Habe nur ich den Eindruck, daß unter FreeBSD die Zahl der fließend benutzbaren Browser ziemlich beschränkt ist?

Frage: Auf welche Seiten muss man denn gehen, um sich durch Sicherheitsluecken etwas einzufangen? Wenn ich einen veralteten Browser nutze und nur Newsseiten wie heise.de, golem.de, computerbase.de oder Foren wie bsdforen.de usw. besuche, sollten veraltete Browser doch kein Problem sein, oder sehe ich das falsch? Wie sieht die Situation aus, wenn ich Javascript deaktiviere und nur selektiv auf vertrauenswuerdigen Seiten aktiviere?
 
Wenn ich einen veralteten Browser nutze und nur Newsseiten wie heise.de, golem.de, computerbase.de oder Foren wie bsdforen.de usw. besuche, sollten veraltete Browser doch kein Problem sein, oder sehe ich das falsch?
Das Hauptproblem ist, dass Seiten keinen Einfluss auf die geschaltete Werbung haben und oft Assets wie Bilder oder Javascripte von Drittquellen laden. Eine Seite kann absolut seriös sein, wenn ein bösartiges Werbebanner eingeblendet wird, hat man verloren. Das ist auch gleich ein sehr gutes Argument nur mit einem wirksamen Werbeblocker ins Netz zu gehen. Und man muss im Hinterkopf behalten, dass jede Seite potentiell gehijackt sein kann. Niemand von weiß mit 100% Sicherheit, dass zum Beispiel BSDForen beim nächsten Request nicht direkt oder direkt durch eine Drittquelle ein bösartiges Javascript ausliefert.

Wie sieht die Situation aus, wenn ich Javascript deaktiviere und nur selektiv auf vertrauenswuerdigen Seiten aktiviere?
Das wäre tatsächlich wirksam. Viele Teile von Browser sind problematisch - vor allem das Parsen von per Definition kaputten HTML und CSS, aber auch peinliche Bugs wie Codeausführung durch manipulierte Bilder - aber die Javascript-Engine dürfte tatsächlich ein Großteil der Angriffsfläche sein. Schon alleine, weil sie so schön programmierbar ist.
 
Frage: Auf welche Seiten muss man denn gehen, um sich durch Sicherheitsluecken etwas einzufangen? Wenn ich einen veralteten Browser nutze und nur Newsseiten wie heise.de, golem.de, computerbase.de oder Foren wie bsdforen.de usw. besuche, sollten veraltete Browser doch kein Problem sein, oder sehe ich das falsch? Wie sieht die Situation aus, wenn ich Javascript deaktiviere und nur selektiv auf vertrauenswuerdigen Seiten aktiviere?

Natürlich wird die angriffsfläche deutlich kleiner.

Es gab / gibt ja auch angriffe über problematische JPEGS, irgendwelches zeugs direkt im HTML, CSS oder im http(s) etc.

Und wer sagt dir das nicht golem & wegen ner blöden Werbung oder sonst was dir unabsichtlich was unterjubeln?

Ich denke man kann schon recht belastbar sagen: Wer im "www" unterwegs ist, sollte nen aktuellen, durchgepatchtes Betriebsystem und einen aktuellen Browser mit allen patches verwenden.

(Und es geht ja auch noch weiter ... gab ja auch in einigen PDF-Betrachtern zb diverse Sicherheitslücken ... gerade momentan, schnell Scriptfrei nen Formular von ner öffentlichen vertrauenserweckenden Seite zb der eigenen Stadt runtergeladen, und dann hatte die Sachbearbeiterin bei der Stadt zb zum erstellungszeitraum nen Virus drauf ... und dein veralteter PDF-Betrachter war dann das Problem, garnicht der Browser ... etc.)
 
