Beiträge von BrokenHeart

Du benötigst Hilfe bezüglich Firefox? Bitte stelle deine Frage im öffentlichen Bereich des Forums und nicht per Konversation an wahllos ausgesuchte Benutzer. Wähle dazu einen passenden Forenbereich, zum Beispiel „Probleme auf Websites“ oder „Erweiterungen und Themes“ und klicke dann rechts oben auf die Schaltfläche „Neues Thema“.

    Die Regel habe ich oben auskommentiert dazu.

    Du hast jetzt aber den gesamten Filter auskommentiert. Sören meinte doch in seinem letzten Posting weiter oben, dass es reichen würde about:addons als Filter zu benutzen, weil damit alle anderen Filter redundant wären. Oder habe ich da was falsch verstanden?

    das ist beides völlig überflüssig und kann weggelassen werden, weil about:addons von der entsprechenden @-Regel auch ohne das bereits abgedeckt wird.

    Das habe ich jetzt probiert, alles komplett raus, und es geht auch so. Danke, Sören, wieder was gelernt. :thumbup:

    Bist du sicher? Bei mir funktioniert nichts mehr, wenn ich chrome://mozapps/content/extensions/aboutaddons.html im Dokumenten-Filter weglasse. :/

    Nur als Workaround:
    CTRL+SHIFT+Windows+b

    (startet das Grafiksubsystem neu)


    Die eigentliche Ursache muss Microsoft beheben. Das Problem scheint ja, laut Google-Suche, sehr häufig bei n-Bildschirm-Konfigurationen aufzutreten. Und es hat nichts mit dem Firefox zu tun, sondern wohl mit Applikationen, die im Vollbildmodus betrieben werden und wenn vorher der Energiesparmodus aktiviert war.

    Eine Frage dazu kriegt jemand von euch diese beiden Symbole eingefärbt,
    ich habe einiges versucht aber hier will es nicht.

    Auf dieser Seite https://codepen.io/sosuke/pen/Pjoqqp den Hex-Farbcode eingeben und dann die berechnete Filterliste in den css-Code einfügen:

    CSS
    .connect-section__header__icon {
    /* Hex-Code: #AA0000 (rot) */
    filter: invert(11%) sepia(89%) saturate(5429%) hue-rotate(358deg) brightness(78%) contrast(109%) !important;
    }

    Das ist wohl ein "Noch nicht bereit"-Timing Problem:


    Versuch mal Folgendes (falls nötig, den Wert in Zeile 16 noch erhöhen):

    geminus : Schade, dass du überhaupt nicht auf mein letztes Posting eingegangen bist.


    Ich hatte den Link auf dieses Dokument gepostet, weil dort meiner Meinung nach die Funktionsweise der UAC ganz gut erklärt wird, nachdem hier Dinge behauptet wurden, die definitiv nicht stimmen und nicht, weil ich mir die Einschätzung Microsofts zur Sicherheit ihres eigenen Produkts zu Eigen machen wollte. Gleich im nächsten Satz wird ja auch von 'verwalteter Umgebung' gesprochen, was ich weiter oben ja auch als Beispiel für einen sinnvollen Einsatz erwähnt hatte.


    Wenn MS auf eine bekannte und gemeldete Sicherheitslücke bei der Umgehung des UAC-Prompts zeitnah einen Patch zur Verfügung stellt (wie sie es bei vorherigen Sicherheitslücken dieser Art, soweit ich das feststellen konnte, wohl auch getan haben) ist für mich die Sicherheit auch bei einem Nutzer mit administrativen Rechten nicht kompromittiert. Man hört ja z.B. auch nicht auf, Windows oder den Firefox zu benutzen, weil es schwerwiegende Sicherheitslücken gegeben hat (bei denen immer wieder auch Nutzer mit eingeschränkten Rechten betroffen waren) , sondern verlässt sich darauf, dass diese nach Bekanntwerden schnellstmöglich geschlossen werden. Sollte dies nicht gegeben sein, muss man sich allerdings wirklich nach alternativen Softwareprodukten umschauen. Daher wäre die Beantwortung der beiden ersten Fragen aus meinem letzten Posting auch sehr interessant...

