Ältere Web Browser - reales Sicherheitsproblem unter BSD?

[CrimsonKing]

Nein, keiner der von mir (zumindest auf dem Bürorechner) unter Windows 10 genutzten Browser beherrscht Flash. Den IE habe ich aber noch nicht ausprobiert.

Und inwiefern JS zu einer besseren Bedienung beitragen soll, müsstest du mir noch erklären.

 

[-Nuke-]

Das Flash von Windows 10 funktioniert nur in Edge. Guck mal in die Systemsteuerung. Du wirst dort Flash-Einstellungen finden.

 

[-Nuke-]

Und inwiefern JS zu einer besseren Bedienung beitragen soll, müsstest du mir noch erklären.

Man muss nicht bei jedem Klick die komplette Webseite refreshen. Das ist so das grundlegende Feature. Live-Chat ohne Refresh-Loop im Browser ebenso.

 

[-Nuke-]

Es bringt eben nichts das Internet jetzt noch in seinen Grundfesten zu kritisieren. Da kann ich mir auch Weltfrieden wünschen Das Internet und seine Anwender sind Tatsachen und mit denen muss man jetzt einfach umgehen. Aktuell in Chrome, IE, Edge, Safari und Firefox: Sandbox... alles sandboxen, die Sandboxen besser machen und noch mehr sandboxen... nebenbei sichere Programmiersprachen verwenden und noch mehr sandboxen.

Weil auch wenn du JS abschaltest... dann hat halt deine libpng mal wieder eine Lücke und der Aufruf einer Webseite mit manipuliertem Bild ruft Schadcode bei dir auf. Gab es auch schon. In einer Sandbox ist das schwieriger.

 

[mogbo]

Wie schön das Leben doch war, als ich mit einem Browser jede Seite bedienen konnte, jetzt muss ich für gewisse Anwendungen den Browser wechseln, um alle Inhalte einer Seite zu sehen. Im allgemeinen finde ich die Erfahrung beim Surfen immer negativer, da ich nach und nach merke, dass alles zu einem Browsermonopol hinwandert.

Ich weiß nicht ob ich das falsch interpretiere, aber gefühlsmäßig werden Webseiten hauptsächlich für Chrome gebaut und man erlebt eine ähnliche Entwicklung, wie (oder als?) bei systemd, dass alles einfach inkompatibel wird, wenn man das Marktmonopol nicht verwendet.

 

[CrimsonKing]

Das Flash von Windows 10 funktioniert nur in Edge.

Somit völlig ohne Risiko für mich. (Aber danke, wusste ich nicht.)

Man muss nicht bei jedem Klick die komplette Webseite refreshen.

Und das ist es Leuten wert, fremde Menschen Code auf ihrem Rechner ausführen zu lassen? Warum dürfen die ohne Aufsicht an einen Computer?

Im Übrigen ist der Overhead der meisten AJAX-Anfragen selten so gering, dass sich das auch nur technisch lohnen würde. "Sieht halt cooler aus" ist ein unzureichendes Argument, finde ich.

Live-Chat ohne Refresh-Loop im Browser ebenso.

Dafür ist ein Hypertextbetrachter IMO nicht die richtige Anwendung.

Wie schön das Leben doch war, als ich mit einem Browser jede Seite bedienen konnte, jetzt muss ich für gewisse Anwendungen den Browser wechseln, um alle Inhalte einer Seite zu sehen.

Das ist doch seit Mitte der 90er nie anders gewesen. Nur der Monopolist heißt heute anders.

 

[-Nuke-]

Ich weiß nicht ob ich das falsch interpretiere, aber gefühlsmäßig werden Webseiten hauptsächlich für Chrome gebaut und man erlebt eine ähnliche Entwicklung

Naja, vorher wurden alle Webseiten für den IE6 mit ActiveX gebaut. Das hat sich so nicht großartig geändert. Browser-spezifische Bugs wird es immer geben, weil es nunmal auch scheiße ist. Jeder Browser hat seine Eigenheiten. Wie gesagt, man sollte jetzt nicht anfangen die Vergangenheit zu ändern. Im Großen und Ganzen hat sich das Internet deutlich verbessert. Weg von geschlossenen Plugins und Closed Source Browsern hin zu Standards und Open Source.

 

[CrimsonKing]

Im Großen und Ganzen hat sich das Internet deutlich verbessert. Weg von geschlossenen Plugins und Closed Source Browsern hin zu Standards und Open Source.

Webassemblys sind Binärdateien.
DRM ist ein proprietärer Teil des HTML-Standards.
Soll ich weiter machen?

 

[-Nuke-]

Und das ist es Leuten wert, fremde Menschen Code auf ihrem Rechner ausführen zu lassen? Warum dürfen die ohne Aufsicht an einen Computer?
Im Übrigen ist der Overhead der meisten AJAX-Anfragen selten so gering, dass sich das auch nur technisch lohnen würde. "Sieht halt cooler aus" ist ein unzureichendes Argument, finde ich.