Ich war früher kein Freund solcher Ideen, inzwischen denke ich anders: Zumindest in die verbreiteten Endnutzerbetriebssysteme - also vor allem MacOS und Windows, sowie Android und iOS - gehört ein Killswitch eingebaut. Wenn das Supportende erreicht ist, sind Internetverbindungen nicht mehr möglich.

Ja, und dann muss man konsequenterweise auch die selberkompilierten Betriebssysteme im Internet verbieten - gleiches Recht für alle, und es könnte ja sein, dass da jemand im Quellcode die Sicherheitsmechanismen ausser kraft setzt.

Und da wird es eh hingehen, denn das wollen ja die digital-rights Leute schon lange.

Was dabei auch bedeutsam ist (das ist mir mal aufgefallen, als ich mit kommerziellen OS gearbeitet hab): auf diesen OS, wo es keine Sourcen gibt, kommen die SSL-Sicherheitspatches zuweilen erst ein Jahr später. Warum, darüber kann man spekulieren.

Was mir aber vor allem auffällt, ist eine Veränderung im Sentiment:
Mein Rechner steht seit knapp zwanzig Jahren im Internet (also mit fixer IP als Server), und damals war man noch stolz drauf, wenn man eine stattliche uptime von vielleicht ein paar Jahren vorweisen konnte. Heute dagegen heißt es überall, dass man doch unbedingt wenigstens alle drei Monate Sicherheitsfixe installieren muss.

Was also hat sich da geändert? Sind die Maschinen unsicherer geworden? Das kann nicht sein, ganz im Gegenteil, es wurden ja ständig alte Löcher geschlossen - und was wir heute an security-fixes sehen, sind zu einem Großteil Defekte in neuen Funktionen.
Ist das Internet gefährlicher geworden? Ich wüßte nicht inwiefern - auf meiner Kiste wurde vor 20 Jahren rumgehackt, und wird heute rumgehackt, einen großen Unterschied sehe ich nicht.
Vielleicht übersehe ich da ja was wesentliches, aber soweit ich sehe, bleibt nur die Erklärung: die Leute sind nervöser oder hysterischer geworden.

Was dabei störend ist: dass weniger Aufmerksamkeit übrigbleibt für rein funktionale defects, die kein Sicherheitsproblem bringen, deren Behebung also "lediglich" das System besser machen würde.

Zack, aus und vorbei. Um die unbedarften und das Problem oft gar nicht verstehenden Endnutzer vor sich selbst zu schützen. Vor allem aber, um den Rest der Welt vor den Folgen zu schützen. Konkret Millionen Zombiemaschinen im Netz, die für jeden erdenklichen kriminellen Müll missbraucht werden.

In der Sicherheitstechnik hält man es ja üblicherweise so, dass man erstmal Angriffsziele identifiziert.
Was ist an einem Endpunkt-Browser das Angriffsziel?

Erstmal natürlich: wenn der gehackt ist, dann ist alles was der Benutzer eingibt, unsicher. Internet-Shopping, Banking, Kreditkarten - alles gelaufen. Das fällt aber unter persönliches Pech.
Wo ist nun die große Gefahr für den rest der Welt? Klar, der Rechner kann Webserver kontaktieren und hacken - dann sind alle Webserver im Internet gehackt. Aber natürlich nur die, die unsicher sind. Also, ich schaffe es nicht, das Problem dabei zu sehen.

Ich weiss noch von meinen Nachbarn. Damals, als noch nicht jeder DSL hatte, haben die sich per Modem eingewählt. Also hab ich gesagt, nehmt doch einfach mein WLAN, das ist eh da. Am nächsten Tag bin ich von außen nicht mehr auf meine Maschine gekommen, weil die Leitung verstopft war. Der Grund war auch schnell gefunden: das Ding war damit beschäftigt, Mails zu verschicken. Hat sich dann als uraltes völlig ungepatchtes Windows entpuppt. Und war auch schnell gefixt. Die Kiste hat das sicher schon lange getan, aber auf meiner Leitung isses mir dann halt aufgefallen, und wurde behoben. Alles gut.

