Beiträge von dark_rider

Zitat von Sharif

Ist bei mir unter Windows 7 auch so.

D.h. so wie bei mir (Deaktivierung des Auto-Updates wird ignoriert)?

Hallo zusammen,

in den Systemeinstellungen kann man zu Java ja Einstellungen vornehmen, u.a. zum Update-Verhalten.

Was mir nun sehr negativ auffällt: Wenn man das Update deaktiviert und die darauffolgende Rückfrage dazu bestätigt, das Kontrollfeld dann beendet und es neu startet, ist das Update plötzlich trotzdem wieder aktiviert. Scheinbar prüft Java über den Task jusched.exe auch trotz deaktiviertem automatischen Update weiter.

Ist das ein Bug?

Road-Runner: Sich ja nie eine Blöße (wäre das eine?) geben, oder was ist der Sinn dieser Nachricht? Manchmal verstehe ich einige User nicht: Da werden sie spitzfindig ohne Ende, nur um auch ja (scheinbar) immer Recht zu behalten. Ist es denn so schmerzhaft, mal etwas neues zu lesen, das man noch nicht wusste oder für möglich hielt?

Zitat von Road-Runner

Das ist aber dann, wenn ich es richtig verstehe, ein Arbeitgeber, der diese Restriktionen für seine Mitarbeiter eingeführt hat. Das Gleiche kenne ich auch von meiner Arbeit. Ich wollte aber eigentlich sagen, dass ich keinen Anbieter im Netz kenne, der diese Restriktionen für jedermann eingeführt hat, egal ob Mitarbeiter oder (gelegentlicher) Besucher der Seite.

Doch, es gibt auch Anbieter im Web, die Kunden (und nicht Mitarbeitern) die regelmäßige Änderung des Passwortes aufzwingen.

Hallo Sören,

danke, in meinen Augen ein exzellenter Beitrag zum Thema.

Meine noch brauchbarste Strategie für möglichst sichere Passwörter, die aber für jede Website verschieden sind, und die man sich trotzdem noch merken können sollte, ohne sie aufzuschreiben: Statt einem immer gleichen Passwort sollte man sich eine immer gleiche Logik ausdenken, nach der sich dass Passwort jeweils situationsbezogen ergibt. Nur sollte diese Logik dann auch jegliche Zweideutigkeit ausschließen, d.h. sie muss jederzeit und überall reproduzierbar sein - aber zugleich für Dritte nicht zu einfach erschließbar. Gar nicht so einfach...

Die sagen summa summarum, dass es so angeblich sicherer sei. Wenn ich dann erwidere, dass man sich das Passwort so nicht mehr merken kann und es aufschreiben muss, sagen sie entweder gar nichts, oder dass man sich auch die geänderten Passwörter merken und nicht aufschreiben soll. Haha, können vor lachen.

Hallo Cosmo,

Zitat von Cosmo

Gib doch statt dessen lieber zu, daß sowohl deine Bedenken wegen verlorener Paßwortdatenbanken, Portabilität oder Keylogger beantwortet wurden. Zumindest hast du zu den dir gegebenen Antworten keine Rückfragen mehr gestellt.

das ist richtig, allerdings teile ich nicht die Aussage jeder der Antworten, zumal das Thema Passwort-Manager zumindest leicht OT ist und nicht ganz (sondern nur teilweise) das ursprünglich angesprochene Problem löst, dass manche Anbieter den User zwingen, das Passwort regelmäßig zu ändern.

Hallo Cosmo,

der Punkt zu Deinen letzten beiden Absätzen ist eben der: Ein Keylogger logt natürlich auch andere Passwörter mit, allerdings hat er mit dem KP-Masterpasswort dann gleich Zugang zu allem auf einen Schlag. Deshalb auch meine Frage nach verschiedenen KP-Passwortgruppen, denn dann wäre immerhin nur eine Gruppe an Passwörtern und nicht alle erspäht.

Aber, ich sehe schon (das betrifft nicht nur Dich hier, sondern noch so einige andere User, die ich in anderen Threads bereits kennenlernte): Wer hier in diesem Forum eine bestimmte Lösung einsetzt oder eine Meinung vertritt, bezeichnet jeden Zweifler trotz noch so vieler Argumente als Person mit "nicht genügend Hirnschmalz" o.Ä. - wobei eigentlich jeder auf Sicherheit bedachte User wissen sollte, dass Zweifeln und das Nicht-Ausblenden von möglichen Lücken nie verkehrt ist, nach dem Motto "ich weiß, dass ich nichts weiß". Hier scheint dagegen "ich weiß, dass ich alles weiß" beliebter zu sein.

