Beiträge von Oliver222

user983475934 fragte:

Zitat

Um sicherer im Internet zu sein, habe ich versucht, meinen Firefox Browser nur noch mit eingeschränkten Rechten zu starten.[...]

Sicherer im I-Net bist Du genau dann, wenn Du aufpasst. Sofern Du den FF jedoch in Bezug auf seine "Rechte" hin "kastrierst", wirst Du - meiner Ansicht nach - keinen wirklichen Sicherheitsvorteil erwirken können, sofern Du nicht auch Dein zugrundeliegendes Windows-Konto mit einschränkst. Es gibt dabei eigentlich bloss zwei Möglichkeiten:

a.Du bist als Admin am Windows-System angemeldet (Deine jetzige Konfiguration) und möchtest bloss den FF bezüglich seiner Ausführungen hin einschränken - dabei jedoch weiterhin als Admin am Windows-System angemeldet bleiben? (Gilt definitiv als Unsicher, denn der (eigentlich ja eingeschränkte) FF kann somit dennoch potentiell die Sicherheit des ungeschützten Systems gefährden)!!!

b.Du bist als eingeschränkter Benutzer am Windows-System angemeldet und möchtest dem FF jedoch einzelne Admin-Rechte bezüglich seiner Ausführungen einräumen. (Solche einzelnen RunAs-Verfügungen gelten i.d.R. als wesentlich sicherer in Bezug auf mögliche Systemkompromittierungen)!!!

Nocheinmal: Das zugrundeliegende (OS) (also in Deinem Falle das Windows-System), sollte auf jeden Fall für Dich mit eingeschränkten Benutzer-Rechten abgesichert werden. Dagegen gilt dies nicht unbedingt für den Firefox (über Profile), da dieser ja bloss auf dem (hoffentlich bereits abgesicherten) Betriebssystem selber "aufsetzt" und somit über z.B. mögliche "Integer-Overflows" keinen Schaden mehr an der Basis anrichten könnte - und genau darum geht es ja.

user983475934 fragte:

Zitat

[...]Klicke ich dann auf die Verknüpfung, so kommt ein Fenster mit erweiterten Ausführeigenschaften.[...]Klicke ich dann auf o.k. tut sich nichts[...]

Das Problem könnte bei Dir u.A. in den EXE-Verknüpfungen (Open / "exefile\shell") der Windows-Registry selber liegen.

Zitat

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\exefile\shell\open]
"EditFlags"=hex:00,00,00,00
@=""

[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"

Importiere die obigen Zeilen in eine beliebige Textdatei und speichere diese dann im Anschluss unter der Endung *.reg ab. Danach die neu entstandene Reg-Datei durch Doppelklick in die Windows-Registry einspeisen und anschliessend das System Neustarten. Melde Dich nochmal zurück...

Oliver

hac004 stellte Folgendes dar:

Zitat

[...]Jeder der an einen z.Z. noch geöffneten FF geht, kann bei einigen Banken vorher bearbeitete Daten auslesen.[...]

Was für eine naive Darstellung.

Deiner Argumentation nach folgend, müsste dann ja Dein obig genannter Umstand somit auch für andere Browser genausogut gelten müssen. Also Browser, welche sich in einem noch sog. aktuellen session-active - Zustand befinden. Nur - was hat Dein obiges Argument dabei mit dem FF im Speziellen zu tun?

Sofern Du bezüglich solcher finanzieller Online-Transaktionen mit grösseren Geld-Beträgen in der Verantwortung stehen solltest, greife besser auf eine lokale Online-Banking-Software zurück, wie z.B. das frei verfügbare Hibiscus 1.6 - System (auf Java 1.4 fussend) oder alternativ dazu, auf Star-Money. Bei solchen Online-Banking-Programmen werden finanzielle Transaktionen bereits schon systemnah verschlüsselt (wichtig!!!). Desweiteren werden über solche Banking-Programme zeitgerichtete Timeouts (Zeitverfügungen) der Transaktionen selber ermöglicht. Darüberhinaus untersteht der vertrauliche Zahlungsverkehr einer relative Laufzeitumgebung, welche den Einsatz auf verschiedenen Systemen, unter Berücksichtigung von Sicherheitsmassnahmen (z.B. über verschlüsselte USB-Sticks) erst ermöglicht. Desweiteren existiert im kommerziellen Online-Zahlungsverkehr durch solche OB-Programme eine proprietäre (eigene) Schnittstellenspezifikation zur vertraulichen Datenfernübertragung (EBICS) (und zwar unabhängig vom HTTP-Protokoll) zwischen Kunde und dem entsprechenden Kreditinstitut.

Das alles hat bloss mit dem jeweilig eingesetzten Browser nichts mehr zu tun, sondern geht weit darüber hinaus...

hac004 protestierte in Folge:

Zitat

[...]dass sich Leute bemüssigt fühlen irgendwelche überflüssige Ausreden und Schuldzuweisungen zu erfinden, sowie Banking-User für unfähig darzustellen. Wenn jeder alles richtig machte gäbe es keine Probleme...[...]

