Beiträge von Cosmo

Zitat von bigpen

Das Ganze ist nicht nur im Firefox so, sondern auch im InternetExplorer.

Dann wäre es angebracht, in den Einstellungen des Druckertreibers nachzusehen (Seitenformat und was der auch immer so an Einstellungen hat).

Der Vergleich hinkt, deswegen bin ich nicht darauf eingegangen und werde es nicht tun.

Wenn du weißt, was temporär bedeutet (daran hatte ich auch nie gezweifelt, daß die die Wortbedeutung geläufig ist), dann interpretiere auch nichts von wegen "Mittelweg" hinein. Falls du als Folge davon den Anschein erhältst, daß andere (ich) daraus den Eindruck gewinnen, daß du die temporäre Freigabe von NS falsch verstanden hast, so mußt du dir das selber anrechnen. Der "Mittelweg" war deine Antwort auf meine beide kategorischen Bedingungen für die Freigabe in NS - du hattest mich unmittelbar vor deiner Aussage zitiert -, und in dem Kontext war und ist der Begriff schlichtweg falsch.

Zitat von dark_rider

ich habe deshalb bisher nicht auf einen Nicht-Admin-User umgestellt, weil ich nicht sicher bin, ob sich dadurch etwas am System, an den Verzeichnissen/Dateien und der installierten Software ändert.

Es wird ein neues Benutzerkonto erstellt, genau das, was die Funktion verheißt. Nicht mehr und nicht weniger. Am System ändert sich nichts. Es ist ja gerade der Sinn der Maßnahme, daß der eingeschränkte Benutzer am System nichts ändern kann. Einstellungen, die der Benutzer ändern kann, sind Benutzereinstellungen und gehören zum Benutzer; also nichts was das System betrifft. 2 Ausnahmen dazu: die Lautstärke und die Bildschirmauflösung: Beides kann auch vom eingeschränkten Benutzer geändert werden, wirkt aber für alle Benutzer. Alles nichts, was nicht auch PC-Neulinge in den Griff bekommen könnten.

Zitat von dark_rider

Ich ... brauche daher ein stabiles (!) System. Daher meine Devise: Never change a running system.

Diese Regel ist in der PC-Welt so absolut aufgestellt falsch. Stelle dir vor, du beziehungsweise dein Antivirenprogramm würde nicht täglich oder sogar mehrmals pro Tag neue Definitionen laden. Oder du würdest Sicherheitspatches - angefangen, aber nicht beschränkt auf das Betriebssystem - nicht zeitnah oder besser noch automatisiert installieren, dann hast du schnell das Gegenteil eines stabilen System. Der eingeschränkte Benutzer ist genau das, was du willst: Er kann nichts am System ändern, mithin kann er auch nicht versehentlich etwas am System ändern.

Ach ja, wer so etwas (stabiles System) braucht, macht auch regelmäßig Backups, nicht zuletzt Image-Backups, damit kann man was auch immer ungeschehen machen.

Zitat von dark_rider

Würde ich nun einen neuen PC kaufen und ihn sowieso neu einrichten, würde ich das mit dem User-Account wohl mal ausprobieren und ihn bei wenig Stress damit auch nutzen.

Da gibt es nichts auszuprobieren. Mach es, und es läuft. Und wenn das Benutzerkonto mal ganz daneben hängt, wird es einfach gelöscht und ein neues erstellt, so einfach ist das. Und noch eins: Es passiert immer wieder einmal, daß ein Windows-Konto unrettbar kaputt geht. Sollte es es sich um dein Admin-Konto handeln, dann hast du richtige Probleme.

Zitat von dark_rider

Aber: Ich befürchte Komplikationen bei der nachträglichen Einrichtung eines zweiten Users ohne Admin-Rechte. So fragen z.B. manche Programme bei der Installation, ob sie für alle User oder nur für den aktuellen installiert werden sollen.

