Gefährdung durch Dialogboxen

Hier geht es um fehlerhaft dargestellte Websites und Probleme mit Plugins wie Flash.
Bitte beachten: Erweiterungen sind keine Plugins.
Antworten
knozzers
Junior-Mitglied
Beiträge: 7
Registriert: Mi, 18. Jan 2017 18:31

Gefährdung durch Dialogboxen

#1

Beitrag von knozzers Themen-Starter » Di, 16. Jan 2018 19:20

Liebe Firefox-Community,
ich habe hier einen Account angelegt, bloß um neuerdings immer wiederkehrende Malware-Seiten bzw. deren Ablauf durch Missbrauch bestimmter althergebrachter FF-Dialogboxen zu melden.
Falls ich im falschen Themenblock gepostet habe, bitte verschieben !

Manche Ad-Seiten rufen den Dialog für die Passworteingabe, oder die Dialogbox "Daten neu Senden" auf. Der normale Nutzer kann hier durch Schließen der jeweiligen Dialogbox nichts erreichen, auch nicht durch Schließen des Tabs (geht nicht), oder die Escape-Taste. Nur Alt+F4 geht, oder Strg+W, wenn man schnell genug ist, aber beides kennen viele Nutzer nicht.
Die Seite läuft meist unter dem Titel "Aktualisierung für Firefox".
Gerade erst gesehen unter: http://reliablesurfingext.biz/ff/?_subid=2gv8sv51a2irag6opg71&_token=uuid_2gv8sv51a2irag6opg71_2gv8sv51a2irag6opg715a5e39e1466627.81095608 (möglicherweise schon wieder weg).
Je nach Rechnergeschwindigkeit kommen die jeweiligen Dialogboxen sofort wieder, und darüber noch die Dialogbox "Daten erneut senden".
Drückt man schnell hintereinander F4, wird FF u.U. mit geschlossen, aber wenn man ihn auf Öffnen mit letzter Session eingestellt hat, öffnet sich natürlich auch wieder diese Malware-Seite.
Was diese Seiten installieren, wenn der entnervte User ihnen nachgibt, kann ich nicht sagen, da ich mich da immer rauswinde.
Aber diese Scripte und Dialogboxaufrufe müssen erfolgreich sein, wenn sie schon seit Monaten nur leicht abgeändert unterwegs sind.

Ich möchte anregen, diese Funktionalitäten in FF zu überarbeiten, sodass man keinen Missbrauch mehr damit betreiben kann.
Manche Ad-Seiten missbrauchen übrigens auch den Seitenrefresh, sodass man nach Aufruf eigentlich nicht mehr zurück kommt.
Doch das ist ein anderes, weniger wichtiges Problem.

Bitte tut etwas gegen diese FF-Altlasten. Sie sind speziell nur für diesen Browser (Script-Umleitung nach Erkennung). Opera z.B. sieht da gar keine Seite.

Liebe Grüße

Edit (miku 23): Verlinkung der Malware-URL entfernt

Benutzeravatar
AngelOfDarkness
Senior-Mitglied
Beiträge: 16949
Registriert: Di, 20. Jul 2004 20:01
Wohnort: Menden

Re: Gefährdung durch Dialogboxen

#2

Beitrag von AngelOfDarkness » Di, 16. Jan 2018 19:34

Das Problem ist mit Firefox 58 behoben. Also noch eine Woche warten ;)

Siehe übrigens dazu auch hier: viewtopic.php?f=1&t=123939#p1069929
Zuletzt geändert von AngelOfDarkness am Di, 16. Jan 2018 19:46, insgesamt 1-mal geändert.
verwendete Browser und Erweiterungen sowie Bild vom Firefox (Stand: 13.10.2018) - Sicherheitskonzept für Windowsnutzer

„Mutter ist der Name für Gott, auf den Lippen und in den Herzen aller Kinder dieser Welt.“ (The Crow)

Benutzeravatar
Sören Hentzschel
Administrator
Beiträge: 18432
Registriert: Mi, 23. Nov 2011 0:39
Wohnort: Salzburg
Kontaktdaten:

Re: Gefährdung durch Dialogboxen

#3

Beitrag von Sören Hentzschel » Di, 16. Jan 2018 19:42

Das hier ist übrigens ein Nutzer-helfen-Nutzer-Forum. Keiner der hier aktiven Nutzer ist in die Entwicklung von Firefox involviert.