    How to bypass UAC in newer Windows versions

    Danke für den Link!


    Hier stellen sich mir zwei Fragen:


    - Funktioniert dieser Exploit auch, wenn in der UAC die höchste Sicherheitsstufe eingestellt wurde? Ähnliche Vorgehensweisen (hier mit DLL-Reflection in c#) haben nur funktioniert, wenn die Standard-Einstellungen benutzt wurden.


    - Ist diese "Sicherheitslücke" durch Microsoft noch nicht geschlossen worden, d.h. wurde 'cmstp.exe' zwischenzeitlich noch nicht gepatched? (Ausprobieren werde ich diesen Exploit nicht...)


    Falls beide Antworten 'Ja' lauten, würde ich schon von einem Versagen Microsofts ausgehen. Soweit ich jetzt in Erfahrung bringen konnte, stuft Microsoft diese Privilegien-Eskalation über die UAC als 'low priority' ein. Ob das die prinzipielle Einstellung zu dem Thema ist oder auf den Einzelfall beschränkt ist, kann ich nicht sagen....


    So wie ich das jetzt verstanden habe:

    Wie wird nun diese "infizierte"-dll zur Ausführung gebracht? Entweder direkt über ein PS-Skript (wie im verlinkten Beispiel) oder über einen Aufruf einer ausführbaren Datei.

    Auf jeden Fall muss ich aber dieses Programm selber starten bzw. das Starten des Programms muss "provoziert" werden (zusätzliches Ausnutzen von anderen Sicherheitslücken mal ausgenommen). Wenn ich eine Datei bewusst starte, um z.B. eine (vorgebliche) Installation damit vorzunehmen, dann würde ich wohl auch bei nicht umgangener UAC, die Rechteerweiterung beim Aufpoppen des UAC-Dialogs akzeptieren, da bei Installationen sehr häufig Adminrechte benötigt werden. Somit wäre aber der Aufwand mit der Umgehung der UAC unnötig. Dazu muss ich sagen, dass ich mich normalerweise nicht mit Hacker-Themen beschäftige und diese mich auch nicht sonderlich interessieren, also vielleicht gibt es da andere Möglichkeiten des Ausnutzens, die ich nicht kenne...


    Man sollte aber auch bedenken, dass eine Rechteerhöhung eben fast immer das Ziel eines jeden Angriffs auf Sicherheitslücken ist. Und es gibt auch in der neueren Zeit etliche Fälle von Sicherheitslücken (Adobe, Windows-Kernel usw.) die ausgenutzt eine Rechteerhöhung zur Folge hatten. Dies betrifft eben auch Konten mit "eingeschränkten Benutzerrechten". Und da reicht es dann schon, wenn die Sicherheitslücke in so kritischen Programmen wie einem Browser ausgenutzt wird, bestimmte Webseiten aufzurufen oder die falsche Datei in dem dafür zuständigen Programm zu laden....

    M.E. zeugt so eine Aussage von einem recht gravierenden Unverständnis der Materie. Du gewinnst ein klein wenig Komfort - wie oft muss man schon manuell installieren, wenn sich viele Progamme alleine aktuell halten (der fehlende Paketmanager ist wiederum ein anderes Thema *g*), einmal wöchentlich oder viermal? - und bezahlst es mit großem Sicherheitsverlust.

    Warum muss von manchen Foristen eigentlich so oft eine Diskussion mit der Feststellung begonnen werden, dass der Gegenüber (ja prinzipiell) keine Ahnung von der Materie hat, anstatt gleich mit der Argumentation zu beginnen und dafür Fakten zu bringen?:/.


    Meine Frage ist ganz einfach: "Wo ist der große Sicherheitsverlust, beim Verwenden des Standardnutzers mit administrativen Rechten und einer UAC auf höchster Stufe"?