Da gibt es keine Komplikationen, versprochen. Und zu der Frage bei der Installation mancher Programme: Dabei handelt es sich in 99% aller Fälle darum, ob die Verknüpfung im Startmenü nur für den installierenden Admin oder für alle Benutzer verfügbar sein soll. Sollte man die Frage mit "nur aktueller" beantworten, muß und kann man die Verknüpfung für den Aufruf später noch manuell erstellen. An der Installation des Programms selbst (prinzipiell ausschließlich mit dem Admin-Konto, selbst wenn es als Benutzer ginge (geht zumindest nicht völlig ordnungsgemäß) wäre es für den Zweck der Sicherheit durch Rechtetrennung kontraproduktiv) ändert sich durch die Auswahl besagter Frage nichts. Die Antwort "für alle Benutzer" ist fast immer richtig (und die Fragestellung selbst bei den meisten Programmen IMHO Unsinn), Ausnahme sind Werkzeuge, die sowieso nur ein Admin ausführen darf.

OK, dann gibt es eine Chance. Gehe nach dieser Anleitung vor und arbeite mit msconfig wie dort beschrieben. Identifiziere auf diese Weise den Dienst oder das Programm, daß da quer schießt.

Dann war es das wohl. Ohne Input kein Output.

Zitat von Rudi E.

Vorhanden TuneUp Utilities 2013.

Ein "beliebter" Verursacher für Probleme dieser Art; meine diesbezügliche Frage kam auch nicht von ungefähr.

Da du TU vermutlich (zwischen den Zeilen gelesen) länger einsetzt als FF dürfte es auch kaum noch möglich sein, den Zeitpunkt dieser Veränderung zu erfahren - es sei denn, du hättest die Feststellung im IE schon vor längerer Zeit gemacht.

Nur zur Kontrolle: Starte Windows im abgesicherten Modus (beim Booten stakkatoartig F8 drücken, es erscheint ein Auswahlmenü) und teste das Verhalten dort. Anschließend einfach wieder normal booten.

Lege ein neues Profil an und teste.

Das fordert geradezu die Frage heraus, wie dieses unbekannte Programm auf Java-Updates reagiert - eine solche Empfindlichkeit würde nämlich mehr Sinn machen. Und dann schließt sich gleich die Frage an, wie aktuell ist euer Java denn nun so?

Ich sage auch nicht, daß temporäres Freigeben verkehrt oder sinnlos seien. Aber: es ist kein Mittelweg. Es ist eine Freigabe in dem Augenblick, in dem sie ausgeführt wird und sie wirkt bis zu ihrer Aufhebung genau wie eine dauerhafte Freigabe. Die Bezeichnung Mittelweg suggeriert etwas anderes (siehe meinen vorherigen Beitrag), und das ist falsch und irreführend.

Zu deinem Beispiel: Vor 6 Monaten wußtest du über die Vertrauenswürdigkeit genauso viel (oder wenig) wie in der vergangenen Woche - oder heute. Und sie hätte vor 6 Monaten ebenso kompromittiert sein können wie sie es in der vergangenen Woche war. Der einzige Unterschied ist, daß wir heute wissen, daß du vor 6 Monaten Glück gehabt hättest. Ich besuche die Seite sehr selten (in meiner Chronik finde ich sie nicht), aber soweit ich mich erinnere, braucht man dafür kein zugelassenes Scripting. Sollte mich meine Erinnerung nicht täuschen, gab und gibt es keinen vernünftigen Grund, es dort zu erlauben - ob nun temporär oder permanent ist völlig egal.

Zitat von dark_rider

Wer sich zu 100% an alle Empfehlungen von BSI und anderen Sicherheitsexperten halten will - der bleibt offline.

