Warnhinweise bei veraltetem Flash deaktivieren

  • Liebe Leute,

    ist ja schön, dass mich FF darauf hinweist, dass das Flash Plugin veraltet und gefährlich ist. Nur: gibt es eine Möglichkeit, diese Warnung dauerhaft zu deaktivieren (about:config?)?

    Bitte fangt jetzt kein Diskussion über die Wichtigkeit dieser Warnmeldung an. Mag sein, dass eine kritische Lücke gefunden wurde. Nur: Flash ist damit auch nicht unsicherer als gestern. Und mir geht es lediglich darum, die Zeit zu überbrücken, bis mein auotmatisches Flash-Update in 1-2 Tagen anspringt, nicht darum mit einem Flash von Annodazumal aus nostalgischen Gründen rumzusurfen. Ich will einfach nicht auf jeder neuen Seite anklicken müssen, dass ich Flash auf jener Seite aktivieren will. Und ja, ich bin mir des Risikos bewusst.

    Thx,
    deschen

  • Hallo deschen2,

    im Add-ons-Manager -> Plugins -> Shockwave Flash auf "Immer aktivieren" geht nicht?

  • Zitat von deschen2

    Und ja, ich bin mir des Risikos bewusst.

    Du bist dir nichts bewusst,
    Du hast keinerlei Ahnung was dort eingeschleppt werden kann.

    Zitat von deschen2

    die Zeit zu überbrücken, bis mein auotmatisches Flash-Update in 1-2 Tagen anspringt

    Das ist aber keinerlei Grund, sich nicht selbst darum zu kümmern. Momentan versucht du die Verantwortung für dein System zu delegieren. Das ist die falsch Haltung.

  • Hermes: ich bin ein mündiger Internetnutzer. Die Entscheidung, welches Risiko ich eingehe, liegt bei mir...da brauche ich keine (nicht gewollten) Ratschläge. Ich habe kurz nachgezählt, wie viele Sicherheitsprobleme/Viren/Malware ich seit 1992 hatte: exakt Null. Du kannst mir also glauben, dass ich die Schwere des Risikos sehr wohl einschätzen kann. Die wird im kaum messbaren Promillebereich liegen. Punkt. Und nun bitte zurück zum Thema.

  • Ein Versuch mit about:config

    extensions.blocklist.enabled - false
    plugin.scan.plid.all -false

    Musst du mal rumspielen, ist ungetestet.

  • Zitat von deschen2

    Mag sein, dass eine kritische Lücke gefunden wurde. Nur: Flash ist damit auch nicht unsicherer als gestern.

    Doch. ;) Die Gefahr entsteht viel weniger durch die Sicherheitslücke selbst als viel mehr durch die Bekanntheit der Sicherheitslücke und aus der Tatsache, ob sie bereits ausgenutzt wird oder nicht. Insofern machen Sicherheitslücken nach dem Bekanntwerden selbstverständlich das Produkt unsicherer als am Tag vorher, als es noch nicht bekannt war, oder als am Tag vorher, an dem sie noch nicht ausgenutzt worden ist. Und es ist wirklich nicht so, dass Mozilla nach jedem Flash Player-Update umgehend die vorherige Version blockieren würde. Wenn Mozilla das macht, dann muss die Sicherheitslücke wirklich sehr ernst sein. Ich warte auch immer auf das automatische Update und aktualisiere nicht sofort den Flash Player, wenn hier im Forum jemand eine neue Version ankündigt. Und bislang wurde noch nie (dass ich es mitbekommen hätte) eine Version in dieser Zeit von Mozilla blockiert, das ist kürzlich nun das erste Mal gewesen, dass ich das erlebt habe.

  • //

    Zitat von Sören Hentzschel

    Die Gefahr entsteht viel weniger durch die Sicherheitslücke selbst als viel mehr durch die Bekanntheit der Sicherheitslücke und aus der Tatsache, ob sie bereits ausgenutzt wird oder nicht. Insofern machen Sicherheitslücken nach dem Bekanntwerden selbstverständlich das Produkt unsicherer als am Tag vorher, als es noch nicht bekannt war, oder als am Tag vorher, an dem sie noch nicht ausgenutzt worden ist...


