Boersenfeger erklärte u.A. Folgendes:
[...]OT: @ Oliver: Schön, das du mal wieder deine Vorliebe für Linux in den Fokus bringen konntest! Trotzdem werde ich es nicht nutzen.
Was Du persönlich nutzt ist völlig uninteressant.
Versuche durch Dein Wissen zu helfen und nicht durch „kindische Klugscheissereiei“.
Oliver
Boersenfeger erklärte Folgendes:
[...]gibt es in Opera 10.50 eine Sicherheitslücke, die es Angreifern u.U. ermöglicht, Schadcode auf dem betroffenen Rechner auszuführen.[...]
So was... 
Opera ist i.B. seiner Integrität nicht besser ausgestaltet als der Firefox oder der IE.
Der kleinste gemeinsame und somit schwächste Nenner in Bezug auf die von Dir genannten Buffer-Overflow-Angriffe findet sich dagegen eher in der teilweise unzureichenden Umsetzung der C (++) Programmierung. Gerade durch solche erzwungenen „Variablen-Überschreibungen“, können sowohl auf Systemebene (also dem Betriebssystem selber), als auch auf der Anwendungsebene (im Browser) Kompromittierungen gleichermassen verteilt auftreten.
Ein Browserkleinkrieg ist – meiner Ansicht nach – somit in der heutigen Zeit irrelevant und trifft darüberhinaus auch nicht mehr den Kern der Sache. Die wahren Schwächen liegen inzwischen ganz woanders.
Boardraider erwiderte u.A. Folgendes:
[...]Ich sehe nur keinen Zusammenhang mit einer bei jedem Browser einmal auftretenden Lücke und deiner Forderung hier dann nicht mehr oder nur eingeschränkt auf solche Browser zu verweisen. Wenn man das zum Maßstab nimmt, dann sollten wir fairerweise mit dem Fx genauso verfahren![...]
Uneingeschränkte Zustimmung.
Oliver
O.T.
Unabhängig davon ist – nach meinen bisherigen Informationen - eine Kombination aus LINUX (UNIX) und dem Firefox gegenüber einem äquivalenten Windows-Firefox-Gespann als sicherer zu betrachten, da unter dem quelloffenen LINUX separate Bibliotheksfunktionen (z.B. Libsafe) bereitstehen, welche bereits schon auf Systemebene diverse und unsichere Standard C-Bibliotheksaufrufe zu „kapseln“ (engl. wrap) vermögen, um diese dann im Anschluss durch sichere Versionen auf Systemebene selber ersetzen zu können.
Pokahonta fragte Folgendes:
[...]Weiß jemand, wie ich meinen Wlan-Anschluss verschlüsseln kann.[...]
Ein digitaler Anschluss lässt sich nicht verschlüsseln - allenfalls „verbergen“ (engl. cloaking).
Im Router (AP) den/die:
a. WLAN-Zugang über die beteiligten MAC´s (Netzwerkadapterkennungen) begrenzen.
b. SSID (den Funknetzwerknamen) im „Broadcast“ (Funkrundruf) verändern oder verstecken.
c. VPN-Verbindung (Tunnelung der Datenpakete) innerhalb des WLAN realisieren.
d. Zutrittskontrolle des Funknetzwerkes über PKI (Zertifikate) einrichten.
Oliver
O.T.
Verschlüsselt werden können nur die Übertragungswege Deiner vertraulichen Daten in Bezug ihrer Wegewahl durch die einzelnen „Netzwerk-Topologien“ (z.B. WLAN > kabelgebundenes Firmenintranet).
Vertrauliche Datenübertragungen innerhalb so eines Funknetzwerkes unterliegen somit den bisherigen Funknetzwerk Standard-Authentifikations-Protokollen in Bezug auf Verschlüsselungsstandards wobei jedoch gilt:
WEP < WPA
WEP: Unzureichende und einseitige (symmetrische) Authentifikation gegenüber den entsprechenden WLAN Access-Points.
WPA: Bereits fortgeschrittene Integritätsprüfung der übertragenen Nachrichten. Benutzerbasierte Authentifikation.
Boersenfeger zitierte u.A. folgende Quelle [MS-Technet / Germany]:
[Auszug][...]Die Sicherheitsanfälligkeit existiert aufgrund eines ungültigen Zeigerverweises bei der Verwendung von Internet Explorer. Unter bestimmten Bedingungen ist es möglich, auf den ungültigen Zeigeverweis zuzugreifen, nachdem ein Objekt gelöscht worden ist.[...]