    Ähm und wozu dann Administratorrechte für normale Arbeit? In den seltenen Fällen noch zusätzlich das Admin-PW einzugeben ist ja nun echt kein hoher Aufwand. Meines Wissens kann Schadsoftware auch andere Texte/Fenster über deine passwortlose Anforderung legen und du merkst dann nicht einmal, wenn diese Schadsoftware die Rechte anfordert und du die Anforderung unwissentlich mit einem simlen Mausklick bestätigst ...

    Das ist eben nicht möglich. "Meine(:/) passwortlose Anforderung" ist eben nicht nur einfach ein beliebiger Windows-Dialog sondern es wird vom System ein eigener System-Kontext erzeugt, der ausschließlich der Bestätigung der UAC-Aufforderung durch den Benutzer dient. Das nennt sich dann "Secure Desktop". Kein "Nicht-System-Prozess" hat hier Zugriff....


    https://docs.microsoft.com/de-…ser-account-control-works


    Wenn meine schon "installierte Schadsoftware" mir irgendeinen System-Dialog zum Abfragen meines Usernamens und Passworts vorgaukeln möchte, läuft er damit ins Leere, weil ich ja eben normalerweise nur mit einem "OK" eine Rechteerhöhung bestätige, das Programm aber dadurch ja weder mein Passwort noch administrative Rechte bekommt. Und wenn plötzlich ein Dialog aufgeht, der mein Passwort abfragen will, - was Win10 eben bei der UAC-Abfrage nicht tut - dann läuten natürlich logischerweise alle Alarmglocken.


    Ich würde niemals behaupten, dass es absolut unmöglich ist, dass dieses System auf Grund fehlerhafter Implementation zu kompromittieren ist, aber, wie ich schon weiter oben geschrieben habe, ist mir nichts dergleichen bekannt...und Win10 gibt es schon seit ca. 5 Jahren. Wenn du schreibst "Meines Wissens...", dann hätte ich von dir gerne einen Hinweis, wie man dies bewerkstelligen kann oder einen Link zu deiner Quelle.

    Das hatte ich schon getestet, leider ohne Erfolg.:/

    Stimmt, in diesem Skript funktioniert es nicht. Wenn ich es in das Skript für die mehrzeiligen Tabs einbaue, dann geht es :/:



    Edit:

    OK, sehe gerade 2002Andreas hat das Problem auf elegantere Weise gelöst. Er ist halt der 'CSS-Meister', das muss man ihm lassen :);)

    Dann muss ich mich notgedrungen den Gegebenheiten anpassen, ist ja kein Beinbruch.

    Na ja, wer wird denn gleich aufgeben.;)


    Wenn du das Script eh nutzt, kannst du doch dort genau deinen css-Code reinschreiben (ungetestet von mir!):

    Das leite ich aus seiner Antwort auf meinen Beitrag ab, da er dieser These ansonsten vermutlich widersprochen hatte, was er aber nicht hat. Stattdessen hat er auf den Sicherheits-Aspekt damit geantwortet, wie viele Sicherheits-Softwares er installiert hat.

    Nur weil er nicht explizit widersprochen hat, heißt das ja noch nicht, dass er dir zugestimmt hat. Lassen wir das vom TE klären, ob er wirklich den reservierten Wind10 Administrator-Account benutzt oder einen Benutzeraccount mit Administrator-Rechten ( was ich vermute)....


    Alles weitere unter dieser Voraussetzung:

    Und genau das ist komplett falsch. Ich weiß nicht, wieso du meinst, das sei unter Windows 10 nicht notwendig und bringe keinen Sicherheitsgewinn. Windows 10 unterscheidet sich in dem Punkt kein bisschen von jeder anderen Windows-Version oder auch ganz anderen Betriebssystemen. Aber da du eine Abhängigkeit ins Spiel bringst, wer den Rechner administriert und das Passwort besitzt, scheint es, dass du gar nicht verstanden hast, worum es dabei geht. Denn das ist völlig unabhängig von dem, was du schreibst.

