Beiträge von gbpa005

Vielen Dank für die Info. Ich finde es auch nicht prinzipiell störend, dass dort Informationen dargeboten werden. ich mag lediglich Animationen nicht, da sie meiner Meinung nach zu sehr ablenken.

Hi,
lässt sich die Animation unter about:home (Android-Männchen) abstellen. Diese ist bei mir neu seit Firefox 15 und sie stört mich.

Viele Grüße!

Ein Nachtrag: Bei Mozilla steht man meinem Vorschlag aufgeschlossen gegenüber: https://bugzilla.mozilla.org/show_bug.cgi?id=535628

Zu Java: Ich habe als Java-Entwickler natürlich die neueste Runtime (1.6.0_17), aber bis Version 0_15 blieben alte Runtimes bei einem Update auf dem Rechner liegen. Jetzt im Nachhinein habe ich 5 Runtimes gefunden, die zwar alle aus der 1.6.er-Reihe stammen, aber eben doch zum Teil unsicher sind.
Konkret ereignete sich der Einbruch, als ich nach Tutorials für iText (einer PDF-Library für Java) recherchierte und bei einer Webpage ein Applet mit einer älteren Runtime startete. Es gingen sofort die Virenscanner los, ich trennte den Rechner vom Netz und reinigte ihn mit mehreren verschiedenen Antivirenprogrammen, die ich über Linux-Boot-CDs drüber laufen lies. Offensichtlich genügte aber die kurze Zeit, dass die Nutzerdaten aus meinem FTP-Programm WinSCP abgefragt wurden, wo verschlüsselt die Verbindungsdaten zu meinem Webspace lagen. Der Angriff startete nur 10 Minuten nach der Virenmeldung, während ich den Rechner säuberte und er kam verteilt aus einem Bot-Netz.

So, und jetzt schaut bitte mal in Euren Ordner c:\Programme\Java\ (sofern ihr auf Windows arbeitet), und wer dort nicht mehrere Runtimes findet, der werfe den ersten Stein. Und dann gibt es noch das Problem der Zero-Day-Exploits. Ich glaube, dass JEDE Anwendung Lücken hat, auch wenn sie nicht bekannt sind. Auch bei Firefox gibt es regelmäßig Patches. Wer von Euch kann sich sicher sein, dass diese nicht in irgendwelchen Hacker-Foren bereits kursieren und die Mozilla Foundation noch nichts davon weiß?

P.S.:

Zitat

Es gibt kein standardisiertes Verfahren zur Benachrichtigung, so einfach ist das. Darüber hinaus macht eine Benachrichtigung nicht immer einen Sinn und muss im Einzelfall geprüft werden. Die Ressourcen dafür kosten Geld - wer bezahlt es?

Das ist richtig, aber es ist dennoch eine massive Form von Zensur und zwar eine wesentlich drastischere, als bei den ehemals geplanten KiPo-Sperren. Falsch-Positive Ergebnisse lassen sich nie völlig verhindern. Man sollte zumindest versuchen, Kolateralschäden klein zu halten.

P.P.S.:

Zitat

Das wirft bei mir die Frage auf, wo denn die Firmen-Homepage gehostet ist und wer den Server administriert. Ich stelle es mir etwas grotesk vor, wenn ein Server über eine clientseitige Laufzeitumgebung kompromittiert wird. Abgesehen von dem notwendigen 0day-Exploit für die JRE, wie ernst kann man den Admin nehmen, der so etwas zulässt? Ist gbpa005 selbst der Admin seines Servers? Wenn nicht, dann würde ich über einen Wechsel des Anbieters nachdenken. Ansonsten ist das so dargestellte Einbruchsszenario hier völliger Blödsinn und ich fürchte für das Vertrauen in einen Software-Entwickler abträglicher als die Warnmeldung selbst, denn der sollte es eigentlich besser können oder wissen.

Meine statischen Seiten werden bei 1und1 gehostet. Der Angriff ereignete sich über ausgespähte FTP-Zugangsdaten und es wurde Code an die statischen index.html und die Javascript-Dateien angehängt. Webapplikationen betreibe ich nicht.

Wie gesagt ist das System in allen Teilen auf dem neuesten Stand, aber leider hat auch aktuelle Software Sicherheitslücken. Nein ich arbeite nicht als Administrator.

Macht Euch keine Mühe zu antworten. Ich lese hier eh nicht mehr.

Oh man, Ihr bringt mich echt auf die Palme.