Achso, das ist natürlich auch zu bedenken: Verwendet man einen Passwort-Safe und weiß die einzelnen Passwörter daher selbst alle gar nicht mehr, hat man natürlich ein Problem, wenn PC oder Platte defekt sind. Zudem ist man mit einer rein lokalen Lösung unterwegs auf anderen PCs natürlich aufgeschmissen.

Hallo Cosmo,

dass AES256 zwar theoretisch knackbar, in der Praxis aber als sicher gelten darf, da stimme ich mit Dir überein. Meine Bauchschmerzen beziehen sich eher auf das andere von Dir genannte mögliche Risiko: Keylogger oder ein unsicheres Hauptpasswort (bzw. der Fall, dass das Hauptpasswort, aus welchem Grund auch immer, in fremde Hände gerät). OK, wenn man acht gibt, lassen sich auch diese Risiken weitgehend ausschließen, aber nicht völlig. Und beim zentralen Passwort-Safe ist es halt immer so: Hauptpasswort geknackt, alle Zugänge offen. Hast Du wenigstens verschiedene Master-Passwörter für verschiedene Sicherheitsstufen, d.h. bietet Keepass das?

Hallo zusammen,

mit "Firmen" meinte ich alle möglichen Anbieter, bei denen man Kunde sein kann und sich einloggen muss. Also nicht nur den eigenen Arbeitgeber. Pardon, wenn das vielleicht missverständlich rüberkam, aber die meisten haben es ja richtig verstanden.

Ich bleibe bei Passwortmanagern weiterhin skeptisch, da sie ja letztlich auch in die Richtung "Passwörter aufschreiben" gehen und das Konzept hinter einem Passwort ganz prinzipiell ad absurdum führen. Zwar mag der "Passwort-Safe" geschützt sein, aber wie wir ja alle wissen: Viele Programme sowie Windows sind auch "eigentlich" sicher, nur gibt es trotzdem immer wieder Sicherheitslücken. Nicht auszudenken, wenn Hacker einen Passwortmanager knacken.

Aber natürlich gäbe es sie erst gar nicht, wenn das Dilemma nicht wäre, dass man sich, wenn man alle Passwörter so stark setzt, wie es optimal ist und meist empfohlen wird, gar nichts mehr merken kann und eben alles aufschreiben muss.

Oder metaphorisch ausgedrückt: Das ist fast so, als wenn ein Auto zum Unfallschutz besonders große und kräftige Airbags hat, wegen denen man dann aber nur noch mit Helm fahren sollte, der wiederum das Sichtfeld einengt. Sprich man möchte auf Nummer 100% sicher gehen, handelt sich dadurch aber andere Nachteile ein.

Hallo Cosmo,

ändert Dein Keepass die Passwörter denn auch noch regelmäßig selbst, oder bleiben diese dauerhaft gleich?

Ich persönlich bin bei solchen Passwort-Verwaltern immer sehr skeptisch, denn das jeweilige Programm hat quasi die Möglichkeit, Deine Identität zu übernehmen. Arbeitet Keepass lokal auf Deinem PC oder online, und ist das (zumindest theoretisch überprüfbarer) Open Source?

Hallo Docc,

Zitat von Docc

Sinn macht das schon. Es ist aber m. E. nicht Sache des Betreibers einer Internetseite, das Login derart zu reglementieren. Firmen, die das wie oben beschrieben praktizieren, mögen aber bestimmt auch von der Angst vor Regressansprüchen getrieben sein. Wenn man den Enduser ausdrücklich zum generieren eines starken Passworts auffordert, kann der Enduser hinterher nicht sagen, er habe nichts gewusst.

Klar macht ein starkes Passwort prinzipiell schon Sinn, nur - wie Du sagst - sollte das letztlich jedem User selbst überlassen sein. D.h. "Basis-Restriktionen" (z.B. keine Passwörter mit nur 2-3 Zeichen oder immer demselben Zeichen) sind ja OK, aber - wie gesagt - führen teilweise extrem strenge Regularien doch nur dazu, dass sich der User sein aktuelles Passwort eben nicht mehr merken kann und es daher notieren muss. Ist daher dann aus Deiner Sicht ein mittelstarkes Passwort sicherer, das man sich merkt und nirgends notiert, oder ein sehr starkes Passwort, das man sich notieren muss?

Hallo zusammen,

immer mal wieder muss ich über Firmen den Kopf schütteln, die eine oder mehrere der folgenden Restriktionen für die Vergabe von Passwörtern voraussetzen:

a) Passwort muss regelmäßig geändert werden.
b) Passwort muss eine Mindestlänge haben.
c) Passwort muss bestimmte Zeichenarten enthalten.
d) Neues Passwort darf altes Passwort nicht enthalten oder diesem zu sehr ähneln.

