Beiträge von dark_rider

Guten Morgen zusammen,

noch einmal zum Thema "ebay.de und ebaystatic.com": Dass eine Domain auf einem oder auch auf mehreren Servern verteilt (wie eben bei einem CDN) liegen kann, ist mir schon klar. Was mir aber nicht klar ist:
- Wenn im Beispiel eBay ein CDN nutzt, warum liegen dann scheinbar nicht alle Inhalte dort, sondern nur ein Teil, während der andere Teil weiter auf einem herkömmlichen, einzelnen Webserver liegt?
- Ist das überhaupt so?
- Falls ja: Ist ebay.de das CDN, oder ebaystatic.com?

PS: Das stetige Verschieben von Threads finde ich hier ein wenig übertrieben. Ich habe doch nicht allgemein über den Umstieg vom IE zum FF berichtet, sondern speziell zum Thema "Sicherheits-Komfort" der beiden Browser. Und die nachfolgende Diskussion ergab sich doch daraus.

Boersenfeger: Mir wird es jetzt im Moment, ehrlich gesagt, etwas zu anstrengend, wenn statt einer kurzen, klaren Erklärung (Ist das denn so viel verlangt? Dürfen hier nur Vollprofis und Supergurus mitreden?) immer nur indirekte Äußerungen und Hinweise kommen, man solle sich selbst informieren (und sei scheinbar zu dumm, wenn man aus Links trotzdem nicht gleich schlau wird).

@all: Trotzdem noch einen schönen Abend allerseits und bis bald.

Hallo Boersenfeger,

Zitat von Boersenfeger

Wie müssten die Server von eBay beschaffen sein, wenn alles dort liegt... stell dir das mal gerade für eBay vor, oder für eine andere weltweit operierende Internet-Plattform.

sorry, ich stehe immer noch auf dem Schlauch: Wenn eBay also seine Inhalte auf verschiedene Server spiegelt (z.B. auf einen in den USA und auf einen in Europa), damit die User dort jeweils die Seiten schneller angezeigt bekommen und nicht jedes Mal alles über den großen Teich muss - warum spiegeln sie dann nicht auch die Scripte nach Europa, sondern legen sie scheinbar zentral auf ebaystatic.com ab?

Zitat von Mithrandir

Ob ebay nun ein CDN oder nicht einsetzt, ist eigentlich schnuppe (und auch nur ein Beispiel). Mir ging es darum, deine Aussage bzgl. "Programmierstil" (HTML wird nicht programmiert) zu hinterfragen.

Mensch, Ihr seid ja wirklich ganz extrem pingelig hier - dagegen bin ich selbst ja noch harmlos. OK, wo "Programmieren" wirklich anfängt, darüber kann man streiten, aber das ist eine andere Diskussion

Danke. Nur verstehe ich immer noch nicht genau, warum ein CDN dazu führen soll, dass im obigen Beispiel eBay Teile seiner Website auf ebay.de und andere Teile, speziell einige Scripte, auf ebaystatic.com ablegt (und nicht alles einheitlich auf ebay.de).

Was ist denn CDN?

Hallo zusammen,

ich muss sagen, dass ich nach meinem Umstieg vom IE zum FF speziell in punkto Sicherheits-Komfort vom IE doch ziemlich enttäuscht bin, nachdem ich nun im FF gesehen habe, was prinzipiell möglich ist:

