Hallo Bernd,
sorry, aber hast Du mein Posting richtig gelesen? Ich habe doch weder Dich noch Cosmo kritisiert, sondern verwende das UAC doch und finde es gar nicht lästig, wie scheinbar viele andere (DIE habe ich hingegen kritisiert). Was ich NICHT VERSTEHE ist doch nur, dass es andere aus Bequemlichkeit abschalten.
Hallo Cosmo,
Zitat von Cosmo... Da die Leute also keine eingeschränkten Benutzerkonten verwendeten, wurde mit Vista UAC geboren - und in W7 gleich wieder entschärft, weil das Ding derart nervig ist, daß viele Benutzer es gleich ganz abgeschaltet hatten. Man kann es also drehen und wenden wie man will, UAC ist eine Krücke, die den Arbeitsablauf entweder hemmt oder die Sicherheit (wenn überhaupt, dazu im folgenden mehr) nicht wirklich bieten kann. Mit der Verwendung eines eingeschränkten Benutzerkontos für das tägliche Arbeiten ist Sicherheit dagegen sehr hoch möglich. UAC ist eigentlich nichts anderes als ein mißglücktes Komfortfeature, um die Rechtetrennung mit nur 1 Benutzerkonto zu realisieren.
ich verstehe bis heute nicht, was am Vista-UAC den Arbeitsablauf hemmen soll. Dass man bei der Installation von Programmen oder anderen, eher seltenen Aktivitäten, OK, manchmal auch beim Starten von Programmen kurz ein Sicherheitspopup bestätigen soll? Wem selbst das zu lästig ist, dem ist wirklich nicht mehr zu helfen. Finde ich.
Hallo zusammen,
Zitat von Cosmo... Und dann muß die kategorische Vorgehensweise so aussehen, daß nur bei zweimaligem unzweifelhaftem JA Scripting freigegeben wird - anderenfalls im Zweifelsfall die Seite ignoriert wird, wenn sie ohne aktive Inhalte nicht funktioniert. Dazu braucht es allerdings auch eine Portion Selbstdisziplin.
da stimme ich voll zu. Ein "Mittelweg" noch, den NoScript anbietet: Eine URL nur temporär für die Dauer der Sitzung freigeben.
Zitat von Docc
... Das Problem bei der o.g. Attacke war, dass via IFrame eine Umleitungen auf mindestens zwei Server (Ukraine sowie Brasilien/Argentinien) erfolgt sind.
Dann war man mit NoScript aber ja doch auf der sicheren Seite - es sei denn, man hatte die besagten Server aus der Ukraine usw. auf der Positivliste 
Was ich mich, wenn es tatsächlich so war, aber noch frage: Wenn die Hacker auf dem Server der PC-Welt Code manipulieren konnten - warum dann nur die Weiterleitung zu ihren Servern, statt den Schadcode direkt dort einzupflanzen?
1. Der Artikel ist von 2006 (da gab es Vista ja noch gar nicht, sondern noch XP).
2.
Keine Sorge: Sie können auch als Standardbenutzer weiterhin alle wichtigen Einstellungen vornehmen – selbst geschützte Systemkonfigurationen. Der Trick: Sobald Sie einen geschützten Bereich betreten möchten, für den eigentlich Administratorrechte erforderlich sind, erscheint ein Auswahlfenster. Jetzt müssen Sie nur noch das ursprüngliche Administratorkonto auswählen und das Administratorkennwort eingeben, und schon gewährt Windows den Zugriff auf die geschützte Funktion. Das hat gleich zwei Vorteile: Zum einen schützen Sie sich selbst vor versehentlichen Änderungen, zum anderen haben Viren oder bösartige Software keine Chance, unbemerkt Änderungen am System vorzunehmen.
Das macht Vista ja automatisch, auch bei Admin-Usern. Nur, dass man dass Passwort nicht jedes Mal eingeben muss. Aber man muss Admin-Aktionen bestätigen - unbemerkt kommen Schadprogramme daher auch nicht zum Zug.
Hallo Darklord,
ja, aber wie gesagt: Unterbindet Vista so etwas mit den Admin-Rückfragen vor vielen Aktionen nicht eigentlich schon ausreichend, so dass es sich erübrigt, verschiedene Windows-Benutzerkonten anzulegen und den PC für Admin-Aktionen extra jedes Mal neu zu starten bzw. zumindest den Benutzer zu wechseln?
Hallo Andreas,
Zitat von 2002Andreas
Ok, ein Profil nur für Online-Banking leuchtet mir ja ein.
und mir eben nicht - sofern man das Standardprofil vernünftig, d.h. sicher, konfiguriert und eingestellt hat, d.h. quasi immer mit einem Profil surft, das andere als "Onlinebanking-Profil" bezeichnen würden.