Natürlich ist Law&Order wichtig. Wir brauchen strikte Gesetze und strikte Kontrollen. Sonst könnte ja jeder machen was er will.
Es gibt da aber noch einen anderen Aspekt: die ganzen Gadgets, IP-Telefone, Router, IoT-undsoweiter. Die haben alle ein m.o.w. altes embedded Linux und haben auch alle Internet- bzw. Webfunktionalität. Und Patche sind da Glückssache, wenn denn überhaupt vorgesehen. Die müssten sich dann auch nach ein paar Jahren automatisch abschalten.

Und da gibt es auch Leute, die sehr dafür sind. Das nennt man geplante Obsoleszenz: nur wenn man das alte Stück wegschmeißen muss, kauft man ein neues.

Und ich dachte immer: wir haben Berkeley-OS, wir haben den Quellcode, wir haben alle Möglichkeiten um selber zu verstehen wie das alles genau funktioniert. Und das ist die Voraussetzung um selber zu einer korrekten Risikobewertung zu kommen - um eben nicht die neue Technik in Gedanken zu einem unbegreifbaren Dämon zu machen, der nur durch von einer Priesterschaft vorgegebene Rituale gnädig zu stimmen ist.

Ja gut, vielleicht sollte man sowas wie einen "Internet-Führerschein" einführen, für all die vielen Leute, die so gar keine Ahnung haben auf was es eigentlich ankommt. Aber dann gibt das auch wieder nur neue Behörden und neue Gebühren - und eine Gefahr für Leib und Leben besteht ja nicht.
 
Mein Rechner steht seit knapp zwanzig Jahren im Internet (also mit fixer IP als Server), und damals war man noch stolz drauf, wenn man eine stattliche uptime von vielleicht ein paar Jahren vorweisen konnte.

Lange Uptimes sind (selbst mit Windows) keine Herausforderung mehr, aber ein absolutes Anti-Pattern. Zuviele Rechner haben nach einem Reboot nicht mehr funktioniert, weil irgendeine Änderung eines Admins nicht persistent und nach dem Reboot weg war.

Wer als Admin nicht regelmäßig sicherstellt, dass seine Systeme auch nach einem Neuanlauf noch funktionieren, sollte sich heutzutage die Sinnfrage stellen. Sofern man ein hochverfügbares System hat, rebootet man heutzutage üblicherweise nach jeder nennenswerten Konfigurationsänderung die Instanzen (oder provisioniert gleich neu).

Heute dagegen heißt es überall, dass man doch unbedingt wenigstens alle drei Monate Sicherheitsfixe installieren muss.

Alle 3 Monate?! Man installiert Security-Fixes so schnell wie möglich. Im professionellen Umfeld hat man hoffentlich Infrastructure as Code und kann seine Umgebungen jederzeit zeitnah reproduzierbar konfigurieren, provisionieren, testen und ausrollen.

Was also hat sich da geändert? Sind die Maschinen unsicherer geworden? Das kann nicht sein, ganz im Gegenteil, es wurden ja ständig alte Löcher geschlossen - und was wir heute an security-fixes sehen, sind zu einem Großteil Defekte in neuen Funktionen.

Alter Code wurde meist ohne Bewusstsein für Security entwickelt und ist deutlich gefährlicher als neuer Code.

Was dabei störend ist: dass weniger Aufmerksamkeit übrigbleibt für rein funktionale defects, die kein Sicherheitsproblem bringen, deren Behebung also "lediglich" das System besser machen würde.

Was schlägst du vor? Auf Security verzichten? Auf Weiterentwicklung verzichten? ;)

Ist das Internet gefährlicher geworden? Ich wüßte nicht inwiefern - auf meiner Kiste wurde vor 20 Jahren rumgehackt, und wird heute rumgehackt, einen großen Unterschied sehe ich nicht.

