Die Midlands

Administrator Anmeldungsdatum: 21.05.2004 Beiträge: 763

Aus gegebenem Anlaß hier mal ein Text von Heise Security. Mozilla ist eben doch nicht das Maß aller Dinge, was Sicherheit angeht (welch Neuigkeit! - aber dennoch scheinen es viele zu glauben). Kommentar von Jürgen Schmidt ():

Zitat:

Kommentar

Mozilla: Das Ende der Idylle

Es ist höchste Zeit, sich von einem gefährlichen Vorurteil zu verabschieden: Wer mit Mozilla surft, ist nicht automatisch sicher vor Gefahren aus dem Web.

Sicherheitsexperten -- unter anderen die des US-CERTs -- empfehlen immer öfter den Umstieg vom Internet Explorer auf einen Alternativ-Browser wie Mozilla. Durch den Browser-Wechsel entledigt man sich einer ganzen Reihe von Risiken. So nutzen immer mehr Web-Seiten gezielt Schwachstellen des Microsoft-Browsers, um Dialer oder Trojaner auf den Systemen der Anwender zu installieren; zum Teil geschieht das sogar völlig unbemerkt und ohne Zutun des Anwenders (siehe Browsercheck).

Der weit verbreitete Schluss, Mozilla sei ein sicherer Browser und dessen Nutzer wären somit automatisch vor allen Gefahren im Web geschützt, ist jedoch genauso falsch wie gefährlich. Falsch deshalb, weil auch Mozilla Defizite im Bereich Sicherheit aufweist; gefährlich, weil das trügerische Gefühl von Sicherheit Anwender veranlasst, beim Surfen leichtsinnig zu werden. Uns sind bereits mehrere Fälle bekannt, in denen Mozilla-Nutzer ihren Rechner durch einen voreiligen Mausklick mit Trojanern und Dialern infiziert haben.

Tatsächlich ist es so, dass Mozilla in bestimmten sicherheitsrelevanten Bereichen sogar hinter dem Internet Explorer zurückbleibt. Speziell die Mechanismen für Browser-Erweiterungen sind praktisch nicht gegen böswillige Aktivitäten Dritter gesichert. Bisher relativierte die Dominanz des Microsoft-Browsers die davon ausgehenden Gefahren für Mozilla-Nutzer: Angreifer machten sich nicht die Mühe, solche Schwachstellen gezielt auszunutzen. Doch mit der steigenden Beliebtheit des Open-Source-Projekts wächst der Anreiz und damit auch die Bedeutung solcher Defizite.

Moderne Browser lassen sich durch externe Module um zusätzliche Funktionen erweitern. Der Internet Explorer integriert Erweiterungen vor allem via ActiveX -- auf Wunsch lädt er sie auch gleich selbst aus dem Netz. Mozilla hat eigene Schnittstellen für Browser-Plugins; Erweiterungen für zusätzliche Browser-Funktionen lassen sich als sogenannte XPI-Dateien ebenfalls automatisch installieren. Doch während das für seine Sicherheitsprobleme berüchtigte ActiveX gewisse Schutzmechanismen aufweist, sind Mozilla-Erweiterungen offen wie ein Scheunentor.

Seriöse ActiveX-Controls tragen eine digitale Unterschrift ihres Herstellers, unsignierte Controls lädt der Internet Explorer per Default erst gar nicht. So kann der Anwender recht sicher sein, dass ein ihm angebotenes Flash-Plugin tatsächlich von Macromedia stammt. Vertraut er dieser Firma (und dem Aussteller des Zertifikats), weiss er, dass er sich damit zumindest keine bösartigen Trojaner einhandelt. Des weiteren ist bei einem signierten ActiveX-Control der Autor feststellbar, was zumindest auf Script-Kiddies einen gewissen Abschreckungseffekt hat.

Anders bei Mozilla-Plugins. Natürlich hinkt ein Vergleich zwischen ActiveX und Mozillas Plugin-Schnittstelle ein wenig, schon weil ActiveX weitaus mächtiger und tiefer in Windows verankert ist. Doch auch Mozillas Erweiterungen sind eigentlich kleine Programme, die auf dem Rechner alles tun können, was der Anwender darf: andere Programme nachinstallieren, Dateien löschen und so weiter.

Trotzdem bietet Mozilla so gut wie keinen Schutz vor bösartigen Erweiterungen. Jeder kann einen Trojaner so in eine XPI-Datei verpacken, dass Mozilla ihn automatisch installiert und startet. Der Anwender erhält lediglich einen Hinweis, dass mit der Installation Gefahren verbunden sind -- doch der Default steht auf "Installieren". Und nachdem diese Warnung bei allen XPIs erscheint, sind viele Mozilla-Anwender bereits darauf trainiert, sie routinemäßig wegzuklicken. Und damit nimmt unter Umständen das Unheil schon seinen Lauf.

