Beiträge von boardraider

  • Personas - Sicherheitsrisiko?

    Zitat

    Das etwas unsicher implementiert worden sei, hat hier niemand behauptet

    Dass keine direkte Behauptung aufgestellt wurde, gestehe ich unmittelbar zu. Ich schrieb allerdings auch:
    oder deren Implementierung ohne Anhaltspunkte in Frage zu stellen
    Und mit dem Threadtitel und den weiteren Worten wird diese in Frage gestellt. Wenn es keine Zweifel geben würde, dann gäbe es auch keinen Thread.

    Zitat

    auch ist es aus nichts abgeleitet.

    Ohne einen konkreten Anhaltspunkt kann es nur eine Ableitung oder Annahme aus anderen Zusammenhängen sein.

    Zitat

    ich halte die Frage des OP in diesem Board (siehe dessen Untertitel) für gerechtfertigt und für richtig.

    Der Ort ist sicher passend, nur die Form missfällt.

    Zitat

    als ihn selbst mit der Fragestellung "verdächtigst du erstmal pauschal jedes neue Feature" zu verdächtigen.

    Diese Verdächtigung nehme ich gerne auf mich. *g* Dazu kommt mir die Anfrage einfach zu wenig fundiert daher.

    Zitat

    Und hier nach Antworten zu suchen ist allemal besser, als sich selber möglicherweise in falsche Vorstellungen festzurennen.
    [...]
    Insoweit EOD

    Einverstanden.

    in medias res:
    http://mxr.mozilla.org/mozilla1.9.2/s…browser.js#7249 ff
    Die Installation kann automatisch getriggert werden, wenn JS erlaubt ist. An der ersten Notification-Box kommt man nur vorbei, wenn der Seite via Ausnahmeliste (Einstellungen) freigeben ist. Sollte beides zutreffen, kann ein LWT ohne Zutun des Users installiert werden. Ein Undo via zweiter Notification-Box bleibt aber unumgänglich.

    http://mxr.mozilla.org/mozilla1.9.2/s…Manager.jsm#111 ff
    http://mxr.mozilla.org/mozilla1.9.2/s…Manager.jsm#240 ff
    http://mxr.mozilla.org/mozilla1.9.2/s…eManager.jsm#46 ff
    Der JSON-String wird geparst. Es werden nur Strings von ausgesuchten Properties akzeptiert. Für URLs wird http(s) erzwungen.

    http://mxr.mozilla.org/mozilla1.9.2/s…Consumer.jsm#68 ff
    Die Einbindung der Properties erfolgt über CSS-Attribute
    view-source:chrome://mozapps/content/extensions/about.xul
    oder als label.

  • Personas - Sicherheitsrisiko?

    Zitat

    Regelmäßig bekannt werdende Sicherheitslücken sind ein Fakt, keine Pauschalisierung oder Verallgemeinerung.

    Aus dem Umstand, dass Software nicht fehlerfrei ist, abzuleiten, dass Funktion x unsicher implementiert ist oder deren Implementierung ohne Anhaltspunkte in Frage zu stellen, bleibt ein Pauschalurteil. So lange, bis es eben mehr als nur die Tatsache als Basis des Zweifels gibt, dass Software allgemein Fehler enthalten kann.

    Zitat

    Grafiken können leider ebenfalls Schadcode enthalten

    Jede Form von Input kann theoretisch schädlich sein, wenn der verarbeitende Code fehlerbehaftet ist. Die Grafiken dienten nur als Vergleich zur Erweiterungsschnittstelle, der trotz der wesentlich höheren Missbrauchspotentials (durch leichtere Nutzung) nahezu ein Freibrief ausgestellt wurde.

  • Personas - Sicherheitsrisiko?

    Zitat

    Ich würde hier nicht von pauschaler Verdächtigung sprechen. Die Frage, ob eine Schnittstelle zu Online-Angeboten (wie immer die auch vorgesehen sein mögen) möglicherweise ausnutzbar ist, sehe ich für legitim an.
    [...]
    Ich gehe jedoch davon aus, daß Mozilla dazu Sicherungen eingebaut hat und bei Bekanntwerden von Lücken in diesem Bereich diese durch Sicherheits-Updates kurzfristig geschlossen werden.