Das generelle Sperren und bedarfsweise Zulassen von Scripting ermöglichte der IE zwar über das Zonenmodell ("Internet", "Vertrauenswürdige Sites" usw.). Allerdings war dies im Vergleich zu FF mit NoScript extrem unkomfortabel, weshalb es im IE scheinbar auch so gut wie niemand nutzt (in Internet-Foren gab es zu dieser Funktion des IE praktisch null Inhalt, während man zu FF mit NoScript haufenweise Tipps findet):
- Viele Websites verwenden mittlerweile leider Scripte von externen Domains, d.h. man surft z.B. auf ebay.de, benötigt werden dazu aber auch Scripte von ebaystatic.com. Abgesehen davon, dass dies IMHO schlechter Programmierstil ist: NoScript zeigt diese externen, aber benötigten Domains praktischerweise an, und man kann sie dann per Klick freigeben. Im IE dagegen muss man sie mühsam selbst im HTML-Sourcecode recherchieren, falls dies überhaupt möglich ist (oft habe ich sie selbst im IE-Entwicklermodus mit der Scripting-Konsole nicht herausfinden können und musste dann, um die Website überhaupt nutzen zu können, Scripting temporär global aktivieren, was mir überhaupt nicht behagte, weil man das sofortige Zurücksetzen dann womöglich noch vergisst).
- Der jeweilige "Kundenservice" hatte natürlich in keinem einzigen Fall auch nur die blasseste Ahnung von den zusätzlich verwendeten Scripting-Domains, und ein Backoffice bzw. einen 2nd Level scheint es nirgendwo mehr zu geben. Die Programmierer waren scheinbar auch immer schon längst über alle Berge (eine kurze Rückfrage dort hätte die Frage doch beantwortert).
- Die Positivliste im IE ("Vertrauenswürdige Sites") wird künstlich auf 4-6 Zeilen begrenzt (Warum das denn? SOLL das Feature niemand nutzen?), dann muss man scrollen. Sortieren kann man sie nicht, exportieren auch nicht. Die Pflege von einigen Zig bis Hunderten von Einträgen über ein "Guckloch" von 4-6 Zeilen ist mehr als mühselig, weil man dann, um z.B. nachzusehen, ob eine Site schon freigegeben ist und sie dann ggf. zu löschen, minutenlang blättern muss, zumal die Sortierung im IE - sagen wir mal - sehr "eigenwillig" ist.

Zu den Cookies (OK, weniger Sicherheit, sondern mehr Datenschutz):
- Im IE sind Cookies auf "Vertrauenswüdigen Sites" automatisch mit freigegeben, d.h. Scripting freizugeben beinhaltet Cookies freizugeben. Im FF mit NS geht dies getrennt.
- Im FF kann man Cookies für eine Site nicht nur generell, sondern auch zeitlich auf die Session begrenzt freigeben, was ich sehr nützlich finde für Sites, die zum Funktionieren einen Cookie benötigen (z.B. zum Führen eines Warenkorbs), von denen man aber nicht möchte, dass sie einen dann bei jedem neuen Besuch gleich wieder erkennen.
- Im IE kann man nur alle Cookies zusammen löschen. Es sei denn, man öffnet den Ordner mit den Cookies über den Explorer und löscht sie dort einzeln, was aber seit einem IE-Update von vor ein paar Monaten auch kaum noch geht, weil die Cookie-Dateien seitdem nicht mehr nach der URL betitelt sind, sondern mit kryptischen Kürzeln, so dass man jede Cookie-Datei einzeln im Editor öffnen muss, um anhand des Inhaltes erst einmal zu checken, von welcher Site er eigentlich stammt.

Ein paar Vorteile hatte der IE schon auch noch: Er öffnete sich noch schneller als der FF und braucht merklich weniger RAM, die Seiten laden auch etwas schneller. Und er ist jahrelang nie abgestürzt (nur mal früher, als es noch den IE 7 gab, damals aber dann auch richtig oft), während der FF in nun 10-14 Tagen es immerhin schon einmal zu einem Absturz gebracht hat.

Trotzdem bereue ich den Wechsel vom IE zum FF bislang nicht. Hätte ich das mal früher getan, denn ich hatte lange Jahre Bedenken gegenüber dem FF. Was ich aber auch sagen muss: Ohne NoScript wäre der FF gar nichts für mich, ohne NS fände ich das Sicherheitskonzept des FF völlig unzulänglich: NS war daher letztlich sogar der ausschlaggebende Grund zum Wechsel.

Kann noch jemand über Unterschiede in Sachen Sicherheit zwischen IE und FF berichten?

Info RR: Verschoben nach Smalltalk

Hallo Seniors ;-),

nur die Ruhe: Dass Addons (offiziell: "Erweiterungen") und Plugins nicht das gleiche sind, weiß ich mittlerweile und wusste es auch beim Erstellen des Threads (darum habe ich sie ja extra beide erwähnt). Was ich damals noch nicht wusste, aber jetzt: Erweiterungen wie NoScript werden im FF aktualisiert, bei Plugins prüft der FF hingegen nur deren Aktualität, man muss sie dann aber bei Bedarf außerhalb des FF selbst updaten.