Du kannst ja mal gerne versuchen Seiten wie Slack, Discord oder "$RandomBilderSeite" ohne JS zu implementieren und es "unter die Leute zu bringen". Bin gespannt wie erfolgreich du wirst.

Dafür ist ein Hypertextbetrachter IMO nicht die richtige Anwendung.

Sind Browser heutzutage auch nicht mehr. Aber Usability wieder... du kannst deinen Kunden zum E-Mail Programm schicken, ihm sagen er solle anrufen... oder eben auf der Support-Seite im Internet einen Live-Chat anbieten. 3 mal darfst du raten was eher benutzt wird. Ich schreibe auch lieber mit dem Telekom-Support auf Twitter, als 30min in der Hotline zu warten.

 

[mogbo]

Das ist doch seit Mitte der 90er nie anders gewesen. Nur der Monopolist heißt heute anders.

Naja mir fällt das erst seit 3-4 Jahren so wirklich auf, aber habe mich vorher auch nicht dafür interessiert

 

[-Nuke-]

Webassemblys sind Binärdateien.
DRM ist ein proprietärer Teil des HTML-Standards.
Soll ich weiter machen?

Kommt darauf an wie es damit weiter geht. Wie gesagt. Die Teile sind nötig, weil sonst Plugins zum Einsatz kommen würden. Und das ist das, was Browser-Hersteller vermeiden wollen. Man reagiert auf den Bedarf bzw. auf die Forderung danach... man erfindet es nicht extra dafür.

Du als Anwender bist dann in der Pflicht zu entscheiden was du nutzen willst. Wenn du das deinem Browser-Hersteller überlässt, dann ist das auch nur deine Schuld.

 

[CrimsonKing]

"Slack ohne JS" gibt es seit 1988. Nennt sich IRC. Aber das ist vermutlich nicht hip genug. Wofür du bei einem Bilderhoster unbedingt JS brauchen solltest, erschließt sich mir auch nicht. Und was genau ist Discord?

Sind Browser heutzutage auch nicht mehr.

Du hast das Problem erkannt.



Edit: Grammatik

 

[CrimsonKing]

Kommt darauf an wie es damit weiter geht.

Nein, das steht bereits fest und verbreitet sich.

 

[-Nuke-]

"Slack ohne JS" gibt es seit 1988. Nennt sich IRC. Aber das ist vermutlich nicht hip genug. Wofür du bei einer Bilderhoster unbedingt JS brauchen solltest, erschließt sich mir auch nicht. Und was genau ist Discord?

Wie schon gesagt, mit extra Programmen kommst du nicht weit. Und Discord ist ein Chat + VoIP System im Browser, welches gerade dabei ist TeamSpeak vom Markt zu fegen...

Nein, das steht bereits fest und verbreitet sich.

Und im Gegenzug sinkt die Verbreitung vom Flash-Plugin.

 

[-Nuke-]

Und ob nun Scheißcode per WebAssembly kommt, oder per minimized,uglyfied JS-Code... Wichtig ist, dass die Laufzeitumgebung davon offen ist. Dass Kontrolle über dessen Ausführung herrscht. Und kein Closed Source Plugin eines Herstellers, der von sicherer Programmierung so viel Ahnung hat wie ein Stück Brot.

Ob ich im Browser nun sowas kriege: https://d3js.org/d3.v4.min.js oder irgend ein LLVM-IR... bevor ich den lesen kann, muss ich erst mal ein Tool drüber laufen lassen.

 

[CrimsonKing]

Wie schon gesagt, mit extra Programmen kommst du nicht weit.

Ich schon, Hipster nicht. Ich nehme gern eine eingeschränkte Kommunikation mit solchen Leuten (die mich ja nicht über brauchbare Kanäle erreichen können wollen) in Kauf, wenn mein Rechner dafür sicherer bleibt.

Übrigens gibt es durchaus auch diverse IRC-Clients im Browser.

Und im Gegenzug sinkt die Verbreitung vom Flash-Plugin.

Nicht jede Traufe verbessert den Regen.

 

[CrimsonKing]

Und ob nun Scheißcode per WebAssembly kommt, oder per minimized,uglyfied JS-Code...

Minimieren JS-Code kannst du verifizieren. WebAssemblys schicken ihren Code aber nicht mal minifiziert mit. Du musst darauf vertrauen, dass die Textdarstellung dem Code entspricht.

 

[mogbo]

Wie schon gesagt, mit extra Programmen kommst du nicht weit. Und Discord ist ein Chat + VoIP System im Browser, welches gerade dabei ist TeamSpeak vom Markt zu fegen...

