Diskussionsforum
Menü

Hust


31.12.2002 16:50 - Gestartet von Jan K.
"Die zahlreichen Sicherheitslücken der aktuellen Browser werden es auch immer wieder ermöglichen, dass sich Dialer komplett unbemerkt installieren."

Es ist exakt immer ein und derselbe Browser gewesen, der mit seinen Sicherheitslücken den verschiedensten Schadprogrammen Tür und Tor geöffnet hat.
Und der heisst Internet Explorer.
Ich habe noch nie gehört, dass eine (der wenigen) Sicherheitslücken von Mozialla (und seinen Ablegern), Opera, Konquerer, etc. wirklich ausgenutzt worden sind.
Was ist los Teltarif?
Angst vor MS?
Menü
[1] marius_stgt antwortet auf Jan K.
31.12.2002 17:03
Hi,
das ist die gleiche doofe Leier wie bei "Linux ist viel besser als Windows".
Vielleicht führst Du Dir auch mal das Potenzial welcher Browser wohl am weitesten verbreitet ist weltweit vor Augen. Logo trifft es nicht die ganzen kleinen Exoten. Wer hat schon Interesse daran?!

Guten Rutsch!

Marius

Benutzer Jan K. schrieb:
"Die zahlreichen Sicherheitslücken der aktuellen Browser werden es auch immer wieder ermöglichen, dass sich Dialer komplett unbemerkt installieren."

Es ist exakt immer ein und derselbe Browser gewesen, der mit seinen Sicherheitslücken den verschiedensten Schadprogrammen Tür und Tor geöffnet hat.
Und der heisst Internet Explorer.
Ich habe noch nie gehört, dass eine (der wenigen) Sicherheitslücken von Mozialla (und seinen Ablegern), Opera, Konquerer, etc. wirklich ausgenutzt worden sind.
Was ist los Teltarif?
Angst vor MS?
Menü
[1.1] hdontour antwortet auf marius_stgt
31.12.2002 17:11
Benutzer marius_stgt schrieb:
Hi, das ist die gleiche doofe Leier wie bei "Linux ist viel besser als Windows".
Vielleicht führst Du Dir auch mal das Potenzial welcher Browser wohl am weitesten verbreitet ist weltweit vor Augen. Logo trifft es nicht die ganzen kleinen Exoten. Wer hat schon Interesse daran?!

Guten Rutsch!

Marius

Benutzer Jan K. schrieb:
"Die zahlreichen Sicherheitslücken der aktuellen Browser werden es auch immer wieder ermöglichen, dass sich Dialer komplett unbemerkt installieren."

Es ist exakt immer ein und derselbe Browser gewesen, der mit seinen Sicherheitslücken den verschiedensten Schadprogrammen Tür und Tor geöffnet hat.
Und der heisst Internet Explorer.
Ich habe noch nie gehört, dass eine (der wenigen) Sicherheitslücken von Mozialla (und seinen Ablegern), Opera, Konquerer, etc. wirklich ausgenutzt worden sind.
Was ist los Teltarif?
Angst vor MS?

Streite Euch nicht!

Ganz egal ob Windows nun doof ist oder nicht, in der letzten Meldung von Teltarif zu 0900 stand, daß es dort keine Dailerverbindungen mit 0900 gibt bzw. geben darf. Also egal..., daß Thema Dialer hat wohl bei 0900 hoffentlich ein Ende. Schade ist nur, daß diese "Vorschrift" nicht ab morgen auch für 019X gilt.

Guten Rutsch
Menü
[1.2] Fratoel antwortet auf marius_stgt
31.12.2002 17:37
Wer hat schon Interesse daran?!
MS
Menü
[1.3] Jan K. antwortet auf marius_stgt
31.12.2002 19:05
Nein, das stimmt so nicht ganz.
MS hat mit dem IE u.a. VB-Script eingebaut.
Nur damit können überhaupt weitreichende Systemeingriffe erfolgen.
Java-Script ist bei weitem nicht so mächtig.
Deswegen sind andere Browswe prinzipiell sicherer.
Das hängt auch damit zusammen, dass MS den IE nicht als Browser an sich sieht, sondern als Teil des Betriebssystems.
Deswegen wurden dem IE Funktionen verpasst, die eigentlich in einem "klassischen" Browser nichts zu suchen haben.
Leider ist der IE selbst mit den höchsten Sicherheitseinstellungen unsicher, browsen kann man dann kaum noch.
Die c't hat das in der letzten Ausgabe sehr anschaulich erklärt und mit Erscheinen der aktuellen Ausgabe ein Tool geschrieben, welches den IE in eine Sandbox packt und alle Zugriffe abfangen kann.
Menü
[1.3.1] comedian antwortet auf Jan K.
31.12.2002 19:58
Benutzer Jan K. schrieb:
Nein, das stimmt so nicht ganz.
MS hat mit dem IE u.a. VB-Script eingebaut.
Nur damit können überhaupt weitreichende Systemeingriffe erfolgen.
Java-Script ist bei weitem nicht so mächtig.
Deswegen sind andere Browswe prinzipiell sicherer. Das hängt auch damit zusammen, dass MS den IE nicht als Browser an sich sieht, sondern als Teil des Betriebssystems. Deswegen wurden dem IE Funktionen verpasst, die eigentlich in einem "klassischen" Browser nichts zu suchen haben.
Leider ist der IE selbst mit den höchsten Sicherheitseinstellungen unsicher, browsen kann man dann kaum noch.
Die c't hat das in der letzten Ausgabe sehr anschaulich erklärt und mit Erscheinen der aktuellen Ausgabe ein Tool geschrieben, welches den IE in eine Sandbox packt und alle Zugriffe abfangen kann.

