Ich habe mal stellvertretend einen Post zwischen Yamagi und midnight ausgeschnitten, welcher die eigentliche Problemtik sehr gut zusammenfasst:
Wenn ich einen veralteten Browser nutze und nur Newsseiten wie heise.de, golem.de, computerbase.de oder Foren wie bsdforen.de usw. besuche, sollten veraltete Browser doch kein Problem sein, oder sehe ich das falsch?
Das Hauptproblem ist, dass Seiten keinen Einfluss auf die geschaltete Werbung haben und oft Assets wie Bilder oder Javascripte von Drittquellen laden. Eine Seite kann absolut seriös sein, wenn ein bösartiges Werbebanner eingeblendet wird, hat man verloren. Das ist auch gleich ein sehr gutes Argument nur mit einem wirksamen Werbeblocker ins Netz zu gehen. Und man muss im Hinterkopf behalten, dass jede Seite potentiell gehijackt sein kann. Niemand von weiß mit 100% Sicherheit, dass zum Beispiel BSDForen beim nächsten Request nicht direkt oder direkt durch eine Drittquelle ein bösartiges Javascript ausliefert.
Wie sieht die Situation aus, wenn ich Javascript deaktiviere und nur selektiv auf vertrauenswuerdigen Seiten aktiviere?
Das wäre tatsächlich wirksam. Viele Teile von Browser sind problematisch - vor allem das Parsen von per Definition kaputten HTML und CSS, aber auch peinliche Bugs wie Codeausführung durch manipulierte Bilder - aber die Javascript-Engine dürfte tatsächlich ein Großteil der Angriffsfläche sein. Schon alleine, weil sie so schön programmierbar ist.
Wir haben es hier mit einem "Die Katze beisst sich in den eigenen Schwanz"-Problem zu tun. Denn, um die neuesten Errungenschaften der Webseitendesigner genießen zu können, benötige ich in der Regel einen aktuellen Browser. Mit einem "aktuellen" Palemoon könnte ich kein Online-Banking mehr betreiben, da der Browser mit der Webseite der Bank nicht mehr richtig interagiert. Selbst bei einigen News-Seiten benötige ich die neuesten Features, damit mir der Betreiber überhaupt etwas zum Lesen anbietet.
Midnight fragt jetzt, ob veraltete Browser vielleicht doch nicht das Problem sind. Und genau hier beginnt das Problem. Nur weil ein Browser älter oder auch alt ist, bedeutet es ja nicht per se, dass es auch unsichere Software ist, oder dieser deswegen automatisch Probleme verursachen kann. Aber hier spricht Yamagi einen Punkt an, welcher auch, oder sogar eher für die Anfälligkeit von modernen Browsern zutrifft: Featuritis!
Kennt jemand die Serie Spongebob? Welch Frage... Blaubarsch-Bube und Meerjungfrau-Mann sitzen zusammen und Spongebob kommt mit Patrick in die Höhle und fragt: Kurze Zwischenfrage: Wie sehr ist hier das OS wichtig, um Browsersicherheitsthemen zu bedienen? Hab ich beispielsweise größere Probleme, wenn ich einen aktuellen Firefox unter macOS High Sierra laufen lasse?
Was kommt? Beide rufen im Chor: "Das Böööööööööse!" In diesem Fall wird allerdings ausser Acht gelassen, dass zu diesem Problem mindestens 4 oder 5 Parteien gehören und nicht nur der Nutzer eines veralteten Browsers. Yamagi hat das Hauptproblem doch sehr gut geschildert: "geschaltete Werbung haben und oft Assets wie Bilder oder Javascripte von Drittquellen". Ist das jetzt meine Aufgabe als Nutzer dies zu prüfen, oder ist da nicht der Seitenbetreiber in der Verantwortung? Oder gehören diese Errungenschaften doch zu den Geistern des Zauberlehrlings, welche dieser rief?
Es wird auch ein Killswitch gefordert, dass eine Software, welche nicht mehr supportet wird, sich nicht mehr ins Internet einwählen kann. Dann wird noch nach strikteren Gesetzen gerufen.... wer soll die machen? Die, die sagen dass das Internet Neuland ist, oder welche gerade die Upload-Filter §17 beschlossen haben? Ich persönlich bin von diesem Weg nicht wirklich überzeugt.
Ich mache keinen Hehl drauss, dass ich dem Standard-Nutzer von Computern nicht sonderlich viel zutraue. Die meisten Betreiber von Mail-Schleudern, welche unser Ticket-System zuspammen, sagen von sich, dass diese ein aktuelles BS und Software verwenden. Ich brauche wohl nicht extra zu erwähnen um welches BS sich dabei handelt. Wem nutzt denn diese ganze Featuris? Dem Nutzer? Das bezweifle ich doch mal ganz stark! Der Großteil, und ich zähle mich dazu, kennt diese Funktionen nicht oder will diese auch nicht nutzen. Wozu brauche ich eine Anzeige für PDFs im Browser? Alles aktuelle Systeme, trotzdem Problemfälle. An der Aktualität der Software kann es wohl nicht liegen.
