Beiträge von Darklord666

  • Sicherheitsheitslücke in Ciscos H.264-Modul für Firefox

    Sorry Sören aber irgendwie klingt das für mich wie Blabla und Sicherheitsinteressen werden dabei nicht wirlich zur Kenntnis genommen. Ich fühle mich selber gar nicht mal betroffen und sehe das ganz global.
    Siehe z.B. den Bugzillathread https://bugzilla.mozilla.org/show_bug.cgi?id=1100304.
    Da ist sicher nicht das letzte Wort gesprochen und die Probleme, die ich ansprach kommen evtl. erst in einigen Monaten zum Vorschein, eben wenn das Plugin weitere Sicherheitsprobleme darstellt, was bei Plugins nunmal so üblich ist.
    Deshalb halte ich es auch nicht für in Ordnung, das Mozilla einem das Plugin aufzwingt.
    Außerdem ist die Frage ob man ein Unternehmen als vertrauensvoll einstuft eine subjektive Entscheidung. Da gibts kein A und B. Von Verschörung oder Paranoia zu reden halte ich für überzogen, da auch Nachrichtenberichte diese "Theorie" unterstützen.

  • Sicherheitsheitslücke in Ciscos H.264-Modul für Firefox

    Zitat von Sören Hentzschel

    Du bist jetzt allerdings auf keinen einzigen von all den Punkten eingegangen, die das von dir Geschriebene widerlegt haben.

    Du hast gar nichts widerlegt. Das ist auch gar nicht möglich, außer du bist ein Hellseher.

    Zitat von Sören Hentzschel


    Das mag ein Unterschied sein, ist am Ende aber genauso Quatsch, es besteht überhaupt keine Korrelation zwischen Kommerz und Vertrauenswürdigkeit. Vielleicht bist du dir dessen nicht bewusst, aber Firefox wird von der Mozilla Corporation entwickelt. Die Mozilla Corporation ist ein kommerzieller Ableger der Mozilla Foundation. Würde Firefox von der Mozilla Foundation entwickelt, dann dürfte sich Mozilla auch nicht Non-Profit nennen, dazu ist der Anteil von Spenden am Umsatz viel zu gering. Halten wir also fest: Sowohl der OpenH264-Codec als auch Firefox sind Open Source-Produkte, welche von kommerziellen Unternehmen entwickelt werden. Wo ist der Unterschied in deinen Augen? Damit sind wir wieder bei meinem Punkt: Wenn du A sagst, dann sag auch B, aber du bist inkonsequent und sagst, dass bei Cisco schlecht ist, was bei Mozilla egal ist. Das funktioniert nicht als Argument.

    Cisco hat einen schlechten Ruf in Sachen Sicherheit und zwar aus dem sog. "NSA-Skandal". Mozilla bleibt für mich definitv vertrauensvoller als Cisco. Das hat nichts mit Inkonsequenz zu tun sondern mit Vertrauen.

    Zitat von Sören Hentzschel


    Zunächst einmal ist Firefox ein Produkt und keine Firma und kommunizert als solches keinen Bug. Der nächste Punkt ist, dass Cisco die Sicherheitswarnungen für OpenH264 veröffentlicht hat. Das entsprechende Ticket in Mozillas Bugtracker wurde drei Tage danach eröffnet und bezieht sich auf die Sicherheitswarnungen von Cisco. In diesem Ticket wurde dann sowohl von Cisco als auch von Mozilla festgestellt, dass die Sicherheitslücke nie eine Sichereitslücke in Firefox war. Das Bugzilla-Ticket ist übrigens alles, was es von Mozilla an Kommunikation dazu gab, denn wo keine Sicherheitslücke existiert, bedarf es keiner Kommunikation darüber. Auch in Ciscos Warnungen war von Firefox nie explizit die Rede.

    Macht für mich keinen Unterschied.

    Zitat von Sören Hentzschel


    Also auch hier ist deine Argumentation widerlegt, gleich aus zwei Gründen: Erstens weil zunächst Cisco auf die Sicherheitslücken in OpenH264 öffentlich hingewiesen hat und zweitens weil es nie diese Sicherheitslücken in Firefox gab, es also überhaupt nichst gab, wozu Mozilla hätte gedrängt werden können an Sicherheitslücke einzubauen.

    Und ? Dann ist Cisco der Bösewicht für mich und nicht Mozilla. Vllt. hat ja eine interne Quelle gequatscht und Cisco ist präventativ in die Offensive gegangen. Kluger Schachzug.


