Gefährdung durch Dialogboxen

  • Liebe Firefox-Community,
    ich habe hier einen Account angelegt, bloß um neuerdings immer wiederkehrende Malware-Seiten bzw. deren Ablauf durch Missbrauch bestimmter althergebrachter FF-Dialogboxen zu melden.
    Falls ich im falschen Themenblock gepostet habe, bitte verschieben !

    Manche Ad-Seiten rufen den Dialog für die Passworteingabe, oder die Dialogbox "Daten neu Senden" auf. Der normale Nutzer kann hier durch Schließen der jeweiligen Dialogbox nichts erreichen, auch nicht durch Schließen des Tabs (geht nicht), oder die Escape-Taste. Nur Alt+F4 geht, oder Strg+W, wenn man schnell genug ist, aber beides kennen viele Nutzer nicht.
    Die Seite läuft meist unter dem Titel "Aktualisierung für Firefox".
    Gerade erst gesehen unter: http://http://reliablesurfingext.biz/ff/?_subid=2gv…466627.81095608 (möglicherweise schon wieder weg).
    Je nach Rechnergeschwindigkeit kommen die jeweiligen Dialogboxen sofort wieder, und darüber noch die Dialogbox "Daten erneut senden".
    Drückt man schnell hintereinander F4, wird FF u.U. mit geschlossen, aber wenn man ihn auf Öffnen mit letzter Session eingestellt hat, öffnet sich natürlich auch wieder diese Malware-Seite.
    Was diese Seiten installieren, wenn der entnervte User ihnen nachgibt, kann ich nicht sagen, da ich mich da immer rauswinde.
    Aber diese Scripte und Dialogboxaufrufe müssen erfolgreich sein, wenn sie schon seit Monaten nur leicht abgeändert unterwegs sind.

    Ich möchte anregen, diese Funktionalitäten in FF zu überarbeiten, sodass man keinen Missbrauch mehr damit betreiben kann.
    Manche Ad-Seiten missbrauchen übrigens auch den Seitenrefresh, sodass man nach Aufruf eigentlich nicht mehr zurück kommt.
    Doch das ist ein anderes, weniger wichtiges Problem.

    Bitte tut etwas gegen diese FF-Altlasten. Sie sind speziell nur für diesen Browser (Script-Umleitung nach Erkennung). Opera z.B. sieht da gar keine Seite.

    Liebe Grüße

    Edit (miku 23): Verlinkung der Malware-URL entfernt

  • Das Problem ist mit Firefox 58 behoben. Also noch eine Woche warten ;)

    Siehe übrigens dazu auch hier: https://www.camp-firefox.de/forum/viewtopi…123939#p1069929

    Chromebook Lenovo IdeaPad Flex 5 - chromeOS 122 (Stable Channel) - Linux Debian Bookworm: Firefox ESR 115.8.0 und Firefox Nightly, Beta und Main Release (Mozilla PPA), Android 13: Firefox Nightly und Firefox (Main Release)

    Smartphone - Firefox Main Release, Firefox Nightly, Firefox Klar (Main Release)

    Einmal editiert, zuletzt von AngelOfDarkness (16. Januar 2018 um 19:46)

  • Vielen Dank für die Antworten. es ist zumindest erleichternd, dass andere auch diese Probleme haben, und dass FF hier verbessert wird.
    Die Dialogboxen selbst sind klarerweise eine Altlast. Alleine diese "Wollen Sie diese Webseite verlassen" Frage nervt schon seit ewigen Zeiten (auch in anderen Browsern natürlich). Warum dieser Aufruf nicht längst komplett gestrichen wurde, ist mir ein Rätsel.

  • Nur zur Info: Behoben wurde in Fx58 nur, dass die "POSTDATA" aka "confirm repost" Dialoge nun nicht mehr Fenster-modal sondern Tab-modal sind. Heißt, nur noch der Inhalt des Tabs wird durch den Dialog geblockt, aber nicht mehr das gesamte Firefox-Fenster. (siehe https://bugzilla.mozilla.org/show_bug.cgi?id=1412559)

    Die HTTP AUTH Dialoge sind aber nach wie vor modal für das gesamte Fenster und somit lässt sich das immer noch ausnutzen für DoS oder um den Nutzer zum Installieren von schädlichen Add-Ons "zu zwingen".
    Der entsprechende Bug wird hier getracked: https://bugzilla.mozilla.org/show_bug.cgi?id=613785 bzw. in dem Meta-Bug https://bugzilla.mozilla.org/show_bug.cgi?id=1435085

    Eine Verbesserung kommt zumindest mit Fx59: Do not allow an auth prompt requested by an image resource loaded from cross-origin - https://bugzilla.mozilla.org/show_bug.cgi?id=1423146
    (Wenn man jedoch auf einer schädlichen Domain gelandet ist, hilft das auch wenig.)