Easy - wir versuchen hier bloss zu helfen. Auch Dir. Hier gibt es einige verdammt fähige Leute. Die "Ansprache" kann dabei schon mal etwas "ruppig" werden. Auch von Dir wird dabei etwas "gefordert".

Was Deine obig genannten "Schuldzuweisungen" angehen: Der FF, sowie andere Browser auch, stehen - meiner Ansicht nach - und zwar in Bezug ihres HTTP-Protokolls in keiner Relation zur der Verantwortung des abzusichernden Online-Zahlungsverkehrs, welchen Du ja unter allen möglichen Sicherheitsaspekten für Dich erwirken möchtest. Dafür benötigst Du - nach meiner Meinung - separate (teilweise kostenlose) Programme.

Sofern Du Deine vertraulichen Online-Transaktionen innerhalb so eines Web-Interfaces (Online-Auftritts) Deiner Bank selber abwickelst, gilt - nach meinen bisherigen Informationen - bezüglich des Übermittlungswegs ein Haftungsausschluss seitens der Online-Institute. Das Übermittlungs- und Verlustrisiko trägt bei Daten, welche auf dem Übermittlungsweg durch dem System innewohnende Störungen verloren gehen oder verfälscht werden, daher grundsätzlich der Anwender. (Ausser Du bist vielleicht diesbezüglich vorversichert ;)).

Oliver

http://de.wikipedia.org/wiki/Electroni…cation_Standard
http://www.bsi.de/literat/forumkes/kes0307.pdf
http://www.presseanzeiger.de/meldungen/it-c…rnet/260925.php
http://www.reiner-sct.com/aus_fuer_hacke…ienkampagne.pdf

brunadi stellte Folgendes dar:

Zitat

[...]Das Problem mit dem Zurückbutton habe ich eben meiner Bank mitgeteilt.
Mit Opera und IE gibt es das nicht.

Sicher? Ist es nicht eine "Einstellungssache". Werden bezüglich Deiner Browser-Konfiguration vielleicht vertrauenswürdige Formulardaten automatisch erneut übertragen? Hattest Du die Default-Konfigurationen Deiner jeweilig eingesetzten Browser (Opera, IE, etc.) einmal genau überprüft? Bei mir funktioniert das sog. SSL-Reverse-Caching solcher vertrauenswürdigen Seiten unter Opera hervorragend, sofern keine Formulardaten und Passwörter automatisch gespeichert und somit erneut in solche vertrauenswürdigen HTTPS-Formulare eingespeist werden können. Was soll Dir so eine Bank denn auf Deine Anfrage hin antworten?

brunadi erklärte daraufhin noch Folgendes:

Zitat

[...]Nach Drücken der Zurücktaste bin ich zwar auf der vorigen (eingeloggten Seite) bin aber nicht eingeloggt und kann dort auch nichts tätigen.

Womit Du Deine obige Aussage bereits selber ausser Kraft gesetzt hattest.

Es wird - in Bezug auf Online-Banking - u.A. auch stets eine "aktive" Teilnahme (bzw. ein gewisser Kenntnisstand) von Dir selber erwartet. Was die mögliche Verantwortung solcher anonymen und finanziellen Transaktionen angeht, so kannst Du - meiner Ansicht nach - nicht immer auf Vermögen oder Unvermögen Deines Online-Institutes "abstellen", sondern Du selber bist gefordert, notwendige Sicherheitsmassnahmen auf Deinem Endgerät bereit zu stellen.

Oliver

http://www.bankenverband.de/index.asp?channel=161010
http://www.techbanger.de/2008/08/18/bsi…internetnutzer/

G. Hulk stellte Folgendes dar:

Zitat

Klar, wer sicher surfen will, verwendet einen Firefox, und keinen IE, ist ja selbstverständlich.

Da sei Dir mal nicht ganz so sicher...

G. Hulk erklärte Folgendes:

Zitat

Bedienung wie Torpark, muss nicht installiert werden...[...]

Die Bedienung nicht - jedoch der lokale Proxy (i.d.F. Privoxy) incl. der entsp. Browserkonfiguration. (Paket-Installation). Der Browser muss daher zuerst auf den Proxy hin konfiguriert werden (zur Auslese der übertragenen Headerdaten), welcher wiederum dann erst im Anschluss auf das TOR-Netzwerk zugreifen kann. Das alles ist bereits bekannt...

G. Hulk sagte:

Zitat

[...]Für die Mehrheit nützlich sind Adblock Plus, NoScript, CS-Lite, Distrust und [b]IP-Verschleierung[...]

Sind sie das wirklich - oder bloss für Dich? Von welcher "Mehrheit" sprichst Du dabei?

