Beiträge von bugcatcher

css-validator

Bei http://www.clipinc.de ist der Sound im Flashfile enthalten. Oben Rechts ist ein Lautsprecher-Symbol. Das muss du einfach nach links "ziehen", damit der Sound leiser wird und schlussendlich ganz verstummt.

Bei der anderen Seite hilft nur Adblock.

Mikx meldet drei Schwachstellen in Mozilla und Firefox, ueber die Angreifer Schadsoftware auf dem attackierten Systemeinschleusen, Cross Site Attacken starten und Sicherheitseinstellungen umgehen koennen.


1) Mozilla und Firefox pruefen zwar ein Bild anhand des "Content-Type" HTTP Header. Beim Speichern mit Drag’n’Drop nutzen sie jedoch die Dateierweiterung der URL. Dadurch kann dem Benutzer statt eines Bildes eine ausfuehrbare Datei beim Drag’n’Drop untergeschoben werden.


2) Beim Drag’n’Drop einer Javascript-URL in ein anderes Browserfenster kann beliebigen HTML- und Script-Code im Kontext einer beliebigen Seite ausgefuehrt werden.


3) Ein Fehler beim Laden von URI-Handlers via Plugins kann genutzt werden, um auf abgesicherte Seiten wie „about:config“ zu verlinken. Dadurch kann ein Benutzer zum Aendern der Sicherheitseinstellungen verleitet werden.


Die Sicherheitsluecken sind bestaetigt fuer Mozilla 1.7.5 und Firefox 1.0.
Andere Versionen koennten jedoch ebenfalls betroffen sein.

1.) Noch sind keinerlei Bilder aufgetaucht, die diese Lücke ausnutzen würden. Solange es diese nicht gibt, ist es weit weniger schlimm als man denken mag. Zumal das "Firedragging" eine äusserst seltene Aktion ist. Ich hab bis noch niemanden sowas mal machen lassen. Und dann muss er natürlich noch das passende Bild "firedragen". Insofern würde ich das auch nicht als kritisch einstufen. Und was nicht kritisch ist, kann ruhig beim nächsten Versionssprung behoben werden. Und wer sich unsicher fühlt, kann gerne eine nightly benutzen.

2.) Javascript-Links taugen eh nie zum Dragen ins neue Fenster. Und macht auch eigendlich keiner, weil ein mittlerer mausklick für ein neues tab reicht. Ist zudem immernoch nichts was direkt zugriff auf irgendwelche Systeminforationen/Resourcen erlaubt. Würde man den preparierten link normal anklicken, käme nur müll bei rum. halte ich auch für wenig kritisch.

3.) das ist wohl schon ein sehr ärgerliches problem. aber nicht primär der fehler vom firefox. die erweiterung "spoofstick" ist als hilfe sehr nützlich: http://www.extensionsmirror.nl/index.php?showtopic=258

Eric Johanson meldet eine Schwachstelle in Mozilla / Firefox /Camino, ueber die eine Website die angezeigte URL, SSL-Zertifikate und die Statusanzeige beliebig veraendern kann. Das Problem beruht auf einem unbeabsichtigtem Ergebnis der IDN (International Domain Name) Implementation, die fuer internationale Zeichen in Domain-Namen zustaendig ist. Dies kann der Angreifer ausnutzen, indem er spezielle Domainnamen benutzt, die dann in vertrauenswuerdige Namen umgewandelt werden.


Secunia stellt einen Test bereit, mit dem Sie ueberpruefen koennen ob, Ihr Browser betroffen ist: http://secunia.com/multiple_browsers_idn_spoofing_test/


The issue ist bestaetigt fuer die Mozilla 1.7.5 and Firefox 1.0. Andere Versionen koennten jedoch ebenfalls betroffen sein.

Nochmal wie punkt 3.

Eine Schwachstelle in Mozilla und Mozilla Firefox laesst sich nutzen, um Benutzer zu bestimmten Aktionen zu veranlassen.