Meine Beiträge zum Firefox-Quellcode (4 Beiträge; Letzter Beitrag: 05.09.2018)

Benutzeravatar
Fox2Fox
Senior-Mitglied
Beiträge: 20845
Registriert: So, 22. Feb 2009 14:05
Wohnort: Rheinkilometer 780

Re: Gefährdung durch Dialogboxen

#4

Beitrag von Fox2Fox » Di, 16. Jan 2018 19:50

Allgemeine Fehlersuche Anleitung für Fragen im Forum Mein Firefox Keine Support-Anfragen per PN

knozzers
Junior-Mitglied
Beiträge: 7
Registriert: Mi, 18. Jan 2017 18:31

Re: Gefährdung durch Dialogboxen

#5

Beitrag von knozzers Themen-Starter » Fr, 19. Jan 2018 12:08

Vielen Dank für die Antworten. es ist zumindest erleichternd, dass andere auch diese Probleme haben, und dass FF hier verbessert wird.
Die Dialogboxen selbst sind klarerweise eine Altlast. Alleine diese "Wollen Sie diese Webseite verlassen" Frage nervt schon seit ewigen Zeiten (auch in anderen Browsern natürlich). Warum dieser Aufruf nicht längst komplett gestrichen wurde, ist mir ein Rätsel.

Benutzeravatar
Sören Hentzschel
Administrator
Beiträge: 18432
Registriert: Mi, 23. Nov 2011 0:39
Wohnort: Salzburg
Kontaktdaten:

Re: Gefährdung durch Dialogboxen

#6

Beitrag von Sören Hentzschel » Fr, 19. Jan 2018 12:18

Diese Meldung hat definitiv ihre Daseinsberechtigung, da sie Datenverluste verhindern kann. Das zu entfernen ist auf keinen Fall eine Option. Wenn's dich nervt, kannst du es über about:config deaktivieren: dom.disable_beforeunload muss dazu auf true geschaltet werden.


Meine Beiträge zum Firefox-Quellcode (4 Beiträge; Letzter Beitrag: 05.09.2018)

koonan
Junior-Mitglied
Beiträge: 6
Registriert: Do, 16. Nov 2017 1:36

Re: Gefährdung durch Dialogboxen

#7

Beitrag von koonan » Mo, 05. Feb 2018 4:12

Nur zur Info: Behoben wurde in Fx58 nur, dass die "POSTDATA" aka "confirm repost" Dialoge nun nicht mehr Fenster-modal sondern Tab-modal sind. Heißt, nur noch der Inhalt des Tabs wird durch den Dialog geblockt, aber nicht mehr das gesamte Firefox-Fenster. (siehe https://bugzilla.mozilla.org/show_bug.cgi?id=1412559)

Die HTTP AUTH Dialoge sind aber nach wie vor modal für das gesamte Fenster und somit lässt sich das immer noch ausnutzen für DoS oder um den Nutzer zum Installieren von schädlichen Add-Ons "zu zwingen".
Der entsprechende Bug wird hier getracked: https://bugzilla.mozilla.org/show_bug.cgi?id=613785 bzw. in dem Meta-Bug https://bugzilla.mozilla.org/show_bug.cgi?id=1435085

Eine Verbesserung kommt zumindest mit Fx59: Do not allow an auth prompt requested by an image resource loaded from cross-origin - https://bugzilla.mozilla.org/show_bug.cgi?id=1423146
(Wenn man jedoch auf einer schädlichen Domain gelandet ist, hilft das auch wenig.)