Es gibt - meiner Ansicht nach - definitiv eine "Mehrheit", welche die IP-Verschleierung noch nötiger hat als Du und ich. Diese Mehrheit an Nutzern befindet sich jedoch nicht in den europäisch geführten Ländern. Eben solche Anwender, welche sich in den sog. "Developing Nations" befinden müssen, können daher genau über eine solche anonymisierbare und dezentrale Lastverteilung im Netzwerk das "Multiplexen" der Informations-Ressourcen ausnutzen, um so einen Stau im Datenverkehr zu vermeiden um somit an Informationen zu gelangen, welche für uns als selbstverständlich gelten. Die somit anonymisierbaren und verfügbaren Ressourcen sind per dezentraler Lastverteilung leider immer noch weltweit begrenzt. Sofern allerdings die Mehrheit der unbedarften FF-Nutzer automatisch über solche anonymisierende Netzwerke surfen würde (per FF-Standard-Konfiguration, was Du ja vorschlugst), würden solche zur Verfügung stehenden Kapazitäten, für die wirklich Bedürftigen, somit in Folge nicht mehr ausreichend zur Verfügung stehen können.

G. Hulk erklärte dann noch Folgendes:

Zitat

[...]Bei Cookies herrscht eine unzureichende Informationspolitik. Die meisten Leute erschrecken, wenn man ihnen zeigt, dass alle gesehenen Videos praktisch für immer in den Anwendungsdaten versteckt auf Ihrer Festplatte gespeichert werden[...]

Quatschkram - Hier verwechselst Du scheinbar Äpfel mit Birnen. Was haben denn Cookies mit temporär abgelegten und somit unalloziierten (nicht verknüpften) Historie-Daten (i.d.F. Videos) auf dem Datenträger zu tun? Cookies können allenfalls auf bereits genutzte Informationen (Daten) verweisen - beinhalten jedoch keine solche. Sofern Du mit Cookies arbeiten "musst", hinterlässt Du stets auch Verweise auf abgerufene (Deine) Daten, und zwar unabhängig vom eingesetzten Browser. Arbeite Dich bitte erst einmal in die Materie ein, bevor Du hier Halbwissen mit idealistischer Phantasie vermengst...

Oliver

a.XPI-Erweiterung als ZIP-Archiv oder sogar als EXE-Datei?

b.Ein Trojaner, welcher dann über JS(?) im Browser-Kontext operiert?

c.Wird im Anschluss ein (versteckter) Dienst auf dem System aktiviert?

d.22 KB "Payload" und bringt scheinbar auch noch eine eigene Namensauflösungroutine mit?

Die wahren technischen Details dieser (möglichen) Kompromittierung werden dabei nirgendwo genau erwähnt. BitDefender rät dabei zur Installation seiner Software (Update).

Ahnungslose Anwender lassen sich - meiner Ansicht nach - gerade durch solche (angeblich seriösen) Meldungen der Online-Tagespresse gerade dazu verleiten, wie auch immer gearteten V-Scannern (i.d.F. Bitdefender) somit zu vertrauen. Der Markt dafür ist vorhanden...

Wie war das noch mit der Propaganda? Kommunikationsnetzwerke waren schon immer politische (wirtschaftliche) Instrumente. Ein Hoch auf die ungetrübte Informationsfreiheit...

Oliver

StefanE fragte:

Zitat

[...]Ich denke, dass (Rückhalten von FF-Formulardaten) ist eine große Sicherheitslücke.[...]

Bevor Du hier leichtfertigerweise FF-Sicherheitslücken "heraustust", solltest Du Dir erst einmal Gedanken über Deine Systemsicherheit im Allgemeinen und darüberhinaus auch Gedanken über das Online-Banking im Speziellen machen. Nur Du selber stehst gegenüber finanziellen Transaktionen, welche unabhängig des eingesetzten Browsers über Dein lokales System geführt werden - und zwar in Bezug auf Missbrauch - alleine auch in der Verantwortung.

Bei einem bereits im Vorfeld durch Malware kompromittierten System, könnte Dir kein z.Z verfügbarer Browser Sicherheit in Bezug auf vertrauliche Transaktionen bieten.

Online-Banking ist definitiv kein Spielkram mehr und hat - meiner Ansicht nach - somit auch nichts mehr mit dem besseren oder schlechteren Browser zu tun, sondern alleine mit der Verantwortung, mit welcher Du Deiner Online-Bank dabei über das (abgesicherte) HTTP-Protokoll entgegen treten kannst. Technisch gesehen geht es dabei darum, vertrauliche Eingabedaten weitgehendst vom (kompromittierbaren) System getrennt zu halten und diese somit über externe Hardware zu vermitteln. (z.B. über Kartenleser (HBCI) Eingabegeräte / Fin-TS, etc.).

Dennoch - auch Designfehler im Webauftritt von Banken gefährden - meiner Ansicht nach - nicht nur erfahrene Nutzer, sondern untergraben darüberhinaus auch das Vertrauen in ein u.U. zukunftsträchtiges Geschäftsmodell...

Oliver

brunadi erfragte:

Zitat

[...]Was hat es mit diesen (Tracking)-Cookies auf sich?

Das hättest Du eigentlich bereits selber in Erfahrung bringen können...

