Ältere Web Browser - reales Sicherheitsproblem unter BSD?

serie300

Well-Known Member
Hallo

ich wollte mal fragen, ob ältere Webbrowser (Opera 12, Firefox 4x.) unter BSD ein reales Sicherheitsproblem sind. Immerhin haben die neuen Browser ja auch neue Features mit neuen Fehlern und man muß z.T. einen Rattenschwanz an Abhängigkeiten mitinstallieren. Der Browser kommt doch (sofern kein BSD spezifischer Maschinencode ausgführt wird) erstmal nicht weiter als die Benutzerrechte es zulassen. Und BSD stellt nun mal für diverse Malware die wild um sich schießt kein großes Ziel dar.
Wie ist die Meinung der Experten?

serie300
 

-Nuke-

Well-Known Member
Kommt drauf an was du machst... um deine Login-Daten und Cookies vom Online-Banking zu klauen oder dein E-Mail Zugang, braucht es keinen Schadcode direkt auf dem OS-Level auszuführen.

Automatisch passiert im Browser sowieso selten etwas, sofern man einen Ad/Skript-Blocker drin hat. Ohne das würde ich das Internet keine Sekunde betreten.

Probleme werden eher sein, dass einige Seiten vermutlich nicht korrekt dargestellt werden oder gar nicht erst funktionieren.
 

Fusselbär

Makefile Voyeur
Schwere Hüllenpanzerung und installierte Software aktuell halten. :cool:

Es ist ja gerade das schöne an integrierter Softwareverwaltung, wie es sie unter FreeBSD, NetBSD, OpenBSD und auch Linux gibt, dass die Maintainer den Nutzern dabei helfen, möglichst bequem die installierte Software aktuell zu halten.

Überdies sei nur mal an diesen für User zunächst erst mal erstaunlichen Fehler erinnert:
http://www.pro-linux.de/news/1/24266/diskussionen-um-die-linux-desktop-sicherheit.html
So etwas sollte dann per Aktualisierung behoben werden.
 

Athaba

Libellenliebhaber
Ich stelle mal die Behauptung in den Raum, dass länger bekannte Lücken mehr Ausbreitung finden, man also möglichst am letzten Stand sein will. Auch tut sich in der Browserwelt gerade viel in Richtung Prävention und Eindämmung von anrichtbarem Schaden. Deshalb würde ich den Browser aktuell halten.

JavaScript in Kombination in Kombination ist aber gefährlicher den je. WebRTC, RowhammerJS, etc. erlauben interessante Angriffe. Auch was Performanceoptimierungen von JS betrifft und dass man generell vieles näher an die Hardware bringen will geht stark konträr zu Sicherheitsbedenken.

Auch werden eben mit JS und Co. Angriffe teilweise portabler. Früher gingen Angriffe über den Browser ja häufiger in das OS, teilweise mit Windows Executables. Heute dann direkt oder ein Angreifer meint, dass das gar nicht nötig sei, weil sich die interessanten Informationen (Passwörter, etc.) ohnehin im Browser befinden. Ansonsten ist das Fernsteuern deines Browsers bzw. auch die Tatsache, dass JS-Code in deinem lokalen Netzwerk bzw. auf deinem Rechner ausgeführt wird für viele Attacken schon sehr interessant. Es gibt Angriffe auf vom LAN schlecht gesicherte Router, auf Systeme im LAN, die eigentlich nur Musik streamen, auf Anwendungen, die auf 127.0.0.1 lauschen, auch interessante Angriffe, wo einfach mit AJAX und Co. auf einen eigentlich Nicht-HTTP-Dienst zugegriffen wird.

Wen neue Features zur Besorgnis bringen sollte entweder JS deaktivieren oder besser noch auf einen anderen Browser umsteigen. Klingt zwar etwas extrem, aber ist wohl der beste Weg um ein wenig mehr Sicherheit zu haben. Gegen so Dinge, wie Bugs in einen Image-, Font-, etc. decoder hilft wahrscheinlich trotzdem nichts davon.
 

mogbo

Banned
Habe vor kurzem Luakit gelöscht, da ich was die Sicherheit des Browsers betrifft mittlerweile auch sehr verunsichert bin. In einer Jail oder VM würd ichs nutzen, leider ist "vmm" bei OpenBSD noch nicht ins Stable gewandert.
 
C

CrimsonKing

Guest
ich wollte mal fragen, ob ältere Webbrowser (Opera 12, Firefox 4x.) unter BSD ein reales Sicherheitsproblem sind.