Eine andere Idee ist, dass Dialoge, die schnell hintereinander gestartet werden, via rate-limiting verhindert werden:
https://bugzilla.mozilla.org/show_bug.cgi?id=1416761

Mittelfristig wird es wohl ein Security Widget / Doorhanger geben, der teilweise über den Browser Chrome ragt: https://bugzilla.mozilla.org/show_bug.cgi?id=1319984

Aktuell wird schwer an der Web Payments Geschichte gearbeitet, dessen Dialog/Widget/wiemansauchimmernennenwill könnte dann wiederum helfen einen allgemeinen Security Dialog zu basteln (siehe hier: https://bugzilla.mozilla.org/show_bug.cgi?id=1433047)

Ja, ist sehr off-topic, aber wen es interessiert, hier kann man sich mal den Prototyp für die Web Payments UI anschauen: https://mozilla.invisionapp.com/share/Y ... P#/screens
(Wäre denk ich einen Blogpost wert, für Sörens "Design-Konzepte"-Reihe https://www.soeren-hentzschel.at/thema/design-konzepte/. :wink:)

Benutzeravatar
Sören Hentzschel
Administrator
Beiträge: 18432
Registriert: Mi, 23. Nov 2011 0:39
Wohnort: Salzburg
Kontaktdaten:

Re: Gefährdung durch Dialogboxen

#8

Beitrag von Sören Hentzschel » Mo, 05. Feb 2018 8:15

koonan hat geschrieben:
Mo, 05. Feb 2018 4:12
(Wäre denk ich einen Blogpost wert, für Sörens "Design-Konzepte"-Reihe https://www.soeren-hentzschel.at/thema/design-konzepte/. :wink:)
Sollte ich generell mal fortführen. Ich hab hier noch eine Menge Mockups… ;)


Meine Beiträge zum Firefox-Quellcode (4 Beiträge; Letzter Beitrag: 05.09.2018)

knozzers
Junior-Mitglied
Beiträge: 7
Registriert: Mi, 18. Jan 2017 18:31

Re: Gefährdung durch Dialogboxen

#9

Beitrag von knozzers Themen-Starter » Mi, 07. Feb 2018 20:20

@Sören: danke, gut zu wissen, dass man die Frage nach dem Verlassen einer Seite im Firefox abstellen kann.
Ich bleibe aber bei meiner Meinung, dass die Funktion überflüssig ist. Gefühlt 9 von 10 Seiten, bei denen sie hilfreich wäre, nutzen sie nicht, und die zehnte ist meist eine, bei der man sie nicht haben will. Zumindest gilt das für mich.

Benutzeravatar
Sören Hentzschel
Administrator
Beiträge: 18432
Registriert: Mi, 23. Nov 2011 0:39
Wohnort: Salzburg
Kontaktdaten:

Re: Gefährdung durch Dialogboxen

#10

Beitrag von Sören Hentzschel » Do, 08. Feb 2018 8:38

Dir wurde bereits erklärt, wieso die Funktion wichtig ist, also kannst du auch nicht sagen, dass die Funktion überflüssig sei. Abgesehen davon wurde der Nerv-Faktor in den letzten Jahren erheblich reduziert:

- Seit Firefox 29 kann dies komplett deaktiviert werden.
- Seit Firefox 31 blockiert das nicht mehr das gesamte Browser-Fenster, sondern nur den entsprechenden Tab.
- Seit Firefox 44 sind onbeforeunload-Dialoge nur noch dann möglich, wenn der Nutzer mit der entsprechenden Seite interagiert hat. Das heißt, irgendwelche Werbe-Seiten, die sich im Hintergrund öffnen und das auslösen, gehören schon lange der Vergangenheit an.

Wie gesagt, das standardmäßig zu entfernen, ist auf gar keinen Fall eine Option und wird daher auch ziemlich sicher nicht passieren. Und das heißt, dass die Einstellung, um das zu deaktivieren, das Beste ist, was möglich, wenn dich das stört.


Meine Beiträge zum Firefox-Quellcode (4 Beiträge; Letzter Beitrag: 05.09.2018)