Es sind zum einen deutlich mehr Rechner und Anwendungen vernetzt, von denen viele zusätzlich mehr oder minder direkt am Internet hängen. Abgeschottete Intranet-Umgebungen ohne Verbindung zum Internet sind recht selten geworden.

Zum anderen gibt es inzwischen eine ganze Industrie, die mit Handel und Ausnutzung von Sicherheitslücken ihr Geld verdient.

Wo ist nun die große Gefahr für den rest der Welt? Klar, der Rechner kann Webserver kontaktieren und hacken - dann sind alle Webserver im Internet gehackt. Aber natürlich nur die, die unsicher sind.

Du kannst via Angriff auf den Browser beliebige Befehle bzw. Software ausführen und den Rechner dann u.a. für Distributed Denial of Service verwenden.

Beliebt ist auch Ransomware, die Verschlüsselung aller auf und von diesem Rechner erreichbaren Daten (z.B. auf Fileshares) und nachfolgende Erpressung (Entschlüsselung nur gegen Bezahlung).

Und ich dachte immer: wir haben Berkeley-OS, wir haben den Quellcode, wir haben alle Möglichkeiten um selber zu verstehen wie das alles genau funktioniert.

Es dürfte in nur einem Menschenleben nicht mehr möglich sein, den kompletten Stack in ausreichender Tiefe zu durchdringen, selbst wenn man sich Vollzeit damit beschäftigt. Allein jeder Browser hat inzwischen ein paar Millionen Zeilen Quellcode.
 
Ja, und dann muss man konsequenterweise auch die selberkompilierten Betriebssysteme im Internet verbieten - gleiches Recht für alle, und es könnte ja sein, dass da jemand im Quellcode die Sicherheitsmechanismen ausser kraft setzt.
Dann müsstest Du ja programmieren komplett verbieten. Denn ich brauch keinen offenen Quellcode. Ich kann mir auch meine eigene (und dann extra unsichere) Software schreiben.

Aber das ist auch gar nicht das, worum es Yamagi ging. Es ging um den unbedarften Nutzer der sich nicht auskennt. Damit der nicht versehentlich oder fahrlässigerweise mit alter, unsicherer Software unterwegs ist.
Wer mit Quelltexten was anfangen kann, der ist ohnehin kein Unbedarfter.
Jedenfalls hab ich das so verstanden.

Abgesehen davon sind Browser heute zu komplex. Was da alles drin steckt ist inzwischen mehr als zuviel des Guten. Einfacher wäre in dem Fall besser.
Noch schöner wäre es freilich, wenn wir die Softwarequalität endlich mal auf ein akzeptables Level heben könnten. Was immer als Grund dagegen angeführt wird es nicht zu tun ist, das die Kosten steigen würden. Rechnet man aber mal gegen was Sicherheitsprobleme/Bugs an Kosten verursachen dann sieht die Sache schon anders aus. Würde man dann noch darauf verzichten hunderte von Features einzubauen die letztlich eh niemand braucht, würde das die Kosten nochmals senken.
Leider ist es im Augenblick so, das die Marktsituation feature-reiche und qualitativ fragwürde Software eher befördert wird.
 
Diese Aussage
"
All Platforms
On all platforms, the following tools are required at build time:
Python 2.7.5 or later. Python 3 is not supported.

"

von < https://doc.qt.io/qt-5/qtwebengine-platform-notes.html#all-platforms >

erhöht jetzt nicht gerade mein Vertrauen in ausgereiftes SW Engineering bei der qt webeingine, die ja von einigen Browsern benutzt wird. Gut geht nur um den Build-Prozess, aber das Ende von Python2 ist nun doch schon ein paar Jahre bekannt.
 
Dann müsstest Du ja programmieren komplett verbieten. Denn ich brauch keinen offenen Quellcode. Ich kann mir auch meine eigene (und dann extra unsichere) Software schreiben.

