Software nur von der Herstellerseite beziehen?

Ich handhabe das so:

Erweiterungen beziehe ich von AMO oder direkt vom Hersteller, wenn diese Erweiterungen nicht auf AMO gelistet sind.

Programme beziehe ich ausschließlich vom Hersteller. Mal abgesehen von der durchaus denkbaren Möglichkeit dass Downloadportale zusätzliche Downloader, Toolbars oder was auch immer mitliefern könnten hat der Download vom Hersteller auch einen weiteren, nicht zu vernachlässigenden Vorteil. Dort bekomme ich immer die letzte aktuelle Version des Programms. Auf anderen Seiten kann es durchaus vorkommen dass Versionen als aktuell angeboten werden, die aber vom Hersteller selbst noch nicht freigegeben oder gar zurückgezogen wurden, weil noch Bugs entdeckt wurden. (Beispiel für Letzteres: https://www.camp-firefox.de/forum/viewtopic.php?f=12&t=110556).

Einzige Ausnahme: wenn ein Hersteller für seine Free-Versionen selbst auf ein Downloadportal verlinkt (Beispiel: Der DL-Link auf der Seite von avast führt zu Computerbild).

Definiere "sicherer Drittanbieter" :mrgreen:
Achtung: Provokant!!
Inwiefern kann ich mich auf die Kontrolle von z.B. Heise auf schädlichen Code der gehosteten Downloads verlassen?
Inwiefern kann ich mich auf die Kontrolle von Mozilla auf schädlichen Code der Addons auf AMO verlassen?
Provozierender Beitrag Ende:
Dies ist eine Diskussion, die endlos sein wird, da es imho keine allgemein gültige Wahrheit gibt...
Die Regel sollte sein (...ist für mich), beim Hersteller zu laden. Ausnahmen sind die beim Hersteller bereitgestellten Downloadlinks (etwa Adwcleaner..)
Erweiterungen (bis auf wenige genannte) lade ich aber der Einfachheit halber bei AMO, da habe ich alles an einem Ort. Und ich vertraue dahingehend Mozilla!
Mein Vertrauen erstreckt sich aber nicht auf Softwarehoster (auch wenn Heise es ggf. verdient hätte ).
Dies kann nur jeder Anwender mit sich selbst abmachen... wir sehen hier im Forum aber jeden Tag, das meine Vorgehensweise so falsch nicht sein kann..
und nun ihr..

Was nützt mir eine z.B. mit 40 Virenscannern überprüfte Installationsdatei, wenn die Seite selbst ihre "Modifikationen", sprich veränderte Suchmaschinen, oder Toolbars einbindet.

Software vom Hersteller herunterzuladen ist die immer zu empfehlende Vorgehensweise.

Wenn man selbst auf den Gedanken kommt das es Ausnahmen gibt, oder Gründe das nicht zu tun, dann ist das in Ordnung, denn dann hat man sich ja eben Gedanken gemacht, man hat u.U. Informationen die einen zu dieser Entscheidung bringen.

Aber ohne sich Gedanken zu machen, ist das keine Alternative.

Das Beispiel mit Heise:
Ich selbst würde Heise als vertrauensvolle Quelle bezeichnen. Aber ich kenne eben auch den Status von Heise in der deutschen Internetszene, ich weiß was die machen und was ich von ihnen zu erwarten habe.
Aber dieses Wissen kommt ja nicht von heute auf Morgen.
Und es gibt eben haufenweise Seiten auf denen man Software herunterladen kann. Und von einem Großteil weiß ich eben nicht was ich davon halten soll.
Und so geht es wohl den meisten, und viele kennen auch Heise nicht. Für die ist Heise das gleiche wie 123download.de, nämlich einfach irgendeine Seite.

Und deshalb gibt es eben den Hinweis auf den Hersteller.

Das ist meines Erachtens nach wirklich der einzig sinnvolle Vorschlag.

Zitat von pencil

Im Thread LastPass ist nachzulesen

Demnach wäre die Softwarekategorie "Add-ons" schon auf einer Ausnahmeliste gelandet. Aber gerade der Thread selbst widerlegt Sörens These - zumindest für diesen Spezialfall. Und auch seine eigene Wortwahl "nach Möglichkeit", legt Ausnahmen von der Regel nahe.

