indem man die .bat Datei in eine .exe konvertiert.
Wenn du das bereits am Laufen hast, kannst du mal testen, ob man über diese exe dann URLs mit für die bat problematischen Zeichen, wie dem "&" vollständig übergeben kann? Sonst wäre damit nichts gewonnen. Die Parameter -no-remote -profile Profilordner lassen sich ja auch aus der *.bat übergeben.
Wenn man diese Batch aufruft und eine URL als Parameter übergibt, hat das dann Probleme mit einigen Zeichen zur Folge, vor allem mit dem &.
Ja, das stimmt. Die guten, alten *.bat haben ein Problem damit, Parameter mit solchen Sonderzeichen zu übergeben, weil sie diese selbst interpretieren. Sie lassen sich auch nicht immer maskieren.
Abhilfe schaffen würde man mit Nutzung einer Windows-Verknüpfung (LNK-Datei)
Das sollte jeder hinbekommen, denke ich.
Sagen wir besser "so ähnlich". Ist aber auch egal. Es bleibt so oder so eine Dritt-Software, die man gar nicht benötigt. Ich für meinen Teil würde sofort auf sie verzichten.
Jeder wie er mag. Ich wollte darauf hinweisen, dass es auch ganz ohne Dritt-Software und nur mit Mozilla als Quelle geht. Es könnte ja sein, dass es außer mir auch noch andere gibt, denen das lieber ist.
Ich würde mir den Portable lieber selbst erstellen, analog zu dem, wie es SemperVideo hier gezeigt hat:
Vorteile:
- keine Drittquelle
- keine FirefoxLoader.exe
- man hat einen ganz normalen Firefox und bleibt auf dem Update-Kanal
- wer möchte, kann das auch für Beta-Versionen erstellen
- man hat es selbst erstellt und weiß, was drin ist
Stand heute kannst du deinen Magen zumindest in diesem Punkt beruhigen. Ob die Updates überhaupt über Microsoft verteilt werden, ist immer noch offen.
Bei Heise gibt es ein paar Neuigkeiten:
Der Hinweis auf das PS-Script, das ich in #25 erwähnt habe, und einen Artikel, wonach Intel zunächst die Prozessoren ab 2013 patchen will. Laut dem Artikel ist bisher nicht einmal klar, ob Intel damit schon beiden Problem patcht oder nicht. Die Auswirkungen auf die Performance werden wohl individuell unterschiedlich sein.
https://www.heise.de/newsticke…e-Auswirkung-3936956.html
bigpen: Falls du doch noch zweifelst, kannst du das PS-Scipt ja bei dir laufen lassen. Du wirst ähnliche Ergebnisse bekommen wie ich in #25. Dann siehst du selbst, dass die beiden Updates, die du eingespielt hast, diese beiden Problem nicht lösen.
Nein, das ist es noch nicht. Das kannst du bereits am Datum erkennen. Das eine Update betrifft den Chipset, das andere die Management Engine. Das hat mit Meltdown und Spectre nichts zu tun. Geschadet hat es auch nicht.
Ich würde einfach abwarten. Irgendeine der bekannten Seiten wird in den nächsten Tagen ganz gewiss darüber informieren, wie man an die Updates kommt.
Ich selbst werde auch dann noch ein paar Tage warten. Du hast sicher gelesen, dass selbst das Windows-Update nicht ganz reibungslos verlief.
Aber bei Meltdown und Spectre behebt Mozilla (allein) nicht das Problem.
Na und? Was hat da damit zu tun, dass Mozilla wirklich sehr rasch einen Patch veröffentlicht hat? Willst du sagen, das wäre nur eine Kleinigkeit gewesen? Kann sein, kann nicht sein. Ich glaube nicht, dass du das beurteilen kannst.
Und fehlende Ressourcen werden es nicht sein, da Meltdown und Spectre aktuell sind, das andere Problem aber ist alt.
Ich habe keine Ahnung, wie viele Entwickler bei Mozilla seit wann an dem Patch gearbeitet haben. Das ganze Thema wurde ja schließlich von allen Herstellern aus gutem Grund zunächst geheim gehalten.