Diese Empfehlung habe ich beim BSI oder einem seriösen Sicherheitsexperten bisher nicht gefunden. Man könnte auch schreiben, schafft alle Computer oder zumindest das Internet oder auch alle anderen Netzwerke ab - man kann auch in die Steinzeit zurückkehren. Seriöse Experten empfehlen einen solchen Unsinn nicht. Sie empfehlen die Absicherung des Rechners mit den zu Gebote stehenden Möglichkeiten, und dazu gehört die Einrichtung und Verwendung eines eingeschränkten Kontos. Was daran soll über Gebühr lästig sein? Aus meiner Erfahrung über viele Jahre sage ich dir: Nichts! Kein Mensch verwendet seinen Computer um 90% der Zeit (nicht einmal weit weniger als 50%) zu administrieren, mithin pflegen Dauer-Admins bestenfalls ihr Ego, nicht ihren Rechner und nicht die Sicherheit.

Halten wir ganz einfach fest - und das hat nichts mit "beschimpfen" zu tun: Du hast nach dem Sinn des eingeschränkten Kontos gefragt, du hast Antworten bekommen, denen du inhaltlich nicht widersprochen hast und du tust es also trotz besseren Wissens nicht. So etwas nennen ich unverantwortlich.

Zitat von Rudi E.

Danach mal den IE8 ausprobiert, wieder brauchte ich zwei Anschläge
...
Was ist wo fehlerhaft?

Vermutlich etwas in deinem Windows. XP oder Vista?

Lege in Windows ein neues Benutzerkonto an und teste das Verhalten dort.

Was ist an Tuning/Cleaning/Tweaking-Software vorhanden?

Zitat von Bärenbande

FF startet nicht mit gedrückter Umschalttaste.

Normal startet er? Dem sollte man nachgehen.

Zitat von Bärenbande

Und über die Hilfe komme ich schon gar nicht mehr.

Was heißt das in etwas ausführlicheren Worten?

Macht es aber nicht für Flash (steht auch in dem Artikel). Die Verwendung der neuesten Version als selbstverständlich vorausgesetzt.

Zitat von dark_rider

Ein "Mittelweg" noch, den NoScript anbietet: Eine URL nur temporär für die Dauer der Sitzung freigeben.

Was ist denn daran ein "Mittelweg"? Zugelassen ist zugelassen, Punkt Basta; die Scripte werden ausgeführt, Plugins - je nach Einstellung - zugelassen. Temporäres Zulassen ist kein "kleines bißchen Zulassen" (das läßt sich auch aus keinerlei Angabe in der NS-Dokumentation belegen), sondern ein ebenso vollständiges Zulassen wie das permanente Zulassen - mit dem einzigen Unterschied, daß die temporär zugelassenen Einträge beim Beenden der Browersitzung selbständig wieder aus der Positivliste entfernt werden. Ist man also nicht sicher, ob dem Anbieter wirklich vertraut (und dieses Wort kann man gar nicht fett genug unterstreichen) wird, ist auch temporäres Zulassen eine ohne Wenn und Aber falsche Entscheidung.

dark_rider, du hattest doch in Wirklichkeit die Frage gestellt

Zitat von dark_rider

Lohnt sich da wirklich ein extra User-Account neben dem Admin?

und in deinem folgenden Beitrag erweitert

Zitat von dark_rider

Unterbindet Vista so etwas mit den Admin-Rückfragen vor vielen Aktionen nicht eigentlich schon ausreichend, so dass es sich erübrigt, verschiedene Windows-Benutzerkonten anzulegen und den PC für Admin-Aktionen extra jedes Mal neu zu starten bzw. zumindest den Benutzer zu wechseln?