Das kann jetzt gerne mal jede / jeder / jedes für sich selbst herausfinden. Die Frage lautet: Cui bono - wem nutzt es? Dass es dem Anwender nutzt halte ich für ein vorgeschobenes Argument. Nutzt es vielleicht der Werbeindustrie? Ganz vorne die seriösen und unverdächtigen Firmen wie Google, Amazon, Ebay, Otto und so weiter? Reine Verschwörungstheorie.... Gäbe es vielleicht noch andere Nutznießer? Edward Snowdon hatte einige erwähnt..... aber das ist ja auch reine VT. "Zwinker-Smiley"
Dem Nutzer wird diese Funktionalität doch von den Entwicklern der Browser aufoktruiert, mit der Prämisse, diese diene dem Nutzer. Ach.... (frei nach Loriot). Wer oder was jetzt dahinter steckt, das hat Snowdon.... ach, der mit der VT.......
Yamagi hat in dem Post bestätigt, dass die Abschaltung von JavaScript nützlich wäre. Und genau hier beisst sich die Katze in den eigenen Schwanz. Auf der einen Seite sagt er, genauso wie CommanderZed und Azazyel, dass der User mit dem veralteten Browser die Problematik darstellt, beschreibt aber hier genau den echten Hintergrund. Denn, ohne JavaScript funktionieren viele Webseiten nicht mehr und was dieses Script macht, das ist unbekannt. Könnte man vielleicht herausfinden, aber wie hoch ist der Zeitaufwand? Vielmehr, wer hat den technischen HIntergrund dies zu tun? Wenn also selbst eine seriöse und vertrauenswürdige Seite Schadcode ausliefern kann, wo ist dann das Problem? Nicht eines, viele: HTML5, JavaScrpt...... und so weiter. In diesem Fall also keines, wofür der Anwender verantwortlich wäre. Womit also die Mär entkräftet ist, dass die Mehrzahl der Benutzer an dem eigentliche Problem verantwortlich sind.
Meine Meinung zu dem Thema:
Die Nutzer von "veralteter" Software stellen nicht wirklich die Problematik dar. Problemverursacher verwenden in der Regel die Einstellung: "Automatische Updates" "Zwinker-Smiley". Außerdem behaupte ich, dass administrierte BSD-Systeme daran einen Anteil von kleiner 0% haben. Wie das bei IoT-Geräten aussieht entzieht sich meiner Kenntnis, ist aber wohl auch nicht Gegenstand der Diskussion, da sich dort wohl auch kein aktueller FatFox installieren ließe. Die Funktionalität kommt von den Herstellern der Browser, von welchen es meines Wissens nach nur wirklich einen gibt: Google. Wer jetzt den FatFox ins Feld führt, sollte sich mal nach der Finanzierung der Mozilla Org fragen. ... ui... ui... ui... VT.
Was soll man als Nutzer im WWW denn machen? Statt sich in diesen Schleifen wieder zu finden, wo über sicher und unsicher nutzlos diskutiert wird, wäre es doch an der Zeit für ein Thema: "Wie konfiguriere ich den "Browser" richtig sicher". Diesen Part habe ich auf den drei Seiten leider vermisst. Pi-Hole wäre in etlichen Fällen eine tolle Nummer. Habe ich allerdings nicht ausprobiert. So in Richtung Lösungsorientierung zu gehen, das wäre klasse. Wenn jemand einen alten Browser verwenden möchte / muss, dann soll er diesen doch bitte in eine Jail oder eine Virtualiserte Umgebung packen, ohne Zugriff auf das reguläre BS (Meine Meinung: So, würde ich das machen... sofern möglich). Was die echten Probleme bezüglich HTML5 und JavaScript betrifft, das, ist eine andere Geschichte, welche von uns aktiv niemand beeinflussen kann.
Um mal auf den Threadopener series300 zurück zu kommen: Ich bin auch der Meinung, dass sich die Browser in eine ganz miese Richtung entwickeln. Die ganze Entwicklung läuft an vielen alternativen BS vorbei, teilweise auch vermutlich gewollt. Aber der Browser ist doch nur das Endprodukt des Problems. Wer war zuerst da, das Huhn oder das Ei? Hat zuerst die Webseite die Funktionalität zur Verfügung gestellt, oder der Browser? Keines, HTML hat das gemacht, welches aus einem ganz anderen Stall kommt. Beide, der Seitenbeteiber und auch der Hersteller des Browsers bedienen sich dieser Funktionalität. Das geht dann noch weiter über....
Wie wäre es, wenn wir das Augenmerk einfach mal von der Gruppe der Benutzer von Altsoftware, welche ja laut diesen Thread per se ohne Berücksichtigung auf Sicherheit konzipiert wurde, auf die Entwickler des ganzen Gedöns richten? Die schreiben die Software also immer neu? Nun ja.....
Vorschlag:
Es sollte im Wiki ein allgemeines Thema erstellt werden für die Benutzung des Internets, Gefahren und Sicherheit. Auf der andern Seite auch Rubriken für die Einstellungen bei Webbrowsern in Sachen Sicherheit. Ich bin gerne bereit meinen Anteil daran zu übernehmen.