Niemand bestreitet, daß der IE unsicher ist. Man kann sich ja einen anderen Browser installieren.

Betreffend des Tools von ct sollte man bedenken, daß man nicht weiß, ob es seinerseits 'buggy' ist.
Die einfachste Sicherheitsmethode für den IE und andere Browser ist immer noch, den sie unter einem low-level Account laufen zu lassen. Konfiguriert man noch ein wenig das System anpaßt (NTFS Rechte und Berechtigungen), kann man sich sehr elegant schützen.

Hat man dazu noch eine tüchtige Firewall, so dürfte auch mit Trojanern (nichts anderes sind Dialer) nix schief gehen!

Gruß
Comedian
Menü
[1.3.2] Keks antwortet auf Jan K.
01.01.2003 04:11
Benutzer Jan K. schrieb:
MS hat mit dem IE u.a. VB-Script eingebaut. Nur damit können überhaupt weitreichende Systemeingriffe erfolgen.
Java-Script ist bei weitem nicht so mächtig.
Deswegen sind andere Browswe prinzipiell sicherer. Das hängt auch damit zusammen, dass MS den IE nicht als Browser an sich sieht, sondern als Teil des Betriebssystems. Deswegen wurden dem IE Funktionen verpasst, die eigentlich in einem "klassischen" Browser nichts zu suchen haben.
Leider ist der IE selbst mit den höchsten Sicherheitseinstellungen unsicher, browsen kann man dann kaum noch.

Endlich mal einer, der Ahnung hat. :)

Die c't hat das in der letzten Ausgabe sehr anschaulich erklärt und mit Erscheinen der aktuellen Ausgabe ein Tool geschrieben, welches den IE in eine Sandbox packt und alle Zugriffe abfangen kann.

Und gleichzeitig als alternative vernünftige Browser wie Mozilla, Netscape 7 oder auch Opera empfohlen. Die sich nicht nur sicherer, sondern bieten auch mehr Funktionen, bessere Bedienbarkeit und bessere Unterstützung der Standards (letzteres vor allem bei Mozilla und Netscape 7). Wozu noch den IE?

Frohes Neues, Keks.
Menü
[2] comedian antwortet auf Jan K.
31.12.2002 17:22
Benutzer Jan K. schrieb:
"Die zahlreichen Sicherheitslücken der aktuellen Browser werden es auch immer wieder ermöglichen, dass sich Dialer komplett unbemerkt installieren."

Es ist exakt immer ein und derselbe Browser gewesen, der mit seinen Sicherheitslücken den verschiedensten Schadprogrammen Tür und Tor geöffnet hat.
Und der heisst Internet Explorer.
Ich habe noch nie gehört, dass eine (der wenigen) Sicherheitslücken von Mozialla (und seinen Ablegern), Opera, Konquerer, etc. wirklich ausgenutzt worden sind.

Diese Browser sind zu wenig verbreitet. Es macht wahrscheinlich keinen Sinn, für die wenigen Benutzer extra Dialer zu schreiben.

Gruß
Comedian
Menü
[3] Kai Petzke antwortet auf Jan K.
31.12.2002 19:51
Benutzer Jan K. schrieb:

Es ist exakt immer ein und derselbe Browser gewesen, der mit seinen Sicherheitslücken den verschiedensten Schadprogrammen Tür und Tor geöffnet hat.
Und der heisst Internet Explorer.

Vom I.E. gibt es mehrere Versionen, die sich von der Technik her deutlich unterscheiden, so dass es schon alleine deswegen gerechtfertigt sein sollte, den Plural ("aktuelle Browser") zu verwenden.

Abgesehen davon gibt es auch Exploits für Sicherheitsllücken von Netscape, wenn auch diese zum Glück zumeist akademischer Natur sind. Mit am bekanntesten ist wohl "brown orifice", siehe: http://online.securityfocus.com/news/70

Weiterhin betreffen Sicherheitslücken von Plugins ebenfalls alle Browser. So kommt Netscape meines Wissens nach standardmäßig mit Flash-Plugin daher, und ist folglich auch von dessen Sicherheitslücken mit betroffen, siehe https://www.teltarif.de/s/s8593.html und https://www.teltarif.de/s/s9512.html


Kai
Menü
[3.1] Keks antwortet auf Kai Petzke
01.01.2003 04:14
Benutzer Kai Petzke schrieb:
Vom I.E. gibt es mehrere Versionen, die sich von der Technik her deutlich unterscheiden, so dass es schon alleine deswegen gerechtfertigt sein sollte, den Plural ("aktuelle Browser") zu verwenden.

Nungut... mehrere Versionen, aber *ein* Browser. ;)

Weiterhin betreffen Sicherheitslücken von Plugins ebenfalls alle Browser.

Das stimmt. Allerdings kann man auf Flash u.ä. Plugins auch viel leichter verzichten als z.B. auf die Skriptfunktionalität (ob es nun Javascript, JScript, ActiveScript oder wie auch immer heißt). Mozilla hat einfach das bessere Sicherheitskonzept insgesamt. Nur ein Beispiel: Beim IE können Webseiten ("http:") auf lokale Dateien ("file:") zugreifen, beim Mozilla nicht.

Ich wünsche dir ein frohes Neues!

Liebe Grüße, Keks.
Menü
[3.1.1] comedian antwortet auf Keks
01.01.2003 09:08
Benutzer Keks schrieb:
Das stimmt. Allerdings kann man auf Flash u.ä. Plugins auch viel leichter verzichten als z.B. auf die Skriptfunktionalität (ob es nun Javascript, JScript, ActiveScript oder wie auch immer heißt). Mozilla hat einfach das bessere Sicherheitskonzept insgesamt. Nur ein Beispiel: Beim IE können Webseiten ("http:") auf lokale Dateien ("file:") zugreifen, beim Mozilla nicht.