    Eine andere Idee ist, dass Dialoge, die schnell hintereinander gestartet werden, via rate-limiting verhindert werden:
    https://bugzilla.mozilla.org/show_bug.cgi?id=1416761

    Mittelfristig wird es wohl ein Security Widget / Doorhanger geben, der teilweise über den Browser Chrome ragt: https://bugzilla.mozilla.org/show_bug.cgi?id=1319984

    Aktuell wird schwer an der Web Payments Geschichte gearbeitet, dessen Dialog/Widget/wiemansauchimmernennenwill könnte dann wiederum helfen einen allgemeinen Security Dialog zu basteln (siehe hier: https://bugzilla.mozilla.org/show_bug.cgi?id=1433047)

    Ja, ist sehr off-topic, aber wen es interessiert, hier kann man sich mal den Prototyp für die Web Payments UI anschauen: https://mozilla.invisionapp.com/share/YAFI31XR3KP#/screens
    (Wäre denk ich einen Blogpost wert, für Sörens "Design-Konzepte"-Reihe https://www.soeren-hentzschel.at/thema/design-konzepte/. :wink:)

  • @Sören: danke, gut zu wissen, dass man die Frage nach dem Verlassen einer Seite im Firefox abstellen kann.
    Ich bleibe aber bei meiner Meinung, dass die Funktion überflüssig ist. Gefühlt 9 von 10 Seiten, bei denen sie hilfreich wäre, nutzen sie nicht, und die zehnte ist meist eine, bei der man sie nicht haben will. Zumindest gilt das für mich.

  • Dir wurde bereits erklärt, wieso die Funktion wichtig ist, also kannst du auch nicht sagen, dass die Funktion überflüssig sei. Abgesehen davon wurde der Nerv-Faktor in den letzten Jahren erheblich reduziert:

    - Seit Firefox 29 kann dies komplett deaktiviert werden.
    - Seit Firefox 31 blockiert das nicht mehr das gesamte Browser-Fenster, sondern nur den entsprechenden Tab.
    - Seit Firefox 44 sind onbeforeunload-Dialoge nur noch dann möglich, wenn der Nutzer mit der entsprechenden Seite interagiert hat. Das heißt, irgendwelche Werbe-Seiten, die sich im Hintergrund öffnen und das auslösen, gehören schon lange der Vergangenheit an.

    Wie gesagt, das standardmäßig zu entfernen, ist auf gar keinen Fall eine Option und wird daher auch ziemlich sicher nicht passieren. Und das heißt, dass die Einstellung, um das zu deaktivieren, das Beste ist, was möglich, wenn dich das stört.

  • Lieber Sören, nach 10 Jähriger nebenberuflicher Praxis als Webdesigner (Javascript, php, html, css, Flash action script), und etwa 50 kleineren und größeren Kunden (ja, das ist schon eine Zeitlang her, da gab es noch Netscape Navigator), nehme ich mir die Freiheit, eine Meinung über eine bestimmte Funktionalität zu haben. Selbst wenn ihr Zweck, wie Du mich belehrst "Dir wurde bereits erklärt" wurde. Denn eines kann ich mit Sicherheit sagen, auch nachdem ich mich vom Geschäft zurückgezogen habe, dass man diesem Dialog im "Normalbetrieb" praktisch nie begegnet (auch nicht in solchen Foren wie diesem, wo er doch nützlich wäre).
    Da war die Entfernung der FF-Plugin Library oder API, auf die sich viele gute Plugins gestützt haben, weit einschneidender, nachdem sich ausgezeichnete, jahrelang sicher funktionierende Plugins darauf gestützt haben und nicht mehr neu programmiert wurden (TMT, Session Save, PW Export...) - verständlicherweise.
    Übrigens werden die Passwort-Dialogbox und die Exit-Box noch weiter fleißigst wie oben beschrieben genutzt, es ist auch im FF 59.0.1/64Bit nicht möglich, den Tab bei offener Box zu schließen, allerdings scheint jetzt eine Wiederholverzögerung (Meltdown-Fix zu verdanken ?) nach ESC eingebaut zu sein, die mir ca. 0.5s Zeit gibt, das Fenster oder den Tab zu schließen.
    Und offensichtlich haben die geschickten PUP-Einschleuser Fuzzis schon längst eine Möglichkeit gefunden, Sperren für sich öffnende Fenster und Tabs im Hintergrund zu umgehen, denn zumindest bei mir öffnen sich diese gerne und oft, egal ob ich das im FF verboten habe oder nicht. Die meisten bleiben aber wenigstens inhaltlich leer wegen dem Ghostery, das ich laufen habe, bis auf diese Ultra-Nervtöter eben.
    Für den Normal-User sind about: Konfigurationen und dergleichen, die das letztendlich wohl abstellen können, sowieso nicht wirklich eine Lösung, viele wüssten ja nicht einmal, nach welchen Schlüsselwörtern sie suchen müssten, um überhaupt eine Anleitung zu finden. Wenn man selbst im digitalen Bereich sicher ist, möchte man oft nicht glauben, wie "hilflos" viele Menschen sind, die da tagaus tagein Software verwenden, die sie nicht wirklich verstehen können (oder wollen), geschweige denn konfigurieren.