    Ich stelle mir da immer wieder die Frage, warum kapieren das die Leute offensichtlich nicht. Immer wieder lese ich diese Aussage "nicht unsicherer als vorher" in verschiedenen Varianten und bezüglich verschiedener Software oder Betriebssystemen. Warum nur wird das scheinbar nicht verstanden? Wer halbwegs logische schlussfolgern kann, der muss doch genau zu diesem Schluss auch kommen. Man braucht dafür auch keinerlei technisches Verständnis oder irgendwelches Hintergrundwissen. Da muss man doch einfach nur 1+1 zusammen zählen können.
    Welche Gedankengänge haben wohl Leute, die immer wieder solche (fälschlichen) Aussagen machen. :-???

    Hilfe auch im deutschsprachigen Matrix-Chat möglich oder im IRC-Chat
    Meine Anleitungstexte dürfen gerne "geklaut" und weiter verwendet/kopiert werden ;)

  • Zitat von Sören Hentzschel

    Ich warte auch immer auf das automatische Update

    Ich auch.
    Unter Ubuntu kam das Update am Morgen nach der Ankündigung.
    Vielleicht kam es auch früher, aber in der Nacht geruhe ich zu schlafen.

  • Zitat von Sören Hentzschel

    Doch. ;) Die Gefahr entsteht viel weniger durch die Sicherheitslücke selbst als viel mehr durch die Bekanntheit der Sicherheitslücke und aus der Tatsache, ob sie bereits ausgenutzt wird oder nicht. Insofern machen Sicherheitslücken nach dem Bekanntwerden selbstverständlich das Produkt unsicherer als am Tag vorher, als es noch nicht bekannt war, oder als am Tag vorher, an dem sie noch nicht ausgenutzt worden ist. Und es ist wirklich nicht so, dass Mozilla nach jedem Flash Player-Update umgehend die vorherige Version blockieren würde. Wenn Mozilla das macht, dann muss die Sicherheitslücke wirklich sehr ernst sein. Ich warte auch immer auf das automatische Update und aktualisiere nicht sofort den Flash Player, wenn hier im Forum jemand eine neue Version ankündigt. Und bislang wurde noch nie (dass ich es mitbekommen hätte) eine Version in dieser Zeit von Mozilla blockiert, das ist kürzlich nun das erste Mal gewesen, dass ich das erlebt habe.

    Den Punkt hatte ich bewusst und in aller Kürze ausgespart. Gelegenheit macht Diebe, fair enough. Allerdings - und da mag ich den kriminellen Hacker von heute falsch einschätzen - glaube ich, dass es sich eher lohnt unbekannte Lücken auszunutzen. In dem Moment, wo eine Lücke bekannt wird, ist m.E. jedem kriminellen Element klar, dass auf dem Acker bald nicht mehr viel zu holen sein wird. Mag sein, dass es ein paar Hacker gibt, die explizit bekannte Lücken ausnutzen. Wiederum glaube ich aber, dass die Anzahl dieser Betroffenen kleiner sein dürfte als diejenige unter der Bedingung, die Lücke wäre unbemerkt geblieben. Eine Statistik dazu habe ich freilich nicht. Ich bezweifle aber auch, dass es stichhaltige Zahlen für die Gegenposition gibt.

    Anyway...wie ich schon sagte: der Grundsatzdiskussionen bedarf es eigentlich nicht mehr. Wer update will, soll updaten. Wer Panik schieben will, soll panisch sein. Wer nichts unternehmen will, dem soll dies doch bitte auch gegönnt werden. Wenn's mir das System zerhaut und mein Konto bald leer ist, soll das ja euer Schaden nicht sein, oder?

    Insofern...back to topic.
    @pencil...ich teste mal die Einstellungen. Thx!