Weshalb das Verhalten bzgl. der Pop-Ups erst in der nächsten Version behoben wird, hat Sören ja inzwischen erläutert. Und dass diese Verbesserung im Vergleich zu Meltdown und Spectre geradezu vernachlässigbar sind, sollte jedem einleuchten.
Der normale Anwender will auch keine Sandbox verwenden.
Dann kenne ich sehr viele unnormale Anwender, mich eingeschlossen. Ganze Schulklassen sogar am hiesigen Gymnasium - alle nicht normal. Na wenn du das sagst.
Genau so wird es leider sein. :cry:
Gerade gefunden: Lenovo verteilt bereits Updates: https://support.lenovo.com/de/de/solutions/len-18282
Wenn das jetzt wirklich über die Hersteller laufen sollte, wird es schwierig.
Ich habe meine Frage nicht gut genug formuliert. Ich wollte eigentlich wissen, ob du etwas gefunden hast, woraus hervorgeht, dass die Firmware Updates überhaupt durch Microsoft verteilt werden. Microsoft selbst verweist ja bisher auf die Hersteller. Dazu, dass sie einen Patch von Intel erhalten und ihn dann verteilen, habe ich noch nichts finden können.
Wenn es am Ende nicht automatisch erfolgen sollte sondern jeder selbst bei seinem Hersteller nach dem richtigen Patch für seine CPU und sein BIOS suchen muss, dann kann ich mir denken, wie das ausgehen wird. Man muss nur ein paar Wochen in diesem Forum lesen, um eine Idee zu bekommen, wie viele Systeme es da draußen gibt, die seit Jahren keinen Patch mehr bekommen haben. Ich fürchte, sehr viele Privatrechnern würde den Patch nicht bekommen, wenn er nicht automatisch kommen wird.
Das wird das Ergebnis bei ca. 50 % der Hardware weltweit sein. :shock:
Da Spectre nicht nur Intel sondern auch AMD und die ARMs betrifft, schätze ich, dass es noch weit mehr sind. Nebenbei, ich finde es bemerkenswert, wie gut die anderen bisher im Vergleich zu Intel in der Presse davonkommen. Das erinnert mich ein bisschen an den Dieselskandal. 
Die Gefahr für den Privatrechner ist ja (noch) nicht so groß. Bei Rechenzentren und Cloudservern sieht das Ganze anders aus. :traurig:
Da sprichst du einen guten Punkt an. Mir scheint, die Tragweite ist bei der breiten Masse noch gar nicht angekommen. Dabei benutzt fast jeder einen Clouddienst.
Die meisten Webseiten liegen bei irgendeinem Hoster. Dahinter stecken oft aber keine dedizierten Server sondern nur virtualisierte Server. Der einzelne Kunde und auch der Hoster wissen gar nicht, was andere Kunden auf demselben physikalischen Server treiben. Als Kunde weißt du nicht einmal, wer die anderen auf demselben Server sind.
Wenn einer von denen erfolgreich angegriffen wird, kann der Angreifer auch den Speicher der anderen VMs lesen. Deshalb sind allen voran Amazon, Google und auch Microsoft so alarmiert.
Ob die vielen kleinen Anbieter auch so zügig reagieren oder überhaupt reagieren können? Zweifel sind sicher erlaubt.
Traurig daran ist nur, dass Mozilla diesen Fehler nicht schon in 57.x behebt.
Das wundert mich auch. Andererseits gab und gibt es schon schlimmere Bugs. Bei Meltdown und Spectre war Mozilla sehr schnell. Ich kann mir gut vorstellen, dass dadurch einige Ressourcen gebunden waren.
Und da wir das Thema Sandbox heute schon hatten ...
Wenn du den Firefox in einer Sandbox betreibst und diese so konfigurierst, dass es gar keine schreibenden Zugriffen nach außerhalb mehr gibt, dann können dir dieser bug und auch einige schlimmere egal sein. Sie können den Firefox noch für den Moment lahmlegen, aber Änderung an deinem Rechner, dem Windows oder dem Firefox können solche Webseiten dann nicht mehr vornehmen.