    Zitat von Sören Hentzschel


    Auch das kann man so nicht stehen lassen. Dein zweiter Punkt hat nicht nichts mit Verschwörung zu tun, das ist eine Verschwörungstheorie vom Allerfeinsten. Ich weiß ja nicht, was du unter diesem Begriff verstehst, aber was ist bitte eine Verschwörungstheorie wenn nicht die Theorie, dass der Staat auf den Einbau von Bugs in Firefox drängt, welche die Überwachung im Bedarfsfall ermöglicht? Das klingt schon hart paranoid, wenn du meinst, dass so etwas in Firefox unbemerkt möglich wäre.

    Das ist eine Theorie, die aus Medienberichten, Diskussionen und Aussagen von Parteien zustandekommt. Beweisen lässt sich da eh nichts also auch nicht widerlegen.

    Zitat von Sören Hentzschel


    Blind vertrauen sollte man natürlich niemandem, auch Mozilla nicht, aber das sagt sogar Mozilla selbst. Genauer sagte Mozillas heutiger CTO Andreas Gal Anfang des Jahres (zu dem Zeitpunkt war Brendan Eich noch CTO), dass man keinem Softwarehersteller, inklusive Browserhersteller, blind vertrauen soll, was Mozilla ja mit einschließt, denn die Regierung könne jederzeit Hersteller durch Gesetze zu Dingen zwingen, die sie nicht tun wollen, aber tun müssen. Er hat damit dazu aufgefordert, den Quellcode zu überprüfen. Die Tatsache, dass Firefox komplett Open Source ist, ist in diesem Zusammenhang ein Riesen-Vorteil gegenüber allen anderen bedeutenden Browsern. Der Artikel, auf den ich mich beziehe, ist in jedem Fall die Lektüre wert: http://andreasgal.com/2014/01/11/trust-but-verify/

    Na ja, da steht nichts wirklich neues darin aber ganz nett.

    Zitat von Sören Hentzschel


    Aber es ist wieder genau das, was ich die ganze Zeit sage: Alles, was du an Zweifeln hast, was Cisco betrifft, musst du ganz genauso auf Mozilla anwenden. Du kannst nicht davon ausgehen, dass Mozilla böse Absichten hat. Die kannst auch Cisco nicht unterstellen. Und wenn du in den Bereich gehst, dass die Regierung ja etwas verlangen könnte, dann gibt es keinen Grund, Mozilla mehr zu vertrauen, denn Mozilla unterliegt denselben Gesetzen. Aber die offene Natur von Mozilla macht es sehr unwahrscheinlich, dass da Dinge unbemerkt vor sich gehen. Einschließlich des Cisco-Plugins, welches auch Open Source und überprüfbar ist.

    Wie bereits gesagt. Cisco hat schon einen gewissen "Ruf" und ist als großes Kommunikationsunternehmen geeignet für Manipulationen von staatlicher Seite. Einige Politiker wollen das ja sogar. Angeblich nur zum Schutz vor Terror aber letztendlich geht es um die totale Überwachung. Ist kein Märchen sondern leider schon fast Realität.

    Zitat von Sören Hentzschel


    Auch dieser Absatz ist vollkommener Quatsch. Wo soll ich nur anfangen? Damit, dass es in Firefox für kein einziges Plugin eine Deinstallationsmöglichkeit gibt? Oder damit, dass die Installation des OpenH264-Codecs via about:config deaktiviert werden kann? Der wichtigste Punkt aber ist: bei welchem anderen Feature wirst du vorher gefragt, ob du es installieren möchtest? Genau: bei keinem einzigen. Letztlich ist das ein Feature wie jedes andere auch. Der einzige Grund, wieso es als Plugin umgesetzt ist, ist die Tatsache, dass dies die einzige legale Möglichkeit ist, den Codec an die vielen Millionen Firefox-Nutzer auszuliefern, ohne einen Millionenbetrag an Lizenzgebühren zahlen zu müssen. H.264 ist nun einmal nicht nur der beste Codec für WebRTC, es ist dazu ein Codec, in dem viel patentierte Technologie steckt und der nicht kostenlos an die Nutzer ausgeliefert werden darf. Darüber hinaus wurde vor ein paar Tagen bekannt gegeben, dass H.264 verpflichtend für WebRTC ist, das bedeutet, ein Browser, der H.264 in WebRTC nicht unterstützt, darf sich nicht WebRTC-kompatibel nennen. Also die Tatsache, dass du hervorhebst, dass es vermeintlich viele gibt, die das so sehen wie du, ändert nichts daran, dass das extrem viele Firefox-Nutzer tangiert, denn WebRTC ist nichts, was nur von einem ganz kleinen Teil der Nutzer genutzt wird.