Also, wenn die Gretchenfrage lautet, kann UAC sicherheitstechnisch die Verwendung getrennter Konten mit unterschiedlichen Rechten ersetzen - und um es noch einmal zum Mitmeißeln klar und unmißverständlich auf den kürzesten Nenner zu bringen: Nein -, dann ist doch die Frage, wie lästig wird diese UAC-Popup-Fragerei empfunden ein Nebenkriegsschauplatz. Meine Aussagen zu der Belästigung war ein Teil meiner knappen Zusammenfassung über den historischen Werdegang dieser Benutzerkontensteuerung; dazu gehört eben auch, daß die millionenteure UAC-Entwicklung auf Grund der allgemeinen Kritik (bezogen auf Vista) dazu führte, daß man die W7-UAC-Standardeinstellung herunterschraubte - um es unmißverständlich klar zu machen: die Sicherheitsfunktionalität (im Rahmen der bescheidenen Möglichkeiten von UAC) reduzierte; die Alternative wäre gewesen, UAC wieder zu entfernen. So, dieser kurze historische Exkurs ist damit geschlossen und die Frage nach dem persönlichen Empfinden der Komfortfrage damit auch. Ergänzend: Interessierend ist nicht die Frage, ob der einzelne diese Fragerei als lästig empfindet oder nicht, sondern ob die Masse der Benutzer dieses Instrument akzeptiert und beherrscht. Denn wenn UAC entweder massenhaft abgeschaltet oder jede Frage wie unter Trance schablonenhaft mit Zulassen beantwortet wird, dann kann UAC selbst die von MS zugedachte Funktionalität notwendigerweise gar nicht erfüllen.

Konzentriere dich auf deine eigene Frage (oben wiedergegeben) und die Antwort darauf.

Wobei ich mitteilen kann, daß ich vor 1 Woche den Umstieg von ESR10 auf ESR17 vollzogen habe. Trotz der furchtbar klingenden Zahl von 7 Major-Releases klappte das hier auf Anhieb perfekt und völlig mühelos (einschließlich aller Erweiterungen). Lediglich eine Sache sollte man - wenn man will - nicht übersehen: Das Autocomplete-Feature für die Adressleiste abzuschalten, ich halte das für zumindest fragwürdig in seiner jetzigen Umsetzung. Anleitung

Zitat von dark_rider

Viel gefährlicher wäre es, und vielleicht war es ja auch tatsächlich so, wenn der gesamte Schadcode auf PC-Welt.de gelegen hätte - dann wären selbst User mit NoScript betroffen, sofern sie PC-Welt.de in der Positivliste haben.

Das ist ein schlagendes Beispiel dafür, was viele Benutzer bei NS nicht kapiert haben: Sie fragen sich nur, wie kann ich für diese oder jene Seite Scripting und Plugins freigeben. Viele verstehen aber nicht, daß die Gretchenfrage lauten muß: Muß ich für diese oder jene Seite Scripting überhaupt freigeben (entgegen einem extrem weit verbreiteten Gerücht funktionieren nämlich viele Seite auch ohne Scripting) und dann vor allen Dingen: Vertraue ich dem Anbieter (nicht nur, aber auch in Bezug auf seine Kompetenz und Zuverlässigkeit, sein Webangebot vor Angriffen zu schützen). Und dann muß die kategorische Vorgehensweise so aussehen, daß nur bei zweimaligem unzweifelhaftem JA Scripting freigegeben wird - anderenfalls im Zweifelsfall die Seite ignoriert wird, wenn sie ohne aktive Inhalte nicht funktioniert. Dazu braucht es allerdings auch eine Portion Selbstdisziplin.

Zum Thema Benutzerkonten mit eingeschränkten Rechten:

UAC ist entwickelt worden, um die Sicherheit des Systems zu erhöhen. So weit so gut, aber warum? Weil viele Benutzer unter den älteren Windows-Versionen der eigenen Faulheit wegen (um es deutlich zu benennen) als Dauer-Admins unterwegs waren. Und dummerweise (wahrlich eine der dümmsten MS-Designfehler überhaupt) bietet Windows XP bei der erstmaligen Inbetriebnahme die Einrichtung von bis zu 5 Benutzerkonten an, die alle volle Admin-Rechte haben (obwohl man in diversen MS-Publikationen nachlesen kann, daß mehr als 1 Admin-Benutzerkonto auf einem System im Regelfalls nichts zu suchen hat).

