Beiträge von ShadowJumper

Hm,

wie nicht anders zu erwarten, wird man gleich als nörgler etc. bezeichnet, nur weil man eine Frage zur Sicherheit gestellt hat, was heutzutage das normalste der Welt sein sollte.

Das erinnert stark an user, die es anno 2000 gewagt haben, zu behaupten Linux hätte evt. fehler..... Genau das gleiche, dann nimm doch ein anderes OS, immer diese nörgler etc. blabla.

Und heute : Da interessiert es keinen mehr, das fast wöchentlich Kernel Patches rauskommen. Und wenn jemand fragt, interessiert das auch keinen mehr, das wird beantwortet und fertig.

Zumindest habe ich jetzt gelernt, das dieses Forum wahrlich keine hilfe bietet, wenn man neutrale Informationen zum FF haben möchte, da hier offensichtlich nur fanatische M$ hasser rumlaufen, und keine Menschen, die auch mal zu den eigenen Fehlern stehen können..........

Zitat von bugcatcher

was ich viel "schwächer" finde, als die mozilla-sicherheitspolitik, ist dass es leute gibt, die alles besser wissen und die an ein gänzlich kostenloses produkt, das in der beanstandeten disziplin besser abschneidet als jedes andere, auch noch ansprüche stellt. *kopfschüttel*

PS: Durch das dragen der vermeintlichen grafik selber entsteht auch noch kein schaden, sprich: der tank explodiert nicht. und ein Mercedes ist auch eine andere preisklasse als "kostenlos".

Hm, witzig, der IE ist auch kostenlos, und über den zieht ihr her, als wenn die Mitarbeiter von M$ der letzte Dreck währen.

Aber schon klar, haubtsache die anderen sind immer die Bösen :lol:

Zitat von Master X

naja, um auf die "Lücken" reinzufallen musst schon eine Menge selber machen, also nicht wie beim IE, wo man schon beim anschauen eines Bildes oder besuchen einer Webseite infiziert wird.

Und ich hab bisher eigentlich nie JavaScripte oder Bilder irgendwo herumgedraggt, also insofern ist das keine wilklich kritische Lücke, gegen die man sich nicht schützen kann.

Und wegen dem IDN, da kann der Firefox nicht viel dafür, das ist eher ein Fehler in den Spezifikationen dieses Features, auf die Mozilla keinen/kaum Einfluss hat. Außerdem kann mans abschalten: http://firefox.uni-duisburg.de/forum/viewtopic.php?t=14841

Naja, die Leute, die auf z.B. Phishing Attacken "reinfallen" machen das ja auch alles selber, und nicht der Browser....

Was mich direkt stört, ist die tatsache, das es "fehler" gibt, die dann leider entweder vor dem User "verheimlicht" werden, oder "runtergespielt" werden.

Nu mal als Beispiel : Mal angenommen es währe in einem Mercedes prinzipiell so, das die gefahr bestünde, das der Tank explodieren würde. dann würde sich Mercedes sicherlich nicht damit rausreden, das es "relativ unkritisch sei", weil man dazu nach links Blinken müsste, gleichzeitig Radio hören müsste, die Klimaanlage müsste laufen, und dabei müsste hinden einer versuchen das rechte Fenster zu öffnen. Auch wenn es noch so unwahrscheinlich währe, würde Mercedes denoch sofort alle fraglichen Fahrzeuge prüfen und entsprechend "reparieren" lassen.

Aber Mercedes würde sich sicherlich nicht damit rausreden, das im aktuellen 5er BMW wesentlich mehr noch nicht behobene Fehler drinnen währen.....

Zitat von Sebastian

naja 5 "Lücken" im Vergleich zu mehr als 10 ungefixte vom ie?

Naja is ja schon alles gesgat worden.

Ahja, wirklich beruhigend, das es so einfach ist sich hinter anderen zu verstecken.

Wenn andere aus dem Fenster springen, springst du dann hinterher :wink:

Zitat von Belly

ShadowJumper:

Dein Zitat 1 und 3 beziehen sich auf dasselbe nämlich Firedragging etc., das nicht wirklich kritisch ist.

Das 2. Zitat ist das Problem mit dem Umlautdomains, das von Firefox-Seite nicht behoben werden kann.

Also: wo ist das Problem?

Sorry, aber ich finde es schon ziemlich "schwach", das "Sicherheitslücken", die das eigene favorisierte Programm betreffen immer als "nicht kritisch" hingestellt werden.

Die aktuellen Mail Viren z.b. verbreiten sich nicht aufgrund von schwachstellen in Mailprogrammen, sondern aufgrund der Tatsache, das der durschnittsuser jeden Anhang anklickt, mit der begründung "Ich habe doch einen Virenscanner, was kann mir da schon passieren"...

Nur weil du und ich evt. nicht auf solche "gefälschten" Grafiken reinfallen, gilt das noch lange nicht für alle anderen.

Solange ein Mensch den Computer bedient, ist grundsätzlich erst mal jede "Sicherheitslücke als "kritisch" einzustufen....