Die aus der Aussage getroffene Schlussfolgerung ist das Problem, das ist keine Ausnahme einer Regel, ganz und gar nicht. Wenn es heißt, dass man Software nur von der Herstellerseite herunterladen soll, dann impliziert das natürlich, dass vom Hersteller ausgewählte Marktplätze inbegriffen sind, denn das ist dann ja eine offizielle Downloadquelle des Herstellers. AMO ist ein Marktplatz für kostenlose Firefox-Erweiterungen, welchen der Hersteller des Add-ons freiwillig und selbst wählt. Natürlich kann da nicht mehr gegen sprechen als gegen die eigene Webseite. Ganz im Gegenteil, es ist sogar vorzuziehen, weil hier eine Überprüfung durch Mozilla stattfindet, das hast du weder bei deiner eigenen Webseite noch bei Portalen wie CHIP, die nehmen einfach nur den Content und stellen ihn online. Konkret am Beispiel von TMP. Ob AMO oder die TMP-Seite für die Dev-Builds, beides sind in dem Sinne Herstellerseiten, der Hersteller hat sich bewusst für diese beiden Distributionskanäle entschieden. Die Dev-Builds haben nicht die Überprüfung von Mozilla, aber das damit verbundene Risiko muss jeder selbst beurteilen. Ich denke, dass das ein Risiko ist, welches man im Falle von TMP eingehen kann, ich aber nicht eingehen würde, wenn es um eine ganz und gar nicht populäre Erweiterung von einem unbekannten Entwickler ginge. Zum letzten Satz: Nach Möglichkeit heißt: es gibt nicht immer die Möglichkeit. Nicht sehr überraschend glaube ich. Nicht jeder Hersteller besitzt eine eigene Downloadseite, manche hosten ihre Software bewusst extern. Dann muss natürlich diese Quelle genutzt werden, geht dann ja nicht anders. Aber dann wird der Hersteller normalerweise auf genau diese Seite verlinken und wir sind wieder bei dem Punkt, dass es der vom Hersteller selbst gewählte Distributionskanal ist, läuft also auch wieder darauf hinaus.

Zitat von pencil

Ich stelle hier einmal das vielbeschworene Credo

Software ist ausschließlich vom Hersteller downzuloaden

Wann wird denn hier im Forum darauf hingewiesen? Doch immer dann, wenn das Kind bereits in den Brunnen gefallen ist, wenn Benutzer hier aufschlagen, die sich irgendwelchen Mist von irgendwelchen Downloadseiten eingefangen haben, dem nur mit Adwcleaner und Malwarebytes beizukommen ist. Sie schwören Stein und Bein, dass sie den Mist nie und nimmer bewusst installiert haben und haben da sicherlich auch meist recht. Vielleicht klingt das Wort "ausschließlich" zu sehr nach Anweisung, aber eine dringende Empfehlung ist diese Aussage allemal.

Zitat

Also ist vielleicht doch der Download von (sicheren?) Drittanbietern vorzuziehen? Wie seht ihr das?

Nein, sie sind nur zweite Wahl. Und auch nur, wenn es auch wirklich "sichere" Drittanbieter sind. Ansonsten ist überhaupt von ihnen abzuraten. Die Herstellerseite ist immer vorzuziehen. Bei Mozilla-Produkten sind das die entsprechenden Download-Seiten von Mozilla und bei Add-ons ist das AMO und deren Herstellerseite, auf die ja auch auf AMO hingewiesen wird.

Zitat von pencil

Mit der zusätzlichen Sicherheit der Virenscans von neutraler Seite, ist der Download von Heise aus Sicherheitssicht doch eigentlich die bessere Wahl.

Das halte ich für irrelevant.
Es lässt sich für uns Nutzer nicht sehen ob ein Server gehackt wurde. Ich weiß nicht ob die Datei das Original ist. Weder (z.B.) auf der Mozilla Seite, noch auf der Heise (oder irgend einer anderen) Seite.

Wenn ich ein Programm herunter laden will und dem Hersteller nicht vertraue lasse ich das Herunterladen lieber gleich sein. Dann will ich das betreffende Programm mit Sicherheit auch nicht von einer anderen Seite. Das Programm sollte so oder so das gleiche sein (außer der Drittanbieter fügt noch Unerwünschtes wie Toolbars o.Ä. hinzu).

Die Sache mit den 40 Virenscannern halte ich für einen Marketing-Gag. Je mehr Besucher auf der Seite desto höhere Werbeeinnahmen. Da kann man dem Besucher mit solchen Aussagen schon etwas Angst machen. Hauptsache es klingelt in der Kasse. Schließlich sind alle diese Download-Portale keine Wohltäter der Menschheit sondern es steckt ein knallhartes Geschäftsmodell dahinter.