Falls es Euch also wirklich um die Sache = um mein Verständnis ging, ist das Ziel erreicht. Alles andere sind persönliche Befindlichkeiten, in die ich mich nicht einmischen möchte.

Euer Junior

Hallo Cosmo,

GPG-Mails sind klar, verwende ich gelegentlich auch - nur kommt nicht jeder Empfänger damit klar (oder will trotz guter Argumente nicht damit klar kommen), und zwingen kann man ja auch niemanden. Zudem gibt es bei größeren Datenmengen von einigen hundert MB oder gar GB das Problem, dass viele E-Mail-Provider pro E-Mail nur 20-50 MB akzeptieren.

Wie ich soeben nachlas, fragt Vista automatisch, ob Autorun ausgeführt werden soll - es sei denn, man doppelklickt das entsprechende Laufwerk, dann wird Autorun ohne Nachfrage gestartet. So hatte ich es auch in Erinnerung: Ich klicke dann immer "öffnen" (statt "ausführen").

Über einen MS-Patch und/oder die Registry kann man Autorun wohl auch unter Vista ganz deaktivieren. Was ich mich dabei frage: Funktionieren Boot-Medien (z.B. Windows- oder Imager-Notfall-CDs) dann trotzdem noch, oder nutzen die auch Autorun?

Hallo Boersenfeger,

Zitat von Boersenfeger

Ich tausche grundsätzlich keine Dateien aus... bzw. mache ich das mit meinem Stick

mit meinem Stick mache ich das auch nur. Aber kann es nicht sein, dass der Geschäftspartner meinen Stick an seinen PC steckt, um mir die benötigte Datei auf den Stick zu kopieren, und sich dabei ein Schadprogramm von seinem PC auf den Stick und dann von dort auf meinen PC überträgt?

Ich nutze Sticks generell nur für sensible Daten von/für Geschäftspartner, die man besser nicht per E-Mail verschickt (weil man per E-Mail eher mal versehentlich einen falschen Empfänger eingibt oder gar jemand die Mails abfängt).

Hallo Boersenfeger,

wie ich an anderer Stelle schon erfuhr, kann FF aber nur PDFs anzeigen, d.h. man kann keine Formulare in PDFs ausfüllen. Dazu braucht man dann (leider) doch wieder einen "richtigen" PDF-Reader. Immerhin habe ich darin aber JavaScript deaktiviert und aktiviere es nur, wenn es unbedingt benötigt wird und die Quelle des PDFs vertrauenswürdig ist.

Zum Offline-Datenaustausch ohne USB-Sticks etc. noch einmal: Fällt Dir da noch eine wirklich sichere Lösung (außer dem Ausdruck von komprimierten Codes auf Papier und deren anschließendes Einscannen beim Empfänger ;-)) ein, die z.B. vermeidet, dass sich ein Schadprogramm von zwar lieben, aber sicherheitstechnisch noch unbedarfteren Bekannten als mich selbst zu mir hin überträgt? Da fällt mir noch etwas ein: Reicht es nicht prinzipiell schon, in Windows das Auto-Ausführen von externen Medien abzuschalten (und wie geht das noch einmal)?

Hallo Cosmo, hallo Börsenfeger,

jetzt seid Ihr ja doch noch irgendwie nett

Also vom "Sicherheitskonzept für Windowsnutzer", das in Boersenfegers Signatur rot verlinkt ist, halte ich geschätzte 90-95% ein. Ausnahmen sind eben der fehlende Nicht-Admin-Account (aber nur, weil es mir jetzt nachträglich mehr Aufwand und Risiko zu sein scheint, als es bringt - IMHO), und dass ich nicht alle Updates vollautomatisch jederzeit laufen lasse, sondern die meisten manuell (wenn ich den Rechner gerade nicht dringend zur Arbeit benötige), das aber zu einem festen, regelmäßigen Termin, der nie vergessen wird.