Zitat von 2002Andreas
Die Erweiterung ist ja nur in einem Profil installiert, also (greift) sie auch nur in diesem.
Wie, d.h. Addons und Plugins sind in einem neuen Profil alle nicht vorhanden? Und wie installiert man sie dann dort? Addons, OK, aber Plugins? Die installiert man doch normalerweise browserübergreifend unter Windows, und die verfügbaren Browser erkennen sie dann automatisch?
Zitat von 2002Andreas
...geh nicht als Admin. ist Net..dann hast du schon sehr viel zur Sicherheit getan.
Vista sorgt hier durch die diversen Admin-Rückfragen und mit reduzierten Standardrechten (daher die Zusatzfunktion "als Administrator starten") schon gut vor, finde ich. Lohnt sich da wirklich ein extra User-Account neben dem Admin?
Hallo Cosmo,
ich glaube in der PC-Welt-Sache bald, dass dies nur User ohne NoScript o.Ä. betraf, die Scripting pauschal für alle Websites aktiviert haben. Durch den IFRAME auf PC-Welt.de wurde der Browser dann nur automatisch und unbemerkt auf die schadhafte Website gebracht, anstatt dass der User sie selbst besucht hätte (was allerdings über ein Fake-Banner mit einem vermeintlichen Superschnäppchen auch zu machen gewesen wäre, da hätten sicher auch viele drauf geklickt, aber eben nicht alle PC-Welt-Besucher)?
Viel gefährlicher wäre es, und vielleicht war es ja auch tatsächlich so, wenn der gesamte Schadcode auf PC-Welt.de gelegen hätte - dann wären selbst User mit NoScript betroffen, sofern sie PC-Welt.de in der Positivliste haben.
Hallo Cosmo,
schaden kann der PM bei Onlinebanking usw. sicher nicht. Nur frage ich mich: Lohnt der Aufwand? Es macht zwar nicht viel Arbeit, den PM zu starten und wieder zu beenden (nur je ein Klick im FF-Menü), aber die ganze FF-Arbeitsumgebung ist dann anders (im PM quasi leer).
Das kommt mir schon fast vor wie Gentechnik-Kritik von Leuten, die keinerlei Ahnung davon haben, einfach nur dagegen sind und denken, es könne ja nicht schaden - und dann dafür "biologische" Pflanzenschutzmittel wie Kupfer zu sich nehmen.
Ob es sich lohnt, frage ich mich auch bei der Methode, verschiedene FF-Profile für verschiedene Sicherheitsstufen zu verwenden. Das macht sicher Sinn, wenn man im Standard-Profil Cookies und vor allem Scripting sowie Plugins aktiviert hat, im Sicherheits-Profil hingegen nicht. Aber:
1. Kann man auch die NoScript-Einstellungen individuell je nach Profil vornehmen, oder speichert NoScript das global?
2. Wenn man schon im Standardprofil mit NoScript Scripting und Plugins nur für wenige, häufig genutzte Websites aktiviert und es über die FF-Einstellungen mit den Cookies genauso handhabt sowie seltener benutzte Plugins grundsätzlich deaktiviert - was soll man dann im Sicherheitsprofil darüber hinaus noch machen, damit dessen Existenz einen Nutzen ergibt?
D.h. der Inhalt des IFRAME lag in diesem Fall auch auf PC-Welt.de und nicht extern auf einem Schadcode-Server?
Nochmal ganz konkret gefragt: Wenn PC-Welt.de bei NoScript auf der Positivliste steht und der Schadcode auf einem externen Server lag (z.B. virenschleuder.ru) und über einen IFRAME auf PC-Welt.de eingebunden wurde - kann der Schadcode dann aktiv werden, obwohl die (hier erfundene) Beispiel-URL virenschleuder.ru nicht auf der Positivliste steht?
Hier mal eine Kurzinfo zum IFRAME (Inline Frame):
http://de.wikipedia.org/wiki/Inlineframe
Wenn ich es richtig verstehe, kann man damit doch keine Scripting-Sperren wie NoScript umgehen, d.h. wenn im o.g. Beispiel PC-Welt.de auf der Positivliste steht und virenschleuder.ru nicht, kann virenschleuder.ru auch in einem IFRAME auch PC-Welt.de dann kein Scripting ausführen, oder? In meinen Augen lässt sich solch ein IFRAME daher nur dazu missbrauchen, dem User vorzuspiegeln, er befinde sich auf PC-Welt.de, und so Dateneingaben (z.B. Username und Passwort) zu fordern, die der User auf virenschleuder.ru direkt nicht machen würde.
