Bio: Neues vom kompilierten Sicherheitsrisiko ;-)

Hallo!

Unser aller Lieblingsbrowser hat mal wieder ein Sicherheitsloch, mit dem man beliebige Scripts auf dem Rechner des Anwenders starten kann - ein Feature?

http://www.ct.heise.de/newsticker/data/vza-06.10.00-000/

Ich warte auf glaubwürdige Versicherungen, daß das

  • nicht so schlimm / besser für den Benutzer ist
  • durch die Features des IE aufgewogen wird
  • der Netscape sicher auch Sicherheitslöcher in seinen Active-X Modulen hat *fg*

Gruesse,

Bio

(Disclaimer: Liebe Benutzer des kompilierten Sicherheitsrisikos, bitte nicht angegriffen fühlen! Ich find's toll, daß ihr so mutig seid, den Scheiß zu benutzen *fg*)

  1. (Disclaimer: Liebe Benutzer des kompilierten Sicherheitsrisikos, bitte nicht angegriffen fühlen! Ich find's toll, daß ihr so mutig seid, den Scheiß zu benutzen *fg*)

    *lol* ;)

    hab übrigens gerade k-meleon entdeckt.
    www.kmeleon.org, für alle, denen mozilla zu langsam ist.
    hab ich aber noch nicht ausprobiert, bin mit galeon hier, das ist etwa das gleiche, nur für gnome.
    langsam wird es für mich nur noch zu einer entscheidung welchen gecko frontend ich verwende oder konqueror.
    IE wird so unnötig wie ein kropf hehe

    ciao danny

    1. Hi

      hab mir auf den Tip mal den K-Meleon gesogen..also macht langsam doch
      schon nen recht guten Eindruck , meine Seiten funzen langsam fast
      problemlos damit , bis auf kleinere Probleme (z.B. bei nem JavaScript Bild-viewer werden die Bilder nicht angezeigt bevor man nicht zuerst einmal irgendwo auf die Seite clickt)
      aber im vergleich zu den Bugs die ich bisher so in den Mozilla Previews
      gesehen habe (endlich war einer raus.. in der nächsten war er wieder drin) gibt mir das doch langsam Hoffnung das da doch nochmal was
      brauchbares bei rauskommen kann..
      Auf jedenfall macht das Teil schon jetzt nen Welten besseren Eindruck
      wie der NC4 speziell bei der Benutzung des Back-Buttons , wo man beim
      NC oftmals immer erstmal 20 Sekunden warten muss.

      Allerdings geht er mit ner 24MB Speichernutzung auchnicht gerade sparsam
      mit den Ressourcen um.. aber inzwischen hat mans ja.. lol

      gruss
      Jens

      1. Allerdings geht er mit ner 24MB Speichernutzung auchnicht gerade sparsam
        mit den Ressourcen um.. aber inzwischen hat mans ja.. lol

        eben ;)
        und hier weiß man wenigstens, wofür es verwendet wird.
        was jetzt noch fehlt ist eine gecko "light" engine.
        ohne xml, dhtml und all son kram..
        einfach nur html und das sauschnell und effizient.
        was aber noch besser wäre, wenn das ganze modular aufgebaut wäre...
        also zu erst einfache einstellungen und wenn man dann mal dhtml für eine seite braucht, dass man DANN das dhtml modul laden kann.
        schade, dass niemand diesen weg geht.

        Danny

        1. was jetzt noch fehlt ist eine gecko "light" engine.
          ohne xml, dhtml und all son kram..
          einfach nur html und das sauschnell und effizient.

          Hmmm..
          also da kann man notfalls auch noch den NC3 nehmen.. also ich verspreche
          mir vom Gecko halt auch einfach mehr in Sachen CSS und DHTML , reines
          HTML kann irgendwie jeder Browser halbwegs..
          Und mit knapp über 2 MB Download fand ich diese Version eigentlich für
          heutige Verhältnisse schon recht schlank , im Nachhinein ist mir allerdings
          dann die fehlende rechte Maustaste etwas negativ aufgefallen..
          aber könnte damit die neue Standardantwort auf die Frage "wie sperr ich
          die rechte taste" Frage sein : Zwing deine Besucher dazu diesen Browser
          zu nehmen.. lol

