Nutze Downloadmanager, die haben solche Funktionen sicherlich an Bord. Wenn es über den Fx sein soll, könntest du auch eine Erweiterung schreiben.
Beiträge von boardraider
-
-
Zitat
kann es am heutigen NoScript-Update gelegen haben?
Das Update hat hier keine solchen Phänomene verursacht (modulo Windows-Besonderheiten).
-
Zitat
Wenn du damit ausdrücken willst, der Masse sei Sicherheitsgefühl wichtiger als Sicherheit, dann stimme ich zu.Zum einen das, zum anderen sind sich dessen wirtschaftliche und politische Institutionen bewusst und nutzen diesen Umstand geschickt für ihre Zwecke. Sei es um Kosten zu sparen oder den Bürger/Kunden zu täuschen. Die Gründe sind an der Stelle vielseitig, und Beispiele lassen sich dafür genug finden. Allerdings würde das hier wohl zu weit führen.
-
Zitat
Diese hat Abertausende von Kunden, von denen mindestens die Hälfte sich mit mit techischen Zusammenhängen wie den hier besprochenen nicht auskennt. [...]
Das ideale Onlinebanking muß also so sicher sein, daß der Kunde keinen Fehler mehr mache kann.Und da hast du auch den Konflikt bei der Sache. Je sicherer du solche Dienste gestaltest, desto höher werden die technischen oder finanziellen Anforderungen. Da sowohl Know-how (vor allem auf Kundenseite) als auch die finanziellen Mittel (auf beiden Seiten) begrenzt sind, entstehen Kompromisse und diese Kompromisse sieht man in der Praxis.
Du sprichst auch von "Vertrauensverlust". Leider ist es aber auch da so, dass das nötige Know-how fehlt, um solche Sachen einschätzen zu können. Die bunte Werbewelt winkt mit einer Sicherheitsfahne und der gemeine Kunde fühlt sich kuschlig geborgen. -
Ich bin mir jetzt nicht ganz sicher, ob du mich verstanden hast.
Wenn es einem Angreifer gelingt auf dem System mit den Rechten des Fx-Prozesses/Users Befehle auszuführen, dann kann er, soweit es die Rechte erlauben, beliebige Dateien bspw. im /home des Users manipulieren. Darunter fällt auch das gesamte Fx-Profil. Durch Manipulation an vorhandenen Erweiterungen oder das (verborgene) hinzufügen weiterer, ist er dann auch in der Lage das Verhalten des Fx (dessen eigentlicher Code außerhalb der Rechte liegen sollte) zu beeinflussen (Keylogger/PW-Stealer etc.).
Darauf wollte ich eigentlich hinaus.
-
Richtig, die Daten des Users sind trotzdem gefährdet. Insbesondere gilt das auch für das Fx-Profil, in das man bspw. über die Erweiterungsschnittstelle stark eingreifen kann.
-
http://www.milw0rm.com/exploits/8285
Aus der winfuture-Quelle:
ZitatDie Sicherheitslücke betrifft Landi zufolge sowohl Windows, als auch Linux und Mac OS. Bis zur Veröffentlichung von Firefox 3.0.8 in der kommenden Woche, raten die Entwickler den Anwendern, keine XML-Dateien von unbekannten Personen zu öffnen.
So ein Schwachsinn. Wie der POC zeigt, kann man das von jeder Webseite aus durchführen, man muss ja nur die XML-Datei samt Stylesheet via Iframe einbinden. Wenn schon, dann sollte die Empfehlung lauten, bis zum Erscheinen des Patches auf einen anderen Browser umzusteigen.
An der Stelle zeigt es sich auch wieder, wie wichtig es ist, sein Nutzerkonto über das OS einzuschränken.
Edit:
Der zugehörige Bugreport.
https://bugzilla.mozilla.org/show_bug.cgi?id=485217 -
Der Balken ist, wie oben erwähnt, vollkommen irrelevant.