Intel Firmware-Updates für Windows kommen von M$ in Form der Datei mcupdate_GenuineIntel.dll
Hast du dazu etwas Offizielles von Microsoft oder Intel gefunden? Ich finde nichts, außer dass Microsoft nach wie vor auf die Hersteller verweist:
Zitat
Q1: How can I tell whether I have the correct version of the CPU microcode?
A1: The microcode is delivered through a firmware update. Consult with the device manufacturer about the firmware version that has the appropriate update for your CPU.
Quelle: https://support.microsoft.com/…hannel-vulnerabilities-in
Auf der Seite führt Microsoft seit ein paar Tagen auch ein Powershell Script an, mit dem sich überprüfen lässt, wie weit ein System gepatcht ist. In meinem Fall sieht das Ergebnis so aus:
Speculation control settings for CVE-2017-5715 [branch target injection]
Hardware support for branch target injection mitigation is present: False
Windows OS support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is enabled: False
Windows OS support for branch target injection mitigation is disabled by system policy: False
Windows OS support for branch target injection mitigation is disabled by absence of hardware support: True
Speculation control settings for CVE-2017-5754 [rogue data cache load]
Hardware requires kernel VA shadowing: True
Windows OS support for kernel VA shadow is present: True
Windows OS support for kernel VA shadow is enabled: True
Windows OS support for PCID performance optimization is enabled: False [not required for security]
Suggested actions
* Install BIOS/firmware update provided by your device OEM that enables hardware support for the branch target injection mitigation.
BTIHardwarePresent : False
BTIWindowsSupportPresent : True
BTIWindowsSupportEnabled : False
BTIDisabledBySystemPolicy : False
BTIDisabledByNoHardwareSupport : True
KVAShadowRequired : True
KVAShadowWindowsSupportPresent : True
KVAShadowWindowsSupportEnabled : True
KVAShadowPcidEnabled : False
Man sieht, dass zwar der Patch von Microsoft installiert, aber wegen des fehlenden Firmware Updates für CVE-2017-5715 noch nicht und für CVE-2017-5754 noch nicht komplett aktiviert ist.
Natürlich existiert dieses Problem und gegenteilige Behauptungen wären zu beweisen.
Den Beweis kann jeder leicht selbst erbringen. Probiere es aus, und du wirst sehen, dass Sandboxie von jeder Datei auf die schreibend zugegriffen werden soll, eine geschützte Kopie anlegen wird, sofern dafür keine Ausnahme festgelegt wurde. Lesenden Zugriff gewährt es sowieso.
Zumal du auch im Sandboxie-Forum Berichte (Plural) finden wirst, nach denen Firefox bei gleichzeitigier Verwendung von Sandboxie abstürzte.
Ja, das stimmt. Dass es solche Probleme gab und vielleicht auch wieder geben könnte, hatte ich oben selbst erwähnt. Wie der Firefox, so ist auch Sandboxie nicht fehlerfrei. Wie bei Mozilla auch, werden bekannte Fehler aber behoben.
Und wie gesagt: Sollte in Sandboxie ein Fehler auftreten, durch den den Firefox nicht läuft, kann man ihn ja immer noch ohne Sandboxie benutzen, bis der Bug behoben ist. Dadurch hat man also überhaupt keinen Nachteil.
Ich möchte dich/euch bitten, keine Nebendiskussion daraus zu machen und die Dinge nicht zu vermischen. Dass ein Produkt wie Sandboxie auch Bugs hat, hat nichts mit dem eigentlichen Thema zu tun, nämlich wie man Browser sicherer machen kann.
Ich habe eine Reihe Punkte aufgeführt, die zeigen, dass eine Sandbox ein Maß an Schutz bietet, den kein derzeitiger Browser bieten kann.
Wenn es deiner Meinung nach Fakten gibt, die zeigen, dass das nicht stimmt, dann liefere bitte die technischen Details. Ich hatte mir die Mühe gemacht und sogar konkrete Beispiele angeführt, in denen die Sandbox besser schützt als ein Browser allein.