Und genau an dieser Stelle ziehe ich die größere Flexibilität des MS-Konzepts vor. MS erlaubt mir nämlich, den Zugriff auf die Platte durch setzen von NTFS-Rechten und Richtlinien individuell zu steuern. Wer Zugriff braucht, der kriegt ihn, und wer ihn nicht braucht hat gelitten. Wozu also Geld für Mozilla ausgeben, wenn man die gleiche Sicherheit durch einfaches Konfigurieren gewinnen kann?

Schönes neues Jahr
Comedian
Menü
[3.1.1.1] IE (-) Mozilla / Netscape
Keks antwortet auf comedian
01.01.2003 10:43
Benutzer comedian schrieb:
Und genau an dieser Stelle ziehe ich die größere Flexibilität des MS-Konzepts vor. MS erlaubt mir nämlich, den Zugriff auf die Platte durch setzen von NTFS-Rechten und Richtlinien individuell zu steuern. Wer Zugriff braucht, der kriegt ihn, und wer ihn nicht braucht hat gelitten. Wozu also Geld für Mozilla ausgeben, wenn man die gleiche Sicherheit durch einfaches Konfigurieren gewinnen kann?

Dann hast du was nicht verstanden. Sicherheitslücken sind keine größere Flexibilität. Nach der Logik wäre eine Wohnung ohne Tür flexibler, weil jeder rein und raus kann.

Auch mit Mozilla kannst du lokal auf der Festplatte browsen. Um den IE sicher zu kriegen - was notwenig ist, wenn du im Web surfst -, musst du ihn soweit beschränken (u.a. höchste Sicherheitsstufe), dass ein vernünftiger Browsen nicht mehr möglich ist. Beim Mozilla ist dies *trotz* der höheren Sicherheit möglich. Dort hast du einen Cookie-, Passwort-, Formular- und Grafikmanager, kannst Popups deaktivieren, es wird nichts automatisch downgeloadet usw.

Übrigens sind Mozilla (und Netscape 7) kostenlos, ja Mozilla ist sogar Open Source, während der M$ IE dies nicht ist.

Mozilla (und damit auch Netscape 7, der auf Mozilla aufsetzt), sind nicht nur sicherer, sondern bieten auch mehr Funktionen und rendern (korrekte) Seiten besser. Hier als Beispiel einige Seiten, wo der IE versagt, aber der Mozilla nicht:
http://mozilla.linuxfaqs.de/darst.html
http://www.w3.org/Style/CSS/
http://www.meyerweb.com/eric/css/edge/complexspiral/glassy.html (scrollen)
http://www.datenschlag.org/howto/info/poppers.html (scrollen)
http://jvp.kairo.at/?rndstyle=w3c (beim Scrollen)

Die Sonderzeichen hier kann Mozilla alle, der IE 6 nicht alle:
http://selfhtml.teamone.de/html/referenz/zeichen.htm

Nach Deklaration HTML, der IE zeigt aber eine Grafik an:
http://www.ego4u.de/test/ie/grafik.html

Nach Deklaration "text/plain", der IE interpretiert es aber als HTML:
http://inbox.malism.com/Maildir/cur/09.10.2001/1000599541.14352.txt

Dann teste mal diesen Link: http://www.logic.univie.ac.at/~3.14/a\b.html
Der IE (6) landet auf einer falschen Seite, nämlich dieser hier: http://www.logic.univie.ac.at/~3.14/a/b.html
[wobei er das auch noch verschweigt, also in der Adresszeile lügt!]
Korrekt wäre aber diese hier (Mozilla 1.2.1 macht's korrekt): http://www.logic.univie.ac.at/~3.14/a%5Cb.html

[Info] Die CSS2-Fähigkeiten der Browser im Vergleich:
http://www.xs4all.nl/~ppk/css2tests/

[Info] Mozilla hat hier immer 'true', der IE 6 nicht:
http://devedge.netscape.com/toolbox/tools/2001/feature-detection/

[Info] 101 things that the Mozilla browser can do that IE cannot:
http://www.xulplanet.com/ndeakin/arts/reasons.html

Also: wozu IE, wenn es doch Mozilla gibt?
http://mozilla.kairo.at/
http://www.netscape.de/netscapeprodukte/netscape70/download/

Liebe Grüße, Keks. :)
blitztarif.de
Menü
[3.1.1.1.1] comedian antwortet auf Keks
01.01.2003 13:01
Benutzer Keks schrieb:
Benutzer comedian schrieb:
Und genau an dieser Stelle ziehe ich die größere Flexibilität des MS-Konzepts vor. MS erlaubt mir nämlich, den Zugriff auf die Platte durch setzen von NTFS-Rechten und Richtlinien individuell zu steuern. Wer Zugriff braucht, der kriegt ihn, und wer ihn nicht braucht hat gelitten. Wozu also Geld für Mozilla ausgeben, wenn man die gleiche Sicherheit durch einfaches Konfigurieren gewinnen kann?

Dann hast du was nicht verstanden. Sicherheitslücken sind keine größere Flexibilität.

Deine Sichtweise betreffend der angeblichen Sicherheitslücken ist auf den Browser verengt. Das Sicherheitskonzept, das hinter Windows 2000/XP beschränkt sich nicht auf den Browser.

Nach der Logik wäre eine Wohnung ohne Tür flexibler, weil jeder rein und raus kann.

Seltsame Interpretation. Wenn ich die Rechte und Berechtigungen richtig setze, dann kann ich mit IE browsen, ohne daß sich was installiert. Ich mache dann nämlich durch das Setzen der Rechte die Tür für Installationen zu.