-
Zitat
Logischerweise ist in beiden Feldern derselbe Eintrag. :wink:
Wenn du dir da so sicher bist, stimmt mit deinem Fx(-Profil) etwas nicht.
-
Du solltest in beiden Feldern das selbe eintragen, die Anzeige dient nur der Orientierung.
-
Zitat
Zum Thema StudiVZ gab es ein ähnliches Sicherheitsproblem 2006 http://blogbar.de/archiv/2006/12…au-bei-studivz/
Nett, nur stellt sich, wie auch beim Online-Banking die Frage, wie es sein kann, dass jemand das selbe Fx-Profil/OS-Nutzerkonto verwenden kann? Da ist schon im Grundkonzept des Systems ein großer Bock geschossen.
Wer sich trotz solcher grober Schnitzer ein Fx-Profil mit anderen teilt, sollte natürlich beim Beenden der Sitzung sämtliche privaten Daten löschen. U.a. dafür ist dieses Feature auch implementiert. Dann erübrigen sich solche Trivial-Angriffe.Zudem darf man noch unterscheiden zwischen http (studiVZ) und https (Online-Banking). Die Daten bei http können (ohne zusätzliche Verschlüsselung) bei jeder Zwischenstation mitgelesen werden. Zudem sind Browser im Caching-Verhalten wenig restriktiv.
-
Zitat
Wer von uns beiden trolliger ist, sollten wir vielleicht nicht in der Öffentlichkeit diskutieren.
Doch gerne, aber nicht hier und dann auch in einer sachlichen Diskussion. Alles andere macht keinen Sinn. Insofern kann man das Thema an der Stelle sein lassen. -
Zitat
Wie die Liste nach CSS-Behandlung aussieht, ist reichlich egal.
Dem hat auch niemand widersprochen.
-
Zitat
Das Firefox-Browser-Forum ist bekannt dafür, daß Leute schnell persönlich angegriffen werden.
Trollig... mehr hat dieser Kommentar nicht verdient.
-
Zitat
Hier mal ein Grund, warum ich eine Liste für die Navigation verwende:
http://www.barrierefreies-webdesign.de/knowhow/naviga…ler-aufbau.html
Gutes Argument. Wenn Hilfsprogramme mit Listen umgehen können, das "Überspringen" aber bei verschachtelten divs/spans nicht funktioniert, dann ist das sicherlich vorzuziehen. Wie sich solche Programme im Detail verhalten kann ich mangels Erfahrung nicht sagen.ZitatDiv und Span haben für mich die gleiche Bedeutung - gleichartige Elemente werden zusammengefaßt und von andersartigen Elementen getrennt, einmal auf Block-Ebene und einmal auf Inline-Ebene. Im Falle der Navigation würden aber gleichartige Elemente durch das Span voneinander getrennt.
Bei einer Struktur eines umschließenden div und der Auflistung von Links innerhalb von span-Elementen bildet man 1:1 die Struktur einer unsortierten Liste (ul-li) nach. Somit trennt man "gleichartige" Elemente entweder durch li oder durch span. Macht so gesehen keinen Unterschied.
Im oben erwähnten Kontext solcher Hilfsporgramme kann es dann aber geben und da greift dann dein Argument. -
Zitat von boardraider
sobald es ausreichend fortgeschritten ist.
-
Zitat
und zeigt die source-dateien mit syntax-highlighting an...
Der mehrfach angesprochene MIME-Type hätte es auch getan. Insbesondere hätte man dann auch selbigen direkt mit einer externen Anwendung verknüpfen können.
-
http://www.heise.de/ct/Erweiterung…/meldung/134874
Ist ja schon in Arbeit. Das wird dann auch genug Entwickler anziehen sobald es ausreichend fortgeschritten ist. -
Und welche Webseiten wolltest du da drucken?
-
Wenn du auf der Seite bist, oben aus der Adressleiste die Web-Adresse kopieren und hier einfügen.
Eine Auswahl von Bilder-Hostern findest du hier.