In letzter Zeit tauchen vermehrt Web-Seiten auf, die die Browser-Kennung ermitteln und danach speziell darauf zugeschnittene Schadfunktionen aufrufen. Mozilla-kompatiblen Browsern bietet eine dieser Seiten ein XPI mit einem Trojanischen Pferd an; Mac- und Linux-Anwender bekommen noch den "freundlichen" Hinweis, dass die Erweiterung nur auf Win32-Systemen lauffähig sei. Doch auch das wird sich ändern.

Hier muss Mozilla schleunigst verbessert werden -- auch die Entwickler haben das erkannt. Die Version 1.7 soll eine Whitelist für Server enthalten, die solche XPIs nachinstallieren dürfen; Plugins von unbekannten Sites akzeptiert der Browser dann nicht mehr. Allerdings soll der Mechanismus in der finalen Version standardmäßig deaktiviert sein, Firefox 0.9 kommt noch ohne Whitelist. Unterstützung für digital signierte Plugins ist ebenfalls in Arbeit: das rote "Unsigned" im Installationsdialog zeugt bereits davon.

Doch auch mit diesen Funktionen kann der Wechsel des Browsers die wichtigste Sicherheitsmaßnahme nicht ersetzen: gesundes Mißtrauen gegenüber allem, was aus dem Netz kommt. Wer auf alles klickt, was ihm irgendwo unterkommt, wird sich früher oder später einen Schädling einhandeln -- egal welchen Browser oder welches Betriebssystem er nutzt.

Jürgen Schmidt, ju

Verfasst am: 22.06.2004, 12:35

ich benutz mozialla keine ahnung der IE ist irgendwie blöd.. aber ich leg keinerlei wert auf sicherheit scheiss drauf denk ich mir ^^ ob nun mozilla, opera oder weiss der teufel was, habtsache internet Smilie

Verfasst am: 22.06.2004, 12:37

was soll en das brinegn? sry wenn die frage dumm is?

Administrator Anmeldungsdatum: 21.05.2004 Beiträge: 763

Ich benutze eine aufgebohrte Version vom IE - myIE nennt sich die. Getabbtes Browsen, genaue download-control, Werbeblocker, Skript-Plugins... bin ich ziemlich zufrieden mit. Scheunentore vom IE hat man zwar damit immer noch, aber mit Firewall und Virenscanner geht das noch einigermaßen... und Backups natürlich.

TheOffspring: Einige wechseln den Browser, weil der IE angeblich zu unsicher sei. In der Tat hat dieser Browser einige eklatante Sicherheitslücken. Aber die größte Sicherheitslücke sitzt m.E. immer noch vor dem Rechner...

Milizsoldat Anmeldungsdatum: 27.05.2004 Beiträge: 132

ich benutz seit neustem auch mozilla, bin von opera gewechselt, aber ich leb eh gern gefährlich, ich benutz auch outlook express Geschockt

Verfasst am: 22.06.2004, 15:48

lol... sau der geile spruch... "ich leb gern gefährlich" rofl...

ohne scheiß nice spruch @ Shikamaru

Milizsoldat Anmeldungsdatum: 27.05.2004 Beiträge: 132

Naja, und zu IE: kann man nutzen, aber nur wenn man keinen werd darauf legt wie schnell die seiten laden.... Mit den Augen rollen

Administrator Anmeldungsdatum: 21.05.2004 Beiträge: 763

Tja, das Dumme ist nur, daß Komponenten des IE in jedem Fall in einem Windows-System herumschwirren und es verlangsamen. Da kann ich es auch gleich benutzen Mit den Augen rollen

Milizsoldat Anmeldungsdatum: 27.05.2004 Beiträge: 132

praktisch sind jedoch andere browser schneller (wenn man mal die unmengen von IE plugins vergisst), mir ist es egal wieso, aber es ist halt so *schulterzuck*

Administrator Anmeldungsdatum: 21.05.2004 Beiträge: 763

OK, R.I.P., mein geliebter MyIE.

Der Browser-Check von c't hat mich endgültig überzeugt. Jetzt kommt Firefox. :-/

Stipendiaten-Liste hat Folgendes geschrieben:

http://www.heise.de/newsticker/meldung/48589

Kurzfassung: Hacker greifen vermehrt irgendwelche Webserver von beliebten Sites an, und modifizieren diese so, dass sie jedem, der diese Websites mit dem MSIE ansurft, erst mal einen Trojaner einpflanzen.

Und nein, eine Personal Firewall ist nicht der richtige Weg, um so ein
Problem zu loesen. Kommentar von mir.