- Eine Frage noch zu den externen USB-Sticks: Wie kann man deren auch mir bekanntes Sicherheitsrisiko eigentlich umgehen und trotzdem Daten sicher mit anderen Leuten austauschen (aber nicht per E-Mail!)? CDs oder SD-Cards sind doch auch nicht risikofrei.
- Noch eine Frage zu den PDF: Ist es wirklich nicht sicherheitstechnisch egal, ob ich eine PDF-Datei mit dem Browser-Plugin eines PDF-Viewers oder mit dem Viewer selbst öffne?

Hallo Cosmo,

danke für die ehrliche Antwort, aber leider bestätigt sie doch genau meine Befürchtung: Bei nachträglichem Anlegen eines Nicht-Admin-Accounts gibt es schon noch eine ganze Menge Arbeit und möglicherweise knifflige Punkte! Man legt nicht nur eben den neuen Account an und arbeitet dann weiter wie gehabt (wie es sich weiter oben anhörte).

Ich bitte daher freundlich um Dein Verständnis, dass ich mir das für den nächsten PC-Neukauf mit Neu-Installation aufspare, danke Dir aber für die ganzen Infos. Immerhin hast Du ja erreicht, dass ich mir Gedanken zum Admin-User gemacht habe und es ggf. beim nächsten System berücksichtigen werde.

Eine Frage noch zum Nicht-Admin-User: Windows legt die Standard-Daten-Verzeichnisse wie "Dokumente", "Bilder" etc., sowie darüber hinaus nicht wenige Anwendungs- und Einstellungsdaten (z.B. das PST von Outlook, unter Windows-User/AppData) in einen User-Ordner. Wenn ich dies alles nun als Admin angelegt habe und dann nachträglich einen Nicht-Admin-User anlege:
1. Starten die entsprechenden Programme dann ohne diese Daten/Einstellungen?
2. Habe ich dann, eingelogt als Nicht-Admin, überhaupt noch Zugriff auf das Verzeichnis des Admin-Users?

Hallo Cosmo,

noch ein Beispiel zur Praxistauglichkeit von Sicherheitsmaßnahmen: Als ich früher noch den Adobe Reader hatte, sorgte dessen Auto-Update-Funktion dafür, dass bei JEDEM Start des Readers, also bei jedem einzelnen Öffnen eines PDFs, auf Updates gecheckt wurde und sich so jedes Mal das ganze System verlangsamte. Damit konnte man kaum noch arbeiten.

Sicher sagst Du jetzt, das müsse eine Ausnahme gewesen sein. Theoretisch klappt das mit den Live-Jederzeit-Auto-Updates usw. usf. ja auch alles - nur habe ich bisher fast keinen Fall von einer wesentlichen Änderung am System erlebt, der genau wie geplant völlig reibungslos verlief.

Zum Autoupdate nachts: Erstens lasse ich meinen PC nachts nicht durchlaufen - Du schon? Und zweitens: Wenn nachts dabei etwas schief geht, stehe ich morgens dumm da. Da brauche ich den PC aber auch zum arbeiten!

Ich sorge doch, wie hier in diversen Postings mitgeteilt, mit diversen Maßnahmen immerhin schon deutlich mehr vor als der Normal-User, der mit Standard-Einstellungen = offenem Visier (u.a. Scripting pauschal für alle Websites erlaubt, volle HTML-Ansicht von E-Mails usw.) online geht.

Sprichst Du trotzdem nur mit Leuten, die Deine Empfehlungen zu 100% komplett umgesetzt haben? Mach doch der Übersichtlichkeit halber mal eine Liste, was aus Deiner Sicht in punkto Sicherheit alles zu beachten ist, sozusagen eine Security-Shortlist für Windows-PCs.

Hallo nochmal zusammen,

generell verstehe ich ja den Sinn eines User-Accounts für die normale Nutzung - daran habe ich prinzipiell auch weiter oben nicht gezweifelt. Nur befürchte ich nach wie vor unerwartete Komplikationen bei der nachträglichen Einrichtung (im Nachhinein wahrscheinlich alles zu schaffen, aber Stress macht es trotzdem erst mal) und werde es erst beim nächsten Neukauf eines PC berücksichtigen. Bei privaten Surf-PCs sicher auch alles kein Thema, da hat man Zeit. Nicht aber bei Geschäfts-PCs, mit denen man seine Arbeit oft gerade so geschafft bekommt und auf dem Schlauch steht, wenn man 2-3 Stunden ungeplant aufwenden muss.