Jeder Browser ist unter jedem System ein reales Sicherheitsproblem. Mit neuen Versionen, die oft auch neue "Funktionen" (= potenziell angreifbaren Code) mitbringen, wird das keinesfalls besser. Ich halte den Firefox 4.x für deutlich sicherer als den Firefox 50.
 

-Nuke-

Well-Known Member
Weiß gerade nicht ob FireFox unter FreeBSD capsium nehmen kann, aber zumindest unter Linux wird ab Version 50 auch die seccomp Sandbox benutzt. Noch nicht allzu feingranular wie bei Chromium, aber schon mal ein Anfang.
 

serie300

Well-Known Member
Danke für die Antworten. Wenn ich es recht interpretiere, sind also
1. reinrassige Javascript Programme inzwischen das Problem (nicht irgendwelche ".exe" oder Bilder, die Pufferüberlauf o. ähnlich erzeugen. Aber ohne JavaScript sind diverse nützliche Webseiten ziemlich unnütz.
2. Die Featurities bei den Browsern macht nicht nur mir Sicherheitssorgen. Aber mit "xmosaic" werde ich nicht mehr weit kommen.
3. Es ist nicht paranoid, für diverse Webanwendungen unterschiedliche User-Accounts zu verwenden

Das wird noch lustig, wenn jedes Teil im "internet of shitty things" seinen eigenen Webserver mit Programmiersprache mitbring.

serie300
 

-Nuke-

Well-Known Member
Man kann sich in einem aktuellen Browser auch übrigens Addons wie uMatrix installieren. Dort kann/muss man dann für jede Webseite sämtliche Server per Hand in eine Whitelist aufnehmen. Ist natürlich Aufwand, gibt einem aber volle Kontrolle.
 
C

CrimsonKing

Guest
Weiß gerade nicht ob FireFox unter FreeBSD capsium nehmen kann, aber zumindest unter Linux wird ab Version 50 auch die seccomp Sandbox benutzt. Noch nicht allzu feingranular wie bei Chromium, aber schon mal ein Anfang.

Aktuell ist Firefox zumindest noch nicht für überragende Sicherheit bekannt:
http://m.slashdot.org/story/307143

Schuld daran tragen allerdings maßgeblich auch Unternehmen wie Google, die der Meinung sind, ein Browser sei gefälligst eine Plattform und kein Dokumentenbetrachter.
 

-Nuke-

Well-Known Member
Schuld daran tragen allerdings maßgeblich auch Unternehmen wie Google, die der Meinung sind, ein Browser sei gefälligst eine Plattform und kein Dokumentenbetrachter.

Auch Mozilla hat einen Versuch mit Fire Fox OS gewagt. Auslöser für all die Webtechnologien würde ich übrigens nicht Google in die Schuhe schieben, sondern den Java Plugin und Flash. Der Wunsch Anwendungen im Browser auszuführen war schon da, wo Browser auch wirklich nur Dokumentenbetrachter waren. Google, Mozilla und Co. haben nur versucht von den Plugins los zu kommen und haben entsprechende Technologien standardisiert.

Alles was heute alle schön neu ist ging halt mit Java Plugin in Flash schon ewig. Und das nicht unbedingt portabel und sicher. Ganz im Gegenteil.
 
C

CrimsonKing

Guest
Sicherheitsprobleme, die man standardisiert, gewinnen dadurch nicht unbedingt an positiven Eigenschaften. Hat sogar Mozilla erkannt und das Battery API (zum Beispiel) wieder entfernt.

Eisberge. Spitze.
 

-Nuke-

Well-Known Member
Klar. Aber ich sehe es von der anderen Seite: Lieber ein Standard mit offener (und fixbarer) Implementierung, als ein geschlossenes Plugin. Und ich meine hier auch wirklich nur das was im Standard von HTML definiert ist und nicht was irgend ein Browserhersteller sich ausdenkt oder bei packt.
 
C

CrimsonKing

Guest
Ich wage die steile Behauptung, dass allein die Möglichkeit, fremde Leute Code in meinem Webbrowser ausführen zu lassen, ein Designfehler ist, der keineswegs innerhalb der Implementierung behoben werden kann.
 

-Nuke-

Well-Known Member
Du hast immer die Option JavaScript zu deaktivieren und entsprechende Seiten zu meiden. Aber das Internet ist nunmal eine Tatsache und nichts was gerade erst aufkommt. Und dort wurde eben vorher alles dynamische über geschlossene, non-portable Plugins gemacht. Durch Weiterentwicklung der Browser sind wir diese nun mehr oder weniger los. Das ist schon ein Fortschritt, meiner Meinung nach. Es waren nicht die Browser-Hersteller die sagten: Ihr müsst jetzt alles JavaScript nutzen. Es sind die Ersteller der Webseiten die das fordern.