          gruss
          Jens

          1. heutige Verhältnisse schon recht schlank , im Nachhinein ist mir allerdings
            dann die fehlende rechte Maustaste etwas negativ aufgefallen..
            aber könnte damit die neue Standardantwort auf die Frage "wie sperr ich
            die rechte taste" Frage sein : Zwing deine Besucher dazu diesen Browser
            zu nehmen.. lol

            lol ;)

            das ist bei galeon genauso. und man hat auch keine möglichkeit, einen link im neuen fenster zu öffnen.. und bei k-meleon geht nichtmal das mausrad.
            also noch seeeeeeeeeehr seeeeeeehr beta, aber es zeigt halt sehr schön, wie man die gecko engine auch für andere browser verwenden kann.
            das performance problem ist damit quasi keins mehr.

            Danny

  2. Unser aller Lieblingsbrowser hat mal wieder ein Sicherheitsloch, mit dem man beliebige Scripts auf dem Rechner des Anwenders starten kann - ein Feature?

    Man kann den IE durchaus so konfigurieren, dass solche Probleme vermieden werden:

    Abschalten:
    "Einfuegeoperationen ueber ein Script zulassen",
    "Auf Datenquellen ueber Domaenengrenzen hinweg zugreifen",
    "Programme und Dateien in einem IFRAME starten",
    "Subframes zwischen Domaenen bewegen".

    ActiveX abschalten oder ggf. auf "Eingabeaufforderung" stellen, um bei Bedarf Flash-, PDF- oder XML-DOM-Zugriffe zu ermoeglichen.

    Ich warte auf glaubwürdige Versicherungen, daß das

    • nicht so schlimm / besser für den Benutzer ist
    • durch die Features des IE aufgewogen wird
    • der Netscape sicher auch Sicherheitslöcher in seinen Active-X Modulen hat *fg*

    Bei der genannten Konfiguration und eingeschaltetem Scripting laeuft die genannte Demo ins Leere, wie bisher alle anderen auch ;-).

    MfG, Thomas

    1. hi ho

      [...]

      Bei der genannten Konfiguration und eingeschaltetem Scripting laeuft die genannte Demo ins Leere, wie bisher alle anderen auch ;-).

      das ganze erklaere mal den 80% ie usern, die in den sog. statistiken auftauchen...

      cua

      n.d.p.

      1. das ganze erklaere mal den 80% ie usern, die in den sog. statistiken auftauchen...

        ja und mir bitte :)
        ich wusste bissher nichtmal, dass es diese einstellungen gibt und ich bin nun wirklich kein newbie..

        btw, hab mir gerade mozilla für windows gesaugt. auch hier macht der eine klasse figur (der letzte nightly).
        ausserdem hab ich irgendwo was gelesen, dass die sich später noch um speicher optimierungen kümmern.
        also ich sehe die zukunft da sehr optimistisch :)

        Danny

        1. ja und mir bitte :)
          ich wusste bissher nichtmal, dass es diese einstellungen gibt und ich bin nun wirklich kein newbie..

          Bei den 5.x-Versionen kommt man an diese Einstellungen so heran:
          Menue Extras Internetoptionen... Karteireiter Sicherheit Zone: Internet Stufe anpassen...

          MfG, Thomas

          1. Sup!

            Menue Extras Internetoptionen... Karteireiter Sicherheit Zone: Internet Stufe anpassen...

            Doch so einfach... klarer Fall von Benutzerfreundlichkeit - ich wette, 90% der User haben diese Einstellungen noch nie gesehen, und von den 10% würden 90% sich nicht trauen, was zu ändern - und 95% glauben wohl sowieso, daß der IE sicher sei, so wie er geliefert wird.

            Gruesse,

            Bio

            1. Doch so einfach... klarer Fall von Benutzerfreundlichkeit - ich wette, 90% der User haben diese Einstellungen noch nie gesehen, und von den 10% würden 90% sich nicht trauen, was zu ändern - und 95% glauben wohl sowieso, daß der IE sicher sei, so wie er geliefert wird.

              Das sind sicher weniger als beim NN. Ich möchte nicht wissen wieviele *nicht* auf die 4.75 upgedatet haben, und wer's gemacht hat, ob die auch SmartUpdate abgeschaltet haben.

              1. Sup!

                Das sind sicher weniger als beim NN. Ich möchte nicht wissen wieviele *nicht* auf die 4.75 upgedatet haben, und wer's gemacht hat, ob die auch SmartUpdate abgeschaltet haben.