Aber das ist auch gar nicht das, worum es Yamagi ging. Es ging um den unbedarften Nutzer der sich nicht auskennt. Damit der nicht versehentlich oder fahrlässigerweise mit alter, unsicherer Software unterwegs ist.
Wer mit Quelltexten was anfangen kann, der ist ohnehin kein Unbedarfter.
Jedenfalls hab ich das so verstanden.
Ja das verstehst Du so und das versteh ich so. Aber wie verstehen es die betreffenden Stakeholder?

Die Stakeholder, das wären in dem fall dann EU-Beamte in Brüssel. Und von da kommen ja schon immer wieder allerlei interessante neue Vorschriften.
 
Alle 3 Monate?! Man installiert Security-Fixes so schnell wie möglich.
Wenn man meint dass das nottut.

Aber das meine ich eben: man installiert Security fixe so schnell wie möglich. Sie zu lesen (um dann zB zu sehen dass man die betroffene Software nichtmal verwendet), dafür bleibt keine zeit mehr.
Und da sehe ich die Grenze zwischen sinnvoller Vorsicht und blinder Ritualistik: im letzteren Fall opfert man dem Computer Sicherheitspatche, so wie man einem Drachen Jungfrauen opfern würde, in der Hoffnung dass es irgendwas helfen möge...

Was schlägst du vor? Auf Security verzichten? Auf Weiterentwicklung verzichten? ;)
Auf beides verzichten? Oder gleich ganz auf Computer verzichten, und zurück zur Natur? :)

Nein, ernsthaft: An der Börse, da wissen wir, wird alles von Angst und Gier gesteuert. In der IT möchte ich eher nicht, dass Entwicklungen von Emotionen getrieben werden.

Es sind zum einen deutlich mehr Rechner und Anwendungen vernetzt, von denen viele zusätzlich mehr oder minder direkt am Internet hängen. Abgeschottete Intranet-Umgebungen ohne Verbindung zum Internet sind recht selten geworden.
Also Du meinst, die Rechner sind nicht unsicherer geworden, das Internet nicht so viel gefährlicher, aber viel mehr Dinge hängen darin zusammen und voneinander ab.
Das ist natürlich ein Punkt - aber eben ein emotionaler Punkt: <das darf nicht scheitern weil so viel davon abhängt>.
Das habe ich oft bei Managern erlebt, die systematisch Stress zu verbreiten versuchen, indem sie erzählen wieviel Geld von dem (gerade relevanten) Problem angeblich abhängt. Eine zur Fehlerfindung völlig wertlose Information, denn ein Bit funktioniert ja nicht anders, ob es nun einen Cent, einen Euro oder eine Million Euro kostet.

Zum anderen gibt es inzwischen eine ganze Industrie, die mit Handel und Ausnutzung von Sicherheitslücken ihr Geld verdient.

Welche meinst Du? Die, die die Angst der Unternehmen vor Hackern profitabel auszunutzen wissen, oder die im Darknet?
Wobei ich nicht weiss, ob zwischen den beiden ein Unterschied ist - wohin gehört beispielweise die Firma, die meine IP-Adresse auf eine Spamschutz-Liste (sog. "RBL") gesetzt hat, und nun von mir Lösegeld abpresst, wenn ich mails verschicken will?
(Die IP hab ich im Juni neu vom Provider gekauft, keine Ahnung was damit vorher gemacht wurde)

Du kannst via Angriff auf den Browser beliebige Befehle bzw. Software ausführen und den Rechner dann u.a. für Distributed Denial of Service verwenden.
Ja - aber nur als der User, der den Browser aufgerufen hat. Oder kurz gesagt, man kann alles das machen, was dieser User eben machen könnte.

