Zitat von 4711Ein Besuch auf http://www.spiegel.de und auf http://www.heise.de
hinterließ einen völlig funktionsfähigen Browser!
(Sogar nach Neustart! Frechheit!)
Willst Du uns mal wieder verwirren, echt kölnisch Wasser? Bei mir hast Du es jedenfalls geschafft...[Blockierte Grafik: http://img189.exs.cx/img189/206/confused2hw.gif]
[mein spiegel.de ist jedenfalls nicht gespiegelt...]
Naja. Ich meine das ist doch schon etwas - alle größeren Erweiterungsseiten werden wahrscheinlich das installscript ändern oder updaten falls sie das oder ein ähnliches von Mozilla verwenden - damit ist es für die Cracker schwer irgendwelche Seiten zu finden, bei denen massenhaft Leute ihre Freigaben verteilt haben. Ergo müsste man den Nutzer erst dazu bringen Freigaben für eine bestimmte Seite zu machen - und da hat mans dann leichter wenn man einfach eine Extension mit Schadcode schreibt und den user dazu brignt diese zu installieren.
Auch wenn ich jetzt nicht 100%ig sicher bin und es immer noch die Möglichkeit gibt, dass eine Seite die ich freigegeben habe, die ein install script verwendet und die der Cracker kennt. Solange es nicht solche großen Seiten sind wie extensionsmirror.nl oder erweiterungen.de (solltet ihr auch unbedingt ändern!) dann wird sich der Aufwand wohl kaum lohnen - und die Entwickler werden sicher 1.0.4 recht schnell rausbringen 
Was lernen wir daraus? Das Sicherheitslücken und Sicherheit 2 Paar Schuhe sind. Während ersteres durchaus von der Verbreitung abhängen kann (aber nicht muss) ist letzteres eher vom Konzept abhängig - und vom Enthusiasmus der Entwickler.
Grüße
Zitat von Amsterdammerstuss
Man sollte auch nicht
body[id="www-spiegel-de"]{direction:extremeMirror}
in die "userContent.css" eintragen.
Stuss ist Gruß mit "doppel-s".
Am Rande:
Ich habe meine Antwort übrigens ernst gemeint.
"Wohin" muss/soll ich surfen und wie dumm muss/soll ich sein, um
auf Seite "xyz" auf einen blöden Link zu klicken?
Zitat von xeenSolange es nicht solche großen Seiten sind wie ... erweiterungen.de (solltet ihr auch unbedingt ändern!)
Ich konnte das über die JavaScript install()-Funktion bei uns bisher noch nicht reproduzieren (iconURL ist auch konstant). Wenn da wer mehr weiß, der möge sich doch bitte bei mir melden.
deine ausführungen haben meine volle zustimmung. in diesem zusammenhang sollte nicht unerwähnt bleiben, dass letztendlich zur erfolgreichen ausführung der exploits lokale adminrechte notwendig sind. an diesen "beispielen" wird immer wieder klar, das sicherheit nicht auf eine einzelne komponente (browser), sondern auf das gesamte konzept zu beziehen ist. ich ziehe wieder den hut vor der unglaublichen reaktionsgeschwindigkeit seitens mozilla - und wie xeen schon bemerkte,
"... die Entwickler werden sicher 1.0.4 recht schnell rausbringen"
viele grüße
Schnelle Reaktion
http://www.heise.de/newsticker/meldung/59390
heute nacht ist ein patch für das neuerliche sicherheitsproblem im FF veröffentlicht worden für die Tester.
Wenn dieses build die tests besteht, dauert es mit der veröffentlichung der offiziellen version FF 1.0.4 für alle user nicht mehr so lang.
wer testen will, weiss wo er das build kriegt (/nightly/2005-05-09-21-aviary1.0.1)
so schnell geht das also mit dem patch bei mozilla !
gruss 
edit: ersetzt durch /nightly/2005-05-10-22-aviary1.0.1
alles ganz schick .....
am besten wohl Javascript deaktivieren und auf die 1.04 Version warten/ hoffen. Bzw. nur auf den bekannten/guten Seiten aktiviert lassen. (Dank prefbar kein großes Problem)!!!!!!
Übrigens - habe heute einen anderen SicherheitsTest mit meiner gegenwärtigen 1.03 Version gemacht - tja, Test leider nicht bestanden. (JavaScript konnte mir den Text-Inhalt auslesen)
http://www.heise.de/security/diens…/mozdemo1.shtml
find ich heftig - hoffe, das dieser Makel auch bald beseitigt wird.
Ich glaube dieser Fehler wurde behoben, JavaScript lokal geht, aber es darf auch nur loakl agieren, d.h. wenns Sachen ins Internet senden will hat's glaub ich Pech gehabt, bin mir aber nicht sicher.
das wurde hier doch schon "durchgekaut". ob der test als nicht bestanden deklariert werden kann, muss jeder selbst entscheiden. der punkt dabei ist doch, dass dieser "test" nicht ohne interaktion des users (bestätigung auswahl) funktioniert - oder eben untersagt wird. d.h., es passiert nichts ohne zustimmung.
viele grüße
. . . und schon steht v 1.0.4 (eng) zum download bereit :lol:
so mag ich secunia/firefox am liebsten:
http://secunia.com/product/4227/
viele grüße
Wieso nur englisch???
http://www.mozilla.org/products/firefox/all.html
... na, weil um 9.41 uhr nur der englische bereit stand - schnelligkeit ist tatsächlich keine hexerei :wink:
Deutsche Windows Version gibts abba noch nischt...
wie nennst du das?
[Blockierte Grafik: http://img93.echo.cx/img93/6611/fx104dede3fa.jpg]
Have fun,
NightHawk
Hatt ich vorhin probiert, da kam ein URL-Fehler... Aber nur bei der WIndows-Version...
Grade eben gings!! 
das durcheinander mit den mirrors -mahl geht's, mal geht's nicht- ist standard an einem updatetag :roll:
gruss
Ansonsten sind auf der Release-Candidates-Seite die identischen Versionen (auch die Zip-Version) zu der Release-Version.
http://ftp.mozilla.org/pub/mozilla.or…10n-candidates/
Und die Versionen sind gut erreichtbar!
Gruss PM