Wenn sich nämnlich zB ein Dialer installieren kann, dann nur weil sich:

1. Auf der Platte wegen Jedermann/Vollzugriff einnisten kann, und
2. sich wegen Schreibrechten in der Registry registrieren kann
3. danach infolge offener Ports / fehlender Firewall nach außen eine Verbindung aufbauen kann.


Auch mit Mozilla kannst du lokal auf der Festplatte browsen.

Und wie ist dann deine Äußerung zu verstehen:

Beim IE können Webseiten ("http:") auf lokale Dateien ("file:") zugreifen, beim Mozilla nicht

Wenn du Zugriff auf dein Firmennetz brauchst, und die dort ein Applikation laufen haben, die das Feature braucht? Was machst du dann?

Um
den IE sicher zu kriegen - was notwenig ist, wenn du im Web surfst -, musst du ihn soweit beschränken (u.a. höchste Sicherheitsstufe), dass ein vernünftiger Browsen nicht mehr möglich ist.

Die Notwendigkeit, den IE so weit beschränken müssen, wage ich aus Erfahrung zu bezweifeln. Es gibt die bereits dargestellten Möglichkeiten, den Zugriff auf das System auszuschließen.

Beim Mozilla ist dies *trotz* der höheren Sicherheit möglich. Dort hast du einen Cookie-, Passwort-, Formular- und Grafikmanager, kannst Popups deaktivieren, es wird nichts automatisch downgeloadet usw.

Und im IE kannst du dir die Cookies auch ansehen und einzeln löschen. Du kannst Datenschutzrichtlinien zur Cookiebehandlung definieren, es gibt das 'Autovervollständigen' für Passwörter und Formulare. Und die Behandlung von Grafiken kannst du auch im IE durch Einstellungen beeinflussen.

Ich bestreite nicht, daß es Geschmackssache ist, welchen Browser man verwendet.

Übrigens sind Mozilla (und Netscape 7) kostenlos, ja Mozilla ist sogar Open Source, während der M$ IE dies nicht ist.

Mozilla (und damit auch Netscape 7, der auf Mozilla aufsetzt), sind nicht nur sicherer, sondern bieten auch mehr Funktionen und rendern (korrekte) Seiten besser. Hier als Beispiel einige Seiten, wo der IE versagt, aber der Mozilla nicht:

Es ist ja schön und gut, daß der Mozilla in der Darstellungstechnik derzeit die Nase vorn hat. Bei jeder Neuerung ist einer der erste und die anderen werden irgendwann nachziehen.

Ein großer Nachteil von Mozilla: Der HTML Parser ist zu wenig fehlertolerant, was den Programmieraufwand ggü dem IE erheblich steigert und auch dazu führt, daß unsauber programmierte HTML Seiten im Mozilla eine gute Chance haben, nicht korrekt angezeigt zu werden, wogegen der IE diese wieder sauber interpretiert :-))

Das größte Sicherheitsleck (und nur darum ging es eigentlich in dem Thread) ist immer noch der der vor dem Computer sitzt und mit Adminrechten und Vollzugriff auf die HDD und die Registry im Internet surft.

Gruß
Comedian
Menü
[3.1.1.1.1.1] Hadraniel antwortet auf comedian
01.01.2003 13:24
Ein großer Nachteil von Mozilla: Der HTML Parser ist zu wenig fehlertolerant, was den Programmieraufwand ggü dem IE erheblich steigert und auch dazu führt, daß unsauber programmierte HTML Seiten im Mozilla eine gute Chance haben, nicht korrekt angezeigt zu werden, wogegen der IE diese wieder sauber interpretiert :-))

Die 'saubere Interpretation' von fehlerhaftem Code ist ein Widerspruch in sich!

Kurzfristig mag es bequemer sein, einen fehlertoleranten Browser zu haben. Langfristig ist der 'gesteigerte Programmieraufwand' bei der Erstellung von 'sauberem', also standardkonformen xHTML aber sinnvoller - und auch nicht weiter schwierig, das geht sogar von Hand. Oft sogar besser von Hand, da klickbunti-HTML-Authoring-Tools sich eben allzuoft nicht an den Standard halten.


Die Browserkriege, die seinerzeit in doppelt gestrickten Seiten jeweils für IE und Netscape gipfelten, sind das Resultat von Unzulänglichkeiten in HTML (Verknüpfung von Daten+Struktur) plus der Kommerzialisierung des WWW (pixelgenaue, bunte Layouts).

Mit xHTML/CSS lassen sich jedoch schon länger standardkonforme Lösungen realisieren, ohne auf proprietäre Lösungen zu setzen und bestimmte Nutzergruppen (Browser, Betriebssysteme) auszusperren.

Eine Website-Schmiede, die keine W3C-validierten Seiten baut, sollte man einfach links liegen lassen. Wer sich doch drauf einläßt, kann sich eigentlich auch gleich von xHTML/CSS/SVG/WML/etc., verabschieden und einfach SWF nehmen - hat aber dann Sinn und Zweck des WWW nicht wirklich verstanden.

goto: http://www.anybrowser.org
Menü
[3.1.1.1.1.1.1] comedian antwortet auf Hadraniel
01.01.2003 14:06
Benutzer Hadraniel schrieb:
Die 'saubere Interpretation' von fehlerhaftem Code ist ein Widerspruch in sich!

Stimmt! Sagen wir es so: Der IE verzeiht manchen Fehler, den der Mozilla halt nicht verzeiht! Das ist bei der Fehlerhaftigkeit heutiger Software (also der Tools, mit denen der HTML Code generiert wird) aber generell sinnvoll!