Das Problem sind Pop-Up-Fenster, die andere Dialoge ueberlappen koennen. Damit lassen sich beispielsweise Informationen oder Sicherheitsdialoge vor Nutzern verbergen. 


Ein Ausnutzen der Luecke kommt allerdings mehr oder weniger auf das genutzte Windows Desktop Theme an.


Die Luecke ist fuer Mozilla Firefox 1.0 und Mozilla 1.7.5 unter Windows bestaetigt.

Ganz ehrlich? Wie willst du das verhindern? Wer nicht erkennt, dass da 2 fenster in der taskleiste baumeln, sollte vielleicht doch lieber die finger von rechnern lassen. Alternativ: deaktiviere Javascript! Das ist keine Sicherheitslücke. Das ist dämlichkeit des Benutzers. Und sorry. Firefox ist ein Browser und nicht das Gehirn des Anwenders. Er ist ein Werkzeug und keine Versicherung.

Wenn du denkst alles was da so theoretisch als sicherheitslücke dienen könnte, wäre kritisch, dann solltest du evtl. die leute nichtmehr ins netz lassen. irgendwo hört die vorsicht auf und beginnt der wahnsinn. mag du jetzt nicht gerne hören, ist aber so. wenn man alles als kritisch einstuft, dann muss im netz nahezu alles verboten werden. je mehr du die leute mit warnmeldungen, "pseudokritischen" sicherheitsupdates und ähnlichen sachen nervst, des do weniger sensibel reagieren sie drauf.... "Noch eines? keine lust." .... und klicken "ja", "ja", "ja", egal was da kommt.

wenn du der sicherheitspolitik von mozilla nicht traust, nehm halt einen anderen browser. gibt doch genug. wenn du besser weisst, was kritisch ist als fachleute (z.B. http://secunia.com/product/4227/), solltest du evtl. eigene produkte entwickeln, die deinen sicherheitsansprüchen eher ensprechen. du kannst problemlos dir selbst einen firefox kompilieren, inkusive deuscher sprache und nightly-patches. liegt alles bei mozilla für jeden bereit, wenns wem nicht schnell genug geht.

kritische löscher wurden bei mozilla jedenfalls immer schnell geflickt.

was ich viel "schwächer" finde, als die mozilla-sicherheitspolitik, ist dass es leute gibt, die alles besser wissen und die an ein gänzlich kostenloses produkt, das in der beanstandeten disziplin besser abschneidet als jedes andere, auch noch ansprüche stellt. *kopfschüttel*

PS: Durch das dragen der vermeintlichen grafik selber entsteht auch noch kein schaden, sprich: der tank explodiert nicht. und ein Mercedes ist auch eine andere preisklasse als "kostenlos".

Zitat von juergenz

eben habe ich eine Webseite mit FF 1.0 nicht aufrufen können, die ich mit dem alten Netscape 4.78 und dem Internet-Explorer problemlos lesen konnte.

Welche? Adresse?

Zitat von juergenz

Die spontane Installation von Netscape 7.1 auf einem Testrechner zeigte, daß damit die Seite ebenfalls nicht angezeigt werden konnte.

Netscape7 und Firefox basieren beide auf der GeckoLayoutEngine von Mozilla. Insofern zeigen beide die Seiten gleich an.

Zitat von juergenz

Ein "DV-Weiser" in unserer Einrichtung erklärte hierzu, daß Firefox keine "PHP4-Navigation" beherrsche.... :shock:

Wer immer das behauptet, ist völlig inkompetent.

PHP ist eine Serverseitige Scriptsprache, die auf dem Server ausgeführt wird und dem Browser normale Html-Dateien liefert. Du kannst PHP garnicht im Browser installieren (würde auch nicht helfen, da Server dir die PHP-Scripte garnicht schicken).

Vermutlich ist die Seite "veraltet" und ein Javascript (hat nichts mit Java zu tun) spricht ein Veraltetes Objektmodell an, anstatt dem WebStandard zu folgen.