Jo, um TS3 ist es aber nicht wirklich schaden, ist nur das geringere Übel zu Skype (verwendet halt leider Gottes jeder).

Discord ist ein Chat + VoIP System im Browser

Sowas finde ich genial, spart mir ein Programm auf dem PC! Ist für mich erst in dem Augenblick Mist, wenn es mit Klickibunti Webseiten verbunden ist, auf denen ich mit unnötigem Mist konfrontiert werde.

Will damit sagen, die Verwendung ist okay, solange sowas in einem sinnvollen Rahmen bleibt, ist halt leider so gut wie nie der Fall.

 

[-Nuke-]

Ich schon, Hipster nicht. Ich nehme gern eine eingeschränkte Kommunikation mit solchen Leuten (die mich ja nicht über brauchbare Kanäle erreichen können wollen) in Kauf, wenn mein Rechner dafür sicherer bleibt.

Du bezeichnest damit aber halt den Durchschnittsnutzer als Hipster... und machst dich damit selbst... zum Hipster. Über Twitter schicke ich dem Support fix per Copy+Paste oder Screenshot die Ausgabe diverser Tools... denen muss ich am Telefon nichts vorlesen, oder warten bis in 2 Wochen mal ein Techniker kommt. Ich muss dazu auch kein besonderes Programm installieren oder irgendwem Zugang zu meinem LAN verschaffen. Geht auch super asynchron, da ich nicht "in einer Leitung" hänge. Und ich muss auch nicht wie ein blöder F5 hämmern oder den Browser-Tab inkl. Seite offen halten, weil ich über Push-Nachrichten die Antwort auch so mitbekomme.

Minimieren JS-Code kannst du verifizieren. WebAssemblys schicken ihren Code aber nicht mal minifiziert mit. Du musst darauf vertrauen, dass die Textdarstellung dem Code entspricht.

Das ist "nur" eine IR... die kannst du auch normal wieder "disassemblen" und dir den Code angucken. Da kommt dann genauso eine Qualität bei raus, wie bei uglyfied JS. Unabhängig davon ob JS oder WebAssembly... beide Arten sollten nur in abgeschotteten Laufzeitumgebungen ausgeführt werden -> Sandbox. Und ja, mir ist klar, dass du ihn lieber gar nicht ausführen wollen würdest, aber dass du da mit der Welt nicht konform gehst siehst du ja an der Verbreitung des Internets von heute sicherlich selbst, oder? Die Option hast du zumindest. Da ist es mir lieber, wenn ich schon akzeptieren muss, dass Webseiten JS und Co. benötigen, dass diese möglichst kontrolliert ablaufen. Und das heißt auch, dass ich nur Teile davon zulasse. D.h. das Werbetracking-JS kann zu Hause bleiben, das Content-JS darf durch. Versuche das mal beim Flash-Plugin.

edit:
Und sogar bsdforen benutzt JavaScript um mich beim Schreiben eines Posts darauf hinzuweisen, dass ein neuer Beitrag geschrieben wurde, während ich noch beim Tippen bin. Ein nützliches Feature, um auch auf diesen Beitrag einzugehen. Hab ich alleine in der Diskussion 3 oder 4 mal benutzt.

 

[CrimsonKing]

Du bezeichnest damit aber halt den Durchschnittsnutzer als Hipster... und machst dich damit selbst... zum Hipster.

Der Durchschnittsnutzer kommt eher selten auf die Idee, funktionierende Lösungen ohne technischen Anlass an die Bedingung zu knüpfen, fremde Leute Code auf seinem Rechner ausführen zu lassen.

Über Twitter schicke ich dem Support fix per Copy+Paste oder Screenshot die Ausgabe diverser Tools...

Und nichts davon setzt, rein technisch, Javascript voraus. Künstliche Beschneidung von Funktionen nennt man das.

wenn ich schon akzeptieren muss, dass Webseiten JS und Co. benötigen

Kommst du von allein drauf?
Was du auf deinem Rechner akzeptierst, entscheidest allein du.

 

[-Nuke-]

Und nichts davon setzt, rein technisch, Javascript voraus. Künstliche Beschneidung von Funktionen nennt man das.

Aber der Teil den du beim Zitieren ignoriert hast, benötigt JS.

Kommst du von allein drauf?
Was du auf deinem Rechner akzeptierst, entscheidest allein du.

Genau. Ich entscheide es. Und auch du kannst dich entscheiden JS zu deaktivieren. Ich kann mich aber dank des offenen Systems auch dazu entscheiden nur Teile zuzulassen und nicht alles. D.h. die Seite funktioniert, aber in einem Rahmen der für mich in Ordnung ist. Ich verteufle JS nicht. Ich benutze viele damit einhergehende Features. Ich blocke nur als unerwünscht bekannten JS-Code (aka Script- und Adblocker). Und das ist ein Fortschritt, den es vorher nicht gegeben hat. Da hieß es: Installiere dir Flash. Oder bitte benutze den IE6.