Besonders Restriktion a) halte ich für kontraproduktiv, da man sich wöchentlich, monatlich oder quartalsweise zu ändernde Passwörter oft kaum noch merken kann, besonders wenn noch Restriktionen b) - d) hinzukommen, und dies letztlich bei den meisten Usern dazu führt, dass sich diese die Passwörter aufschreiben müssen und zudem meist sehr ähnliche Passwörter ("passwort1", "passwort2", ...) verwenden.

Was ich mich dazu frage:
1. Ist das dann noch sicherer als ein nicht zwangsweise regelmäßig zu änderndes Passwort, welches man sich dafür aber merken kann und nicht aufzuschreiben braucht?
2. Wollen die Firmen nur die Verantwortung für die Passwortsicherheit mehr und mehr auf den User verlagern und überfordern damit die meisten User wissentlich, Hauptsache, ihre Regularien sind theoretisch sicher, wenn auch kaum noch praktikabel?

Was ist Eure Meinung zu diesem Thema?

Hallo Boersenfeger,

soll ich nach jedem Update die aktuelle Version meines FF und aller Plugins + Erweiterungen in der Signatur aktualisieren, wenn ich das richtig verstanden habe?

Abgesehen davon: Muss es immer der Weg sein, bei einer allgemeinen Frage den TE mit Rückfragen zu seiner genauen Konfiguration zu konfrontieren und ihn durch allerlei Checks zu knüppeln, bevor man vielleicht einfach mal allgemein etwas zum Thema sagt?

Denn Intention meiner Frage war doch eigentlich nur: Hat das beschriebene Phänomen vielleicht zufällig schon mal jemand selbst auch erlebt oder davon gehört und weiß, woran es liegt? Falls nein - Ihr müsst mich dann nicht zwingend mit den o.g. Maßnahmen quälen und auch noch sauer sein, wenn ich nicht alle genannten Schritte 100%ig ausführe. Ich beschwere mich dafür ja auch nicht, wenn Ihr mir nicht prompt eine Lösung liefert.

Falls Du Plugins und Erweiterungen meinst: Grundsätzlich alle deaktiviert, nur NoScript als Erweiterung ist aktiv.

Hallo zusammen,

was mir immer mal wieder auffällt: FF reagiert manchmal nicht auf Klicks auf Links, und man muss dann 3 oder 4 Mal klicken, bis sich der Link einfärbt und FF die entsprechend verlinkte Seite aufruft. Speziell bei Google-Links (bezahlte Anzeigen = Adwords, neben den regulären Suchergebnissen) passiert das relativ oft, aber auch anderswo.

- Das war/ist sowohl bei FF 18 als auch 19 so.
- Erst dachte ich, wenn ich z.B. in die Mitte eines "O" klicke, dass FF nur Klicks auf den direkten Umriss eines Buchstaben registriert, d.h. nicht in den Zwischenraum. Das scheint aber auch nicht der Grund zu sein.

Weiß hier jemand mehr?

Hallo zusammen,

PDFs werden ja - zumindest teilweise - mittlerweile im FF-eigenen PDF-Viewer angezeigt. Allerdings ist es so, dass manchmal trotzdem weiter ein externer PDF-Viewer aufgerufen wird, wenn man auf einer Website ein PDF anklickt.

Weiß jemand, warum PDFs manchmal an den FF-PDF-Viewer und manchmal im Rahmen eines Downloads (Auswahl "Speichern" oder "Öffnen mit...") an einen anderen installierten PDF-Viewer weitergeleitet werden?

Hallo zusammen,

Zitat von pittifox

Gemeint waren die Bookmarks und /oder die Tabs.

genau, nicht die URL-Zeile.

Zitat von 2002Andreas

Weitere Möglichkeit, er hat keine Chronik aktiviert bzw. ist im Privatem Modus.

Nein, beides trifft nicht zu. Scheinbar liegt es in diesem Fall tatsächlich an GLS, die ihr FavIcon vermasselt zu haben scheinen. Denn das FavIcon z.B. für diese Seite (Camp Firefox) erscheint weiter oben im FF-Tab.

Hallo zusammen,

mir fällt immer mal wieder auf, dass bei Bookmarks und auch beim normalen Aufrufen von Websites manchmal das FavIcon fehlt, welches normalerweise in der Bookmark-Liste und vor dem Tab der Website erscheint. Früher beim IE kam das noch häufiger vor als jetzt mit dem FF, so zeigt zumindest mein FF heute für den GLS-Paketdienst (https://gls-group.eu/DE/de/home) kein FavIcon an, ein altes Lesezeichen zu GLS von gestern oder vorgestern hat es aber noch. Könnt Ihr Euch das erklären?