Es hilft mit unter den Seitenbetreiber auf den Misstand hinzuweisen, damit dieser das Script anpasst.

http://bookmarkshome.mozdev.org/ ?

Dann sind alle meine IEs und Geckos wohl auf unfragmentierten Bereichen meiner Platte gelandet, wärend die Operas allesammt doof liegen. ; )

Ich kann auch bei der Moox-Version keinen geschwindigkeitsvorteil erkennen. Liegt wohl an meinem Prozessor (Athlon Classic). Da ist nicht viel zu optimieren.

Ansonsten ist IE bei DHTML-Dingen immernoch das Mass aller Dinge, wärend Opera mit der Verion 7.5 die Geckobrowser von platz 2 auf Platz 3 verdrängt hat (Geckobrowser sind eh nie "schnell". Höchstens auf echt leistungsstarken Rechnern).

Aber so werte, dass Opera doppelt so schnell wie Firefox sein soll, kann ich nirgends erkennen. Allerdings kann es daran liegen, dass ich doppelt soviel speicher hab, wie das angegebene Testsystem, dass meine Gecko-Werte nicht arg zu schlecht sind.... naja.

Von diesen Benchmarkberichten halte ich nicht viel. Dafür gibt es zuviele Faktoren, die da mit einfliessen und nicht berücksichtigt werden können, aber müssten.

Opera 8.0 - 3.66 sek (Cold start) kann ich überhaupt nicht bestätigen. Das ist der Browser der bei mir die längste Zeit braucht zu starten. Und zwar mit mehr als 30 sek. Die Vorgänger starten allesammt schneller. Kann aber auch an der Beta liegen. Trotzdem. Die Operabrowser sind im Starten bei mir nicht unbedingt die schnellsten. Da sind IE und Mozilla immer schneller.

"ins neue profil" ... sprich, du hast ein neues angelegt?

wenn firefox abstürzt, sich aber nicht ganz beendet (der prozess ist also noch am laufen), bleibt das benutzte profil "versiegelt", bis man den prozess von hand beendet (über taskmanager->prozesse->firefox.exe, bei win9x/ME entweder über ein anderes tool, oder rechner rebooten). will man einen "2." firefox starten, bekommt man den profilmanager angeboten. wenn du da ein neues profil angelegt hast, hat dieses neu profil natürlich nichtmehr die einstellungen des alten profils.

ich würde empfehlen den profilmanager zu starten und das (falls vorhanden) alte profil wieder zum standard-profil zu machen.

Wie man den profilmanager von hand startet:
http://mozilla.bric.de/wiki/index.php/Profilordner

Ansonsten mal diese Erweiterung versuchen:
http://www.pikey.me.uk/mozilla/?extension=bb

Und sonst? Nun. Vielleicht mal ein wenig weniger "emozional" auftreten. Es interessiert hier keine sau, ob du zum IE zurück willst, oder warum. Auch können wir nichts dafür. Hier sitzt kein einziger Entwickler vom Firefox. Nur User helfen User. Wenn du deinen frust irgendwo abladen willst, bist du hier falsch. wenn du hilfe suchst, bist du hier richtig. aber ein passendes mass an Ausdruck sollte schon gewahrt werden. danke.

Manchmal reicht auch einfach den cache mal zu leeren.

Mit den Image-Krempel kenn ich mich nicht sonderlich aus, da ich ja selber nie eins brauche (wenn mein system nach einem jahr den bach runtergeht, nutze ich das immer zur runderneuerung). da müsste man mir schon was empfehlen.

Naja. Ich hab meiner mutter jetzt erstmal nur eingeschränkte Rechte gegeben und sichergestellt, dass der IE nixmehr darf/kann. Hoffen wir es hilft. Ansonsten bekommt meine Mutter beim nächsten mal ein XP ohne IE installiert. Das wollte ich eh schon immer mal ausprobieren (ich selber brauch IE ja...).