knozzers
Junior-Mitglied
Beiträge: 7
Registriert: Mi, 18. Jan 2017 18:31

Re: Gefährdung durch Dialogboxen

#11

Beitrag von knozzers Themen-Starter » Mo, 19. Mär 2018 10:43

Lieber Sören, nach 10 Jähriger nebenberuflicher Praxis als Webdesigner (Javascript, php, html, css, Flash action script), und etwa 50 kleineren und größeren Kunden (ja, das ist schon eine Zeitlang her, da gab es noch Netscape Navigator), nehme ich mir die Freiheit, eine Meinung über eine bestimmte Funktionalität zu haben. Selbst wenn ihr Zweck, wie Du mich belehrst "Dir wurde bereits erklärt" wurde. Denn eines kann ich mit Sicherheit sagen, auch nachdem ich mich vom Geschäft zurückgezogen habe, dass man diesem Dialog im "Normalbetrieb" praktisch nie begegnet (auch nicht in solchen Foren wie diesem, wo er doch nützlich wäre).
Da war die Entfernung der FF-Plugin Library oder API, auf die sich viele gute Plugins gestützt haben, weit einschneidender, nachdem sich ausgezeichnete, jahrelang sicher funktionierende Plugins darauf gestützt haben und nicht mehr neu programmiert wurden (TMT, Session Save, PW Export...) - verständlicherweise.
Übrigens werden die Passwort-Dialogbox und die Exit-Box noch weiter fleißigst wie oben beschrieben genutzt, es ist auch im FF 59.0.1/64Bit nicht möglich, den Tab bei offener Box zu schließen, allerdings scheint jetzt eine Wiederholverzögerung (Meltdown-Fix zu verdanken ?) nach ESC eingebaut zu sein, die mir ca. 0.5s Zeit gibt, das Fenster oder den Tab zu schließen.
Und offensichtlich haben die geschickten PUP-Einschleuser Fuzzis schon längst eine Möglichkeit gefunden, Sperren für sich öffnende Fenster und Tabs im Hintergrund zu umgehen, denn zumindest bei mir öffnen sich diese gerne und oft, egal ob ich das im FF verboten habe oder nicht. Die meisten bleiben aber wenigstens inhaltlich leer wegen dem Ghostery, das ich laufen habe, bis auf diese Ultra-Nervtöter eben.
Für den Normal-User sind about: Konfigurationen und dergleichen, die das letztendlich wohl abstellen können, sowieso nicht wirklich eine Lösung, viele wüssten ja nicht einmal, nach welchen Schlüsselwörtern sie suchen müssten, um überhaupt eine Anleitung zu finden. Wenn man selbst im digitalen Bereich sicher ist, möchte man oft nicht glauben, wie "hilflos" viele Menschen sind, die da tagaus tagein Software verwenden, die sie nicht wirklich verstehen können (oder wollen), geschweige denn konfigurieren.

Benutzeravatar
Sören Hentzschel
Administrator
Beiträge: 18432
Registriert: Mi, 23. Nov 2011 0:39
Wohnort: Salzburg
Kontaktdaten:

Re: Gefährdung durch Dialogboxen

#12

Beitrag von Sören Hentzschel » Mo, 19. Mär 2018 10:49

Das hat doch nichts damit zu tun, eine unterschiedliche Meinung zu einer Sache zu haben, wie dass Rot schöner sei als Blau. Du hast geschrieben, dass etwas überflüssig sei, was einen klaren und nachweislich vorhandenen Anwendungsfall besitzt. Die Bezeichnung als überflüssig ist, wenn man den Hintergrund bereits erklärt bekommen hat!, keine konstruktive Meinung, sondern faktisch falsch. Du kannst es doof finden, das ist aber eine andere Aussage, und in dem Fall kannst du es einfach deaktivieren. Ich habe dir sogar erklärt, wie du das Verhalten abschalten kannst, ich habe dir eine sehr informative Chronik diesbezüglich mitgegeben und ich habe dir erklärt, wieso es seitens Mozilla diesbezüglich keine Änderung geben wird. Ein Danke wäre darauf eine angebrachte Reaktion, dass ich mich so intensiv mit deiner Anfrage befasse und dir so viel neues Wissen diesbezüglich weitergebe. Vor allem: Glaubst du, das ist meine Entscheidung? Ich arbeite nicht für Mozilla. Ansonsten weiß ich nicht, was genau du jetzt von mir willst…

> Denn eines kann ich mit Sicherheit sagen, auch nachdem ich mich vom Geschäft zurückgezogen habe, dass man diesem Dialog im "Normalbetrieb" praktisch nie begegnet

