Gefährdung durch Dialogboxen

Hier geht es um fehlerhaft dargestellte Websites und Probleme mit Plugins wie Flash oder Java.
Bitte beachten: Erweiterungen sind keine Plugins.
Antworten
knozzers
Junior-Mitglied
Beiträge: 5
Registriert: Mi, 18. Jan 2017 18:31

Gefährdung durch Dialogboxen

#1

Beitrag von knozzers Themen-Starter » Di, 16. Jan 2018 19:20

Liebe Firefox-Community,
ich habe hier einen Account angelegt, bloß um neuerdings immer wiederkehrende Malware-Seiten bzw. deren Ablauf durch Missbrauch bestimmter althergebrachter FF-Dialogboxen zu melden.
Falls ich im falschen Themenblock gepostet habe, bitte verschieben !

Manche Ad-Seiten rufen den Dialog für die Passworteingabe, oder die Dialogbox "Daten neu Senden" auf. Der normale Nutzer kann hier durch Schließen der jeweiligen Dialogbox nichts erreichen, auch nicht durch Schließen des Tabs (geht nicht), oder die Escape-Taste. Nur Alt+F4 geht, oder Strg+W, wenn man schnell genug ist, aber beides kennen viele Nutzer nicht.
Die Seite läuft meist unter dem Titel "Aktualisierung für Firefox".
Gerade erst gesehen unter: http://reliablesurfingext.biz/ff/?_subid=2gv8sv51a2irag6opg71&_token=uuid_2gv8sv51a2irag6opg71_2gv8sv51a2irag6opg715a5e39e1466627.81095608 (möglicherweise schon wieder weg).
Je nach Rechnergeschwindigkeit kommen die jeweiligen Dialogboxen sofort wieder, und darüber noch die Dialogbox "Daten erneut senden".
Drückt man schnell hintereinander F4, wird FF u.U. mit geschlossen, aber wenn man ihn auf Öffnen mit letzter Session eingestellt hat, öffnet sich natürlich auch wieder diese Malware-Seite.
Was diese Seiten installieren, wenn der entnervte User ihnen nachgibt, kann ich nicht sagen, da ich mich da immer rauswinde.
Aber diese Scripte und Dialogboxaufrufe müssen erfolgreich sein, wenn sie schon seit Monaten nur leicht abgeändert unterwegs sind.

Ich möchte anregen, diese Funktionalitäten in FF zu überarbeiten, sodass man keinen Missbrauch mehr damit betreiben kann.
Manche Ad-Seiten missbrauchen übrigens auch den Seitenrefresh, sodass man nach Aufruf eigentlich nicht mehr zurück kommt.
Doch das ist ein anderes, weniger wichtiges Problem.

Bitte tut etwas gegen diese FF-Altlasten. Sie sind speziell nur für diesen Browser (Script-Umleitung nach Erkennung). Opera z.B. sieht da gar keine Seite.

Liebe Grüße

Edit (miku 23): Verlinkung der Malware-URL entfernt

Benutzeravatar
AngelOfDarkness
Senior-Mitglied
Beiträge: 15938
Registriert: Di, 20. Jul 2004 20:01
Wohnort: Menden

Re: Gefährdung durch Dialogboxen

#2

Beitrag von AngelOfDarkness » Di, 16. Jan 2018 19:34

Das Problem ist mit Firefox 58 behoben. Also noch eine Woche warten ;)

Siehe übrigens dazu auch hier: viewtopic.php?f=1&t=123939#p1069929
Zuletzt geändert von AngelOfDarkness am Di, 16. Jan 2018 19:46, insgesamt 1-mal geändert.
„Mutter ist der Name für Gott, auf den Lippen und in den Herzen aller Kinder dieser Welt.“ (The Crow)

verwendete Browser und Erweiterungen sowie Bild vom Firefox - Sicherheitskonzept für Windowsnutzer

Benutzeravatar
Sören Hentzschel
Administrator
Beiträge: 16587
Registriert: Mi, 23. Nov 2011 0:39
Wohnort: Salzburg
Kontaktdaten:

Re: Gefährdung durch Dialogboxen

#3

Beitrag von Sören Hentzschel » Di, 16. Jan 2018 19:42

Das hier ist übrigens ein Nutzer-helfen-Nutzer-Forum. Keiner der hier aktiven Nutzer ist in die Entwicklung von Firefox involviert.

Benutzeravatar
Fox2Fox
Senior-Mitglied
Beiträge: 20019
Registriert: So, 22. Feb 2009 14:05
Wohnort: Rheinkilometer 780

Re: Gefährdung durch Dialogboxen

#4

Beitrag von Fox2Fox » Di, 16. Jan 2018 19:50

Allgemeine Fehlersuche Anleitung für Fragen im Forum Mein Firefox Keine Support-Anfragen per PN

knozzers
Junior-Mitglied
Beiträge: 5
Registriert: Mi, 18. Jan 2017 18:31

Re: Gefährdung durch Dialogboxen

#5

Beitrag von knozzers Themen-Starter » Fr, 19. Jan 2018 12:08

Vielen Dank für die Antworten. es ist zumindest erleichternd, dass andere auch diese Probleme haben, und dass FF hier verbessert wird.
Die Dialogboxen selbst sind klarerweise eine Altlast. Alleine diese "Wollen Sie diese Webseite verlassen" Frage nervt schon seit ewigen Zeiten (auch in anderen Browsern natürlich). Warum dieser Aufruf nicht längst komplett gestrichen wurde, ist mir ein Rätsel.