Unter bestimmten Bedingungen ist so einiges möglich...
Solche „ungültigen Zeigeverweise“ [Buffer-Overflows] gelten – meinen bisherigen Kenntnissen nach – für alle Programme, welche ursprünglich in der verdammt unzureichenden Programmiersprache C (++) programmiert wurden.
Dazu gehören u.A. Windows, UNIX-Derivate, BSD, - bzw. alle Betriebssysteme - welche immer wieder fehlerhaft implementierte Betriebssystemdienste, Serverroutinen oder auch Systembibliotheken integrieren, die sich in Folge für solche zugrundeliegenden Integer-Angriffe ausnutzen liessen.
Firefox, IE oder Opera setzen – meiner Ansicht nach – als Applikationen (Anwendungen) obendrein mit analogen Problemen auf den Unzulänglichkeiten solcher OS-Programmierungen auf.
Oliver
Kaputtchino fragte u.A. Folgendes:
[...]Wer versteht diese Fehlermeldung und kann entsprechende Schlüsse daraus ziehen?
„Uncaught Exception“ (Buffer Overflow) > nicht regelbare Eingriffsverfügungen durch ungeprüfte Zeichenketten innerhalb statischer Programme / z.B. dem Firefox, welche ohne Terminierungen (also ohne endgültige Programm-Abschlüsse) wiederum Endlosschleifen oder auch Programm-Abstürze selber zur Folge haben können.
(NS_ERROR_FAILURE) [nsIStringBundle.GetStringFromName]" nsresult: "0x80004005 (NS_ERROR_FAILURE)" location: "JS frame :: XStringBundle :: getString :: line 17" data: no[...]
Die Funktionalität der Gecko-Engine wird – meinen Erkenntnissen nach – durch eine gemeinsam definierte Schnittstelle nsWebBrowser erzeugt. Auf dieser Mozille-Schnittstelle (API) dürfen jedoch diverse Erweiterungen nicht nur aufsetzen, sondern zum Teil sogar die Kontrolle über einzelne Browser-Sitzungen übernehmen. Kommt es im Zuge der „Kommunikation“ zwischen so einer Erweiterung und dem Browser zu „Missverständnissen" (z.B. Timing), so kann die Konsole i.d.T. eine Fehlermeldung produzieren.
Der sog. Eingabestring kopiert dabei ungeprüft zeichenweise Daten in den Zielstring des entsprechenden Programms (z.B. dem Firefox) hinein, ohne dabei sicherzustellen, ob dieser Zielstring überhaupt für die Aufnahme solcher Zeichenketten ausreicht.
Platt ausgedrückt: Du kannst nicht komplett aus „Kübeln“ in „Becher“ hinein giessen, ohne dabei zu verschütten.
Verantwortlich für Deine genannten Umstände wäre – meiner Ansicht nach - die gemäss heutiger Zeit, unzulängliche Programmierung des Firefoxes in C (++).
Oliver
bajuware erklärte u.A. Folgendes
Nach der Meldung meines Kaspersky Virenscanners über den „Eindringversuch“ eines Virus hat sich meine kurz vorher installierte FF 3.6 komplett verabschiedet.[...]
Was für ein Unsinn...
Wenn es sich – gemäss Deiner Darstellung - bloss um einen sog. „Eindringversuch“ so eines wie auch immer gearteten Virus handeln sollte, wie kam es dann auf Deinem System zu einer Kompromittierung der Firefox-Installation selber? Der Versuch alleine führte zum Absturz?
PHP stellt eine serverseitige Scriptsprache dar, welche bezüglich ihrer Syntax analog zwar eng an die Unzulänglichkeiten von C (++) angelehnt ist. PHP ist dabei jedoch nur in der Lage, die Codes clientseitig über JavaScript lokal (also auf Deinem Computer) zu interpretieren. PHP - sowie JS - könnten Deinen Browser zwar zum Absturz zwingen – jedoch keine Installation verschwinden lassen.
Denke doch noch einmal in Ruhe über Deine obige Darstellung nach und stelle die Anfrage dann erneut. Wir helfen Dir dann...
Es sind scheinbar schon wieder Schulferien in Germany...
Oliver
Anonymisierung (Verschleierung des Aufenthaltsortes) > Pseudomisierung (Verschleierung der Identität).