Ich hoffe, Ihr könnt mit diesem Kompromiss leben und seid nun nicht immer noch weiter sauer auf mich, nur weil ich nicht (zumindest nicht auf der Stelle) alles zu 100% ausführe, was Ihr an Empfehlungen gebt und ja größtenteils auch sinnig begründet.

Zum Imagen: Klar mache ich das regelmäßig. Nur: Acronis (Software dazu) ist leider dafür bekannt, immer mal wieder für (negative) Überraschungen gut zu sein. Allzu oft austesten möchte ich eine komplette Image-Rücksicherung daher nicht unbedingt. Das Wiederherstellen einzelner Dateien aus den Images klappt aber, und das ist mir das wichtigste (komplettes Image eher aus Gründen der Vollständigkeit, d.h. so kann man keine Dateien vergessen; und es geht, weil sektorenweise, viel schneller als ein Backup nach einzelnen Dateien).

Zu den Updates: Täglich (oder gar täglich mehrfach) und automatisch update ich nicht. Grund: Es gab schon allzu oft Updates, die dazu führten, dass eine Software plötzlich nicht mehr richtig funktionierte. Bestenfalls, bis dann nach einigen Tagen oder Wochen ein korrigierendes Update erschien. Ich kann es mir nicht leisten, ständig dieses Risiko einzugehen. Zudem blockieren Updates manchmal das System oder verlangsamen es stark, manchmal ist auch ein Neustart erforderlich. Das kann ich alles nicht während der normalen Arbeit laufen lassen (Kunde am Telefon - oh, sorry, keine Auskunft möglich, rufen Sie in 30 Min. wieder an, es läuft/lief gerade ein Update?). Deshalb update ich manuell - nicht mehrmals täglich, auch nicht täglich, aber zumindest einmal die Woche zu einem definierten Zeitpunkt (außerhalb der Hauptgeschäftszeiten).

Hallo Cosmo,

ich habe deshalb bisher nicht auf einen Nicht-Admin-User umgestellt, weil ich nicht sicher bin, ob sich dadurch etwas am System, an den Verzeichnissen/Dateien und der installierten Software ändert.

Ich bin kein PC-Bastelfreak mit Spaß am Experimentieren, der das System sowieso alle paar Wochen (oder noch öfter) neu aufsetzt, sondern arbeite damit und brauche daher ein stabiles (!) System. Daher meine Devise: Never change a running system.

Würde ich nun einen neuen PC kaufen und ihn sowieso neu einrichten, würde ich das mit dem User-Account wohl mal ausprobieren und ihn bei wenig Stress damit auch nutzen.

Aber: Ich befürchte Komplikationen bei der nachträglichen Einrichtung eines zweiten Users ohne Admin-Rechte. So fragen z.B. manche Programme bei der Installation, ob sie für alle User oder nur für den aktuellen installiert werden sollen. Ob ich da jedes Mal "für alle User" ausgewählt habe - ich bin, ehrlich gesagt, nicht absolut sicher. D.h. es könnten dann Programme und deren mühsam optimierte Einstellungen oder gar Daten fehlen?

Hallo Cosmo,

Du sagst also: Es ist nicht riskanter, 10x über eine rote Ampel zu fahren, als einmal? D.h. die Wahrscheinlichkeit, mit dem kreuzenden Verkehr zu kollidieren und/oder von der Polizei erwischt zu werden, ist bei 1x genauso hoch wie bei 10x?

PS: Glaubst Du wirklich, ich bin so blöd und denke, "temporär" würde etwas anderes als "zeitlich befristet" bedeuten, d.h. mit NoScript gäbe man mit der Option "temporär" weniger Rechte für Scripte frei, als wenn man etwas dauerhaft freigibt? Mensch Leute - nicht jeder ist ein DAU, auch wenn es sicher viele davon gibt. Und nur, weil ich hier erst seit kurzer Zeit im Forum bin, heißt das nicht, dass ich all die Jahre vorher keine Erfahrungen gemacht habe und absolut null Ahnung habe. Ein Sicherheits-Guru bin ich aber natürlich auch absolut nicht - Du (oder Bernd) hingegen schon?