Ich bin diesbezüglich nicht voreingenommen. Ich bin auch nicht auf ein Produkt fixiert, auch wenn ich zwei explizit erwähnt habe. Die beiden habe ich nur wegen ihrer Bekanntheit erwähnt und weil ich sie aus eigener Erfahrung kenne.
Der Fokus sollte aber bitte darauf liegen, wie man das Surfen im Internet sicherer machen kann. Neben dem Sandboxen hatte ich deshalb als weitere, sehr wirkungsvolle, Maßnahme auch den Einsatz einer VM erwähnt. Ich bitte das zu beachten, damit wir uns nicht in einer Diskussion über ein bestimmtes Produkt verlieren.
Ich verstehe jetzt, ehrlich gesagt, die Intention eurer Antworten nicht. Ich will den Firefox ja gar nicht kritisieren sondern lediglich einen Weg aufzeigen, das Browsen im Internet sicherer zu machen. Und das macht eine externe Sandbox ohne Frage. Völlig unabhängig davon, welchen Browser man verwendet.
Man kann in einer solchen Sandbox auch komplette Programme installieren, ohne dabei Änderungen am Rechner, wie zum Beispiel an der Registry, befürchten zu müssen.
Ich installiere mir manchmal sogar bewusst Schädlinge innerhalb der Sandbox und einer VM, um mal zu schauen, was die so für Änderungen vornehmen möchten und welche Dateien sie anlegen.
Wie ich lesen konnte, macht Zitronella das auch, bittet sogar um Links auf schädliche Seiten. Diese Sicherheit kann kein Browser allein bieten. (Das soll jetzt bitte keine Empfehlung sein, es ebenfalls so weit zu treiben!)
Wobei zu erwähnen sei, dass der Firefox selbst in einer eigenen Sandbox läuft. Und dies seit gut drei Jahren
Das ist zwar richtig. Aber du solltest nicht den Eindruck erwecken, als würde diese einen gleich guten Schutz bieten. Die interne Sandbox schützt bei weitem nicht so gut, wie eine "richtige", externe. Die Sandbox des Firefox kapselt nicht den gesamten Firefox ab.
Das macht in Hinblick auf die Sicherheit einen großen Unterschied. Als Beispiel sei der hier jüngst diskutierte Bug 1416608 genannt, der den Firefox durch unerwünschte Installation eines Plugins lahmlegen konnte. In einer "richtigen" Sandbox kann das Plugin gar nicht erst dauerhaft installiert werden. Ein Neustart der Sandbox und alles ist, wie es vorher war.
Downloads werden zunächst auch geschützt abgelegt. Führt man aus Sandboxie heraus ein Programm aus, wird es ebenfalls sicher in der Sandbox gestartet. Auch das kann die interne Sandbox des Firefox nicht.
Es gibt viele weitere, auch gravierendere Beispiele. Die sogenannten BKA-Trojaner seien noch genannt. Die konnten einen PC komplett blockieren, einfach durch den Besuch einer Seite. In einer externen Sandbox war das nicht möglich.
Grundsätzlich kann man sagen, dass eine externe Sandbox den Benutzer auch dann schützt, wenn ein Angreifer Bugs oder Sicherheitslücken im Browser nutzt, die noch nicht gelöst, vielleicht sogar noch gar nicht bekannt sind. Und solche Bugs gibt es in jedem Programm.
Um ein gleich ein zu erwartendes Argument vorweg zu nehmen. Solche Bugs gibt es natürlich auch in der Sandbox selbst. Nur müsste ein Angreifer nun gleich mindestens zwei solcher Lücken in unterschiedlichen Produkten ausnutzen: Eine im Browser und eine weitere in der Sandbox. Weiter gedacht dann sogar eine im Browser, eine in der Sandbox und zusätzlich solche in der VM und den benutzen Betriebssystemen.
Ich habe noch nie davon gehört, dass es einen solchen Angriff gegeben hätte. Im Gegensatz zu den BKA-Trojaner, die wohl fast jedem bekannt sind.