Aufenthaltsdaten (IP-Adresse) > Verkehrsdaten (IP-Header).
Dezentraler Proxy > Lokaler Proxy.
Die Sicherheit Deiner „Anonymität“ im Internet hängt immer auch von der „Vertrauenswürdigkeit“ der jeweilig eingesetzten Anonymisierungsdienste ab. Header-Informationen der browsergeführten Anfragen lassen sich dagegen relativ leicht lokal verändern.
Die Möglichkeiten, anhand von sog. Aufenthaltsdaten (also Deiner IP-Adresse), sowie auch der damit verbundenen Verkehrsdaten (der IP-Header) individuelle Profile erstellen zu können, kann i.d.T. zu einer Bedrohung der Privatsphäre führen.
Verbindungsdaten werden dezentral – ausserhalb Deines Einflussbereiches - grundsätzlich protokolliert und auch temporär gespeichert. Du kannst diese nur verändern - nicht jedoch unterdrücken.
Oliver
steppi erklärte u.A. Folgendes:
[...]Ich muss einen anderen Browser nehmen, wenn ich https-sites aufrufen muss, die kein korrektes ssl-zertifikat haben.[...]
Das ist - meiner Ansicht nach - nicht die Lösung Deines Problems. CRL´s (engl. Certificate Revocation Lists / Wiederrufslisten) müssen dem jeweiligen Browser i.d.R. „manuell“ zugeführt werden, da derzeit noch nicht die technischen Möglichkeiten bestehen solche Sperrlisten automatisch nachzuladen.
In so einer numerisch sortierten und lokalen Datenbank, werden zurückgezogene Zertifikate vor Ablauf ihrer Gültigkeit verwaltet.
Sofern das Verfallsdatum der zuletzt in Deinen Browser eingespeisten CRL bereits abgelaufen ist, werden scheinbar je nach Browser-Typ i.d.T. zum Teil irreführende Fehlermeldungen angezeigt (z.B. Certificate Database Error, etc.).
Unter 3.5 sollte jedoch der „Revocation-Pfad“ an das „OCSP-Protokoll“ (der aut. Zertifikats-Status-Abfrage) angepasst worden sein.
Oliver
O.T.
Das OCSP-Protokoll weisst jedoch auch massive Schwächen auf, da sich durch einen sog. „Intercept“ (abfangen) der Zertifikats-Sicherheits-Anfrage über den eingeschleussten und codierten Wert „try later“ somit eine Kontrolle dieser Zertifikate jeweils verzögern liesse und daher auch keine Fehlermeldung auf der Browser-Schnittstelle generiert würde.
boersenfeger stellte u.A. Folgendes dar:
[...]sondern (ich) arbeite im medizinischen Bereich.[...]
Offenherzigen Respekt Dir gegenüber !!!
Oliver
börsenfeger schrieb Folgendes
Hoffentlich sind davon nicht auch so manche beratungsresistente User in diesem Forum betroffen[...]
Wer Zustände andeutet, sollte diese darstellen können.
Darüberhinaus scheint es Dir in letzter Zeit an aktueller technischer Expertise zu mangeln, da Du keine Antworten auf Anfragen hin zu vergeben vermagst, sondern stattdessen informelle Suggestivfragen in das Forum stellst.
Sofern Du Nachhilfe in Englisch benötigen solltest, so wende Dich vertrauensvoll an einige hier sehr kompetente Forenteilnehmer.
Ich zumindest brauche Deine "dummschwätzigen" Beiträge in Bezug auf andersartige linguistische Sprachen nicht mehr...
Oliver
O.T.
Das Du in der Vergangenheit aus der SPD ausgetreten bist, war der vermutlich bisher intelligenteste Gefallen, den Du Dir selber hast antun können...
Boardraider erklärte u.A. Folgendes:
[...]aber der Fx-Code selbst ist zum großen Teil in C++ gehalten.