Dass Fire Fox erst jetzt das Konzept von Sandboxing aufgreift, ist auch nicht Schuld von Google oder sonst wem.
 
C

CrimsonKing

Guest
Dass ich die Option habe, das Schlimmste zu verhindern, löst das Problem nicht. Eine Grippe geht mit Taschentüchern auch nicht weg. (Wenn jemand "Fire Fox" schreibt, stirbt jedes Mal ein süßes Kätzchen!)
 

-Nuke-

Well-Known Member
Du kannst dich natürlich auch an alle Webseitenbetreiber wenden und verlangen, dass die Seite auch ohne JS geht. Aber wenn plötzlich alle Browserhersteller von heute auf morgen JS entfernen würden, würde nur eines passieren: Plugins würden wieder aufkeimen.
 

serie300

Well-Known Member
Aus Sicherheitsinteressen wäre mir eine einfache verschlüsselte telnet Verbindung mit VT Emulator direkt auf eine fixe Internetadresse auch lieber. Aber ich glaub kaum, daß ich irgendeine Bank, Versicherung, etc. dazu bekomme. Und für 99.999% der Internetnutzer ist die animierte Grafik auch wichtiger. Habe mir mal umatrix installiert. Schon bedenklich was da auf einigen Webseiten (z.B. große dt. Krankenversicherung) läuft. Aus rationaler Sicht äwre also erstmal das "Härten" der JavaScript Sandbox wichtig.

serie300
 

goblin

Dämonenbeschwörer
Dann sind die Lücken aber endlich wieder opt-in und nicht opt-out.
Du kannst deine Lieblings-Sicherheitslücken im Firefox beispielsweise mit NoScript auch opt-in machen ;)

Was @-Nuke- vermutlich meinte ist dass ein sofortiges Deaktivieren von JS in allen Browsern den ganzen Web-2.+ Müll da draußen nicht repariert und die ganzen Seiten dann eben wieder Plugins vorraussetzen würden.
 
C

CrimsonKing

Guest
Nein, NoScript ist Symptom für opt-out. Es ist so lange unsicher, bis ich etwas tu (zum Beispiel NoScript installieren) = opt-out. :)

Das Gegenteil von Plugins also.
 

goblin

Dämonenbeschwörer
Da aber die Browser zumindest unter Windows mit vorinstallierten Plugins kamen war es auch damals schon kein „richtiges“ opt-in.
Du wirst zwar vermutlich gleich argumentieren, dass dir der IE unter Windows herzlich egal ist, aber wenn wir schon beim Haare spalten sind… :p

Du musst zwar generell vorher was tun (NoScript installieren), aber auf jeder einzelnen Seite wird JS dann erstmal trotzdem wieder opt-in.
 

-Nuke-

Well-Known Member
Nunja, dann mache es wie Herr Stallman und lade dir die Seiten per cURL oder wget herunter und schaue sie dir in einem Terminal-Browser an, welcher kein JS beherrscht und ggf. nicht ans Internet angeschlossen ist. Da ist alles Opt-In.

Wie gesagt, du wirst das Internet nicht sicherer machen, indem du Features standardmäßig deaktivierst. Die Vergangenheit hat uns eben gelehrt, dass bei Fehlen von Standards diese einfach von irgendwem als Plugin erfunden werden und dann auch so Verbreitung finden (Java, QuickTime, Flash (bei Chrome und in Windows 10 sogar vorinstalliert), Sliverlight, Shockwave, ...). Und wenn ich von einem Noob verlange, dass er vor Benutzung meiner Seite erst seinen Browser umkonfigurieren muss, dann ist das auch wieder ein super Argument für Plugins.

Und nein, durch Konkurrenzdruck wirst du dann nicht der strahlende Held, der eine furchtbar zu bedienende Seite auch ohne JS hat... du wirst nicht benutzt, weil Andere einfach besser bedienbar sind. Das ist auch so ein Grund warum Skype so eine irre große Verbreitung hat. Im Großen und Ganzen funktioniert dieser Müll halt einfach. Es prügelt sich durch Firewalls durch und skaliert das Video zur gerade verfügbaren Bandbreite. Es regelt dir auch am Mikro rum, damit man sich auch immer versteht. Ein Horror für Experten, ein Segen für Noobs. Und da kann man noch 1000 mal argumentieren, dass XMPP+OTR sicherer ist... es funktioniert im Vergleich einfach nicht.

Und nun eben hier. Moderne Webbrowser töten gerade eine Menge weit verbreiteter, noch viel unsichere Plugins und Closed Source Systeme.
 
Oben