Benutzeravatar
Sören Hentzschel
Administrator
Beiträge: 16587
Registriert: Mi, 23. Nov 2011 0:39
Wohnort: Salzburg
Kontaktdaten:

Re: Gefährdung durch Dialogboxen

#6

Beitrag von Sören Hentzschel » Fr, 19. Jan 2018 12:18

Diese Meldung hat definitiv ihre Daseinsberechtigung, da sie Datenverluste verhindern kann. Das zu entfernen ist auf keinen Fall eine Option. Wenn's dich nervt, kannst du es über about:config deaktivieren: dom.disable_beforeunload muss dazu auf true geschaltet werden.

koonan
Junior-Mitglied
Beiträge: 6
Registriert: Do, 16. Nov 2017 1:36

Re: Gefährdung durch Dialogboxen

#7

Beitrag von koonan » Mo, 05. Feb 2018 4:12

Nur zur Info: Behoben wurde in Fx58 nur, dass die "POSTDATA" aka "confirm repost" Dialoge nun nicht mehr Fenster-modal sondern Tab-modal sind. Heißt, nur noch der Inhalt des Tabs wird durch den Dialog geblockt, aber nicht mehr das gesamte Firefox-Fenster. (siehe https://bugzilla.mozilla.org/show_bug.cgi?id=1412559)

Die HTTP AUTH Dialoge sind aber nach wie vor modal für das gesamte Fenster und somit lässt sich das immer noch ausnutzen für DoS oder um den Nutzer zum Installieren von schädlichen Add-Ons "zu zwingen".
Der entsprechende Bug wird hier getracked: https://bugzilla.mozilla.org/show_bug.cgi?id=613785 bzw. in dem Meta-Bug https://bugzilla.mozilla.org/show_bug.cgi?id=1435085

Eine Verbesserung kommt zumindest mit Fx59: Do not allow an auth prompt requested by an image resource loaded from cross-origin - https://bugzilla.mozilla.org/show_bug.cgi?id=1423146
(Wenn man jedoch auf einer schädlichen Domain gelandet ist, hilft das auch wenig.)

Eine andere Idee ist, dass Dialoge, die schnell hintereinander gestartet werden, via rate-limiting verhindert werden:
https://bugzilla.mozilla.org/show_bug.cgi?id=1416761

Mittelfristig wird es wohl ein Security Widget / Doorhanger geben, der teilweise über den Browser Chrome ragt: https://bugzilla.mozilla.org/show_bug.cgi?id=1319984

Aktuell wird schwer an der Web Payments Geschichte gearbeitet, dessen Dialog/Widget/wiemansauchimmernennenwill könnte dann wiederum helfen einen allgemeinen Security Dialog zu basteln (siehe hier: https://bugzilla.mozilla.org/show_bug.cgi?id=1433047)

Ja, ist sehr off-topic, aber wen es interessiert, hier kann man sich mal den Prototyp für die Web Payments UI anschauen: https://mozilla.invisionapp.com/share/Y ... P#/screens
(Wäre denk ich einen Blogpost wert, für Sörens "Design-Konzepte"-Reihe https://www.soeren-hentzschel.at/thema/design-konzepte/. :wink:)

Benutzeravatar
Sören Hentzschel
Administrator
Beiträge: 16587
Registriert: Mi, 23. Nov 2011 0:39
Wohnort: Salzburg
Kontaktdaten:

Re: Gefährdung durch Dialogboxen

#8

Beitrag von Sören Hentzschel » Mo, 05. Feb 2018 8:15

koonan hat geschrieben:
Mo, 05. Feb 2018 4:12
(Wäre denk ich einen Blogpost wert, für Sörens "Design-Konzepte"-Reihe https://www.soeren-hentzschel.at/thema/design-konzepte/. :wink:)
Sollte ich generell mal fortführen. Ich hab hier noch eine Menge Mockups… ;)

knozzers
Junior-Mitglied
Beiträge: 5
Registriert: Mi, 18. Jan 2017 18:31

Re: Gefährdung durch Dialogboxen

#9

Beitrag von knozzers Themen-Starter » Mi, 07. Feb 2018 20:20

@Sören: danke, gut zu wissen, dass man die Frage nach dem Verlassen einer Seite im Firefox abstellen kann.
Ich bleibe aber bei meiner Meinung, dass die Funktion überflüssig ist. Gefühlt 9 von 10 Seiten, bei denen sie hilfreich wäre, nutzen sie nicht, und die zehnte ist meist eine, bei der man sie nicht haben will. Zumindest gilt das für mich.

Benutzeravatar
Sören Hentzschel
Administrator
Beiträge: 16587
Registriert: Mi, 23. Nov 2011 0:39
Wohnort: Salzburg
Kontaktdaten:

Re: Gefährdung durch Dialogboxen

#10

Beitrag von Sören Hentzschel » Do, 08. Feb 2018 8:38

Dir wurde bereits erklärt, wieso die Funktion wichtig ist, also kannst du auch nicht sagen, dass die Funktion überflüssig sei. Abgesehen davon wurde der Nerv-Faktor in den letzten Jahren erheblich reduziert:

- Seit Firefox 29 kann dies komplett deaktiviert werden.
- Seit Firefox 31 blockiert das nicht mehr das gesamte Browser-Fenster, sondern nur den entsprechenden Tab.
- Seit Firefox 44 sind onbeforeunload-Dialoge nur noch dann möglich, wenn der Nutzer mit der entsprechenden Seite interagiert hat. Das heißt, irgendwelche Werbe-Seiten, die sich im Hintergrund öffnen und das auslösen, gehören schon lange der Vergangenheit an.

Wie gesagt, das standardmäßig zu entfernen, ist auf gar keinen Fall eine Option und wird daher auch ziemlich sicher nicht passieren. Und das heißt, dass die Einstellung, um das zu deaktivieren, das Beste ist, was möglich, wenn dich das stört.

Antworten

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 5 Gäste