Richtig. `C` entspricht jedoch weitgehendst `C++`.
a. Unter den Programmiersprachen C sowie auch C++ kann es – meines bisherigen Wissens nach - somit zu Problemen in der Verarbeitung von Zeichenketten kommen, wobei gewisse Programmfunktionen dieser Sprachen ungeprüft in die abgesicherten Eingabebereiche der Anwendungen (z.B. Firefox) eingespeist werden können, was wiederum einen unmittelbaren „Shutdown“ (also eine erzwungene Abschaltung / Buffer-Overflow) des Programms selber zur Folge hätte.
b. Der C++ Funktionsaufruf (strcpy ( )) wäre als Beispiel in der Lage, einzelne Zeichen sequenziell in einen Zielstring hinein kopieren zu dürfen, ohne dabei prüfen zu müssen, ob der dafür zur Verfügung stehende Speicherbereich auf dieser Zieladresse überhaupt für so eine mengenmässige Einspeisung von Zeichenketten ausreichen könnte. (Die (unzureichende) Terminierung würde dann erst bei dem ASCII – Wert 0 enden).
Solche unzureichende Programmieransätze (z.B. Buffer-Overwlows unter C, C++) könnten – meiner Ansicht nach - bloss compilerseitig ausgeglichen werden.
Ich glaube schon, dass sich die Mozilla-Entwickler dieses Problems bewusst sind.
Oliver
Technisch betrachtet besteht der Browser (Firefox) in der heutigen Zeit immer noch aus einer Ableitung der inzwischen „veralteten“ und somit auch „kompromittierbaren“ C# Entwicklungsumgebung.
Diese veraltete Programmiersprache (C#) gilt somit im Zuge einer möglichen „Bereichsgrenzenüberschreitung“ (also eines möglicher Buffer-Overflows) scheinbar als angreifbar, da durch diese Schnittstelle sog. „Eingabestrings“ ungeprüft auf die „Zieladresse“ (ohne quantitative Zeichenüberprüfung) innerhalb eines Programms (z.B. des Firefoxes) übertragen werden können, was dann u.U. wiederum den Absturz einer solchen Anwendung erzwingen könnte. Hierbei spielt – meiner Einschätzung nach - jedoch auch der Zufall eine Rolle.
Platt ausgedrückt, läge das Problem somit an der „Wurzel“ und nicht in der aktuellen Erkenntnis der Schöpfer...
a. Java wäre u.U. in der heutigen Zeit als Programmiersprache vielleicht als geeigneter und sicherer zu bezeichnen.
b. Habe darüberhinaus mal irgendwo gehört, dass es unter UNIX dennoch möglich sein soll, „Kontrollzeichen“ in den bereits „offen liegenden Quellcode“ so eines Programms (wie den Firefox) einzufügen. (z.B. über das Stack-Guard-Tool > GNU C-Compiler > Patch (Canary / Frühwarnsystem) > Rücksprungüberprüfung).
Nichts weiter als "native" Code-Manipulation.
Oliver
Alter Hut und somit unter XP SP3 - sowie auch unter Vista SP2 - weitgehendst von Irrelevanz.
a. Programmorientierte Buffer-Overflow-Angriffe (z.B. der erzwingte Absturz eines Browsers) scheitern - meinen bisherigen Erkenntnissen nach – stets auch immer an der „System-Shell“ (dem abgesicherten Betriebssystem zur Basis) selber. Eine Infektion der genannten Betriebssysteme wäre weitgehendst ausgeschlossen, da Anwendungs-Prozesse im Kontext dieser gepatchten Betriebssysteme bereits ansatzweise schon nach Privilegien selektiert werden.
b. Da die sog.“Rücksprungadresse“ eines Objektes (einer Anwendung) nicht immer genau der „Anfangsadresse“ des eingeschleusten Codes selber entsprechen kann, gestaltet sich - nach meinem bisherigen Wissen - von daher eine erfolgreiche Ausführung des implizierten Codes innerhalb der privilegierten Ausführungsumgebung (Prozesse-Erweiterungen / engl. Elevation of Privileges) eher als „zufällig“ - nicht jedoch als „garantiert“.
Ein netter Versuch, der vermutlich bloss die „Marketing-Maschinerie“ fördern sollte. Die Technik spricht – meiner Ansicht nach - jedoch eine andere Sprache...
Oliver
foxtom fragte Folgendes:
[...]Die Ursache ist, dass beim Zugriff zum Internet immer bei den Verbindungs-Einstellungen von "kein Proxy" auf "Manuelle Proxy-Konfiguration" automatisch umgestellt wird (s. Bild)....