Kurzfristig mag es bequemer sein, einen fehlertoleranten Browser zu haben. Langfristig ist der 'gesteigerte Programmieraufwand' bei der Erstellung von 'sauberem', also standardkonformen xHTML aber sinnvoller - und auch nicht weiter schwierig, das geht sogar von Hand. Oft sogar besser von Hand, da klickbunti-HTML-Authoring-Tools sich eben allzuoft nicht an den Standard halten.

Da bin ich auch deiner Meinung. Aber es ist halt bittere Realität, daß HTML Seiten oft mittels Tools generiert werden. Auch wenn sie danach noch so gut getestet werden, es ist nicht garantiert, daß jeder Fehler ausgemerzt wird.

Gruß
Comedian
Menü
[3.1.1.1.1.2] hdontour antwortet auf comedian
01.01.2003 13:28

Das größte Sicherheitsleck (und nur darum ging es eigentlich in dem Thread) ist immer noch der der vor dem Computer sitzt und mit Adminrechten und Vollzugriff auf die HDD und die Registry im Internet surft.

Gruß
Comedian

mit Deinem letzen Satz magst Du wohl recht haben.
Nur ist es inzwischen einen "Otto-Normalverbraucher" mit durchschnittlichen Kenntnissen fast nicht mehr möglich Windows / IE so einzustellen, daß man damit noch surfen kann . Entweder ist er zu unsicher oder zu sicher eingestellt und genau deshalb bleibe auch ich lieber bei Netscape und habe meine Ruhe.

CU
Menü
[3.1.1.1.1.2.1] comedian antwortet auf hdontour
01.01.2003 13:53
Benutzer hdontour schrieb:
mit Deinem letzen Satz magst Du wohl recht haben. Nur ist es inzwischen einen "Otto-Normalverbraucher" mit durchschnittlichen Kenntnissen fast nicht mehr möglich Windows / IE so einzustellen, daß man damit noch surfen kann .

Genauso ist es. Ich mache auch niemandem einen Vorwurf daraus. Es gibt nämlich zwei Herangehensweisen an das Thema Sicherheit für den Hersteller einer Software:

1. Zunächst ist alles verboten. Der Nutzer muß sich die Rechte freischalten
2. Zunächst ist alles erlaubt und das System läßt sich sofort komfortabel bedienen, ist aber nicht auf hohe Sicherheit konfiguriert. Das macht MS mit Windows 2000/XP.

Es gibt im Blätterwald aber Anleitungen zur Konfiguration (zB. in der letzten Ausgabe der WINDOWS INTERN von Data Becker).

Entweder
ist er zu unsicher oder zu sicher eingestellt und genau deshalb bleibe auch ich lieber bei Netscape und habe meine Ruhe.

CU

Gruß
Comedian
Menü
[3.1.1.1.1.2.1.1] hdontour antwortet auf comedian
01.01.2003 13:57
Es gibt im Blätterwald aber Anleitungen zur Konfiguration (zB. in der letzten Ausgabe der WINDOWS INTERN von Data Becker).

und in den Anleitungen stehen dann viele Vorteil zur Einstellung a und viele Nachteile zur einstellung b im Amtsdeutsch und man steht als Otton. genauso gescheit da wie vorher.....

CU
Menü
[3.1.1.1.1.2.1.2] accolon antwortet auf comedian
01.01.2003 16:56
Benutzer comedian schrieb:
2. Zunächst ist alles erlaubt und das System läßt sich sofort komfortabel bedienen, ist aber nicht auf hohe Sicherheit konfiguriert. Das macht MS mit Windows 2000/XP.

Und genau da liegt ja das Problem, wenn jeder User automatisch als Administrator unter Windows auftritt, die eingeschränkten Accounts aber dermaßen eingeschränkt sind, dass sich nicht damit arbeiten lässt. Das Rechtesystem unter 2k/XP ist ein großer Schritt vorwärts ausgehend von 9x, aber dermaßen unausgegoren, dass es schlicht unbrauchbar ist.

Und wieso sollte ich mich damit rumschlagen, wenn ich durch einen anderen Browser mit einem Schlag 98% der Probleme und Gefahren löse? Ich surfe mit Opera und einen Filterproxy (Proxomitron) mit SEHR strengem Regelwerk und möchte das keinesfalls missen, genauso wie ich nur W3C-konformes HTML mit einem Texteditor schreibe. Und wenn jemand meint, ich müsse Schnickschnack-Funktionen aktivieren oder gar mit dem IE kommen um mir ActiveX antun zu müssen, dann verzichte ich dankend. Alternativen gibt es Web genug - schade, dass die breite Masse der AOL-Klickibunti-Generation das nicht so sieht und damit Dialern etc. Tür und Tor öffnet.

Bestes Beispiel ist Outlook Express:
Das Programm ist unkomfortabel, kann nichts, und es wird ständig davor gewarnt. Sogar MS selbst meinte vor Gericht, dass Offenlegen der Sourcen sei gefährlich - trotzdem wird das Programm von Millionen verwendet und die Welt stöhnt unter dem nächsten Bugbear, der die Runden macht...
Menü
[3.1.1.1.1.2.1.2.1] comedian antwortet auf accolon
01.01.2003 17:40
Benutzer accolon schrieb:
Benutzer comedian schrieb:
2. Zunächst ist alles erlaubt und das System läßt sich sofort komfortabel bedienen, ist aber nicht auf hohe Sicherheit konfiguriert. Das macht MS mit Windows 2000/XP.

Und genau da liegt ja das Problem, wenn jeder User automatisch als Administrator unter Windows auftritt, die eingeschränkten Accounts aber dermaßen eingeschränkt sind, dass sich nicht damit arbeiten lässt. Das Rechtesystem unter 2k/XP ist ein großer Schritt vorwärts ausgehend von 9x, aber dermaßen unausgegoren, dass es schlicht unbrauchbar ist.