Hallöchen zusammen!

Also ich finde den Hinweis auf die Herstellerseite auf jeden Fall als sehr sinnvoll an und bin da auch der gleichen Meinung wie Road-Runner. Wenn ich schon dem Hersteller selber nicht traue, dann traue ich einem anderen erst recht nicht! Bei Add-ons ist das was anderes, ob AMO oder der Hersteller sollte da eigentlich egal sein. Wie schon erwähnt ist AMO ähnlich einem Marktplatz, wie man sie auch auf Smartphones oder so hat. Man sollte da also schon auf der sicheren Seite sein, wenn man sich von dort ein Add-on holt.

clamdrib ist wieder was anderes, da es offiziell ja nicht mehr weiter entwickelt wird. Eine inoffizielle aktuelle Version für Thunderbird und SeaMonkey gibt es eigentlich nur bei meinem entsprechenden Tutorial, die wird auch immer zum einen direkt mit ClamAV selbst geprüft, zum Anderen immer wieder mal bei VirusTotal hochgeladen. Bei AMO lade ich das nicht hoch, da ich nicht für den Fortbestand des Add-ons garantieren kann und es außerdem aus mir nicht nachvollziehbaren Gründen derzeit nur noch mit Linux funktioniert! :grr:[Blockierte Grafik: http://mikespeier.cwsurf.de/smilies/motz_5.gif]

Zitat von Bernd.

VT geht ganz bewusst Kooperationen mit Webseiten und den AV-Herstellern ein, die standen schon vor dem Aus.

Ähm... was? VT gehört seit 2012 zu Google, wann soll das gewesen sein?

Zitat von TmoWizard

clamdrib ist wieder was anderes, da es offiziell ja nicht mehr weiter entwickelt wird.

Immer wieder dein totes Pferd. Die letzte Änderung von 'chrome' stammt von 2009.
Auch du hast alle Möglichkeiten dieser Welt deine Version öffentlich zu publizieren und geneigte Mitmenschen zur Hilfe einzuladen.

Zitat von Valerie

Seriöse Hersteller veröffentlichen die MD5-Prüfsumme.

Dazu muss man aber auch erstmal wissen, wo.

Für Firefox 32.0.2 zum Beispiel:
http://ftp.mozilla.org/pub/mozilla.or…/33.0.2/MD5SUMS

Vielleicht ist ja jemandem eine leichter zugängliche Quelle für Firefox bekannt, mir spontan nicht.

Da frage ich mich natürlich wie Sinnvoll es ist die Prüfsummenangabe auf den gleichen Server wie die Datei zu legen...

Das dürfte vermutlich aber überall so sein. Ein ganz eigener Server nur für Prüfsummen dürfte in der Wildnis eher nicht vorkommen. Ergo bringt die Prüfsumme in der Realität wohl praktisch nie einen Sicherheitsgewinn, sondern dient lediglich dem Zweck der Verifizierung, dass ein Download vollständig ist. Außer es gibt noch eine externe Quelle für solche Prüfsummen…

Zitat von .Hermes

Immer wieder dein totes Pferd. Die letzte Änderung von 'chrome' stammt von 2009.

Es dreht sich dabei um Änderungen der API, die immer wieder mal vorkommen, siehe unter Anderem >hier: Firefox 21, 2013<... wobei das natürlich auch schon älter ist.

Dazu noch das neue Ding mit dem Add-on-SDK und Australis, da kommt also schon was an Änderungen zusammen. Wobei clamdrib davon wohl nicht betroffen ist, so daß ich zumindest in diese Richtung nichts ändern muß. Allerdings frage ich mich schon, wie lange das noch gut geht!

Zitat von .Hermes

Auch du hast alle Möglichkeiten dieser Welt deine Version öffentlich zu publizieren und geneigte Mitmenschen zur Hilfe einzuladen.

Ähm... Öffentlicher wie ein relativ gut gehendes Blog? :-??? Aber ich habe letztens das hier entdeckt, da kommen bei clamdrib nur 3 Warnungen aber keine "richtigen" Fehler. Ich denke mal, daß das sogar ich hinbekomme. Zwei der Meldungen werden heute noch gefixt, das Andere muß ich jedoch noch genauer prüfen.