Befindest Du Dich u.U. in innerhalb eines vertraulichen Intranets (z.B. innerhalb eines geschlossenen Familien / Firmennetzwerkes) – oder wählst Du Dich direkt über die DFÜ-Einstellungen (Netzwerkeinstellungen des Betriebssystems) in das Internet ein?
a. Solche aut. Proxyumstellungen müssen nicht unbedingt ein Bestandteil des Firefoxes darstellen. Achte auf Windows- Systemkompromittationen (Windows-Infektionen) - sofern Du überhaupt Windows benutzt. Lasse von daher Deinen „temporären Systemzustand“ mit einem aktuellen Virenscanner (z.B. Malwarebytes) auf solche Kompromittionen (Infektionen) hin prüfen.
b. Verwendest Du zur Authentifikation i.B. auf dedizierte Netzwerke (also vertrauliche Netzwerke) vielleicht obendrein das sog. NTLM-Verfahren (NT-LAN Zugang)?
c. Sofern Du Windows benutzt, versuche einmal testweise Deinen Computer nur mit den für Windows notwendigen Prozessen zu starten. Gehe dazu auf: Start > Ausführen > „msconfig“ eingeben. Auf dem Reiter: „Allgemein“ > „Diagnose-Start“ anwählen. Im Anschluss daran, System Neustarten.
Melde Dich noch einmal zurück...
Oliver
Stiefo erklärte u.A. Folgendes:
[...]das er sich über Teamviewer kurz bei mir im PC auf XTB einloggt.[...]
TeamViewer stellt bloss eine Software für sog. Fernwartungs-Zugänge dar. Brauchst Du so etwas?
Solche Fernwartungszugänge sollten nur in „homogenen Netzwerken“ (also gleichartigen Netzwerken mit einer gemeinsamen Zielrichtung) eine Gültigkeit darstellen, was jedoch in Deiner Situation nicht der Fall zu sein scheint, da es sich hierbei scheinbar um ein dezentrales „Kunden – Service“ Attribute (Merkmal) eines Finanz-Dienstleisters handelt, der dabei obendrein vermutlich nicht immer an Deinem persönlichen finanziellen Gewinn interessiert zu sein scheint.
Jeder Benutzer sollte - meiner Meinung nach - in so einem „vertraulichen“ und dennoch „verteilten“ Service-System (z.B. XTB), eine genaue biometrische Benutzerkennung erhalten, wobei im Zuge der Authentifikation eines Kunden gegenüber solcher Dienstleister somit gelten sollte:
LogIn = Kennung + Passwort = Schlüsselparameter (Crypt 3) = generierter Zugang < > (PW-Abhängigkeit < biometrischer Merkmale) = die vermutlich wahrscheinlichst anzunehmende Authentizität eines Subjektes (Anwenders) gegenüber so eines vertraulichen Systems.
a. Lasse niemanden „zentral-dezentral“ auf Deinen Computer zugreifen.
b. Vertraue niemanden (Online) leichtsinnig Dein Geld an.
c. Lese Dir die AGB´s solcher (Online) Finanz-Dienstleister genau durch.
d. Um finanziell spekulieren zu können, stellen Computersysteme in Realtime (Echtzeit) in der heutigen Zeit – meiner Ansicht nach - nur ein Mittel (also Informationen) zum Zweck (der finanziellen Spekulationen) selber dar. Du könntest von daher – im Anschluss Deiner Erkenntnisse - immer noch zum Telefonhörer greifen, um somit Deiner Bank auf „konventionellen“ Wege die für Deine Kalkulationen notwendigen Anweisungen zu erteilen.
Oliver
Stiefo erklärte u.A. Folgendes:
[...]hab alles versucht meldet sich nicht an. Kommt immer die gleiche Fehler Warnung: enthält nicht authentifizierte Inhalte[...]
Subjekte (Anwender) können sich innerhalb eines dezentralen Netzwerkes clientseitig (also vom eigenen Computer aus) (ausserhalb PW und Benutzerkennwort) nur über gemeinsame Prozesse gegenüber dem Server selber authentifizieren. Daher vermutlich die Installationsaufforderung, welche XTB gegenüber seinen Nutzern fordert, um das Web-Angebot somit überhaupt nutzen zu können.
Oliver
O.T.