    Sogar in deinem Blog wird darüber gestritten dass einem das Plugin "untergeschoben" wird. Als Nutzer möchte ich die Wahl haben ob ich einen Dienst nutze oder nicht. Also hätte das beim Update als Option (JA/NEIN) verfügbar gewesen sein sollen.
    So bin ich es bisher vom Firefox gewohnt.

    Zitat von Sören Hentzschel


    Und wenn du schon den Vergleich mit Plugins ziehst, worauf ich am Anfang dieses Absatzes sogar eingestiegen bin, dann ist dir aber schon klar, dass Gecko Media Plugins mit NPAPI-Plugins nichts zu tun haben, oder? Der OpenH264-Codec ist das derzeit einzige Gecko Media Plugin, welches auf diesem Planeten existiert. Es wird mit dem Adobe Content Decryption Module (CDM) noch ein zweites für EME dazu kommen, aber das ist Zukunft. Darüber hinaus hat das ja sogar noch einen Riesen-Vorteil für Endanwender: es kann per Knopfdruck deaktiviert werden. Kann man sonst auch mit kaum einen Feature in Firefox, das ist ja noch leichter als about:config zu verwenden.

    Damit kann ich leider nichts anfangen.

    Zitat von Sören Hentzschel


    Offensichtlich bist du dir dessen kein bisschen bewusst, ansonsten würde dein Beitrag nicht so aussehen und du würdest nicht von Schaden sprechen. Welcher Schaden entsteht bitte? Welche negativen Auswirkungen? Du konntest nicht einen einzigen Negativ-Aspekt nennen, in dem sich das von anderen Teilen von Firefox unterscheidet. Nochmal der Bezug zu meinen vorherigen Beiträgen: All die anderen Teile von Firefox, die nicht von Mozilla stammen, über die hab ich dich noch nie auch nur ein einziges Wort verlieren sehen. Aber bei Cisco ist es ein Problem? Und sag nicht, dass du das nicht wusstest, ich habe in diesem Thread bereits mehrfach den Punkt gebracht, spätestens im Laufe der Diskussion hast du das gelernt. Deine Argumentation ist von vorne bis hinten unschlüssig.

    Das hast du im Prinzip in deinem letzten Absatz selber gesagt : "Code in OpenH264 kann genauso gut oder schlecht ausgenutzt werden wie Code, der von Mozilla kommt, da besteht absolut kein Unterschied".
    Die Art des Schadens kann man nicht vorhersagen. Spionage, Enttarnung, Identifizierung von Dissidenten uvm.

    So, jetzt muss ich weg, sonst schimpft wer.... :)

  • Sicherheitsheitslücke in Ciscos H.264-Modul für Firefox

    Zitat von Sören Hentzschel

    Du bist jetzt allerdings auf keinen einzigen von all den Punkten eingegangen, die das von dir Geschriebene widerlegt haben.

    Kommt noch... Ich muss deinen ganzen Text und die WEB RTC-Seite erst mal durcharbeiten (sehr technisch). Mein 1. Eindruck ist, du siehst das ganze etwas verklärt und meinen Standpunkt nicht ganz objektiv. Vllt. drück ich mich auch nicht klar genug aus.

    2 Fragen habe ich aber:

    - Warum wird das Web-RTC-Plugin einem aufgezwungen, wenn man doch Videokonferenzen gar nicht benötigt ?

    - ich habe irgendwo bei Bugzilla gelesen, dass VPN-Nutzer mit diesem Plugin identifiziert werden können. Das sei "per
    Design". Was ist dann mit den ganzen Internetaktivisten, die auch Firefox-Nutzer sind ?

  • Sicherheitsheitslücke in Ciscos H.264-Modul für Firefox

    1. Ich habe nicht gesagt Kommerz = nicht vertrauenswürdig sondern "nicht uneingeschränkt vertrauensvoll". Das ist ein gewaltiger Unterschied.

    2, Firefox bzw. Mozilla finde ich nach wie vor vertrauenswürdig. Das FF den "Bug" offen kommuniziert ist selbstverständlich. Alles andere wäre verdächtig. Es ist aber durchaus denkbar, dass Mozilla von staatlicher Seite gedrängt wurde, diesen "Bug" bzw. das Plugin einzubauen um eine Überwachung im Bedarfsfall zu ermöglichen.

    3. Es ist nur eine Theorie, die ich da angestossen habe. Nicht mehr und nicht weniger. Mit Verschwörung hat das nichts zu tun, sondern mit aktuellen Meldungen und auch Tatsachen. Unsere und andere Regierungen setzen auf totale Überwachung (Stw.:Staatstrojaner). Der neue "Datenschutzbeauftragte" hat ja keinen Hehl daraus gemacht, dass ihm, im Gegensatz zu seinem Vorgänger, an Datenschutz nichts gelegen ist (deshalb ist er eigentlich überflüssig). Das ist leider typisch erzkonservatives Denken.