Bei AMO werde ich clamdrib trotzdem nicht hosten, da es wie schon erwähnt derzeit nur mit Linux funktioniert. Ich habe hier zwar auch eine VM mit Windows 7, aber auf meiner nicht mehr ganz neuen Kiste macht das arbeiten damit absolut keinen Spaß! Das kann ich also leider immer nur dann testen, wenn ich zwischendurch am Desktop (Windows 7) oder Laptop (Windows 8.1 mit Touch-Screen, gefällt mir!) meiner Ex-Frau sitze. Mal sehen, wie ich das wieder zum Laufen bringe.

Bernd.:

Bei ClamAV und Windows empfehle ich Immunet, da der zusätzlich die Engine von anderen installierten Virenscannern verwenden kann! Äußerst praktisch meiner Meinung nach. Ursprünglich hat clamdrib auch mit Immunet, ClamWin und "ClamAV für Windows" funktioniert, aber wie erwähnt geht das nicht mehr.

Gerade weil ja ein Virenscanner nichts an der entsprechenden Mail-Datenbank von Thunderbird/SeaMonkey ändern sollte ist mir clamdrib wichtig, da es eben rein zur Prüfung ist. Ändern kann es daran nichts und solch eine Funktion ist jedenfalls von mir auch nicht geplant, es bringt einfach nur eine entsprechende Meldung.

Das Add-on Fireclam für Firefox/SeaMonkey funktioniert übrigens auch nicht mehr vernünftig, aber der Entwickler ignoriert alle entsprechenden Meldungen hierzu oder löscht diese sogar. :grr: Einmal hat er mir geantwortet, daß es "bei ihm" funktioniert, ein paar Tage später waren meine Meldungen und die von ein paar anderen verschwunden!

Es haben also beide Add-ons für Thunderbird, Firefox und SeaMonkey derzeit Probleme, aber seltsamer Weise nicht auf allen Systemen! Fireclam für Downloads und clamdrib für Mails, News & Feeds, wenn die Add-ons nur richtig funktionieren würden. :traurig:

Übrigens habe ich bei VT immer wieder bemerkt, daß ClamAV wohl besser ist wie MSE. Was immer Microsoft mit dem Teil bezwecken wollte, als alleinigen Virenscanner würde ich das Teil garantiert niemandem empfehlen! ClamAV ist ja wirklich nicht das Gelbe vom Ei, aber anscheinend mit Abstand besser wie MSE. Wenn die nur endlich mal ihre Ankündigung betreffs der Arbeitsgeschwindigkeit erfüllen würden, das wäre echt eine gute Sache! Bei einem größeren Download kann man während der Prüfung mit ClamAV ja ein Festmal mit 5 Gängen veranstalten, so wie der den Rechner ausbremst.

Unter Linux ist ClamAV übrigens hauptsächlich auf Mailservern installiert, so schlecht wie viele immer behaupten kann er also gar nicht sein. Immerhin verwenden den auch größere Rechenzentren und die wissen ja hoffentlich, was sie da tun! :-?? Aber für den normalen Gebrauch mit Firefox, Thunderbird und SeaMonkey sind eben die beiden Add-ons Fireclam und clamdrib zuständig, so daß ein On-Access-Scanner auch gar nicht notwendig wäre.

Bei den ganzen Tests frage ich mich übrigens auch immer wieder, warum ClamAV/Immunet nicht dabei sind. Immerhin steckt da ja ein Firma (Cisco!) mit dahinter und von Immunet gibt es auch eine Kaufversion, von daher halte ich einen entsprechenden Test schon einmal für interessant. Cisco ist ja nicht irgend eine kleine Klitsche um die Ecke, sondern ein weltweit tätiger Konzern!

Viele Grüße nun aus Augsburg

Mike, TmoWizard

Zitat von TmoWizard

Dazu noch das neue Ding mit dem Add-on-SDK und Australis

Neu? Das Add-on SDK wurde mit Firefox 4 eingeführt, das war vor mehr als 3 1/2 Jahren. Firefox 4 selbst war länger als ein Jahr in Entwicklung. Ich weiß nicht mehr, wann die Entwicklung des SDKs begonnen hat, wahrscheinlich noch eher. Daran ist längst nichts mehr neu, im Gegenteil. Nach so vielen Jahren sollte man das langsam als bevorzugte Art der Add-on-Entwicklung akzeptieren und nicht mehr als etwas Neues sehen. Und wieso wird Australis überhaupt genannt, wenn du selbst glaubst, dass das keinerlei Auswirkungen hat?