Bist Du sicher, dass Du diesem Web-Angebot (XTB.de) (AGB / Warschau) absolut vertrauen kannst? (Nichts gegen Polen oder Warschau).
a. Achte i.B. auf Deine favorisierte Seite (XTB.de) auf die Geschäftskonzepte / intl. AGB´s, welche in der unteren Bildschirmleiste "schwarz-grau auf schwarz" nahezu unkenntlich dargestellt werden. Ich konnte auf diesem Web-Angebot bisher nur indirekte Verweise auf AGB´s einsehen, welche nahezu einem kompletten Haftungsausschluss gegenüber dem "Einlagerisiko" des Kunden gleichkommen.
b. Achte obendrein auch darauf, dass eine „Stock-Trading-Plattform“ (Online-Börsen-Handels-Ebene) definitiv keine Software auf Deinem Computer installieren muss, um somit ihre Funktionalität zu gewährleisten.
c. Eine Trading-Plattform wie XTP muss – meiner Ansicht nach – darüberhinaus auch nicht erst zu Ungunsten des Kunden ihre eigenen Handels-Gesetze erklären (die sog. Puts), welche dann u.U. dem Kunden als interner Verlust gegenüber seiner Einlage zur Last gelegt werden könnten.
Sofern Du beabsichtigst, mit Deinem Geld an den Börsen dieser Welt zu handeln, bedürfte es - meiner Einschätzung nach - definitiv keines XTP-Angebots, sondern vielmehr eines gesunden Menschenverstands - gefolgt von spezifischen Informationen...
bugcatcher erklärte u.A. Folgendes:
[...]Ich bezweifle ohnehin das in der Glotze noch was Sehenswertes kommt.[...]
Schliesse mich dieser Meinung an.
Glaube dennoch, das im direkten Vergleich, die britische BBC inhaltlich etwas anspruchsvoller ausgestaltet ist, als die Mehrheit der deutschen „öffentlich-rechtlichen“ Sender.
Hier „existiert“ noch ein altes tragbares „30cm“ Röhrengerät, welches BBC1 -5 sowie ITV1-2 unter analogen Signalen verarbeiten und darstellen kann.
Tobt über den Dächern Londons ein Schneesturm, fängt somit auch das „Bild“ an zu „grieseln“.
Hat was von der gemütlichen alten Zeit...
Oliver
nutzer-neu fragte u.A. Folgendes:
[...]Wenn ich mich nun bei gmx in mein Postfach einloggen will, fehlt auf der nach Eingabe und Bestätigung von email-Adresse und Passwort aufgerufenen Seite oben in der Adresszeile das "https" - es steht nur "http" da,[...]
„GMX-Freemail“ veschlüsselt die Transportwege Deiner vertrauenswürdigen email-Daten im Firefox nicht automatisch.
Das von Dir angestrebte und verschlüsselte Transport-Protokoll der Daten wird durch GMX dennoch zur Verfügung gestellt. Indem Du dem Abruf Deiner vertrauenswürdigen elektronischen Nachrichten - unter GMX - in der Adressleiste des Browsers ein https voranstellst, würdest Du somit eine Verschlüsselung der Transportwege unter GMX erzwingen können, sofern Du Dich über das GMX-Web-Interface (also gmx.de) selber einwählst.
Entscheiden ist dabei vielmehr, dass die über Deinen Browser geführten clientseitigen Anfragen eine weitgehendst ähnliche Verschlüsselungssprache beherrschen sollten (digitaler Handshake), die denen der dedizierten Server entspricht, welche im Zuge solcher vertrauenswürdigen Anfragen von Dir kontaktiert werden, was bei GMX jedoch der Fall zu sein scheint.
nutzer-neu erklärte darüberhinaus Folgendes:
Nein, Kaspersky habe ich immer aktiv, ich traue mir nicht, ihn zu deaktivieren bzw. auszuschalten.[...]
Kaspersky ist zwar in der Lage, lokale Filterungen auf Deinem Computer zu erwirken. Kaspersky hat jedoch definitiv keinen Einfluss auf das dedizierte Übertragungsprotokoll (http/(s)) zwischen Client (z.B. Dir) und Server (z.B. GMX).
O.T.
Achte dabei darauf, dass im Zuge so einer angeblich „vertraulichen“ SSL-Verschlüsselungsübertragung dennoch die:
a.“Verbindlichkeit“ der Teilnehmer (also die Kommunikationsendpunkte (der einzelnen Teilnehmer)) abstreitbar ist.
b.“Vertraulichkeit“ der Datenübertragung durch MITM-Angriffe (Man-in-the-middle-Angriffe) kompromittierbar ist.
c. Nur die „Nutzdaten“ (also Deine Kommunikation-Daten), nicht jedoch die „Headerdaten“ (Verbindungsdaten) der einzelnen Pakete durch das SSL-Verfahren selber verschlüsselt werden.