Tracking-Cookies stellen definitiv keine Spyware selber dar. Sie übermitteln definitiv keine Informationen, sondern sie erlauben allenfalls - auf Basis von textbasierten Inhalten - lokal oder über wie auch immer geartete Webseiten - auf sich selber zurückgreifen zulassen. Es werden somit keine vertraulichen Daten übermittelt, da solche T-Cookie-Daten auf Deinem System nur abrufbar abgelegt (zum möglichen Abruf bereitgestellt) werden. Sie (diese Cookies) können dennoch lokal vertrauliche und somit verwertbare Informationen enthalten, über welche Du dann in Folge "anonym" identifizierbar wärest. Die Bequemlichkeit der Wiedererkennung durch diverse Webseiten eben über solche Tracking-Cookies, steht somit selbst dem anonymen Datenschutz - meiner Ansicht nach - schon eher entgegen...

boardraider antwortete im Kontext der Diskussion Folgendes:

Zitat

[...]Grundsätzlich reicht es Cookies generell zu sperren und nur selektiv Ausnahmen zuzulassen, wo sie benötigt werden. Dann braucht man sich auch wegen irgendwelcher Cookies keine Gedanken mehr machen.

Meiner Ansicht nach - ganz genau richtig...

Cookies sind darüberhinaus auch separat einlesbar. (somit selektiv Kontrollierbar).

[OT]Ohne hier klugscheissen zu wollen - Enthalten Cookies jedoch Deine personenbezogenen Daten (also z.B. Deine feste (geloggte) Maschinen (IP)-Adresse, bzw. Deine in der Vergangenheit bereits pers. angegebenen Daten, etc.) ist ihre Verwendung (also die Cookie-Verwendung) somit im Hinblick auf die restriktive Datenschutzregelungen des TDDSG (Teledienstedatenschutzgesetzes) in Deutschland problematisch. Nach § 3 Abs. 1 TDDSG dürften solche personenbezogenen Daten zur Nutzung von Tele-Mediendiensten - nach mittlerweile EU-Recht - somit nur "erhoben"; "verarbeitet" und "genutzt" werden, sofern Du - im Vorfeld - wirksam eingewilligt hattest oder ein gesetzlicher "Erlaubnistatbestand" (jur. Ausnahme auf Basis eines ausserordentlichen richterlichen Vorbehalts) für die weitere Verwertung solcher Informationen vorläge - was i.d.R. jedoch eher selten der Fall sein wird.

Also alles nichts Neues...

Oliver

https://123-recht.de/article.asp?a=103&p=4&ccheck=1
http://www.internetrecht-rostock.de/SCheck/Datenschutz.htm
http://www.uni-muenster.de/Jura.itm/hoere…t_Maerz2008.pdf (S.435-438 f.F.).

Fred Lumaho stellte das Folgende dar:

Zitat

[...]Der Witz ist, dass wenn ich das Zertifikat der nicht geöffneten Seite (weil Sicherheitszertifikat ungültig) herunterlade und damit zu den Ausnahmen hinzufügen will(,) ich die dämliche Antwort bekomme, dass das Zertifikat gültig sei und es keinen Grund gäbe, es zu den Ausnahmen hinzuzufügen.

"Ausnahme definieren" (FF3 links unten). Daraufhin müssten solche Web-Seiten - unabhängig vom OS - "sichtbar" werden. Dein Problem wurde hier (und woanders auch), bereits schon hingebungsvoll ausdiskutiert. Keinem Zertifikat lässt sich dabei wirklich trauen...

Gilt auf Deinem System - auf Basis des FF3´s - vielleicht eine verschlüsselte Kommunikation? Solche Seiten lassen sich - nach meinem Wissen - innerhalb der Browser-Optionen einzelnd definieren und somit auch ausschliessen. (Blacklisting).

[individueller Ausschluss (SSL):]

* Menüpunkt “Extras” klicken
* Reiter “Verschlüsselung” klicken
* Button “Zertifikate anzeigen” klicken
* Button “Ausnahme hinzufügen” klicken
* URL der betroffen Seite eingeben
* Button “Zertifikat herunterladen” klicken
* Button “Sicherheits-Ausnahmeregel bestätige” klicken
* Fertig!

Es gibt - nach meinen bisherigen Informationen - allerdings auch eine bereits bekannte allgemeine Einstellung, mit der man unter FF3 etwaige SSL-Ausnahmen einfacher abschalten kann. Dazu sollte man jedoch schon sehr genau verstanden haben, welches Sicherheitsrisiko man durch das Einspeisen unbekannter Zertifikate eingehen könnte, sofern sich solche SSL-Verifikationen nicht auf anderen Wege hin autorisieren lassen können. Platt ausgedrückt, geht es bei solchen Diskussionen - meiner Ansicht nach - nicht zuletzt auch um einen Haftungsausschluss (die Kapitalstellen der Zertifikatsaussteller) des FF´s gegenüber seinen (teilweise unerfahrenen) Anwendern selber - und zwar in Bezug auf die "Zertifikatsketten" und deren Abhängigkeiten (Derivate).

[globaler Ausschluss (SSL):]

- "about:config" oben in der URL-Adresszeile des Browsers eingeben.
- "browser.xul.error_pages.expert_bad_cert" eingeben und auf "true" setzen.
- "browser.ssl_override_behavior" dann abschliessend auf "2" setzen.

Oliver

http://kb.mozillazine.org/Browser.ssl_override_behavior
http://www.tu-harburg.de/rzt/it-sicherh…ertifikate.html

Simon1983 stellte Folgendes dar:

Zitat

BitDefender ist eine sehr gute Software, nur muss man sie auch bedienen können.

BitDefender ist bekannt für (übereifrige) False Positives (also Fehlmeldungen) - welche meiner Ansicht nach - auch für andere V-Scanner, und zwar auf gleicher Systembasis gelten.

Man mag es nicht öffentlich aussprechen, aber scheinbar verdient die AV-Branche an der zunehmenden Unwissenheit der Anwender immer noch Geld.

V-Scan beginnt zuerst im Kopf - dann erst auf dem System...

[OT]Seitdem der erste PC 1981 unter einer Glasskuppel an der Wall-Street vorgestellt wurde, beruht das gesamte PC-Konzept - meiner Ansicht nach - und zwar durch die Zeit hinweg - auf einer Geldmaschine, welche stets am sog. "Wissensgefälle" (Ahnungslosigkeit) der unbedarften Anwender profitieren konnte. Damit diese Anwender-PC-Systematik auch weiterhin noch funktionieren kann, braucht man - nach meiner Meinung - bloss noch günstigere Computer und somit auch noch mehr ahnungslose neue Anwender, welche dann (aus Unwissenheit heraus) wiederum den angeblich aktuellsten Virenscannern vertrauen müssen. Was für ein "perfekter" Umsatz. (Schneeball-System). Die "Unwissenheit" der Anwender hinkt somit der Geschwindigkeit der Industrie fast schon hinterher...

Oliver

BlackDragonE stellte Folgendes dar:

Zitat

Hab im I-net halt noch gefunden das der Port: 0.0.0.0 ein normaler Port ist und net bedrohlich ... weiß aber net ob das stimmt..

0.0.0.0 stellt definitiv keinen Port dar, sondern eine IP-Adresse, auf welcher dann erst ein wie auch immer gearteter Port aufgeschaltet werden kann.

IP: 0.0.0.0 ist die (Class A) Standard-Netzadresse für alle Rechner, welche irgendwo innerhalb eines geschlossenen privaten Netzwerkes existieren und somit für alle IP-Adressen (innerhalb so eines Netzwerkes) für z.B. Routing, gebunden sind.

"Horchende" Ports auf dieser Subnetz-Maske 0.0.0.0 sind somit harmlos.

a.Befindest Du Dich hinter einem Router?

a.1.Befindest Du Dich darüberhinaus innerhalb eines lokalen Netzwerkes?

a.2.Ist einer dieser lokalen Rechner mit einer eigenen Software-Firewall ausgestattet, welche diese Fehlermeldung produzierte?

b.Löst Ihr u.U. über einen "fehlerhaften" DHCP Service (Dynamic Host Configuration Protocol) innerhalb so eines Netzwerkes auf?

Oliver

http://support.microsoft.com/kb/822123
http://www.univie.ac.at/ZID/dhcp/

NFH hat Folgendes geschrieben:

Zitat

Na was diese Seite http://www.123people.at/ über einen weiß, so man denn die nötigen Infos preisgegeben hat, ist auch nicht von schlechten Eltern.[...]

Du hast es auf den Punkt gebracht:[...]so man denn die nötigen Infos bereits preisgegeben hat[...] Deine und somit auch andere bereits angebende Daten können in Folge im I-Net definitiv weiterverkauft werden, damit Du (und die Allgemeinheit), somit wiederum indirekt "Liebesfilme" oder ursprünglich "kostenpflichtige Software" kostenfrei herunterladen und auch nutzen können. (Kollektivprinzips des Internets).

Das heutige Internet könnte in der kommerziellen Form (Angebot / Nachfrage) - meiner Ansicht nach - sonst nicht mehr funktionieren. Das heutige Internet ist daher fast schon eher eine Geldmaschine geworden, welche auf "skalierbaren (Systemen) Mitgliedern" beruht, zu welchen Du bereits schon erfolgreich beiträgst.

Zielkonflikt: So viel wie nötig - so wenig wie möglich...

[OT]Gruss an Simon. Verschiebe doch mal die einzelnen Buchstaben Deines Avatars (HAL) um jeweils genau eine Instanz im Alphabet...

Oliver

olpo erklärte:

Zitat

Von SRware gibt es ein käufliches Programm, dass "alle Daten" verschleiert[...]

Dafür benötigst Du kein kommerzielles Programm. Gleicher Effekt lässt sich auch über die Konfiguration alternativer Browser (FF, K-Meleon, Opera) realisieren. Die nächste Stufe wäre dann allerdings ein lokaler Proxy, welcher solche vom Browser übertragenen Header-Daten herausfiltern, bzw. "verfälschen" kann. (Proxomitron, Privoxy, Squid, etc.).