Firefox ist natürlich nicht für das Sun-Plugin und für Google verantwortlich. Das einzige was ich wollte ist zum Ausdruck bringen, dass die Phishing-Warnung ergänzende Informationen gut gebrauchen könnte.

Insgesamt kann ich Deinem Post zustimmen, nur eines stößt mir sauer auf:

Zitat von bugcatcher

Die Verantwortung liegt ohnehin bei dir.

Hey, ich bin hier auch Opfer einer Straftat geworden. Schon mal das Schlagwort "Blaming the victim" gehört? Ich hatte alle notwendigen Sicherungsmaßnahmen getroffen und der Einbruch in meinen Rechner erfolgte immerhin über ein Firefox-Plugin (aktuelle Java-Runtime)!

Zitat von Heaven_69

Kommen die nicht auch von Google diese Warnungen und werden vom Fux nur so wiedergegeben? Die sind doch dann in der Phishingliste integriert und die müßte Google doch ändern. Diese Liste findest Du in der urlclassifier3.sqlite. Wenn Du diese löschen würdest und Dir dafür z. B. WOT einbaust käme sowas nicht mehr vor. Vielleicht hilft das ja ein wenig für die Zukunft.

Nun ja, es geht hier weniger darum, dass ich selbst diese Icons dargestellt bekomme, sondern dass die anderen Nutzer das Icon angezeigt bekommen und auf diese Weise der Schaden für mich aufrecht erhalten wird.

Liebe Firefox-Community,
ich bin eigentlich ein großer Fan von Firefox, aber mit einem habe ich im Moment persönlich sehr zu kämpfen:
Letzte Woche wurde auf meiner Firmen-Homepage eingebrochen (ich bin selbstständig und in der Software-Entwicklung tätig) und auf der index.html wurde Schadcode eingeschleust. Es handelte sich um Javascript, der bei einer alten IE-Version Benutzer zu einer Hacker-Seite umleitet. Ich konnte das relativ schnell bemerken, und habe den Code entfernt, Passwörter ausgetauscht etc. Es ging also keine Gefahr mehr von der Seite aus. Trotzdem landete meine komplette Seite bei Google einige Tage später auf der Phishing-Blacklist, was ich leider erst spät bemerkte. Nach Aufforderung nahm Google die Seite etwa 10 Stunden später wieder von der Liste. In dieser gesamten Zeit stellte Firefox eine sehr eindrucksvolle Warnung dar, und in Folge brachen die Benutzerzahlen praktisch auf 0 ein. Die Warnung wird nun nicht mehr dargestellt, aber das Favicon in den Bookmarks ist immer noch ein Stop-Schild.
Ich bin also auf mehrfache Art und Weise Opfer geworden:
1.) Zunächst gab es den Einbruch, der über ein Bot-Netz kam.
2.) Es wurde Schadcode eingeschleust, den ich wieder entfernen konnte.
3.) Google nimmt mich in den Phishing-Index auf. Das ist eine eigentlich sinnvolle Funktion. Ich kann aber nicht verstehen, wieso man als Homepage-Benutzer (ich verwende Google-Analytics und wurde auf meiner Benutzerseite auf das Problem hingewiesen) nicht automatisch per Mail informiert wird, um rechtzeitig Stellung beziehen zu können. Meine Mail-Adresse ist schließlich bei Google hinterlegt.
4.) Firefox stellt fälschlicherweise eine Warnung dar, in der meine Seite als Malware-Seite dar und behält auch nach diesem Fall die Warn-Icons bei.

Das kann für meine Firma den Todesstoß bedeuten. Schließlich bin ich als Entwickler auf Vertrauen angewiesen. Der Einbruch war schließlich lediglich in der Webpräsenz und dort auch nur mit relativ geringem Schaden. Wenn ein Entwickler mitliest, dann bitte ich um Folgendes:
Bitte weisen Sie in der Warnung darauf hin, dass es Hinweise auf eine Gefährdung gibt, aber
a.) Die Seite möglicherweise gecrackt wurde. Dann steht man zumindest als Besitzer nicht zwangsläufig als Krimineller dar.
b.) Die Information über die Gefährung von Google kommt, und Fehlklassifikationen nicht ausgeschlossen sind.

Innerhalb der letzten Woche musste ich lernen, dass die gesamte Aufregung und Privacy-Debatte im Zuge der Kinderpornographie-Stoppschilder in Hinblick auf Zensur lächerlich ist im Vergleich zu dem, was man in der Privatwirtschaft erleben muss.

Mit freundlichen Grüßen,
gbpa005