Und wenn sich eine Seite entscheidet mich deswegen auszusperren, gut. Dann ist das eine Entscheidung der Seite mir ihren Dienst nicht anzubieten. Ebenso würde in einer Welt ohne JS diese Seite nicht mehr funktionieren bzw. es sie gar nicht geben.

edit:
Gegen ActiveX und Flash sind solche Lücken von heute doch lachhaft...

 

[CrimsonKing]

Aber der Teil den du beim Zitieren ignoriert hast, benötigt JS.

Pushnachrichten? Yep. Gehören auch nicht in einen verdammten Hypertextbetrachter. Das ist so der Denkfehler.

Ich blocke nur als unerwünscht bekannten JS-Code (aka Script- und Adblocker)

Welche JS-Funktionen sind von dir denn erwünscht?

 

[-Nuke-]

Pushnachrichten? Yep. Gehören auch nicht in einen verdammten Hypertextbetrachter. Das ist so der Denkfehler.

Dein Denkfehler ist, dass dem Nutzer (und auch mir) diese Funktion nicht gefällt. Mir gefällt sie aber und da ist es _mir_ egal ob _du_ den Browser nur als HTML Betrachter ansiehst. Dann mache mit ein paar Klicks aus deinem Browser nur einen HTML-Betrachter. Ich will das nicht.

Welche JS-Funktionen sind von dir denn erwünscht?

z.B. Popup-Loops, ungefragte Websockets, nachgeladener JS-Code der die Same-Origin Policy umgehen will... etc. pp.

 

[CrimsonKing]

Dann mache mit ein paar Klicks aus deinem Browser nur einen HTML-Betrachter. Ich will das nicht.

Funktionen aus meinem Browser zu entfernen ist irgendwie schwieriger als welche reinzumachen. Wieso muss jeder Pipifaxbrowser heute so tun, als sei er ein portables Chrome OS? Firefox warb mal damit, dass es supi anpassbar ist. Wieso kriegen "Leute wie ich" nicht wieder eine hübsch schlanke Basisversion und "Leute wie du" können sich den unsicheren Datenmüll aus dem Addonstore runterladen? Dachte, dafür ist die Erweiterungsschnittstelle da.

Aber gut, wir haben ja alle 32 GiB RAM, kann man ja auch vollmachen. Mit einem HTML-Betrachter. Geil.

z.B. Popup-Loops, ungefragte Websockets, nachgeladener JS-Code der die Same-Origin Policy umgehen will... etc. pp.

Erwünscht? Ernsthaft?

 

[-Nuke-]

Funktionen aus meinem Browser zu entfernen ist irgendwie schwieriger als welche reinzumachen. Wieso muss jeder Pipifaxbrowser heute so tun, als sei er ein portables Chrome OS? Firefox warb mal damit, dass es supi anpassbar ist. Wieso kriegen "Leute wie ich" nicht wieder eine hübsch schlanke Basisversion und "Leute wie du" können sich den unsicheren Datenmüll aus dem Addonstore runterladen? Dachte, dafür ist die Erweiterungsschnittstelle da.

Aber gut, wir haben ja alle 32 GiB RAM, kann man ja auch vollmachen. Mit einem HTML-Betrachter. Geil.

Das liegt aber auch hauptsächlich daran, dass Mozilla nicht aus den Puschen kommt und lieber so ein Zeug wie Firefox OS probiert, oder einen IM in ihren Browser direkt einbaut, statt endlich mal ihren Browser auf einen wartbaren Stand zu bringen. Warum es da nicht 2 oder mehr Versionen gibt? Ganz einfach weil eben Leute die genau das fordern weit in der Unterzahl sind und wie gesagt... wenn etwas nicht für alle verfügbar ist winkt das Plugin aus der Ferne. Es zwingt dich ja keiner zu Firefox oder Chrome. Du kannst auch Dillo nehmen und lebst mit den gleichen Konsequenzen.

Und wenn ich nunmal Seiten wie Discord oder Slack auf ein "IRC" reduziere, klar... dann kann ich das Vergleichen auch gleich sein lassen. Dann bitte alle zurück zu reinen CLI-Zeiten.

Erwünscht? Ernsthaft?

Sorry, ich habe unerwünscht gelesen. Erwünschte Funktionen sind halt alle dynamischen Content-Modifikationen. Daten zu einer Webanwendung, ohne Reload der kompletten Seite, hinzufügen, oder Live-Chats. Aber das erwähnte ich ja bereits.

Vieles was mal JS brauchte geht ja mittlerweile auch ohne, rein mit HTML/CSS. Aber das findet halt auch nur so schnell Nutzer wie Browser es implementieren.