Ich meine z.b. sowas :

Mikx meldet drei Schwachstellen in Mozilla und Firefox, ueber die Angreifer Schadsoftware auf dem attackierten Systemeinschleusen, Cross Site Attacken starten und Sicherheitseinstellungen umgehen koennen.


1) Mozilla und Firefox pruefen zwar ein Bild anhand des "Content-Type" HTTP Header. Beim Speichern mit Drag’n’Drop nutzen sie jedoch die Dateierweiterung der URL. Dadurch kann dem Benutzer statt eines Bildes eine ausfuehrbare Datei beim Drag’n’Drop untergeschoben werden.


2) Beim Drag’n’Drop einer Javascript-URL in ein anderes Browserfenster kann beliebigen HTML- und Script-Code im Kontext einer beliebigen Seite ausgefuehrt werden.


3) Ein Fehler beim Laden von URI-Handlers via Plugins kann genutzt werden, um auf abgesicherte Seiten wie „about:config“ zu verlinken. Dadurch kann ein Benutzer zum Aendern der Sicherheitseinstellungen verleitet werden.


Die Sicherheitsluecken sind bestaetigt fuer Mozilla 1.7.5 und Firefox 1.0.
Andere Versionen koennten jedoch ebenfalls betroffen sein.

Eric Johanson meldet eine Schwachstelle in Mozilla / Firefox /Camino, ueber die eine Website die angezeigte URL, SSL-Zertifikate und die Statusanzeige beliebig veraendern kann. Das Problem beruht auf einem unbeabsichtigtem Ergebnis der IDN (International Domain Name) Implementation, die fuer internationale Zeichen in Domain-Namen zustaendig ist. Dies kann der Angreifer ausnutzen, indem er spezielle Domainnamen benutzt, die dann in vertrauenswuerdige Namen umgewandelt werden.


Secunia stellt einen Test bereit, mit dem Sie ueberpruefen koennen ob, Ihr Browser betroffen ist: http://secunia.com/multiple_browsers_idn_spoofing_test/


The issue ist bestaetigt fuer die Mozilla 1.7.5 and Firefox 1.0. Andere Versionen koennten jedoch ebenfalls betroffen sein.

Eine Schwachstelle in Mozilla und Mozilla Firefox laesst sich nutzen, um Benutzer zu bestimmten Aktionen zu veranlassen.


Das Problem sind Pop-Up-Fenster, die andere Dialoge ueberlappen koennen. Damit lassen sich beispielsweise Informationen oder Sicherheitsdialoge vor Nutzern verbergen. 


Ein Ausnutzen der Luecke kommt allerdings mehr oder weniger auf das genutzte Windows Desktop Theme an.


Die Luecke ist fuer Mozilla Firefox 1.0 und Mozilla 1.7.5 unter Windows bestaetigt.

etc...

Ehrlich gesagt finde ich das schon etwas "schwach", auf der einen Seite zu betonen, wie schnell "fehler" doch behoben werden würden, und auf der anderen Seite ist man dann doch nicht besser als eine große US-Amerikanische Firma, die wenigstens ab und zu mal einen Patch zur verfügung stellt.

Erst nach ca. 4-5 Monaten eine neue Version rauszubringen, ist von "besser/schneller sein als die anderen" aber ziemlich weit entfernt.....

Hallo,

einige werden jetzt sicherlich sagen "Wie, erster Post und gleich sowas..", aber diese Personen sollten erst mal fertig lesen, und darüber nachdenken.

Problem: In den Medien etc. wird immer davon geschwärmt, wie sicher FireFox und Thunderbird doch währen. Ok, das dachten auch unsere Chefs, und haben mich damit beauftragt, in der Firma zumindest auf Firefox umzustellen. Soweit sogut.

Nur leider bekomme ich mittlerweile fast jeden Tag von einem der Chefs besuch, wo dieser mal wieder einen Security Newsletter erhalten hat ( ich habe die selben), in welchen von sicherheitslücken im Firefox die rede sind.

Das währe soweit ja noch kein problem.

Zu meinem bedauern muss ich aber leider feststellen, das bisher keine "Updates" erschienen sind. Es gibt zwar "nightly" versionen, aber von denen wird ja zu recht in Produktiv Umgebungen abgeraten. Außerdem ist es mir zwar im Prinzip egal, ob mein FF Englisch ist, aber einige unserer Mitarbeiter kommen mit einer Version in ihrer jeweiligen Muttersprache besser zurecht.

So, mein Problem ist jetzt also, was ist zu tun? Woher bekomme ich "Patches", wie es bei anderen OSS Projekten üblich ist, um die "Sicherheitslücken" zu beheben. Habe diesbezüglich leider noch nichts gefunden.

Welche möglichkeiten gibt es da jetzt, um das möglichst "Mitarbeiter" freundlich upzudaten bzw. woher bekommt man die Updates erst mal, und sind diese dann auch Sprachunabhängig?