  • Zitat

    wo eine Lücke bekannt wird, ist m.E. jedem kriminellen Element klar, dass auf dem Acker bald nicht mehr viel zu holen sein wird


    Ich meine, dass du in diesem Punkt irrst. gerade die aktuelle Problematik mit Flash ist sehr verwirrend für unbedarfte Benutzer gewesen. Zwei Lücken, ein Update für jede Lücke, aber nicht mal die wichtigste wurde zuerst behoben, danach direkt ein drittes Update, welches zuerst gar nicht auf den regulären Servern gelandet ist und zu Verwirrung geführt hat, woher es denn nun käme und falls doch, wie man es bekommen könnte. Verdruss pur, wie man auch diesem Forum entnehmen kann.

    Die Folge ist, dass man Flash entweder komplett in die Tonne haut, oder es schleifen lässt, weil unübersichtlich. Aber genau der letzte Punkt - lässt sich in Stunden und auch Tagen genau ausdrücken, reicht Hackern schön, um genügend Systeme zu infizieren, um Nachschub für andere Aktionen zu holfen.

    Zitat

    Mag sein, dass es ein paar Hacker gibt, die explizit bekannte Lücken ausnutzen.


    Ich hatte hier im Forum schon auf das Angler und Neutrino EK (Exploit Kit) verwiesen, die sind brandaktuell und die Exploits werden auch schon wesentlich früher eingepflegt, als diese bekannt werden. Was meinst du denn, wie Adobe an Informationen über Lücken gelangt? Durch bereits ausgenutzt Lücken oder durch Reverser, die sich aktiv daran beteiligen, solche Lücken zu finden. Nur ist die Anzahl der "bösen" Hacker wesentlich größer als die "guten" Hacker.

    Zitat

    dass die Anzahl dieser Betroffenen kleiner sein dürfte als diejenige unter der Bedingung, die Lücke wäre unbemerkt geblieben


    Habe ich dir in den letzten beiden Absätzen komplett widerlegt. Ich widerspreche in diesem Punkt auch Sören - eine Lücke macht ein Programm nicht unsicherer nach Bekanntwerden der Lücke, es steigert jedoch mindestens den Anreiz auf beiden Seiten - der eine behebt - der andere nutzt aus - aber beide gewinnen - das ewige Katz- und Mausspiel. Ich hätte gerne einen Chart über die Zunahme an Bot-Rechnern in dieser fraglichen Zeit, ich kann mir sehr gut vorstellen, dass die Kurve nach oben geht.

    Nachtrag, technische Infos zum letzten Exploit
    http://malware.dontneedcoffee.com/2015/02/cve-20…600296-and.html
    Infizierung über "malwaretisement" - speziell präparierte Werbung im Browser. Mit ein Grund, mindestens ein guten Werbeblocker zu nutzen - einen Adblocker und ggf einen Scriptfilter. Und Flash nur auf Anfrage.
    Ganz unten im Artikel Links zu anderen Seiten, u.a. Malwarebytes, die per kostenlosem MBAE solche Angriffe anfangen können.

    Und hier kannst du noch mal konkret nachlesen, seit wan der Exploit aktiv ist: 14. Januar
    http://blog.trendmicro.com/trendlabs-secu…alvertisements/
    Das Flash-Update gab es erst am 5. Februar! --> https://www.camp-firefox.de/forum/viewtopi…=953780#p953780
    Drei Wochen war der Krempel aktiv. So viel zu deinen Annahmen.

  • Zitat von Zitronella

    Ich stelle mir da immer wieder die Frage, warum kapieren das die Leute offensichtlich nicht.


    Und weißt Du, was ich nicht kapiere? Dass immer die gleichen Leute ihre ständigen Belehrungen nicht lassen können!

    8) Gruß camel-joe

    Festes Profil: Gerade nicht vorhanden
    Portable: Die aktuelle ESR / Nightly

  • Zitat von deschen2

    Wenn's mir das System zerhaut und mein Konto bald leer ist, soll das ja euer Schaden nicht sein, oder?

    .. doch, nämlich dann, wenn dein versifftes System Teil eines Bot-Netzes wird und damit andere Internetnutzer geschädigt werden. Dies ist übrigens mit Strafe bewährt, wenn du auffliegst und dir Wissen über die Lücken nachgewiesen wird.