Ich frage nur so genau, weil bei Auswahl der Option "Diese Einschränkungen auch auf vertrauenswürdige Websites anwenden" ja auch z.B. Flash selbst für alle vertrauenswürdigen Sites auf der Positiv-Liste verboten wäre, d.h. selbst für vertrauenswürdige Sites gibt es dann nur noch HTML und JavaScript und weder Flash noch Java noch andere Plugin-Inhalte - es sei denn, man schaltet diese global auch für nicht vertrauenswürdige Sites frei, was aber wohl wenig Sinn macht.
Oder habe ich die Meldung nicht richtig verstanden und die Hacker haben nicht nur das IFRAME-Tag, sondern den Schadcode direkt auf den PC-Welt.de-Server gepflanzt?
Hallo Cosmo,
der private Modus im FF hat aber doch einen ganz anderen Zweck:
http://support.mozilla.org/de/kb/privater…+modus&r=0&as=s
Nämlich den, keine Spuren auf dem PC zu hinterlassen, d.h. FF selbst speichert deutlich weniger Nutzungsdaten (wie z.B. Cookies, Cache/Chronik, Passwörter). Er hindert aber keine anderen (Schad-)Programme wie z.B. Keylogger:
Auch schützt der Private Modus nicht vor Tasten-Bespitzlern (engl. Keylogger) oder Schnüffelprogrammen (engl. Spyware), die auf Ihrem Rechner vorhanden sein könnte.
Inwiefern erhöht der private Modus daher in Deinen Augen die Sicherheit beim Besuch von sicherheitsrelevanten Seiten wie Onlinebanking?
Hallo Docc,
Zitat von Docc
...
Wenn man IFrames grundsätzlich blockt (z. B. via NoScript), läuft die Cyberattacke ins Leere und der Spuk bleibt folgenlos.
reicht es dazu aus, in den NoScript-Einstellungen unter dem Reiter "Eingebettete Objekte" IFRAMES zu verbieten, oder muss man dann auch das fett gedruckte "Diese Einschränkungen auch auf vertrauenswürdige Websites anwenden" markieren, wenn man z.B. pcwelt.de in der NoScript-Positivliste hat, d.h. lag der IFRAME direkt auf pcwelt.de oder extern?
Hallo Cosmo,
der Absturz sollte hier nur am Rande als Begründung für das seltenere Beenden des FF erwähnt sein (um die Standard-Antwort "dann beende den FF doch einfach wieder öfter" zu vermeiden), weil ich ihn bereits hier näher beschrieben habe:
https://www.camp-firefox.de/forum/viewtopic.php?f=8&t=102108
Was ich aber technisch nicht nachvollziehen kann: Wenn eine vorherige Website derselben Sitzung Schadcode enthielt - ist der dann im Ernstfall nicht sowieso dauerhaft auf dem PC und nicht nur "in der FF-Sitzung", d.h. Beenden und Neustarten des FF beseitigt den Schadcode auch nicht (das wäre ja einfach, dann bräuchte man kein Virenprogramm mehr)?
Hallo zusammen,
seit mir der FF kürzlich einmal beim Beenden abgestürzt ist und dies auch andere Programme temporär in Mitleidenschaft zog, lasse ich ihn nun immer deutlich länger offen als bisher und beende ihn nur noch selten.
Ein gängiger Hinweis bei sicherheitsrelevanten Web-Anwendungen wie Onlinebanking lautet aber ja: Am besten vorher den Browser beenden und neustarten, und danach auch (am besten noch zugleich alle Cookies und den Cache löschen).
Ist das nicht übertrieben und ohne technischen Hintergrund? Denn was ist an einem neu gestarteten FF "sicherer" als an einem schon laufenden, über den zuvor andere Websites besucht wurden, zumindest sofern man Scripte per NoScript und Cookies per FF-Einstellung nur vertrauenswürdigen Websites erlaubt?
Hallo Börsenfeger,
grundsätzlich sehe ich das genauso wie Du: Nur die Plugins, die man wirklich braucht.
Mein aktueller Stand in Sachen Plugins und die weitere Planung:
- Aktiviert: VLC, Flash 11 und PDF-XChange-Viewer
- Deaktiviert (waren alle nach der Installation von FF automatisch vorhanden, offenbar vorher schon da vom IE, werde ich auf absehbare Zeit wohl deinstallieren, falls sie nicht noch für irgend etwas benötigt werden): Google Earth, Google Update, Flash 9, QuickTime, Windows Presentation Foundation
- Deaktiviert (nur für bestimmte Websites installiert, aktiviere ich nur gezielt und temporär bei Bedarf): Java TM
- Deaktiviert (wurde mit Java TM mit installiert, Zweck unklar): Java Deployment Toolkit
Addons:
- Aktiviert: NoScript
- Deaktiviert (Zweck unklar, war nach der Installation von FF automatisch vorhanden, offenbar vorher schon da vom IE): Microsoft .NET Framework Assistant
Verzögern deaktivierte Plugins eigentlich noch irgendwie den Start von FF oder machen ihn potentiell instabiler, oder ist "deaktiviert" und "deinstalliert" in dieser Hinsicht für FF dasselbe?