Oliver
Konja erklärte u.A. Folgendes:
[...]Der Stick wurde übrigens schon mehrfach infiziert, ins System ist aber noch kein Schadprogramm von dort vorgedrungen.[...]
Blödsinn – ohne es dabei böse mit Dir zu meinen.
Wie kann Dein Wechseldatenträger (USB) bereits schon mehrfach infiziert worden sein? Wo und wie genau? Befinden sich auf diesem USB-Stick vielleicht auch Systemdaten? Ist dieser USB-Stick obendrein bootfähig?
Nach meinem Verständnis, sprechen wir nicht von „Schweinegrippe“, sondern von Berechtigungsüberprüfungen (z.B. den Access Tokens), welche die Zugriffsrechte eines Subjektes (also eines Anwenders) via OS zu einem Objekt (z.B. dem Firefox), über sog. MAC´s (Mandatory Access Controls) genau regelt.
Anwendungen, welche sich auf Wechseldatenträgern befinden (z.B. Firefox über USB, etc.), integrieren sich somit über Zugriffsausweise, sowie auch über UAC´s innerhalb des Sicherheitskontextes des zugrundeliegenden Betriebssystems selber.
Konja erklärte darüberhinaus Folgendes:
[...]Die einzige Pforte, über ich mir eine „Invasion” noch vorstellen kann, geht über die portablen Programme auf den Sticks.[...]
Damit hast Du Dich – meiner Ansicht nach – für weitere Diskussionen disqualifiziert.
Wir brauchen obendrein keine Werbung für ein Programm (Returnil), welches den Anwendern in Bezug auf sicherheitsrelevante Infrastrukturen scheinbar das Denken abnimmt.
Setze Dich gefälligst auf Deinen Hosenboden und fange an zu lernen...
Oliver
Cosmo erklärte u.A. Folgendes:
[...]Mit AMO wird dem FF-Benutzer zumindest suggeriert (nicht nur aber nicht zuletzt durch den eigenen Anspruch, als "Mozilla's offizielle Seite für Add-ons" (so wörtlich, (übersetzt von mir)), daß es sich hier um einen Ort handelt, an dem der FF-Benutzer ruhigen Gewissens seine Erweiterungen und Themes laden kann.[...]
Mit AMO wird dem „arglosen“ Anwender zwar eine angeblich sichere Download-Plattform suggeriert, jedoch wird analog dazu über den Haftungsausschluss (engl. Non-Liability) Mozillas gleichermassen eine zumutbare Eigeninitiative seitens des Anwenders i.B. auf Präventivmassnahmen (z.B. Beschränkung von Schreibberechtigungen / Werkzeuge zum Antivirenmanagement) gefordert. (Verlinkung: FF / EULA (intl.) siehe unten).
O.T.
Was – meiner Ansicht nach – jedoch noch bedenklicher erscheint ist die Tatsache, dass innerhalb eines kommerziellen IT-Systems (z.B. die Integration des Firefoxes in digitale IT-Geschäftsprozesse) einzelne Verarbeitungs-Prozesse (also die Prozesse der einzelnen Erweiterungen) des Browsers mit der gleichzeitigen Bereitstellung von Benutzerkonten und Berechtigungen einhergehen sollte. Im Zuge der Nutzung des Firefoxes scheint diese Voraussetzung jedoch noch nicht gegeben zu sein, da die einzelnen Erweiterungen (leider) z.T. noch im Kontext des universalen Browsers-Prozesses (firefox.exe) selber zur Anwendung kommen und somit nicht genau zu differenzieren sind.
Innerhalb eines „kommerziellen Systems“ (also innerhalb einer organisatorischen Einheit / Unternehmen) gelten solche digitalen Prozesse (Objekte) jedoch als „Betriebsmittel“ und könnten somit auch ein Bestandteil der systembestimmten, bzw. benutzerbestimmten Zugriffskontroll - und Informationsflussstrategie darstellen.
Zumindest im kommerziellen Bereich wird der Firefox – meiner Einschätzung nach – somit Anteile an Google-Chrome abtreten müssen. Google-Chrome vermag sowohl die einzelnen Tabs, als auch seine Erweiterungen in jeweils eigenen Prozessen zu verarbeiten, was somit eine Administration der einzelnen Zugriffe wesentlich erleichtern und den Browser darüberhinaus „entlasten“ würde.
Oliver