    Ich glaube eher, dass du mich/es nicht verstanden hast. Windows 10 unterscheidet sich durchaus von früheren Windows-Versionen (vor Vista sowieso) , da die UAC vollkommen neu konzipiert wurde. Nochmal: Der Standard-Nutzer unter Windows hat Administratorrechte, da er in der Gruppe der Administratoren ist, dass heißt aber nicht, dass man damit ständig mit diesen Rechten unterwegs ist, sondern diese bei Bedarf gewährt werden, nachdem ich die entsprechende Anforderung bestätige oder ablehne. Quasi ein automatisiertes 'sudo'. Dass mit dem Passwort und der Rechneradministration bringst du in einen völlig verkehrten Zusammenhang. Das war nur ein Beispiel, wo ich ein eingeschränktes Benutzerkonto für sinnvoll erachte, damit ein User eben nicht alles mögliche mit dem Rechner veranstalten kann und kein Beispiel für ein Sicherheitsfeature.


    Warum habe ich einen Sicherheitsgewinn, wenn ich zusätzlich einen eingeschränkten User-Account einrichte und bei jeder administrativen Aufgabe in meinen Standard-Benutzeraccount wechsle, wenn doch schon mein Standard-Account Dank UAC genau diese Aufgabe für mich ausführt (auf Wunsch sogar jedes mal mit Angabe des User-Passworts )? Mir ist auch nicht bekannt, dass dieses System bis jetzt geknackt wurde (unter Vista war das noch nicht 'so sicher'). Ich stelle nicht "Bequemlichkeit über Sicherheit", sondern nutze die Sicherheitsfeatures meines Systems. Dass es sogar besser ist, nicht jedes mal bei der UAC-Abfrage sein Passwort anzugeben( Stichwort: keylogger, Ausspionieren 'über die Schulter') kommt noch hinzu. Ich finde dieses System sehr durchdacht!


    Wie muss dort der Eintrag richtig definiert werden, damit nur die Popup so aussehen?

    menupopup::part(innerbox)


    ABER: Das funktioniert nicht in der 'userChrome.css' sondern nur, wenn der css-Code über ein Skript eingefügt wird.

    Der Grund ist die 'shadow-root'. 'part' wird in der userChrome.css nicht unterstützt und daher musst du den Selektor global ansprechen, was dazu führt, dass alle 'arrowscrollboxen' angesprochen werden. Mir ist kein Weg bekannt, das zu ändern....


    Kannst ja mal hier schauen, wie du per Script deinen css-code einbauen kannst.


    RE: SaveTo.uc.js

    Sören Hentzschel: Wo hat der TE geschrieben, dass er ein Administrator-Konto benutzt bzw. was bringt dich dazu, dies anzunehmen? Alles, was er beschrieben hat, lässt sich auch mit dem standardmäßig eingerichteten Benutzer erreichen. Dieser ist in der Gruppe der Administratoren und somit für fast alle administrativen Aufgaben am Rechner geeignet. Das 'richtige' Windows Administrator-Konto müsste z.B. in Windows Home erst über die Kommandozeile freigeschaltet werden und wird wirklich nur für sehr spezielle Aufgaben benötigt. Auch ist das standardmäßige Benutzer-Konto quasi schon ein eingeschränktes Konto, da die Rechte-Erhöhung und Erlaubnis dazu erst bei Bedarf über UAC und den Secure Desktop angefragt wird und bestätigt werden muss. Sinnvollerweise lässt man die Grundeinstellung so und klickt dann einfach auf OK, um administrative Vorgänge zu autorisieren.


    Extra ein Konto mit eingeschränkten Rechten anzulegen halte ich (unter Win10) nur in dem Fall für sinnvoll, wenn ich für jemanden den Rechner administriere und alleine das Passwort dazu besitze (Unternehmen, Kinder). Wenn ich selber meinen Rechner administriere ist das in Win10 nicht notwendig und bringt auch keinen Sicherheitsgewinn, sondern macht die Bedienung des Rechners nur unnötig umständlich...