Da die Leute also keine eingeschränkten Benutzerkonten verwendeten, wurde mit Vista UAC geboren - und in W7 gleich wieder entschärft, weil das Ding derart nervig ist, daß viele Benutzer es gleich ganz abgeschaltet hatten. Man kann es also drehen und wenden wie man will, UAC ist eine Krücke, die den Arbeitsablauf entweder hemmt oder die Sicherheit (wenn überhaupt, dazu im folgenden mehr) nicht wirklich bieten kann. Mit der Verwendung eines eingeschränkten Benutzerkontos für das tägliche Arbeiten ist Sicherheit dagegen sehr hoch möglich. UAC ist eigentlich nichts anderes als ein mißglücktes Komfortfeature, um die Rechtetrennung mit nur 1 Benutzerkonto zu realisieren.

So richtig spannend wird es aber, wenn man sich genauer - und das heißt technisch - mit der Frage auseinandersetzt, ob UAC wirklich die Sicherheit gewährleisten kann, die getrennte Benutzerkonten bieten. Es gibt einen weltweit anerkannten Windows-Guru namens Mark Russinowich. Das ist derjenige, der in der Mitte des vergangenen Jahrzehnts den berühmt-berüchtigten Sony-Rootkit entdeckt hat (was dazu führte, daß MS diesen Rootkit als schädlich einstufte und Sony letztendlich vor dem Kadi landete und verurteilt wurde). Später hat MS Russinovich in seine Reihen geholt. Er hat dort verschiedene Aufgaben, unter anderem schreibt er auch über technische Probleme und Zusammenhänge (die so nicht unbedingt die offizielle MS-Verlautbarung sind). Unter anderem gibt es von ihm einen sehr ausführlichen Artikel zu dem Thema UAC - sorry leider sehr technisch und in englisch. Kurz zusammengefaßt: Aus einer ganzen Reihe von Gründen, die Russinovich detailliert darstellt - bietet UAC diese Sicherheit nicht. Das liegt unter anderem daran, daß von UAC unbemerkt Programmbibliotheken (DLL) nachgeladen werden können, in denen sich Schadcode befindet, es liegt daran, daß bei nicht signierter Software Dateien von Schadware ganz einfach ausgetauscht werden kann, ohne daß die UAC-Meldung derartiges erahnen läßt und es liegt daran, daß die im Admin-Benutzerkonto mit Basisrechten gespeicherten Einstellungen (in der Registry) mißbrauchbar sind.

Zusammenfassung: Wer sich auf UAC verläßt und munter weiter als Dauer-Admin arbeitet, der ist verlassen. Ob UAC ansonsten einen Sinn macht ist eine Diskussion, auf die ich mich nicht einlassen möchte.

Nur mal so zum Nachdenken: Warum wohl sind auch in der Ära Vista /W7 derart viele Rechner von Schadware befallen worden? Würde UAC so arbeiten, wie es propagiert wird, wäre das unmöglich, die rauhe Wirklichkeit spricht eine andere Sprache.

Natürlich verhindert der PM keine Keylogger und Spyware; für die gilt, was ich oben bereits über Schadware geschrieben hatte: System ist fertig.

Aber er verhindert eben genau das, was du gelesen hast: Damit versendete Daten werden nicht gespeichert, sind ergo auch nicht auslesbar, wenn der PM verlassen wurde.

Also, das was ich lese ist, daß auf dem Server (nach meiner Lesart: von PC Welt) ein Script manipuliert wurde, daß ein IFrame generierte (wäre dann wohl auch auf demselben Server?) Nichts genaues weiß man nicht, spekulieren ergibt keine Sicherheitshinweise.

Aber: Wenn in NS das Platzhaltersymbol aktiviert ist, dann hat man ja immer noch die Möglichkeit, den betreffenden Inhalt zuzulassen - egal in welcher NS-Zone sich eine Seite befindet. Und dann macht das sehr wohl Sinn (ist wie Sicherheit meistens etwas umständlicher, aber praktikabel).