Zitat von TmoWizard

Bei AMO werde ich clamdrib trotzdem nicht hosten, da es wie schon erwähnt derzeit nur mit Linux funktioniert.

Du kannst auf AMO explizit Linux als Zielplattform angeben. Also dass es nur mit Linux funktioniert, ist wirklich kein Grund, der gegen AMO spricht, das unterstützt Mozilla.

[attachment=0]amo.png[/attachment]

Hallöchen Sören!

Zitat von Sören Hentzschel

Neu? Das Add-on SDK wurde mit Firefox 4 eingeführt, das war vor mehr als 3 1/2 Jahren.

Nicht wirklich, sieh dir mal meinen entsprechenden Link zu Firefox 21 an! Also wie war das mit dem SDK und der entsprechenden API? Das war 2013, also voriges Jahr.

Mit dem SDK habe ich übrigens so meine Schwierigkeiten. Ich müßte mir da viel mehr Zeit nehmen, um clamdrib entsprechend anpassen zu können. Dazu wäre allerdings eine vernünftige deutsche Anleitung notwendig, welche aber irgendwie nicht auffindbar ist!

Zitat von Sören Hentzschel

Du kannst auf AMO explizit Linux als Zielplattform angeben. Also dass es nur mit Linux funktioniert, ist wirklich kein Grund, der gegen AMO spricht, das unterstützt Mozilla.

[attachment=0]amo.png[/attachment]

Die Seite kenne ich bereits, aber irgendwie ist das so für mich nicht in Ordnung! Wenn ich das Add-on offiziell bei AMO anbiete dann nur, wenn es mit allen mir zur Verfügung stehenden Systemen funktioniert, also verschiedene Versionen von Linux und Windows. Das ist derzeit nicht der Fall, also hat sich AMO im Moment für mich erledigt. Auf meinem Blog ist das wieder eine andere Geschichte, das ist wie diese Version von clamdrib (0.2.0.4) rein privat, auch wenn ich es öffentlich anbiete.

Die neue Version 0.2.0.8 von clamdrib ist übrigens jetzt bei meinem Tutorial verfügbar, die beiden erwähnten Warnungen wurden erfolgreich beseitigt und das Tutorial entsprechend angepaßt. Die dritte Warnmeldung von AMO kann derzeit gar nicht von mir beseitigt werden, da diese eine grundlegende Funktion von clamdrib betrifft! :shock: Sieht so aus, als ob ich mir das Teil nochmal genauer unter die Lupe nehmen muß. :?

So, nun ist aber (fast) Schluß hier mit dem Add-on! [Blockierte Grafik: http://mikespeier.cwsurf.de/smilies/back_2_topic_2.gif]

Da ich irgendwie die weitere Entwicklung übernommen habe sollte man clamdrib natürlich auch zur Zeit nur von meinem Blog beziehen, die andere von mir verlinkte Version wurde nicht mehr an den aktuellen Thunderbird angepaßt und enthält natürlich auch noch die entsprechenden von mir beseitigten Fehler. Dort wurde immer nur die "install.rdf" geändert, mehr nicht. Außerdem ist es nur in englisch verfügbar, während meine Version inzwischen in 4 Sprachen existiert... hoffentlich richtig übersetzt!

Ich erkläre das auch immer wieder in meinem Umfeld, aber ich habe da sogar schon "gecrackte" Versionen von einem völlig veralteten Firefox gesehen! :shock: Bei solchen Leuten muß ich mich echt immer wieder fragen, für was die überhaupt ein Gehirn in ihrem Hohlschädel haben. Zum Denken jedenfalls nicht, sonst würde sie kaum einen Firefox von irgend welchen dubiosen Seiten per Torrent holen! :traurig:

Bei Linux ist das ja dank dem Paketmanager wesentlich einfacher, diesen Quellen sollte man eigentlich schon trauen. Ähnlich sehe ich das auch mit dem offiziellen Marketplace bei Smartphones, wobei man dort oft eh keine andere Wahl hat. Wie ist das eigentlich bei Geräten von Apple (OS X)? Ich kenne irgendwie niemanden, der ein solches besitzt. Das würde mich schon mal interessieren, aber mir ist das zu teuer in der Anschaffung.

...

Da fällt mir gerade ein: Kann man OS X auch so irgendwo offiziell downloaden und dann in einer VM wie Virtual Box installieren? Das wäre eventuell auch nützlich für die weitere Entwicklung von clamdrib, da ich selbst das ja gar nicht testen kann!

Mike, TmoWizard