  • Das hat doch nichts damit zu tun, eine unterschiedliche Meinung zu einer Sache zu haben, wie dass Rot schöner sei als Blau. Du hast geschrieben, dass etwas überflüssig sei, was einen klaren und nachweislich vorhandenen Anwendungsfall besitzt. Die Bezeichnung als überflüssig ist, wenn man den Hintergrund bereits erklärt bekommen hat!, keine konstruktive Meinung, sondern faktisch falsch. Du kannst es doof finden, das ist aber eine andere Aussage, und in dem Fall kannst du es einfach deaktivieren. Ich habe dir sogar erklärt, wie du das Verhalten abschalten kannst, ich habe dir eine sehr informative Chronik diesbezüglich mitgegeben und ich habe dir erklärt, wieso es seitens Mozilla diesbezüglich keine Änderung geben wird. Ein Danke wäre darauf eine angebrachte Reaktion, dass ich mich so intensiv mit deiner Anfrage befasse und dir so viel neues Wissen diesbezüglich weitergebe. Vor allem: Glaubst du, das ist meine Entscheidung? Ich arbeite nicht für Mozilla. Ansonsten weiß ich nicht, was genau du jetzt von mir willst…

    > Denn eines kann ich mit Sicherheit sagen, auch nachdem ich mich vom Geschäft zurückgezogen habe, dass man diesem Dialog im "Normalbetrieb" praktisch nie begegnet

    Ich begegne diesen Dialog ziemlich oft, fast täglich. Das dazu, dass du das mit Sicherheit sagen kannst… Natürlich begegnet man diesem Dialog nur, wenn man Inhalte generiert, und natürlich hängt es immer von der eingesetzten Software und deren Implementierung ab. Aber das weißt du ja mit deinem Hintergrund in der Webentwicklung…

    Eine Sache zu deiner Einleitung noch: Dass du nebenberuflich mit Webentwicklung zu tun und um die 50 Kunden hattest, ist ja schön, aber inwiefern ist das relevant? Ich habe hauptberuflich damit zu tun und diese Anzahl an Kunden pro Jahr. Alleine dadurch werden meine Beiträge aber nicht besser oder schlechter. Hier geht es um einen Anwender-Schutz, der den Anwender unabhängig von seinem beruflichen Hintergrund betrifft. Und wie schon mehrfach gesagt: wen es stört, der kann es ausschalten. Standardmäßig wird das nicht passieren. Das kannst du noch so doof finden, es ist so. Das ist nicht meine Schuld, hat nicht einmal mit irgendeiner Meinung meinerseits zu tun, ich bin nur der Überbringer des Inhalts, auf den ich selbst überhaupt keinen Einfluss habe.

  • Lieber Sören, in jener Zeit, die etwa 1997 begann, war mit der Bezeichnung Webentwickler nicht allzu viel Staat zu machen, daher Webdesigner. Es war aber natürlich auch nicht mit Php zu designen, das hat man dann mit html und css erledigt, als letzteres aufkam. Und Photoshop. Damals war der Webdesigner halt Designer und Entwickler sowohl Server- als auch Client-seitig, da gab es kaum eine Unterscheidung für den Kunden, der einfach nur wollte, dass alles funktioniert wie geplant. Erst mit der Evolution der Netzanbindung (viele auch kommerzielle Kunden hatten damals noch Internet über ISDN-Modem) konnte man tatsächlich etwas mehr Zeit ins Design fließen lassen. Davor gehörten selbst JScripte zu den zeitkritischen Anteilen einer Website.
    Und nebenberuflich bedeutete, den üblichen 8- bis 12-Stunden-Tag am Arbeitsplatz zu verbringen, um dann weitere 4 bis 8 Stunden plus Weekend seine Kunden zu bedienen.
    Und nein, es geht nicht um Geschmacksfragen, das sollte aus meiner Antwort doch klar hervorgehen. Es ist praktisch jeder Seite, der ich begegne (was nicht wenige sind), mein Datenverlust, selbst wenn ich Romane hineinschreibe, die dann bei Seitenwechsel/close weg wären, gelinde gesagt völlig wurscht. Daher meine Meinung, die (FF) Welt kommt auch ohne aus.

  • Ach jee, Opa erzählt mal wieder vom Krieg. Spaß beiseite: knozzers, irgendwie scheinst du zu glauben, dass außer dir niemand ernsthaft arbeitet oder jemals ernsthaft gearbeitet hat und nebenberuflich sowieso nicht. So kommt dein Bericht über deine gute alte Zeit und deinen heldenhaften und aufopfernden Anteil daran jedenfalls rüber. Wenig beeindruckend übrigens, Andere haben mehr gemacht und mehr geschafft, hauen lediglich nicht auf auf die K**** wie du.

    1997 erst, Späteinsteiger sozusagen, der Nachteil der späten Jahrgänge ... zur Sache selbst hat Sören schon alles geschrieben.

    MfG
    Drachen