Ich hab aber null interesse mich wieder 1,5 Tage hinzusetzen (jetzt war es zwar immernoch ein halber Tag, aber nur 1/3 der eigendlich Zeit).

So. System scheint sauber zu sein. Oder zumindest "sauber genug".

Hatte das Vieh als Wurzel allen übels finden und wohl auch entfernen können. System ist auch merklich schneller geworden. Auch surfen geht wieder flott.
http://www.neuber.com/taskmanager/de…istsvc.exe.html
http://www.chip.de/forum/thread.html?bwthreadid=762276

Nochmal Danke für alle Tipps!

Obwohl ich von dem Krempel keine wirkliche Ahnung habe (weil ich mir ja nie was eingefangen habe), schein ich im Entfernen ganz brauchbar zu sein. *mal stolz auf sich ist*

Mal schauen, wie lange das hält.

Naja. Wenn das system nach einem jahr schrottet, ist alle software eh veraltet. Da hilft ein image nur ein veraltetes system auszusetzen. und updates per modem? das wird teuer. ; )

So. Bin weg. Wünscht mir viel glück und danke für die tipps!

Ähm. MacOS hat doch eine völlig andere Hardwareumgebung? Das auf einem PC zum laufen zu bekommen, sollte sehr schwer werden. Und eine LiveCD noch viel schwieriger.

Zitat von 2_of_omega

Verschlüsselt nützt mir leider der Ordner nicht viel, und unverschlüsselt durch den Befehl habe ich wieder das gleiche Problem wie zuvor, ich müsste alle Dateien "einzeln" speichern, da es keine Explorer/Browserfunktion gibt die dies erleichtert.
[...]
Das genaue Problem ist, ich bin in einer Grafik Community wo viele ihre Werke vorstellen, wo man selbst vieles Mitnehmen zu wünscht da man nicht dauer internetangebunden ist.

Also eine Möglichkeit den verschlüsselten Cache zu öffnen, wie es beim IE der Fall ist, gibt es meines Wissens nach nicht.

Aber wenn du gerne Bilder sammeln willst.... dann hilft dir vielleicht das hier:
http://www.extensionsmirror.nl/index.php?showtopic=678

Warum benutzt du überhaupt Taskbalken? Firefox kann doch tabbrowsering.... *kopfschüttel*

Wenn Du WinXP/2k benutzt ist ein entfernen im laufenden Betreib garnicht möglich (wenn es auch möglichkeiten gibt Windows ohne IE zu installieren). Das was man so von überall als deinstallation angeboten bekommt ist mehr kosmetisch, als gründlich. Ausserdem empfehle ich sowas auch nicht, da viele Programme ohne IE garnicht laufen, da sie sich an ihm bedienen.

Stell den IE einfach auf höchste sicherheitsstufe und deaktiviere alle scriptbaren dinge (activeX!). Das sollte reichen.

Nö.

(Schonmal daran gedacht, dass es über nichtextistierende Probleme auch nur nichtexistirende Texte/Berichte gibt?)

Kannst Dir ja selbst ein Bild machen:
http://www.mozilla.org/security/
http://www.mozilla.org/projects/secur…rabilities.html
https://bugzilla.mozilla.org/

Diesemal werde ich bei der Rechtevergabe aber mehr Einschränkungen machen. Ich selber bin zwar immer als Administrator unterwegs, aber normaluser muss man echt beschneiden. Ich könnte mich immernoch dafür geisseln. *grrr*

Es taugen eh nur die HardwareFirewalls was. Die Desktop-Firewall installiere ich nur um die installieren Programme zu kontrollieren.

Auch. Schliesslich benutzen genügent Programme den IE zum einbetten. Also muss IE "immunisiert" werden. Aber mit immunisieren meine ich auch z.B. das deaktivieren überflüssiger Dienste, die nur angriffspunkte, also sicherheitsrisiken darstellen. Da gibts genug zu tun. Kannst du mir glauben.