    4. Ich finde der User muss selbst bestimmen können, welche Plugins/Addons er installiert. Das dieses Plugin von Haus aus ohne Deinstallationsoption installiert wird, ist m.E. nicht im Sinne der großen FF-Community. Da ich (wie viele) keine Verwendung für den Codec habe, bleibt das Teil deinstalliert.

    5. Wie ich schon sagte bin ich mir über Nutzen und Schaden der Funktion durchaus bewusst. Ich finde man darf aber nicht nur die positiven Seiten sehen sondern muss sich auch Gedanken über negative Auswirkungen und potentielle Risiken machen.

  • Sicherheitsheitslücke in Ciscos H.264-Modul für Firefox

    Das OpenH261 keine Malwareschleuder ist, dass glaube ich und das kommerzielles Interesse und gute Tat sich nicht ausschließen ist mir auch klar. Das Problem, was ich sehe, ist dass das Plugin entweder durch Kriminelle oder auch durch den Staat (zwecks Überwachung) ausgenutzt werden kann (vllt. ist das sogar der Plan). Das es sandboxed ist finde ich nicht sehr beruhigend, da Java das auch ist. Wie ich schon sagte, ist der Nutzer von Cisco abhängig und das ist keine gute Sache. Ich habe das Plugin inzw. deinstalliert, mittels about:config media.gmp-gmpopenh264.provider.enabled= false.
    Ich bin auch etwas überrascht durch das sehr schnelle Dementi von Cisco, dass FF Nutzer nicht betroffen seien. So ganz traue ich dem nicht. :roll:

  • zurcksetzen von Firefox unter MAC OS 10.5.8

    TAN-Generator hin oder her ist völlig egal. Eine MITM,MIB oder Trojanerattacke wird durch ein unsicheres OS sehr begünstigt, wenn nicht gar provoziert (deshalb der Hinweis auf die Schadenshaftung). Meistens läuft das so: Du gehst auf die Seite der Bank und wirst auf eine gespiegelte oder gefakte Seite umgeleitet. Da gibst du deine Daten ein und die werden vom Hacker ausgelesen. Bei Chip-TAN z.b. kann der Hacker einen Barcode simulieren, den der TAN-Generator auch lesen kann. Dann steht da im Gerät eine ähnliche Bankverbindung wie die, an die die Transaktion gehen sollte.

    M.E. ist zw. ITAN und Chip-TAN Verfahren sicherheitsmäßig gar nicht so ein großer Unterschied. Es ist bei den genannten Angriffsmethoden völlig egal, da der Hacker die Daten vorher abgreift.

    Vllt. sollte man das Thema mal abtrennen und umbenennen.

  • Neues Plugin nachUpdate auf FF 33.0

    Ganz toll kommuniziert wurde das neue Plugin von Mozilla aber wirklich nicht. Als ich das Plugin sah dachte ich erstmal "ADWARE" :shock: . Dann habe ich den Pfad über about:plugins recherchiert, nachdem ich meine Programme nach unerwünschten Einträgen durchforstet hatte und den Ordner bzw, die DLL mal gelöscht. Das Plugin hielt sich aber hartnäckig. Dann habe ich über Recherche in FF-Hilfe rausgefunden, dass das ein legitimes Plugin von Mozilla ist.
    Da aber im allgemeinen Plugins immer ein potentielles Risiko darstellen, habe ich es deaktiviert. Entfernen geht ja offensichtlich nicht. Ich finde es auch nicht gut, dass man nach einem Update nicht mehr mit einem Klick an die Beschreibungen der Neuheiten kommt, sondern sich da erst mühselig hinklicken muss. :traurig:
    Ansonsten ist das Update (wie fast immer) reibungslos verlaufen.

  • Neue SSL-Lücke POODLE - Schutzmaßnahme für Firefox

    Zitat von Zitronella


    Würde mich aber auch interessieren warum FF mit der Einstellung security.tls.version.min auf 0 auf der Webseite https://www.poodletest.com/ als "not vulnerable" angezeigt wird. :-??
    Wer lücht denn nun? Firefox oder diese Testseite?

    Genau das war meine Intention :D und ich war naiverweise davon ausgegangen, das die heise website bei den gestandenen Firefoxnutzern Standardlektüre ist. :wink: Ich schau da fast täglich mal rein, wobei einiges auch Panikmache ist aber dies hier finde ich extrem wichtig.