Nachtrag zum Thema "Kompromiss": Trotz aller ganz klar wichtigen Sicherheitsbemühungen sollten diese die Nutzung nicht über alle Maßen stark einschränken, weil dies dann letztlich auch kontraproduktiv sein kann.

Beispiel: Onlinebanking-Nutzern wird auch empfohlen, ihr Konto möglichst regelmäßig zu überprüfen, um im Betrugsfall zeitnah reagieren zu können. Nur: Wenn man - im Extremfall, mal auf die Spitze getrieben - fürs Onlinebanking einen separaten PC starten muss, zu dem man das Passwort vorher aus dem Tresor holen muss, der wiederum nicht zu Hause, sondern im Haus eines Bekannten steht (am besten noch mehrere Passwort-Fragmente, verteilt auf mehrere Bekannte), wird man sich wegen des Aufwands nur noch selten einloggen (da dann ein klassischer Offline-Besuch in der Bankfiliale fast schon praktischer wäre).

Aus meiner Sicht ist es am wichtigsten, Sicherheitsprobleme und Maßnahmen dagegen zu verstehen und diese dann mit Bedacht einzusetzen - statt als Technik-Laie blind alles zu tun, was man in punkto Sicherheit irgendwo liest, und seinen PC dann schlussendlich kaum noch nutzen zu können.

Hallo Cosmo,

ja, aber: Temporär aktivieren ist sehr wohl ein Mittelweg, Beispiel PC-Welt: Sagen wir, jemand hat die Site vor 6 Monaten besucht und wollte damals dort eine Funktion (z.B. irgend einen Online-Kalkulator) nutzen, die nur mit Scripting funktioniert. Damals gab er Scripting dort dazu temporär frei. Nun hat er auf Google etwas gesucht und kam kürzlich während des Virenbefalls wieder auf PC-Welt, um dort einen Forenbeitrag zu lesen. Scripting: Nicht aktiviert, weil damals nut temporär. Hätte er es damals hingegen dauerhaft aktiviert, hätte er sich nun womöglich den Virus dort eingefangen.

D.h. man reduziert das Risiko schon, wenn man nur bei einem von zehn Besuchen einer Site Scripting aktiviert hat, da - wie ja auch in diesem Beispiel - solche Sabotage-Aktionen von Kriminellen (Gott sei Dank) meist relativ schnell entdeckt und wieder beseitigt werden.

Genauso, wie es riskanter ist, 10x über eine rote Ampel zu fahren als einmal.

Hallo Bernd,

Zitat von Bernd.

Umgangssprachlich - sei einfach still, solange du es nicht verstanden hast. Danke.

(ansonsten könnte ich mich zu einer Kategorisierung geneigt fühlen)

also auf gut Deutsch: Halt die F...? Das ist aber freundlich und sehr einladend, Deine Signatur scheint Programm zu sein :-???

Cosmo: Danke für die ausführlichen Erklärungen, die ich sehr wohl verstanden habe (nach Deiner sehr guten Darlegung ist UAC nicht ganz so sicher wie ein separater User-Account). UAC ist aber immerhin besser als nichts.

Zur Masse der User: Mir geht es um die Sicherheit MEINES Systems, d.h. ich nutze UAC (wenn auch keinen separaten User-Account). Was hingegen die Masse der User macht und ob sie selbst UAC abschaltet oder MS es entschärft, ist mir einerlei - ich bin ja kein Sicherheits-Missionar, und die Masse wird sich nie optimal verhalten (genauso wenig wie ich selbst, aber ich versuche wenigstens, so einige Punkte zu beachten, wenn auch aus Gründen der Praktikabilität nicht alle zu 100%). Mit der Masse ist es allerdings natürlich ein bisschen so wie beim Impfen: Viren und anderes wird nur ausgerottet, wenn die Masse sich dagegen schützt.

Wer sich zu 100% an alle Empfehlungen von BSI und anderen Sicherheitsexperten halten will - der bleibt offline. Um Sicherheitskompromisse kommt man daher wohl kaum drum herum. Nur braucht man deshalb ja nicht jeden zu beschimpfen, dessen Kompromiss nicht genauso aussieht wie der eigene, so lange nicht völlig gedankenlos gesurft wird.