nein, ich spreche von keinem ADMX-Template, sondern von regedit. Wenn man dort einen Schlüssel anlegt, kann man den Inhalt über ein Textfeld bearbeiten. Ob das, was man dort einträgt, einfach nur eine beliebige Zeichenkette ist oder der JavaScript Object Notation („JSON“) entspricht, ist diesem Textfeld und der Windows-Registry komplett egal. Die Registry hat keine Kenntnis darüber, was der Inhalt eines Registry-Eintrags bedeutet und was damit geschieht. Darum hätte es auch keinen Sinn, dort einen Hinweis der Art zu finden, dass man in dem Textfeld mit JSON arbeiten kann. Die Anforderung, wie der Inhalt konkret dieser Richtlinie auszusehen hat, stellt Firefox. Denn Firefox ist die Anwendung, welche diese Option liest. Und Firefox stellt die Anforderung, dass der Inhalt ein JSON-String sein muss, weil das dem Ganzen eine Struktur gibt, aus der Firefox mehrere Informationen herauslesen kann: Name der Einstellung, Wert sowie den Status, das für beliebig viele Einstellungen wiederholend. Ohne solche Struktur wäre nicht klar, wo die eine Information aufhört und die nächste beginnt, weil dann alles nur ein langer Text wäre.


    Für mich bedeutet das, dass ich aktuell auf jeden Fall eine ploicies.json erstellen muss, die das berücksichtigt. Ob das berücksichtigt wird, entscheidet dann die GPO.


    Man benötigt weder die Datei policies.json für GPO noch umgekehrt (LegacyProfiles als Ausnahme, was ausschließlich via GPO und nicht via policies.json unterstützt wird). Wie gesagt, die Richtlinie funktioniert einwandfrei, wenn diese wie in Beitrag #6 in der Registry eingetragen wird. Abgesehen davon weiß ich auch nicht, wie du von dem, was du zitiert hast, auf die Schlussfolgerung kommst, man würde die Datei policies.json benötigen. Da steht nur, dass der Inhalt mittels JSON beschrieben sein muss. Dieser JSON-String gehört natürlich in die Registry - wie bei jeder anderen Richtlinie auch, wenn man GPO nutzt. Würde man sowieso die Datei policies.json benötigen, würde es keinen Sinn ergeben, überhaupt dafür auch GPO zu verwenden. Das könnte man dann ja gleich komplett via policies.json lösen.

    Genauso werden "böse" Seiten wie Facebook permanent gesperrt.


    Dabei handelt es sich um keine „böse Seite“. Es ist bekannt, dass du eine große Abneigung gegen das Unternehmen hast. Aber deswegen braucht es nicht solch unnötige Bemerkungen, schon gar nicht ohne jeden Zusammenhang zur Fragestellung.


    Allerdings arbeite ich bei vertrauenswürdigen Seiten wie diesem Forum nicht mit temporären, sondern permanenten Ausnahmen. […] Wenn Du wirklich immer nur temporäre Ausnahmen setzt, brauchst Du es wirklich nicht.


    Unabhängig davon, dass ich von der Verwendung einer Erweiterung wie NoScript nur ausdrücklich abraten kann, bin ich selbst unter der Annahme, dass NoScript eine sinnvolle Erweiterung wäre, in diesem Aspekt komplett entgegengesetzter Meinung.


    Das beginnt schon mit der Einordnung als „vertrauenswürdig“. Wenn es um Vertrauenswürdigkeit geht, zielt das wohl auf irgendein großes Thema wie Sicherheit oder Datenschutz ab. Ansonsten wäre der Zusammenhang erst einmal zu erklären. Als Nutzer sieht man aber nicht, ob alle Scripts auf einer Seite alle relevanten Kriterien erfülllen. Und das darauf zu reduzieren, ob man der Website an sich vertraut, ergibt für die Frage temporär vs. permanent nicht viel Sinn: Eine Website, der ich nicht vertraue, besuche ich erst gar nicht.


    Der andere Punkt ergibt sich bereits aus dem Namen der Erweiterung. Wenn man permanente Ausnahmen festlegt, stellt sich viel eher die Frage, ob man die Erweiterung überhaupt benötigt, als wenn man temporäre Ausnahmen setzt. Denn das entspricht viel mehr der namensgebenden Idee dieser Erweiterung, keine Scripts auszuführen. Was aber, und da schließt sich der Kreis, spätestens im Jahr 2022 keine besonders sinnvolle Idee ist. Die ganze Verteufelung von JavaScript ist eine völlig überholte Denkweise und irrational.

    Gebraucht hat man so eine Erweiterung noch nie. Die Probleme, welche durch so eine Erweiterung verursacht werden, nehmen aber immer stärker zu. JavaScript ist längst ein wesentlicher Bestandteil der Webplattform. Entwickler setzen immer häufiger und für immer mehr Dinge voraus, dass JavaScript zur Verfügung steht.

    Hallo,


    rufe bitte about:support auf, klicke auf „Text in die Zwischenablage kopieren“ und füge den Inhalt in deine nächste Antwort ein. Nutze dafür die Code-Funktion des Forums (dritter Button von rechts: „</>“ in der schwarzen Leiste des Beitragseditors).