Ich begegne diesen Dialog ziemlich oft, fast täglich. Das dazu, dass du das mit Sicherheit sagen kannst… Natürlich begegnet man diesem Dialog nur, wenn man Inhalte generiert, und natürlich hängt es immer von der eingesetzten Software und deren Implementierung ab. Aber das weißt du ja mit deinem Hintergrund in der Webentwicklung…

Eine Sache zu deiner Einleitung noch: Dass du nebenberuflich mit Webentwicklung zu tun und um die 50 Kunden hattest, ist ja schön, aber inwiefern ist das relevant? Ich habe hauptberuflich damit zu tun und diese Anzahl an Kunden pro Jahr. Alleine dadurch werden meine Beiträge aber nicht besser oder schlechter. Hier geht es um einen Anwender-Schutz, der den Anwender unabhängig von seinem beruflichen Hintergrund betrifft. Und wie schon mehrfach gesagt: wen es stört, der kann es ausschalten. Standardmäßig wird das nicht passieren. Das kannst du noch so doof finden, es ist so. Das ist nicht meine Schuld, hat nicht einmal mit irgendeiner Meinung meinerseits zu tun, ich bin nur der Überbringer des Inhalts, auf den ich selbst überhaupt keinen Einfluss habe.


Meine Beiträge zum Firefox-Quellcode (4 Beiträge; Letzter Beitrag: 05.09.2018)

knozzers
Junior-Mitglied
Beiträge: 7
Registriert: Mi, 18. Jan 2017 18:31

Re: Gefährdung durch Dialogboxen

#13

Beitrag von knozzers Themen-Starter » Do, 22. Mär 2018 20:15

Lieber Sören, in jener Zeit, die etwa 1997 begann, war mit der Bezeichnung Webentwickler nicht allzu viel Staat zu machen, daher Webdesigner. Es war aber natürlich auch nicht mit Php zu designen, das hat man dann mit html und css erledigt, als letzteres aufkam. Und Photoshop. Damals war der Webdesigner halt Designer und Entwickler sowohl Server- als auch Client-seitig, da gab es kaum eine Unterscheidung für den Kunden, der einfach nur wollte, dass alles funktioniert wie geplant. Erst mit der Evolution der Netzanbindung (viele auch kommerzielle Kunden hatten damals noch Internet über ISDN-Modem) konnte man tatsächlich etwas mehr Zeit ins Design fließen lassen. Davor gehörten selbst JScripte zu den zeitkritischen Anteilen einer Website.
Und nebenberuflich bedeutete, den üblichen 8- bis 12-Stunden-Tag am Arbeitsplatz zu verbringen, um dann weitere 4 bis 8 Stunden plus Weekend seine Kunden zu bedienen.
Und nein, es geht nicht um Geschmacksfragen, das sollte aus meiner Antwort doch klar hervorgehen. Es ist praktisch jeder Seite, der ich begegne (was nicht wenige sind), mein Datenverlust, selbst wenn ich Romane hineinschreibe, die dann bei Seitenwechsel/close weg wären, gelinde gesagt völlig wurscht. Daher meine Meinung, die (FF) Welt kommt auch ohne aus.

Benutzeravatar
Drachen
Mitglied
Beiträge: 293
Registriert: Do, 11. Nov 2004 20:20
Wohnort: Hessen
Kontaktdaten:

Re: Gefährdung durch Dialogboxen

#14

Beitrag von Drachen » Di, 24. Jul 2018 15:46

Ach jee, Opa erzählt mal wieder vom Krieg. Spaß beiseite: knozzers, irgendwie scheinst du zu glauben, dass außer dir niemand ernsthaft arbeitet oder jemals ernsthaft gearbeitet hat und nebenberuflich sowieso nicht. So kommt dein Bericht über deine gute alte Zeit und deinen heldenhaften und aufopfernden Anteil daran jedenfalls rüber. Wenig beeindruckend übrigens, Andere haben mehr gemacht und mehr geschafft, hauen lediglich nicht auf auf die K**** wie du.

1997 erst, Späteinsteiger sozusagen, der Nachteil der späten Jahrgänge ... zur Sache selbst hat Sören schon alles geschrieben.

MfG
Drachen

Antworten

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 2 Gäste