Das soll jetzt bitte nicht als Argument gegen den Firefox verstanden werden. Es betrifft alle Browser. Mozilla ist sehr schnell darin, bugs zu fixen, keine Frage. Trotzdem kann niemand bestreiten, dass es solche Bugs immer wieder gab und auch künftig geben wird. Eine externe Sandbox schützt davor.
Und dazu möchte ich ergänzen, dass eine fremde Sandbox nicht unbedingt weiß, auf welche Orte Firefox zugreifen muss, und das wiederum kann zu Problemen unterschiedlicher Art führen.
Dieses Problem existiert so nicht. Um beim Beispiel Sandboxie zu bleiben. In der Standardkonfiguration erstellt Sandboxie zur Laufzeit eine geschützte Kopie aller benötigten Dateien. Es muss also gar nicht wissen, auf welche Orte der Firefox zugreifen will. Sandboxie erstellt einfach eine geschützte Kopie und löscht diese später wieder.
Aus Gründen des Komforts erlauben solche Sandboxen, ausgewählte Speicherorte frei zu geben. Damit kann man zum Beispiel erreichen, dass Lesezeichen dauerhaft gespeichert werden können oder dass Erweiterungen installiert werden können. In der Standardkonfiguration von Sandboxie ist deshalb das Profil, wie beim "normalen" Firefox freigegeben. Das kann man aber ändern.
Es sollte erwähnt werden, dass es in der Vergangenheit Fälle gab, in denen Sandboxie mit einer neuen Version des Firefox zunächst nicht lief. Das war zum Beispiel so, als Mozilla die interne Sandbox eingeführt hat. Das wurde aber behoben. Außerdem lässt sich in solche Fällen der Firefox ja zwischenzeitlich weiterhin ohne Sandboxie nutzen. Insofern ist das kein Argument, dass gegen die Sandbox spricht.
Ich würde sagen, Interessierte mögen es einfach ausprobieren. Ihr werdet sehen, dass das ohne große Vorkenntnisse sofort mit dem aktuellen Firefox funktioniert. Bis auf eine etwas längere Startzeit zum Erstellen der geschützten Kopien und der Tatsache, dass ihr Downloads noch mal freigeben (wiederherstellen) müsst, werdet ihr gar nicht merken, dass der Browser in der Sandbox läuft.
Firejail ist nicht ganz so komfortabel einzurichten und benötigt mehr Kenntnisse. Das sind die Linuxer aber gewohnt.
hwww
Aus der Diskussion über einzelne Erweiterungen halte ich mich heraus. Ehrlich gesagt kenne ich dazu viel zu wenige, um mir ein Urteil zu erlauben. Ich benutze selbst insgesamt nur drei.
Eine Korrektur sei aber angebracht. UBlock ist zwar in erster Linie ein Add-Blocker, trägt aber auch ein wenig zur Sicherheit bei. Malware und Tracker können sich auch hinter einer harmlos aussehenden Werbung verbergen. Außerdem fragt uBlock auch Malware-Listen ab und blockiert den Zugriff auf bekannte Schad-Domains. Eine solche Funktion hat der Firefox übrigens auch integriert. Ein guter Schutz ist das aber nicht.
Viele Angriffe über den Browser werden über Javascript durchgeführt. Das lässt sich abschalten, aber dann geht das Vergnügen im Internet auch schnell gegen Null.
Einen Mittelweg gehen die Scriptblocker. Hier kannst du auswählen, welche Scripts auf welchen Seiten zugelassen werden sollen und welche nicht. Das kann mitunter immer noch ziemlich hinderlich sein, bietet aber zumindest etwas zusätzlichen Schutz.
Wenn du dich möglichst sicher im Internet bewegen möchtest, darfst du nicht allein auf den Browser, die Erweiterungen und eine AV-Lösung verlassen.
Dazu musst du weitere Schutzmaßnahmen ergreifen. Die können die Sicherheit dafür wesentlich erhöhen.
Es gibt sie aber nicht umsonst. Sie sind mit mehr oder weniger Aufwand und manchmal auch mit Einschränkungen verbunden. Die Bandbreite ist hoch. Ich möchte dir ein paar weitere sehr effektive Maßnahmen nennen. Dabei beschränke ich mich auf die Absicherung des Browsers, also nur auf diesen Teilaspekt.