Von wegen! Warum meinst du, daß in unserer Firma das angeblich so unbrauchbare System auf tausenden von Clients läuft? Warum denkst du, daß aus den Browsern nach sorgfältiger Auswahl und langem Testen der IE6 SP1 gewählt wurde? Tausende von Usern surfen bei uns ohne Admin- oder Poweruserrechte millionenstunden problemlos mit dem IE5 und 6. Klagen der User gibts immer nur dann, wenn die irgendwas runterladen wollen, was sie nicht brauchen und nicht haben dürfen. Wenn das System 'völlig unbrauchbar' wäre, dann würde es ganz schnell abgeschafft!


Und wieso sollte ich mich damit rumschlagen, wenn ich durch einen anderen Browser mit einem Schlag 98% der Probleme und Gefahren löse? Ich surfe mit Opera und einen Filterproxy (Proxomitron) mit SEHR strengem Regelwerk und möchte das keinesfalls missen, genauso wie ich nur W3C-konformes HTML mit einem Texteditor schreibe. Und wenn jemand meint, ich müsse Schnickschnack-Funktionen aktivieren oder gar mit dem IE kommen um mir ActiveX antun zu müssen, dann verzichte ich dankend.

Das können aber viele nicht, da die Webanwendungen dies erfordern. Wenn du also mal so schnell abends dich ins Firmennetz einklinken willst, um was abzuarbeiten, und du brauchst dafür ActiveX, dann brauchst du's halt. Wenn dann bei uns jemand mit einem Opera-Browser nicht reinkommt - Schicksal. Der kriegt kein Iota Support von uns, weil es kein Standard ist.

Alternativen gibt es Web genug - schade, dass die breite Masse der AOL-Klickibunti-Generation das nicht so sieht und damit Dialern etc. Tür und Tor öffnet.

Bestes Beispiel ist Outlook Express:
Das Programm ist unkomfortabel, kann nichts, und es wird ständig davor gewarnt. Sogar MS selbst meinte vor Gericht, dass Offenlegen der Sourcen sei gefährlich - trotzdem wird das Programm von Millionen verwendet und die Welt stöhnt unter dem nächsten Bugbear, der die Runden macht...

Ja, stimmt schon. Viele Firmen verwenden aber Outlook/Exchange Lösungen. Wir verwenden bei uns Notes/Domino. Es gibt auch andere Lösungen. Nur denke ja nicht, daß eine der Alternativlösungen auch nur im Ansatz unproblematisch ist. Mit Notes hast du haufenweise Notes-Probleme gebucht, mit anderen System wieder deren spezielle Probleme (und Bugs).

Gruß
Comedian

Menü
[3.1.1.1.1.3] Keks antwortet auf comedian
01.01.2003 20:55
Benutzer comedian schrieb:
Deine Sichtweise betreffend der angeblichen Sicherheitslücken ist auf den Browser verengt. Das Sicherheitskonzept, das hinter Windows 2000/XP beschränkt sich nicht auf den Browser.

Der IE öffnet ja grad viele Türen, man muss nur mal die vielen Meldungen bei heise.de lesen.

Nach der Logik wäre eine Wohnung ohne Tür flexibler, weil jeder rein und raus kann.

Seltsame Interpretation. Wenn ich die Rechte und Berechtigungen richtig setze, dann kann ich mit IE browsen, ohne daß sich was installiert. Ich mache dann nämlich durch das Setzen der Rechte die Tür für Installationen zu.

Es geht auch nicht nur um Installationen, sondern andere Sicherheitslücken und zudem auch die Privatsphäre.

Auch mit Mozilla kannst du lokal auf der Festplatte browsen.

Und wie ist dann deine Äußerung zu verstehen:

Beim IE können Webseiten ("http:") auf lokale Dateien ("file:") zugreifen, beim Mozilla nicht

Ganz einfach: Eine Website kann nicht Dateien von deiner Festplatte laden/aufrufen und damit ausspähen. Beim IE geht das. Daraus resultierte auch eine gravierende Sicherheitslücke, wobei der Patch vorerst laut M$ darin bestand, eine lokale HTML-Datei (die zur WinXP-Hilfe gehört) zu löschen, damit eine Website keinen Schaden auf der Festplatte anrichten kann. Klingt absurd, ist aber Realität beim IE.

Die Notwendigkeit, den IE so weit beschränken müssen, wage ich aus Erfahrung zu bezweifeln. Es gibt die bereits dargestellten Möglichkeiten, den Zugriff auf das System auszuschließen.

Das sieht die Fachzeitschrift c't ganz anders:

c't-Sicherheitskonzept: Windows-PC verrammeln und verriegeln
http://www.heise.de/newsticker/data/jk-27.12.02-000/

Weitere Infos, die man immer wieder liest:

Surfen mit IE kann Festplatte formatieren
http://www.heise.de/newsticker/data/pab-12.11.02-000/default.shtml

Neun neue Sicherheitslecks im Internet Explorer
http://www.heise.de/newsticker/data/pab-23.10.02-000/

Microsoft: IE-Sicherheitsloch doch kritisch
http://www.heise.de/newsticker/data/ad-07.12.02-000/default.shtml

Ratte beißt Internet Explorer
http://www.heise.de/newsticker/data/ju-05.06.02-000/default.shtml

Sicherheitslücke: Internet Explorer gibt Cookie-Daten weiter
http://www.heise.de/newsticker/data/hob-09.11.01-000/default.shtml

(nur 'ne kleine Auswahl)

Ich bestreite nicht, daß es Geschmackssache ist, welchen Browser man verwendet.