SRWare Iron ist ein Browser, welcher auf Basis des freien Sourcecodes und unter dem Namen "Chromium" ins Netz gestellt wurde. Dieses (Google) Chrome-Derivat stellt - meiner Ansicht nach - daher "Billig-Metall" dar. Keine Client-ID, kein Timestamp, keine Vorschläge in der Adresszeile, keine alternativen Fehlerseiten, kein Senden von Absturzmeldungen, kein Updater und kein URL-Tracking, lassen sich bereits auch im IE schon abschalten. Hier geht es - meiner Ansicht nach - bloss um "billiges Marketing" (Bauernfängerei) und nicht um sinnvolle Datenschutz-Funktionen des Browsers selber...

Bugcatcher schrieb:

Zitat

Glaub mir, um raus zubekommen was Du für ein Betriebssystem benutzt, muss ein Angreifer nicht den Browser fragen. Der Browser muss nicht mal laufen. Ja, Du musst nicht mal was aktiv machen.

Wie sollte das denn Deiner Ansicht nach technisch funktionieren? Das TCP/IP-Protokoll erfordert immer auch eine dedizierte Anbindung an eine Gegenstelle (Empfangsprogramm) und zwar in Form einer "paketorientierten Datenübertragung", auf Basis der Anwendungsschicht.

Wenn ich Dich hier richtig verstanden habe, gehst Du vermutlich bereits schon davon aus, dass so ein separates Programm (ein staatlicher Sniffer) auf dem zu kontrollierenden Zielsystem bereits erfolgreich "eingebracht" wurde? Über das HTTP/UDP-Protokoll selber, wäre Deine hier geäusserte Darstellung, bezüglich eines abgesicherten Systems, technisch so nicht umsetzbar.

Oliver

WildRover fragte Folgendes:

Zitat

mir ist aufgefallen, dass bei Firefox beim Programmstart auf zwei beliebigen, beieinanderliegenden, eher unüblichen Ports auf einkommende TCP-Verbindungen gelauscht wird[...]

Problem ist bereits bekannt. Sowohl Firefox, als auch Thunderbird, usw., benötigen in einem "Nicht-Unix-System" eine sog. Loopback-Verbindung um "normal" unter Windows funktionieren zu können. Diese Loopback-Verbindungen sind variabel, darüberhinaus von außen nicht einsehbar und somit auch ungefährlich. Was eine "Personal Firewall" Dir da meldete ist somit - meiner Ansicht nach - eher irrelevant und könnte sich daher, in Folge, eher bloss auf den PW-Manager des Firefoxes selber beziehen.

Oliver

cubefox erklärte Folgendes:

Zitat

wenn du mit angleichung die rendering engine (die die websites darstellt) meinst, dann verhält es sich bei zunehmender markt mact genau anders herum. je mehr markt macht der fx gewinnt, desto weniger ist er darauf angewiesen den IE zu imitieren,[...]

Mein Reden. Du hast - bezüglich Deiner hier dargestellten W3C (Webseitenkonformität) - meiner Ansicht nach - Recht.

Geht es darüberhinaus jedoch nicht auch um eine ständig wachsende Anzahl an kommerziellen und nützlichen FF-Erweiterungen (z.B. WebSlices, Activities oder RDP-Client, etc.) - und somit auch um eine inzwischen erlangte professionelle Schöpfungshöhe des FF´s selber, welcher sich der IE mittlerweile - und zwar innerhalb des professionellen Bereiches - zu stellen gezwungen sieht? (Abgesehen davon, dass der FF über die Summe seiner Erweiterungen angreifbar ist).

Ich glaube, wir beide liegen bezüglich unserer Meinungen nicht so weit auseinander.

DasIch erwiederte daraufhin:

Zitat

[...]Die Spenden dürften bei weitem nicht ausreichen, wenn Google nicht mehr zahlt kann Mozilla langfristig nicht bestehen.

Richtig - Von Spenden könnte der FF - meiner Ansicht nach - nicht existieren. Von Google alleine auch nicht. Google wird in der Zukunft abspringen. (siehe Chrome). Erschwerend kommt meiner Ansicht nach obendrein noch hinzu, das dass Mozilla-Projekt in der Zukunft - bezüglich des gestellten Anforderungspotentials - vermutlich nicht unbedingt "günstiger" in der Erstellung werden wird.

[OT]Es bestehen - nach meinen bisherigen Informationen - Zeit-Verträge und zwar zwischen der Mozilla-Foundation und Google. Der Firefox finanziert sich somit vor allem durch die integrierte Suchbox. Die darin enthaltenen Einträge (Google, eBay, amazon, Yahoo!) zahlen für jede ausgeführte Suchanfrage einen nicht näher genannten Betrag an die Mozilla-Foundation. Da Google als Standardsuchmaschine eingestellt ist, kommt somit auch das meiste Geld - 85% (also 60 Millionen Dollar des Umsatzes direkt von Google). Diese gegenseitig wirkenden Verträge sollen angeblich mit Wirkung zum Jahr 2011 auslaufen - nur wer könnte dann der nächste potentielle Partner sein? MS?