Siehe es als Hinweise an, welche weitere Möglichkeiten sich dir bieten.
Es beginnt mit den Maßnahmen, die hier als "Sicherheitskonzept" gehandelt werden. Die Punkte haben ihre Berechtigung. Eigentlich sollte man sie gar nicht erwähnen müssen. Es sind Binsenweisheiten und sollten eine Selbstverständlichkeit sein.
Wenn du den Browser weiter effektiv absichern willst, musst du zusätzliche Verteidigungslinien errichten. Störe dich nicht an dem militärischen Begriff. Er ist durchaus üblich. In professionellen Landschaften hat man eine DMZ, eine demilitarisierte Zone.
Die nächste Verteidigungslinie, die du errichten kannst, ist die, den Browser vom Rest des Systems zu entkoppeln. Dazu gibt es eine Reihe von Möglichkeiten:
Der Aufwand ist hier etwas höher als bei einer reinen Sandbox. Die Lösung lässt sich auch mit der Sandbox kombinieren.
Es gibt noch weitere Möglichkeiten, die hier aber den Rahmen sprengen würden. Für den Hausgebrauch genügen die erwähnten aber locker und bringen einen großen Sicherheitsgewinn. In jedem Fall deutlich mehr als Erweiterungen.
Die ini-Datei, von der du sprichst, ist die ~/.config/gtk-3.0/settings.ini, richtig?
Dann bist du hier an der falschen Stelle. Das geänderte Verhalten beruht auf einer Änderung in dem der BitBox zugrundeliegenden Debian Linux, genauer im GTK.
Das wurde aber bereits vor ein paar Jahren geändert. Dass du es jetzt erst bemerkst, könnte entweder daran liegen, dass BitBox erst mit der aktuellen Version auf GTK3 gegangen ist, oder dass du die Bitbox länger nicht upgedatet hast.
Ich finde bei Intel leider keine neuen Microcodes
Es ist noch etwas Geduld gefragt. Die Updates gibt es noch längst nicht für alle betroffenen CPUs. Nach meinem Kenntnisstand ist ebenfalls noch nicht geklärt, wie sie verteilt werden sollen.
Laut Golem ist für die CPUs vor Haswell (vielleicht auch der Ivy Bridge E) bisher gar kein Update geplant. Intel schreibt, sie würden in der nächsten Woche Updates für 90% der CPUs liefern, die nicht älter als 5 Jahre sind. Das deckt sich mit der Einführung der Haswell, die 2013 erstmals verkauft wurden.
Dazu, was bzgl. der anderen Prozessoren (Ivy Bridge, Sandy Bridge oder gar den alten Core 2 usw.) passieren soll, habe ich nichts finden können.
Sobald ich die Information des Herstellers habe, sind andere Meinungen nicht mehr relevant.
Dann solltest du die Informationen aber auch richtig lesen. Der Hersteller behauptet nämlich mit keinem Wort, dass er das Problem mit dem Update lösen würde. Sie wählen ganz bewusst die Formulierung "that render those systems immune". Sie machen die Systeme nur immun, unter anderem durch den erwähnten Workaround beim Timing.
Das Dumme ist nur, dieser Workaround kann schon morgen wieder hinfällig sein, wenn jemandem ein weiteres Angriffscenario neben den bisher bekannten einfällt. Der eigentliche Fehler im Design des Prozessors besteht nämlich weiterhin. Das macht den Unterschied zwischen "immunisieren" und "lösen".
Ganz nebenbei, für die älteren Intel-CPUs, wie meine i5-650, wird es, stand heute, selbst diesen "Workaround" nicht geben.
Ehrlich gesagt finde ich es ziemlich anmaßend von dir, dass du dich für schlauer hältst als Paul Kocher und die Forscher von Google sowie der Uni Graz. Deren Aussage dazu war eindeutig und auch Intel und AMD widersprechen dem nicht:
Zitat
A fix may not be available for Spectre until a new generation of chips hit the market.