Das kommt hinzu, jepp.

Ein großer Nachteil von Mozilla: Der HTML Parser ist zu wenig fehlertolerant, was den Programmieraufwand ggü dem IE erheblich steigert und auch dazu führt, daß unsauber programmierte HTML Seiten im Mozilla eine gute Chance haben, nicht korrekt angezeigt zu werden, wogegen der IE diese wieder sauber interpretiert :-))

Es ist eher andersrum: Dass der IE auch falschen Code anzeigt, sorgt für viele, viele fehlerhafte Seiten im Web. Zudem: Falsche Seiten kann man gar nicht "korrekt" anzeigen, da es dafür keine Spezifikation gibt. Oder anders gesagt: Egal, wie ein Browser eine fehlerhafte Seite darstellt, es ist immer korrekt (da ihm überlassen).

Es erhöht auch nicht den Aufwand zur Erstellung (in HTML kann man nicht programmieren, da HTML keine Programmiersprache ist) von Webseiten, da man sich einfach an die Standards hält. Dann ist es Sache der Browser, diese Standards zu unterstützen und somit die Seiten korrekt darzustellen. Und da hat der Mozilla nunmal die Nase vorn, wie du ja auch weißt.

Und auch der Mozilla hat einen "Quirks-Modus" (wenn auf der Seite kein DOC-TYPE angegeben ist), in dem er alles, was auf der Seite steht, zu interpretieren, auch dann, wenn es eigtl. gar nicht zusammenpasst. Mir ist noch keine wichtige Seite untergekommen, die der Mozilla nicht darstellt.

Das größte Sicherheitsleck (und nur darum ging es eigentlich in dem Thread) ist immer noch der der vor dem Computer sitzt und mit Adminrechten und Vollzugriff auf die HDD und die Registry im Internet surft.

Das stimmt natürlich. Vor allem dann, wenn ohne weitere Sicherheitsmaßnahmen wie z.B. Firewall oder einem sicheren Browser. ;)

Liebe Grüße, Keks.
keks.de
Menü
[3.1.1.1.1.3.1] comedian antwortet auf Keks
01.01.2003 22:43
Benutzer Keks schrieb:
Es geht auch nicht nur um Installationen, sondern andere Sicherheitslücken und zudem auch die Privatsphäre.

Auch die kannst du mit W2k/XP schützen. Die Daten lassen sich nämlich verschlüsseln. Wenn dann jemand Daten abfaßt, kann er nix damit anfangen.

Ganz einfach: Eine Website kann nicht Dateien von deiner Festplatte laden/aufrufen und damit ausspähen. Beim IE geht das. Daraus resultierte auch eine gravierende Sicherheitslücke, wobei der Patch vorerst laut M$ darin bestand, eine lokale HTML-Datei (die zur WinXP-Hilfe gehört) zu löschen, damit eine Website keinen Schaden auf der Festplatte anrichten kann. Klingt absurd, ist aber Realität beim IE.



Die Notwendigkeit, den IE so weit beschränken müssen, wage ich aus Erfahrung zu bezweifeln. Es gibt die bereits dargestellten Möglichkeiten, den Zugriff auf das System auszuschließen.

Das sieht die Fachzeitschrift c't ganz anders:

Ja, wobei c't das auch auf die so gepriesenen Alternativen ausdehnt

http://www.heise.de/ct/browsercheck/n4demo.shtml
http://www.heise.de/ct/browsercheck/odemo.shtml

Und auch Mozilla ist 'buggy':

http://online.securityfocus.com/columnists/114
http://www.hixie.ch/commentary/mozilla/bugs
http://blue-labs.org/mozbugs/index.php

(auch nur ne kleine Auswahl)

c't-Sicherheitskonzept: Windows-PC verrammeln und verriegeln http://www.heise.de/newsticker/data/jk-27.12.02-000/

Weitere Infos, die man immer wieder liest:

Surfen mit IE kann Festplatte formatieren http://www.heise.de/newsticker/data/pab-12.11.02-000/default.sh
ml

Neun neue Sicherheitslecks im Internet Explorer http://www.heise.de/newsticker/data/pab-23.10.02-000/

Microsoft: IE-Sicherheitsloch doch kritisch http://www.heise.de/newsticker/data/ad-07.12.02-000/default.sht
l

Ratte beißt Internet Explorer http://www.heise.de/newsticker/data/ju-05.06.02-000/default.sht
l

Sicherheitslücke: Internet Explorer gibt Cookie-Daten weiter http://www.heise.de/newsticker/data/hob-09.11.01-000/default.sh
ml

(nur 'ne kleine Auswahl)

Wir betreuen mehrere Tausend IE Clients. Ich hättes mitgekriegt, wenn eine dieser Lücken jemals bei uns relevant gewesen wäre. Es ist mir insbesondere kein Benutzer bekannt, dem beim Surfen die Festplatte formatiert wurde.

Und wenn es im Einzelfall mal relevant wird, ist es noch lange kein Grund, Mozilla anzuschaffen: Weil man sich damit nämlich nur andere Bugs einkauft.


Ich bestreite nicht, daß es Geschmackssache ist, welchen Browser man verwendet.

Das kommt hinzu, jepp.

Nö, das ist das einzige, was für andere Browser spricht ;-)), weil man sich mit jeder neuen Software andere Schwierigkeiten einbrockt.


Ein großer Nachteil von Mozilla: Der HTML Parser ist zu wenig fehlertolerant, was den Programmieraufwand ggü dem IE erheblich steigert und auch dazu führt, daß unsauber programmierte HTML Seiten im Mozilla eine gute Chance haben, nicht korrekt angezeigt zu werden, wogegen der IE diese wieder sauber interpretiert :-))

Es ist eher andersrum: Dass der IE auch falschen Code anzeigt, sorgt für viele, viele fehlerhafte Seiten im Web.