Oliver

http://www.iht.com/articles/2007/…LINK.php?page=1
http://finance.google.com/group/google.f…8a4ce732e3f78e3
http://www.ftd.de/technik/medien…_ab/409035.html

cubefox fragte:

Zitat

was glaubst denn? verschwörungstheorie?;)

Denke ich auch immer zuerst - wäre hierbei jedoch zu "abstrakt" gedacht.

DasIch erwiderte darauf Folgendes:

Zitat

Microsoft hat Mozilla gekauft und die möchten den jetzt immer mehr an den IE anpassen bis nur noch der IE übrig bleibt, ist doch klar oder nicht?

Richtig - nur wer "kauft" dabei wirklich bald wen?

"Kapital sichert sich immer seine Rendite"

Der FF ist - nach meinen bisherigen Informationen - irgendwann einmal als ein "uneigennütziges Start-Up-Projekt" (damals Phoenix) mit dem Anspruch hervorgegangen, das Surfen und die Sicherheit im I-Net besser zu gestalten, als der IE dieses damals zu leisten vermochte. Das Projekt ist bisher - meiner Ansicht nach - auch gelungen. Mit zunehmender "alternativer Marktmacht" (also der kostenlose Verfügung und Verbreitung des Browsers selber) sieht sich der FF heutzutage dennoch - nach meiner Meinung - den "Kapitalmarkt-Mächten" in einem nicht ganz unerheblichen Aussmass ausgesetzt, als da z.B. wäre:

a.Die zunehmende zwingende Portierung - und zwar vom ursprünglichen Privat-Surfer-Bereich hinaus in den professionellen Bereich hinein, mit allen damit verbundenen Konsequenzen für die somit ständig "notwendige" Weiterentwicklung des FF´s.

a.1.Im Zuge dieser kontinuierlichen Verbreitung des FF´s, muss somit auch eine ständige Konsolidierungen (Angleichungen) der geforderten Standards zwischen dem IE und dem FF stattfinden.

c.Nicht zuletzt auch die Hingabe, die Geduld und das Engineering der einzelnen Schöpfer des Browsers, welche in Folge ständig vor neuen Herausforderungen stehen "müssen", wobei solche Programmierer - meiner Ansicht nach - ab einer gewissen "geforderten Arbeitslast" verständlicherweise nicht mehr "umsonst" arbeiten möchten.

Der FF ist - meiner Meinung nach - somit ein "Opfer" seiner eigentlichen "Masse" geworden. Frage ist dabei bloss, wer lehnt sich bald an wen an? FF an den IE oder doch eher MS an den FF? Finanziert werden muss die Mühe an der Sache dennoch irgendwie irgendwo - Es gibt nichts umsonst...

Oliver

td7131 stellte dar:

Zitat

[...]also: ich habe (benutze) einen Firmenrechner, auf dem ich auch durchaus zwischendurch private Dinge erledige. Das Ding ist natürlich auch in ein Netzwerk eingebunden. Mir ist ganz einfach lieber, dass keiner weiß, was ihn heiß machen könnte.

Dummheit - Unterlasse privates Surfen am Arbeitsplatz, sofern Dir Dein (angeblicher) Job in der Zukunft noch etwas bedeuten sollte. Einzelheiten entnimmst Du Deinem Arbeitsvertrag - bzw. den einzelnen Betriebsvereinbarungen, sofern solche bei Euch existieren sollten.

td7131 stellte darüberhinaus noch Folgendes dar:

Zitat

[...]Ansonsten bin ich ganz einfach Fan vom Fx und glaubte, die Abmeldezeremonie macht tatsächlich einen Strich unter die Sitzung. [in Bezug auf FF innerhalb eines Netzwerks][...]

Lokal - Global? Du benutzt den FF im Firmennetzwerk? Weisst Du eigentlich genau, was Du hier erfragen möchtest? Traffic im geschlossenen Intranet wird i.d.R. "geroutet" und somit auch protokolliert.

[OT]Innerhalb so eines geschlossenen Firmennetzwerkes wäre - je nach Beschaffenheit, Grösse und Betriebsvereinbarungen so eines Arbeitgebers - eben genau dieser durch seine Verfügungsrechte auf "Kontrolle an der Sache" (§ 3 Nr. 10 TKG) (also Kontrolle an der "eigenen" Firma) somit durchaus berechtigt, nicht nur die Adresszugänge, (also die einzelnen IP-Adressen) zu loggen und zu sichern, sondern obendrein auch die Inhalte der elektronischen Kommunikation (z.B. Telefonate, EMails oder Surfdaten etc.) einzelner Arbeitnehmer selber einzusehen, da solche Kommunikationswege dann u.U. als Betriebsmittel gelten könnten, und somit diese eigentlich vertraulichen Kommunikationsinhalte daher nicht mehr durch das TMG, bzw. auch durch das Fermeldegeheimniss selber geschützt werden würden. (Platt ausgedrückt: Dein Arbeitgeber könnte dann u.U. durchaus "rückwirkend" genau jene vertraulichen Seiten aufrufen, welche Du während der Arbeitszeit bereits aufgesucht hattest).