    Hier spiegelt sich allerdings genau die kritisierte Pauschalität wieder. Natürlich ist kein Programm ohne formalen Nachweis fehlerfrei. Diesen bei komplexem Code nicht zu realisierenden Aufwand behauptet auch niemand zu betreiben. Daher halte ich Fragen über die Sicherheit von Programm x oder Feature y für wenig zielführend, solange diese Fragen nicht durch konkrete Anhaltspunkte oder einen Blick auf die Implementierung unterfüttert sind. Daher auch die Nachfrage, ob denn irgendetwas diesbezüglich vorhanden ist, was den Zweifel weckt, dass Mozilla hier grundlegende Sicherheitsfragen missachtet hat und ihnen außergewöhnliche Fehler unterlaufen sind.

    Insbesondere bliebt aber in diesem konkreten Fall zweifelhaft, dass es mehr als nur pauschale oder grundsätzliche Verdachtsmomente sind, da in einem Atemzug die mächtigeren und offeneren Schnittstellen für Erweiterungen quasi freigesprochen werden. Nach dem Motto: Kommt was auch immer als XPI bin ich zufrieden, aber wehe bei den zwei Grafiken im Profilverzeichnis und dem Eintrag in der prefs.js.

  • www.kino.to

    Quelle: mrspeggy

    Zitat von mrspeggy

    sondern daß ich unbedingt den "aktuellen" Player instalieren soll. Klickt man das an, soll man sich natürlich anmelden.

    Es ist natürlich extrem sinnvoll auf solchen illegalen Seiten Aufforderungen nachzukommen, die einen dazu verleiten irgendwo hin zu klicken. :roll:

    Quelle: llylfyr

    Zitat von llylfyr

    Habe die Fehlermeldung, dass er mit firefox 3.3.6 nicht kompatibel ist.

    Das meldet wer und was genau? Die Fx-Version gab es nie.

  • Dieser Verbindung wird nicht vertraut

    Zitat

    Ich muss einen anderen Browser nehmen, wenn ich https-sites aufrufen muss, die kein korrektes ssl-zertifikat haben.

    Nicht nachvollziehbar, hier ging es zunächst nicht um HTTPS-Seiten im Allgemeinen.

    Zitat

    Warum kann das "Gedöns" nicht abgeschaltet werden, wenn man weiß was man macht?

    Das kann man im Allgemeinen durch Hinzufügen einer Ausnahmeregel.

    Zitat

    Man kann die ach so sichere Site nicht ansehen

    Beispiel zur Reproduktion?

  • Computer herunterfahren, nach Download

    Quelle: NightHawk56

    Zitat von NightHawk56

    Diesen Job überlasse ich dem Betriebssystem, das bitteschön feststellt: "Ok, all jobs done, lets shut down.".

    Wie stellt denn das Betriebssystem fest, dass alle Jobs erledigt sind? Ohne eine festgelegte Kommunikation wird das nicht gelingen.


    Quelle: lubi

    Zitat von lubi

    die - Ok, all jobs done, lets shut down - Funktion gibt es nicht

    Das System kann nicht wissen, wie lange ein Prozess noch läuft.

    Zitat

    wo Windows erkennt, dass der Download-Manager von Firefox fertig ist, oder?

    Es ist hier afaik keine Schnittstelle bereits definiert. Daher ist der Weg über eine Erweiterung zu wählen.

  • Firefox mit Loch?

    Einfach nur *lol*.
    Und dann noch dem Fx eine Sicherheitslücke unterstellen.
    You made my day...

    Was aber wirklich ankotzt:
    Aus Fehlern wird nichts gelernt und dass man u.U. auch andere mit so einem asozialen Verhalten schädigt, interessiert nicht die Bohne! :klasse: