Beiträge von PIGSgrame

Ich muss Dr. Evil da vollkommen zustimmen: Dies serverseitig auszuschalten ist ein erheblicher Eingriff, der dir als Webmaster nicht zusteht.

Eine Anleitung, wie deine Nutzer es clientseitig abschalten können, ist in Ordnung, obwohl ihnen das erfahrungsgemäß reichlich egal sein dürfte (gehe nur von deinem eigenen Surfverhalten aus: Was hältst du selbst von Hinweisen der Art "Um unsere Seite richtig toll nutzen zu können, stellen Sie dies, dies und jenes in Ihrem Browser ein"? Wer ausschließlich mit der Maus arbeitet und diese Umrandung als extrem störend empfindet, der hat sie sicher bereits selbst deaktiviert.

In ganz wenigen Fällen, z. B. wenn ein rechtsbündug ausgerichteter Link-DIV mit margin:0 umrandet wird und dadurch eine horizontale Scrollbar erzeugt, kann es sinnvoll sein, diese Markierung sofort wieder abzuschalten. Aber selbst da sollte man sie nicht komplett per CSS ausblenden

div#link > a:focus {outline:none;}

, sondern ausnahmsweise JavaScript bevorzugen. Mit dieser Lösung kann man nämlich den Link "antabben", aber die Umrandung verschwindet wieder, sobald man den Link aufgerufen hat:

<a href="..." onClick="this.blur();">...</a>

Aber wie gesagt, sowas sollte man nur in wenigen, begründeten Ausnahmefällen tun. Ansonsten sollte deine Webseite nicht versuchen, auf den Browser ihrer Nutzer Einfluss zu nehmen. Ein komplettes Ausbelnden über die focus-Pseudoklasse ist jedenfalls extrem schlechter Stil. Selbst Leute ohne Behinderung bevorzugen manchmal die Tastatur zum Surfen, abgesehen davon, dass die Focus-Umrandung auch andere Vorteile hat.

Die meisten Betriebssysteme bieten dafür Möglichkeiten zur Regulierung der Benutzerrechte. Welches Betriebssystem hast du?

Eine wirkliche Lösung für das Problem mit dieser Erweiterung kenne ich zwar nicht, aber vielleicht möchtest du dir ja als Alternative TabMix Plus mal ansehen. Mit dieser Erweiterung kann man so ziemlich alles einstellen, was im Zusammenhang mit Tabs vorstellbar ist, unter anderem lässt sich damit auch festlegen, was in neu geöffneten Tabs angezeigt werden soll.
[Blockierte Grafik: http://downloads.pigsgrame.de/bilder/ff_tmpopen.jpg]

<insidergag>
Den obligatorischen Hinweis "nur für $Feature ist TabMix Plus wohl etwas überdimensioniert" bitte selbst an beliebiger Stelle meines Beitrags einfügen :wink:
</insidergag>

Alles klar, ist ja kein Problem - es liegt mir wirklich fern, Einsteiger runterzumachen. Ich ärgere mich zwar jedes Mal über solchen unsäglich schlechten Code, aber meine Kritik geht nicht an Privatleute, die einfach eine funktionierende Homepage betreiben wollen, sondern an die Hersteller der Programme, die diesen Mist generieren.

Die von mir vorgeschlagene Änderung kannst du trotzdem durchführen. Öffne einfach die erzeugte HTML-Datei (meist heißt sie index.html oder auch index.htm) und ersetze den Code zwischen <object> und </object> durch den Code, den ich dir oben vorgeschlagen habe. Dann wird es auf jedem modernen Browser funktionieren und auch bei Nutzern, die keinen MediaPlayer haben.

Du musst den Code nicht im Detail verstehen, interessant für dich ist aber dieser Teil:

style="height:480px;width:640px;"

Damit kannst du du Breite und Höhe deinen Wünschen anpassen.

Zitat von Tabernaer

P.S.: Wikki und Forum hab ich durchsucht. Stichworte: Inhaltsratgeber, Jugendschutz und Sites blocken

Dann hast du ja sicher bereits gelesen, dass es da diverse Erweiterungen gibt, aber man diese Schutzvorrichtungen mit ein wenig Wissen immer aushebeln kann. Etwas anderes wird man dir dazu leider nicht sagen können. Der Inhaltsratgeber des IE und auch alle anderen Ansätze dieser Art funktionieren nur, wenn der Eingeschränkte nicht weiß, wie er sie umgehen kann.

Zitat von haylebob

ich habe auf meiner Website die Mediaplayer CLSID impementiert, ...

Ich weiß ja nicht, wo du den Code her hast, aber so macht man das nicht. Es ist nicht Aufgabe des Webdesigners, "die Mediaplayer CLSID zu implementieren", sondern man teilt dem Nutzer einfach mit, um welchen Datentyp es sich handelt. Je nach Konfiguration übernimmt dann das MediaPlayer-Plugin oder ein anderes Plugin oder Programm das Video - das geht den Webdesigner aber nichts an.

Implementiere das Objekt so:

<object id="MediaPlayer1" style="height:480px;width:640px;" type="video/x-ms-wmv" data="mms://91.65.150.173:1062">
 <param name="Filename" value="mms://91.65.150.173:1062">
 <param name="AnimationAtStart" value="true">
 <param name="AutoStart" value="True">
 <param name="TransparentAtStart" value="false">
 <param name="ShowControls" value="true">
 <param name="PlayCount" value="true">
</object>

dann wird auch browserunabhängig das MediaPlayer-Plugin angezeigt, sofern es installiert und für die Verarbeitung vom WMV eingerichtet ist. Auf Linux und anderen Betriebssystemen gibt es keinen MediaPlayer und manche Windows-Nutzer haben ihn ebenfalls nicht installiert. Dort wird dann ein anderes Programm das Video behandeln.

Die ClassID-Variante ist proprietärer Müll aus längst vergangenen Tagen, der <embed>-Tag ebenso.

Ehrlich gesagt finde ich das Smiley-Problem nicht sooo tragisch, weil ich sie sehr dezent einsetze. Aber verglichen mit dem phpBB3 ist das phpBB2 doch reichlich altbacken.

Diese Installation scheint mir unmodifiziert. Das Konvertieren nach phpBB3 dürfte eine Sache von maximal einer Stunde sein und auch ich würde hier meine Hilfe anbieten. Es wäre zumindest nett, wenn der Betreiber mal kurz mitteilen könne, was gegen einen Umstieg spricht oder warum es sinnvoll ist, noch zu warten.

phpBB3 bietet nicht nur kosmetische Vorteile, sondern hat auch eine völlig neue Sicherheitsarchitektur und besseren Spamschutz - Argumente, die auch dem Betreiber den Umstieg erleichtern sollten.

Zitat von vommie

Der PDF-XChange Viewer hat den Foxit bei mir abgelöst. Ist viel besser und ich find ihn sogar noch schneller.

Echt? Ich habe dieses Programm mal getestet und fand es fürchterlich. Es hat nur hässliche Skins, die man nicht deaktivieren kann (man kann nur einen "Windows Native"-Skin einstellen, der auch nur ein hässlicher Eigenpfusch ist), außerdem rendert das Programm unscharf und fast immer fehlerhaft, besonders Tabellen. In der Schnelligkeit nehmen sich bei mir beide nichts, in Features ist meine Pro-Version des Foxit Readers klar überlegen. Der eXchange Viewer hat lediglich die Tab-Unterstützung voraus, und die benötige ich nicht.

Nach einem kurzen Test ist dieses Programm bei mir wieder von der Platte gewesen. Was an ihm "viel besser" als am Foxit Reader sein soll, ist mir - obwohl mir bekannt ist, dass Geschmäcker vierschieden sind - völlig unklar. Ich jedenfalls konnte diesem Programm nichts Positives abgewinnen.

Zitat von thebrain

Sicherheit ist ein Konzept der Prävention und SS&D versucht diesen Weg zu gehen, somit kein sinnloses Einzelgeplänkel, z.B. duch Reinigung.

Bzgl. "Konzept der Prävention" scheinen sich ja hier viele mit mir einig zu sein. Ich bin eher der Meinung, dass PC-Sicherheit ein "Konzept des Denkens" sein sollte. Wer sich auf eine Sicherheitssoftware verlässt und den Kopf ausschaltet, "weil ja meine tolle Software alles verhindert", der wird früher oder später einen Schädling auf der Platte haben und verdient es auch nicht anders.

Zitat von thebrain

Seit SS&D 1.5 ist die Wahlmöglichkeit gegeben, eben u.a. Firefox abzuwählen, eine durchdachte Variante für den Anwender !
Andere haben keine hosts, bzw. können diese nicht nutzen...

Keine hosts haben ist auf den Betriebssystemen, unter denen Spybot S&D läuft, nicht möglich. Sie nicht nutzen können eigentlich auch kaum: Wer auf einem Windows-PC so eingeschränkte Rechte hat, dass er nur betriebssystembedingt Lesezugriff auf die hosts hat, der dürfte kaum für dessen Sicherheit zuständig sein.

Halten wir uns also nochmal vor Augen: Es gibt eine Variante, mit der man sämtlichen HTTP-Verkehr sämtlicher Programme zu einer Seite blockieren kann und es gibt die Möglichkeit, dies nur für ein paar einzelne Programme auf andere Weise festzulegen. Da fragt man sich doch: Warum sollte man die zweite Methode wählen? Noch schlimmer, warum sollte man beide Methoden wählen, obwohl die zweite problembehaftet und komplett redundant ist? Immerhin schlägt SS&D standardmäßig vor, beide Methoden anzuwenden. Wo dabei jetzt die "durchdachte Variante für den Anwender" sein soll, sehe ich einfach nicht.

Zitat von thebrain

soviel zum Thema Blödsinn, sinnlos und SS&D subjektiv nicht zu empfehlen...

Wie gesagt, ich habe dargelegt, warum ich von "blödsinnig" und "sinnlos" spreche und es ist kein einziges Argument gekommen, das meine Ansicht dazu hätte ändern können. Selbst in dem von dir zitierten Satz gehe ich nur auf die Redundanzen ein, die zweifelsohne vorhanden sind. Ich habe auch bereits dargelegt, dass der TeaTimer in den letzten Versionen immer mal Ärger macht, und so bin ich, nachdem ich SS&D lange Zeit auf jedem neuen Kundenrechner installiert hatte, nun dazu übergangen, es "subjektiv nicht mehr zu empfehlen". Selbstverständlich subjektiv, wie denn auch sonst? Meine Empfehlungen spreche ich stest nur anhand meiner gewonnen Eindrücke von einer Software aus.

Ich bleibe dabei, dass ich derzeit Spybot S&D insgesamt nicht empfehlen kann und erst recht vom Einsatz der Firefox-Immunisierung abrate. Es ist jedem selbst überlassen, wie viel er auf meine Empfehlungen geben möchte.

Zitat von thebrain

das nicht immer alles zu 100% klappt und wie überall dabei auch Risiken oder Fehler entstehen, ist ebenso kaum diskussionswürdig !

Korrekt. Aber das heißt wohl kaum, dass jeder Sicherheitsansatz über jede Kritik erhaben ist, "weil ja sowieso nicht alles 100%ig klappt". Und im Falle der Firefox-Immunisierung von SS&D kritisiere ich, dass sie redundant, potentiell problematisch und in der weit überwiegenden Anzahl der Fälle unnütz ist.

Zitat von thebrain

aber eigentlich habt ihr ja Recht, für die Schnelligkeit kann mann schon mal auf sinnlose Sicherheit verzichten !

Du hast meinen Beitrag entweder nicht vollständig gelesen oder nicht verstanden. Ich habe ausführlich dargelegt, warum ich die Firefox-Immunisierung (nicht die Immunisierung generell) für sinnlos halte.

Niemand hier hat behauptet, dass die blockierten Seiten nicht gefährlich sind, insofern ist mir nicht ganz klar, was du mit deiner ausführlichen Analyse eigentlich aufzeigen willst. Alles was gesagt wurde, ist: Wenn die Seiten bereits per hosts-Datei global blockiert werden, dann hat kein Programm, egal ob Firefox oder ein anderes, mehr die Chance, darauf zuzugreifen. Es ist also völlig sinnlos, für diese Seiten noch zusätzlich Einträge in den Sperrlisten von Firefox anzulegen. Denn noch einmal: Egal ob diese Einträge vorhanden sind oder nicht, die Seiten werden auf jeden Fall bereits per hosts blockiert. Das Ergebnis sieht in beiden Fällen genauso aus wie in deinem letzten Screenshot.

Und genau das wurde auch in diesem Thread gesagt: Nicht das Blockieren der Seiten ist sinnlos, sondern das Blockieren per hosts und Firefox-Sperrliste. Weil eine zu große Firefox-Sperrliste diesen Browser verlangsamen kann (offenbar nicht immer, vgl. Wurstwasser, aber eben manchmal), ist es sinnvoll, auf die redundanten Einträge zu verzichten.

Im übrigen ist es ja nicht etwa so, dass einem ganz ohne Immunisierung irgendwelches unerwünschtes Zeug "untergeschoben" werden könnte. Wer ohne Sinn und Verstand jeden Dialog wegklickt, ohne ihn gelesen zu haben, der wird sich früher oder später tatsächlich etwas einfangen, denn keine Blacklist kann alle Schädlinge berücksichtigen. Die angebliche "Sicherheit", für die du auf Schnelligkeit verzichten willst, ist eine trügerische. Insofern würde ich sogar mit dem Argument mitgehen, dass Immunisierung vielleicht einen zusätzlichen Schutz zu Brain 1.0 Beta bieten kann, aber eigentlich doch sinnlos ist. Nur darum ging es hier ja nicht.

Zitat von bugcatcher

Oft sind mehrere Versionen installiert und die kommen sich gerne ins gehege.

Das ist übrigens auch etwas, was ich häufig kritisiere und dessen Sinn ich nie verstanden habe. Warum zum Teufel schlägt der Java-Installer vor, für jede Version ein neues Unterverzeichnis anzulegen? Da Java stets abwärtskompatibel ist und es mit der Abwärtskompatibilität auch nie(?) Probleme gab, ist das doch vollkommen unnötig, verschwendet aber Speicherplatz und kann unter Umständen dazu führen, dass behoben geglaubte Sicherheitslücken beim Update nicht geschlossen werden. Wie man an der Pluginübersicht im Firefox sieht, kann man die alten Versionen ja immer noch gezielt ansprechen, sofoern sie vorhanden sind.

Ich jedenfalls ändere den Install-Pfad bei jedem Update auf C:\Programme\Java, überschreibe also direkt die aktuelle Installation. Und es gab nie Schwierigkeiten mit dieser Methode, weder bei Web-Applets noch bei lokalen Programmen, die das JRE benötigen.

Zwei Dinge sind mir aufgefallen, wobei ich nicht weiß, ob dein Problem daran liegt. Erstens: Das nachgeladene Flash-Movie befindet sich an der Adresse

http://root.fyod-movie.de/FYOD-MovieTest/Fliegen%20Fliegen.flv

, wobei das %20 ein Leerzeichen ist. Leerzeichen sollten aus verschiedenen Gründen im Dateinamen vermieden werden.

Zweitens: Dieser Code hier:

<object classid="clsid:d27cdb6e-ae6d-11cf-96b8-444553540000" codebase="http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=8,0,0,0" width="450" height="375" id="FliegenFliegen" align="middle">
    <param name="allowScriptAccess" value="sameDomain" />


    <param name="movie" value="FliegenFliegen.swf" />
    <param name="quality" value="high" />
    <param name="bgcolor" value="#000000" />
    <embed src="FliegenFliegen.swf" quality="high" bgcolor="#000000" width="450" height="375" name="FliegenFliegen" align="middle" allowScriptAccess="sameDomain" type="application/x-shockwave-flash" pluginspage="http://www.macromedia.com/go/getflashplayer" />
  </object>

ist völlig veraltet und nicht standardkonform. Du solltest ihn durch dieses Konstrukt ersetzen und Flash-Animationen oder -filme generell so einbinden:

<object type="application/x-shockwave-flash" width="450" height="375" id="FliegenFliegen" align="middle" data="FliegenFliegen.swf">
    <param name="allowScriptAccess" value="sameDomain" />
    <param name="movie" value="FliegenFliegen.swf" />
    <param name="quality" value="high" />
    <param name="bgcolor" value="#000000" />
  </object>

Ich weiß leider nicht, ob das etwas bringt, aber schaden kann es auf keinen Fall, diese Ungereimtheiten zu beheben.

Ja, wenn du noch keine eigenen Ausnameregeln definiert hattest, bevor die Datei von Spybot zugemüllt wurde, kannst du sie problemlos löschen. Ansonsten müsstest du nach dem Löschen deine eigenen Ausnahmeeinträge wieder anlegen.

Seit Version 1.5 versteht Spybot unter "Immunisieren" etwas mehr. Ich finde dieses Feature und vor allem dessen Umsetzung nach wie vor völlig sinnlos und es ist der Grund, warum ich von Spybot momentan abrate.

Auf einigen Rechnern wird der Firefox nach der Immunisierung dermaßen langsam, dass man ihn nicht mehr vernünftig nutzen kann. Und das, obwohl die angelegten Einträge völlig sinnfrei sind, denn wenn die Seiten bereits in der hosts nach 127.0.0.1 geroutet werden, können die betreffenden Seiten weder aufgerufen werden noch können sie Cookies erstellen oder Popups anzeigen. Die zusätzlich firefoxbezogene "Immunisierung" bringt also wirklich keinerlei Nutzen und hat nur den Effekt, dass der Firefox spürbar langsamer wird, bis hin zur Unbenutzbarkeit.

Ich rate also (wie die anderen auch) dringend davon ab, die Firefox-Immunisierung einzusetzen.

vommie: Durch hosts-Einträge dürfte das Internet nicht lahm werden. Lahm wird nur der Firefox, der nach der Immunisierung bei jeder(!) Anfrage ca. 25.000 Einträge in den eigenen Sperrdateien auswerten muss.

Und noch eine (vermutlich doofe) Frage: Warum sollte man FoxyTunes installieren, anstatt einfach den Media Player Classic im Hintergrund laufen zu lassen? Vielleicht habe ich bloß nie kapiert, was an dieser Erweiterung so toll sein soll, aber ich fand sie sinnlos, seit ich sie kenne.

Diese Möglichkeiten sind ja ganz nett, das muss ich zugeben. Das Problem ist eben, dass die "Anwendungen innerhalb des Browsers" im Chrome-Bereich erzeugt werden, der gewolltermaßen über die maximal möglichen Rechte verfügt, beschränkt nur durch die Rechteverwaltung des Betriebssystems.

ActiveX ist zwar noch eine ganze Ecke schärfer, denn bei diesem Modell ist es gewollt, dass jede Website auf Wunsch Vollzugriff über das System anfordern kann. Die Situation ist aber in Ansätzen vergleichbar: Theoretisch gibt es wirksame Sicherheitsbeschränkungen, die praktisch nun schon mehrmals durchbrochen wurden.

Eine Whitelist für externe Seiten, die XUL verwenden dürfen, in Kombination mit ansonsten striktem Verbot, auf die Chrome-Umgebung zuzugreifen, hielte ich hier für das Beste. Im Hinblick auf die schon erwähnte Tatsache, dass mir außerhalb der XUL-Dokumentation noch kein "freilaufendes" Beispiel begegnet ist, sehe ich bei diesem Ansatz keine großen Probleme.

Auf die Idee mit dem Intranet bin ich selbst noch gekommen, wahrscheinlich hat sich mein Edit gerade mit deinem Post überschnitten. Wie (nachträglich) gesagt: Mit der Möglichkeit, diese Funktion per Whitelist freizugeben, wäre ich einverstanden, auch wenn mir in freier Wildbahn noch kein Anwendungsfall begegnet ist. Für ein Intranet-Portal scheinen mir diese Möglichkeiten wie geschaffen zu sein, aber eine offene Website hat nichts an meinem Browser zu verändern.

Und damit sind wir auch schon bei dem, was ich als "Mozilla-Philosophie" bezeichnet habe. Beispielsweise weigert man sich seit Jahren standhaft, die Möglichkeiten zum Einfärben der Scrollbars in Gekko zu integrieren. Viele Anwender wünschen sich dies, die meisten Browser unterstützen es inzwischen, obwohl es ursprünglich eine proprietäre Erweiterung von Microsoft war. Ich würde inzwischen sogar sagen, dass es sich um einen "Quasi-Standard" handelt, ähnlich wie robots.txt und favicon.ico.

Das Argument der Mozilla-Entwickler ist nun aber auch gar nicht, dass diese Möglichkeit nicht standardisiert ist, sondern man reitet immer wieder darauf herum, dass die Scrollleisten dem Anwender gehören und eine Website daran nichts zu verändern hat. Dies ist den Entwicklern scheinbar derart heilig, dass sie (anders als Opera) dem Anwender die Entscheidung, ob man das als Eingriff betrachtet, nicht überlassen möchten. (Die sehr lange Bugzilla-Diskussion dazu müsste ich heraussuchen, aber du kennst die Geschichte ja sicher.)

Auch die Tatsache, dass man alle Cookies nur als "Session Cookies" annehmen kann, dass man bestimmte JavaScript-Features entweder direkt oder per Policy blocken kann und dass man nach (zugegebenermaßen sinnloser) Diskussion wieder von <a ping=...> abgerückt ist, sind für mich Teil dessen, was ich "Mozilla-Philosophie" nenne: Dem Anwender bei größtmöglichem Komfort maximale Selbstbestimmung zu geben, notfalls lieber auf ersteres als auf letzteres zu verzichten.

Angesichts dieser Tatsache erscheint es mir einfach unverständlich, dass jede beliebige Seite einfach Menüs zu meinem Browser hinzufügen kann, ich dies (ohne NoScript!) weder per Whitelist noch per Blacklist steuern kann und dass man für solchen (wie ich finde) Unsinn in Kauf nimmt, dass man potentielle, inzwischen schon mehrmals reale, Sicherheitslöcher aufreißt. Ein vergleichbares Unverständnis bringe ich nur dem standardmäßig aktivierten(!) DOM Storage entgegen. Diese Idee ist aus meiner Sicht sicherheitsmäßig und auch was die Notwendigkeit anbelangt, ein Griff ins Klo gewesen.

Hmmm... Ich habe mich noch nicht damit befasst, aber nach dem ersten Einlesen würde ich sagen: Braucht keiner, nutzt keiner, ist potentiell unsicher. Sowas kennt man doch eigentlich nur von Microsoft, zum Beispiel in Form von VBScript oder AFC.

XUL ist ja schön und gut, aber Idee, dass eine Website Applikationsmenüs rendern soll, finde ich nicht nur unnütz, sondern sie widerspricht in meinen Augen auch eklatant der üblichen Mozilla-Philosophie. Wenn man sowas (vielleicht für das lokale Intranet) explizit freigeben könnte, fände ich das ja in Ordnung, aber jeder Website standardmäßig(!) diese Möglichkeit einzuräumen, finde ich sehr unüberlegt.

Da wäre ich auch dagegen! Die Lost Threads haben mir schon manche so manche heitere Stunde beschert! Über die geistreiche Diskussion um die Ethik-Frage, ob man "Lamer defacen" darf, kann ich immer noch lachen!

Man könnte ja ein weiteres Papierkorb-Forum anlegen, auf das nur Mods und Admins Zugriff haben (das ist sehr wichtig, weil sonst die Links in den Spam-Posts in das Suchmaschinen-Ranking dieser Spamseiten eingehen). Der Nachteil ist, dass hier trotz diverser Vorkehrungen verhältnismäßig viel Müll anfällt, der die Datenbank unnötig belasten würde.

Grundsätzlich finde ich eine "No-Delete-Policy" aber gut, in kleinen, von mir administrierten Foren setze ich sie auch immer durch.

Die Lösung: Auf dieser Seite darf der Referer nicht unterdrückt werden, dann funktioniert sie auch.

Keine Ahnung, wozu diese Sperre gut ist, aber das Problem lässt sich ja meist recht einfach beheben. Wenn der Firefox den Referer nicht sendet, einfach unter about:config den Eintrag network.http.sendRefererHeader auf den Standardwert 2 setzen (oder die entsprechende Erweiterung, mit der man diese Option verstellt hat, benutzen). Falls eine Firewall oder "Sicherheits"software den Referer unterdrückt, dort diesen Unsinn deaktivieren.

Wieso meinen seit einiger Zeit Sicherheitssuiten, dass sie Cookies und Werbung blocken, Referer unterdrücken und andere Sachen übernehmen müssen, die nur den Browser etwas angehen? Sackzementnochmal!
Dass solche Funktionen oft genug Probleme machen, sehen wir tagtäglich hier im Forum.