                Hmm... man kann ja auch einfach bei der 4.73 Java und Smart Update ausschalten, schon ist man auf der sicheren Seite ;-)

                Gruesse,

                Bio

                1. Hmm... man kann ja auch einfach bei der 4.73 Java und Smart Update ausschalten, schon ist man auf der sicheren Seite ;-)

                  Es gab auch schon beim NN Sicherheistlöcher in JavaScript. Bevor du fragst: Nein, ich such das jetzt nicht aus meiner c't-Sammlung. Self kommt von Selbermachen.

  3. Hallo Bio und Simon!

    Ich beantrage die Notierung der Begriffe "kompiliertes Sicherheitsrisiko" und "programmiertechnische Fehlgeburt" ins SELFHTML Lexikon :-)

    (Wenn's nach mir ginge, sollte zwar nur "programmiertechnische Fehlgeburt" vermerkt werden, aber Bio soll doch auch was gegönnt werden, nicht wahr?) ;-)

    Bis danndann
    PAF (patrickausfrankfurt)

    <img src="/selfaktuell/extras/selfcomm.jpg" alt=""> http://www.atomic-eggs.com/selfspezial/guests/advguest.cgi?view

    <img src="http://www.atomic-eggs.com/selfspezial/atomicegg.gif" id="ei" alt="Atomic Eggs - die humosophische Seite" onMouseUp="window.location.href='http://www.atomic-eggs.com/'" onmouseover="if(document.all)document.all.ei.style.cursor='hand';status='http://www.atomic-eggs.com/';return true;" onmouseout="status='';return true;">

    1. Sup!

      (Wenn's nach mir ginge, sollte zwar nur "programmiertechnische Fehlgeburt" vermerkt werden, aber Bio soll doch auch was gegönnt werden, nicht wahr?) ;-)

      Bist Du aber lieeeeeb ;-)

      Gruesse,

      Bio

    2. Sup!

      Im übrigen fordere ich die Aufnahme des Wortes "Bugscape" in das Lexikon, damit mein besonderer Freund Martin S. sich auch mal ein wenig freuen kann, der es häufiger benutzt, den NN damit zu verunglimpfen ;-)

      Gruesse,

      Bio

      1. Im übrigen fordere ich die Aufnahme des Wortes "Bugscape" in das Lexikon, damit mein besonderer Freund Martin S. sich auch mal ein wenig freuen kann, der es häufiger benutzt, den NN damit zu verunglimpfen ;-)

        Verunglimpfen? Kann man das beim Netscrape noch? Und dann beantrage ich auch dieses Wort für die programmtechnische Fehlgeburt.

        Netscape Engineers are Weenies! <g>

        1. Sup!

          Netscape Engineers are Weenies! <g>

          Stand das nicht mal in einer DLL von Windows drin?

          Gruesse,

          Bio

          1. Hi Bio,

            Netscape Engineers are Weenies! <g>

            Stand das nicht mal in einer DLL von Windows drin?

            ja, das wurde damals recht stark beachtet, weil zuerst vermutet wurde, dieser Text würde als Passwort einen unautorisierten Server-Zugriff auf den IIS ermöglichen.

            Siehe auch:

            Schönen Abend,
            Heiko

  4. Hallo Bio,

    vielleicht solltest Du Dir angesichts der teilweise wüsten Theorien,
    die im Zusammenhang mit msg=251, Explorer und Co. gerade bei heise
    kursieren, sicherheitshalber mal den Begriff "kompiliertes Sicher-
    heitsrisiko" schützen lassen :-)

    Ich sehe im Geiste ja schon den Trailer auf RTL vor mir:

    Aus der Reihe "schicksalhafte Begegnungen" sehen Sie eine absolute
    Weltpremiere... ;-))

    <img src="http://www98.l8.xodox.com/promo/signet.gif" alt="">

    P.S.: > Unser aller Lieblingsbrowser
             ^^^^^       ^^^^^^^^
             Mozilla: "Auch Du, mein Sohn Bio..." *scnr*

    <img src="http://www98.l8.xodox.com/promo/akonline.gif" alt="www.alexander-kleinjung.de" style="cursor:hand;" onMouseUp="window.open('http://www98.l8.xodox.com/promo/forum.htm','select','width=325,height=240');" onmouseover="window.status='http://www.alexander-kleinjung.de';return true;" onmouseout="window.status='';return true">