Nein, nichts von Symantec, nur Windows Firewall und Antivir.
Hallo zusammen,
so ganz durchschaue ich die Plugin-Logik ja noch nicht: Heute musste ich für die Nutzung einer Website Java installieren, welches ich zwar vor der Installation von FF im Internet Explorer schon längst hatte (Version 6 sowie 2 Updates dazu), FF zeigte dazu aber keinerlei Plugin an. Also zusätzlich das aktuelle Java, Version SE 7 U11 installiert.
Erkenntnisse/Fragen:
1. Warum hat FF die schon vorhandenen Javas vom IE nicht erkannt (Version 6 und zwei Updates dazu)?
2. Warum wurden die alte Java-Version und dann auch noch separat deren zwei Updates in der Systemsteuerung alle parallel angezeigt? Ersetzt ein Update nicht eigentlich die vorherige Version?
3. Version 7 wurde dann noch als viertes angezeigt, woraufhin ich Version 6 und die beiden Updates dazu dann manuell über die Systemsteuerung deinstalliert habe.
4. Firefox erkennt das neue Java-Plugin nun, warnt aber davor:
[attachment=0]screenshot_java_plugins.gif[/attachment]
Nutzen lässt es sich nach Freigabe auf entsprechende Rückfragen beim Laden von Java-Applets hin schließlich dennoch, und im Internet Explorer läuft es sogar ohne Sicherheitsrückfragen. Aber: Weiß jemand, was genau das Sicherheitsproblem des aktuellen Java ist, ist das in der Praxis wirklich schwerwiegend, und betrifft das nur Firefox?
5. Plötzlich erscheint nun im Firefox auch das Shochwave Flash Plugin Version 9 aus dem Internet Explorer, welches bislang nicht erschien, weshalb ich für den Firefox kürzlich erst Flash in Version 11 installieren musste. Hat die Installation des aktuellen Java-Plugins auch Flash 9 irgendwie reaktiviert?
Wöchentliches Windows-Update, letztes SP.
Hallo Docc,
weder die Windows-Firewall noch Antivir haben etwas dazu protokolliert.
Hallo Sören,
danke noch einmal für Deine Antworten - ich habe nun zwischenzeitlich VLC-Player aktualisiert und dabei auch dessen FF-Plugin installiert, und dafür QuickTime vorerst deaktiviert. Sofern ich es nicht in den nächsten Wochen noch für irgendetwas brauche, werde ich QuickTime dann komplett deinstallieren.
Zumal sich - zumindest bei mir - QuickTime gar nicht updaten lässt: Wenn ich im FF die Plugins ansehe und dann oben auf "Updates überprüfen" klicke, wird ein Update für QuickTime angezeigt. Klicke ich darauf, komme ich auf die Apple-Seite. Klicke ich dann dort den Download-Button, öffnet sich zwar ein Download-Popup; wenn ich dann auf "Datei speichern" klicke, passiert aber nichts. Ich habe es mehrfach probiert und auch apple.com für Cookies sowie apple.com und akamai.net in NoScript freigeschaltet - trotzdem immer dasselbe Resultat, keine Update-Datei. Beim Adobe Shockwave Flash Update hingegen hat es geklappt.
PS: Bei der Gelegenheit habe ich auch den PDF-XChange-Viewer aktualisiert und auch dessen FF-Plugin installiert. Adobe Reader habe ich stattdessen schon lange komplett deinstalliert, weil er mir zu langsam, zu nervig in Sachen Updates [Auto-Update ließ sich beim besten Willen nicht deaktivieren, er suchte nach JEDEM Start Performance-lastig nach Updates] und zu groß war, wobei ich beim XChange-Viewer seit nun 1,5 Jahren keine Funktionen vermisse.
Hallo Andreas,
danke für den Tipp, in Vista wollte ich ohnehin noch nachschauen. Nun erledigt. Ergebnis: Auch dort wurde der FF-Absturz nicht erfasst. Generell ist für den Zeitpunkt des Absturzes auf für andere Programme dort nichts erfasst. Womöglich liegt das daran, dass ich das "Senden des Problemberichtes", welches scheinbar festhing, "hart" über den Taskmanager beenden musste.