Es liegt am Programmierer, wie ordentlich er vorgeht, nicht am IE. Und wie hier schon gepostet wurde: Es liegt auch an den Tools die zur Erstellung verwendet. Die sind nämlich auch nicht ohne Fehler...


Zudem:
Falsche Seiten kann man gar nicht "korrekt" anzeigen, da es dafür keine Spezifikation gibt. Oder anders gesagt: Egal, wie ein Browser eine fehlerhafte Seite darstellt, es ist immer korrekt (da ihm überlassen).

Korrekt. Aber zu restriktives Verhalten in der Fehlertoleranz treibt die Supportkosten hoch. Wenn Seiten nicht angezeigt werden, dann greift der Nutzer zum Telefon, und kontaktiert den Support. Wenn ein Browser sich hier etwas 'toleranter' verhält, dann spricht das unter dem Blickwinkel des Supportaufwands für ihn.

Es erhöht auch nicht den Aufwand zur Erstellung (in HTML kann man nicht programmieren, da HTML keine Programmiersprache ist) von Webseiten, da man sich einfach an die Standards hält.

Es wurde schon mal gepostet: Viele nutzen Tools zur Erstellung von Websites, die nicht unbedingt korrekt codieren. Die müssen dann nacharbeiten, und das ist zusätzlicher Aufwand.


Dann ist es Sache der Browser, diese Standards zu unterstützen und somit die Seiten korrekt darzustellen. Und da hat der Mozilla nunmal die Nase vorn, wie du ja auch weißt.

Das ist aber uninteressant. Der IE ist zumindest für unsere Clients ausreichend. Daher lohnt sich schon der Aufwand nicht, wegen ein paar Features mehr einen neuen Browser auszurollen.


Und auch der Mozilla hat einen "Quirks-Modus" (wenn auf der Seite kein DOC-TYPE angegeben ist), in dem er alles, was auf der Seite steht, zu interpretieren, auch dann, wenn es eigtl. gar nicht zusammenpasst. Mir ist noch keine wichtige Seite untergekommen, die der Mozilla nicht darstellt.

Und mir ist noch nichts Wichtiges untergekommen, wofür die Installation von Mozilla zwingend notwendig gewesen wäre. Und das bei Tausenden von Benutzern.


Das größte Sicherheitsleck (und nur darum ging es eigentlich in dem Thread) ist immer noch der der vor dem Computer sitzt und mit Adminrechten und Vollzugriff auf die HDD und die Registry im Internet surft.

Das stimmt natürlich. Vor allem dann, wenn ohne weitere Sicherheitsmaßnahmen wie z.B. Firewall oder einem sicheren Browser. ;)

Wobei der IE6 sicher und gut genug ist (mehrer Tausend Clients mit IE5 und 6 ohne sicherheitsrelevante Vorkommnisse beweisen es)! ;)

Ebenfalls liebe Grüße
Comedian
Menü
[3.1.1.1.1.3.1.1] Keks antwortet auf comedian
02.01.2003 04:42
Benutzer comedian schrieb:
Benutzer Keks schrieb:
Es geht auch nicht nur um Installationen, sondern andere Sicherheitslücken und zudem auch die Privatsphäre.

Auch die kannst du mit W2k/XP schützen. Die Daten lassen sich nämlich verschlüsseln. Wenn dann jemand Daten abfaßt, kann er nix damit anfangen.

Das hilft auch nicht immer.

Und auch Mozilla ist 'buggy':

Ja, ach. Jede Software hat Bugs. Darum geht's auch nicht. Bei Mozilla werden diese sogar offen dokumentiert (bei "Bugzilla") und es kann bei Bugzilla auch jeder neue Bugs melden. Das ist nichts Neues.

Wir betreuen mehrere Tausend IE Clients. Ich hättes mitgekriegt, wenn eine dieser Lücken jemals bei uns relevant gewesen wäre. Es ist mir insbesondere kein Benutzer bekannt, dem beim Surfen die Festplatte formatiert wurde.

Schön. Glück gehabt. Mir auch nicht. Die Sicherheitslücken werden von seriösen Webseiten (also den meisten) natürlich auch nicht ausgenutzt. Aber alleine die Möglichkeit, dass es mal passieren könnte, "reicht" mir schon. Wenn's denn mal passiert, kann sich der IT-Verantwortliche zumindest nicht damit herausreden, er hätte damit nicht rechnen können.

Es liegt am Programmierer, wie ordentlich er vorgeht, nicht am

Richtig.

IE. Und wie hier schon gepostet wurde: Es liegt auch an den Tools die zur Erstellung verwendet. Die sind nämlich auch nicht ohne Fehler...

Richtig. FrontPage zum Beispiel. ;)

Korrekt. Aber zu restriktives Verhalten in der Fehlertoleranz treibt die Supportkosten hoch.

Nein. Die Seiten müssen nur korrekt sein, dann muss man auch keinen Support für Fehler leisten.

Es wurde schon mal gepostet: Viele nutzen Tools zur Erstellung von Websites, die nicht unbedingt korrekt codieren. Die müssen dann nacharbeiten, und das ist zusätzlicher Aufwand.

Anderes Werkzeug nehmen!

Und mir ist noch nichts Wichtiges untergekommen, wofür die Installation von Mozilla zwingend notwendig gewesen wäre. Und das bei Tausenden von Benutzern.

Die Gründe habe ich ja schon genannt. Siehe auch "101 Things...".

Wobei der IE6 sicher

*rotfl* - Der war gut!

Liebe Grüße, Keks.
blitztarif.de