Technisch wird so etwas - nach meinen bisherigen Erfahrungen - u.A. durch visuelles Echtzeitmonitoring des Firmennetzes selber, und zwar auf Basis von sog. Proxy-Gateways (u.A. auch durch Pre-Authentication; Reverse Caching; bzw. HTTP Traffic Inspection, etc.) für den "ausgehenden" Traffic realisiert.

boardraider erklärte:

Zitat

Solange du das Netz nicht verwaltest, kannst du i.d.R. nicht mit Bestimmtheit sagen, ob dein Traffic mitgeschnitten wird. Ist private Nutzung gewisser Seiten während der Arbeitszeit untersagt, sieht die IT-Abteilung konträres Verhalten auch an den Logs.[...]

Genau richtig - soweit ich das zu Beurteilen vermag...

Oliver

http://www.bartsch-partner.com/media/docs/rm/…zungteil2pl.pdf
http://www.adversario.de/article272.html
http://www.openpr.de/pdf/158520/Pri…rbeitsplatz.pdf

Global Associate fragte:

Zitat

OT/ Warst Du auf einer Halloween-Party (wegen des doppelten Posting des Smile)?

Ich sah "doppelt" - Der System-Interpreter dieses Forums dagegen nicht. Hatte plötzlich drei Postings auf einmal. Habe dann versucht das Beste daraus zu machen...

cubefox stellte Folgendes dar:

Zitat

afaik wurde das aus rücksicht auf netzwerk-admins integriert, die können nämlich das zonen-modell in windows sehr leicht verwalten, im gegensatz zu den firefox-einstellungen. zumindest habe ich das irgendwo gelesen... [...]

Könnte man fast meinen. Nach meinen bisherigen Kenntnisstand, "wirkt" das IE-Zonen-Modell (auf welches der FF3 ja auch zurückgreift), jedoch eher global (Restricted; Non-Restricted, Intranet, etc.) und steht - meiner Ansicht nach - damit dem vorteilhaften Konzept der jeweilig individuell auszudefinierenden Scriptbefugnisse einzelner Webseiten unter dem FF dagegen eher entgegen...

Das neue FF3-Sicherheits-Konzept (geschützter Modus / Zonen-Modell / EV-SSL-Zertifikate) - und zwar in Annäherung mit dem des IE´s - würde sich somit, nach meiner Ansicht, nicht einmal sinnvoll ergänzen können und einen Admin daher obendrein einen nicht ganz unerheblichen Mehraufwand bescheren, sofern die Sicherheitseinstellungen des FF´s nicht auch - wie beim IE - über die Registry selber geregelt werden könnten, was jedoch nicht der Fall ist. (Umzug, - bzw. Portierung der jeweiligen Browser-Einstellungen auf neue Systeme).

Ich glaube dagegen fast schon eher, dass die Annäherung zwischen IE und FF ganz andere Ansprüche erhebt, als die scheinbar uneigennützig eingeführten neuen Sicherheitsfunktionen für die Anwender...

Oliver

natze erklärte Folgendes:

Zitat

Ich bekomme auf immer wieder diese Nachricht: ...Sicherheitszonen-Regel blockiert..... !

Der neue FF (3) übernimmt Sicherheitseinstellungen aus den Internetoptionen von Windows, welche bislang nur für den Internet Explorer selber galten.

Es klingt zwar absurd - jedoch wer mit dem neuen Firefox 3 Probleme beim Download von (ausführbaren) Dateien hat, sollte die Sicherheitskonfiguration im Internet Explorer 7 unter Windows überprüfen. Von dort bezieht der neue Firefox(3) nämlich die betreffenden Einstellungen. (Darüber mag hier denken wer will...).

Ist in den Internetoptionen bei den Sicherheitseinstellungen für die Internet-Zone (des IE´s) unter "Verschiedenes" die Option "Anwendungen und unsichere Dateien starten" deaktiviert, blockiert auch der Firefox somit den Download ausführbarer Dateien. Die Voreinstellung beruft sich auf "Bestätigen".

Abhilfe schafft - meiner Ansicht nach - die Änderung der Einstellungen in den Internetoptionen unter Windows auf "Bestätigen". Hilft das nicht, setze die Option zunächst auf "Aktivieren", übernehme diese Änderung dann mit OK und setze sie im Anschluss erneut auf "Bestätigen".

Neben der hier dargestellten Sache - sollte meiner Ansicht nach - sehr bedenklich stimmen, dass ein eigentlich unabhängiger FF sich plötzlich IE-Verfügungen beugen muss. So ein Browser muss sich zwar immer den zugrundeliegenden Betriebssystem-Verfügungen beugen - jedoch muss er - meiner Ansicht nach - somit nicht gleich das IE-Zonen-Modell integrieren, da dieses für den FF eher irrelevant ist.

Prostituiert sich der FF damit gegenüber dem IE? Dokumentierte Erklärungsversuche (Engl.) der Entwickler s.u.)

http://kb.mozillazine.org/Unable_to_save…tings_-_Windows

Oliver