Beliebt ist auch Ransomware, die Verschlüsselung aller auf und von diesem Rechner erreichbaren Daten (z.B. auf Fileshares) und nachfolgende Erpressung (Entschlüsselung nur gegen Bezahlung
Ich versteh nicht, warum das immer noch diskutiert wird. Ich hab es zuerst für einen Witz gehalten - aber wenn es das wirklich gibt: sind die vorhandenen Infrastrukturen wirklich so mistig, dass sie damit ein Problem haben? (Platten könne sterben, Hardware kann vom Blitz getroffen werden, und dann sind die Daten ebenso weg, d.h. der Fall muss in einem contingency plan bereits enthalten sein.)

Das ist dann genau das was ich oben meine mit technischen Verbesserungen: anstatt fetischartig installierter Sicherheitspätsche: die Infrastruktur technisch so gestalten, dass derlei Späßchen ihr gar nichts anhaben können (weil man dann zB einfach neu installiert und den backup zurückspielt). Dann kommt man an einen Punkt, wo man sehr gelassen dasitzen kann und keinen panischen Aktivismus mehr braucht.

(Wobei das bitte nicht zu verwechseln ist mit den Mails die du kriegst, wenn man dich beim Pornogucken gefilmt hat, und du dann einige BC bezahlen musst, damit das Filmchen und die Liste deiner Pornosammlung wieder gelöscht wird.)

Es dürfte in nur einem Menschenleben nicht mehr möglich sein, den kompletten Stack in ausreichender Tiefe zu durchdringen, selbst wenn man sich Vollzeit damit beschäftigt. Allein jeder Browser hat inzwischen ein paar Millionen Zeilen Quellcode.
Den Eindruck hatte ich schon, als ich meine erste (FreeBSD 2.1.6) CD gekriegt hab.
Und dennoch fand ich es immer wichtig, hier zu stehen und für die Ent-Mystifizierung dieser Technik einzutreten - mystifiziert wird sie ja von ganz allein.
 
Ja - aber nur als der User, der den Browser aufgerufen hat.
und wenn es eine entsprechende Schwachstelle im Browser gibt, sogar mehr.
https://www.cvedetails.com/cve/CVE-2021-40494/ z.B. hat man als erfolgreicher Angreifer gleich Admin-Rechte.

Ich versteh nicht, warum das immer noch diskutiert wird.
Das hängt einfach vom Backup-Konzept ab. Gegen den Ausfall einer Festplatte hat man ja normalerweise ein RAID laufen und für den Rest ein Backup, das man wieder einspielt. Und wenn nun der Angreifer auch das Backup verschlüsselt?

Angreifer sind bei entsprechend lukrativen Zielen eine ganze Weile in der Infrastruktur unterwegs. Da haben sie genug Zeit, Prozesse zu beobachten und Schwachstellen darin zu finden.
Du hast kein offline-Backup? -> Wird das Backup und die Live-Daten verschlüsselt
Du hast mehrere Rechenzentren? -> Werden eben beide gleichzeitig verschlüsselt.
Du hast ein Offline-Backup -> werden über einen längeren Zeitraum nur Teile in Dateien verschlüsselt und so das Backup vergiftet.
Dein Backup-Konzept ist "lückenlos" -> Wird trotzdem verschlüsselt und zusätzlich werden die Daten rausgetragen und du wirst mit der Veröffentlichung erpresst.

weil man dann zB einfach neu installiert und den backup zurückspielt
Wie stellst du denn sicher, dass die Angreifer dann nicht über den gleichen Weg wieder reinkommen?

Das Konzept ist im kleinen Umfeld ein No-Brainer, wenn man aber mehrere TB Daten hat und die aus dem Offline-Backup wiederherstellen muss, ist das eben nicht mal in 5min erledigt.
 
Ich habe mal stellvertretend einen Post zwischen Yamagi und midnight ausgeschnitten, welcher die eigentliche Problemtik sehr gut zusammenfasst:

Wenn ich einen veralteten Browser nutze und nur Newsseiten wie heise.de, golem.de, computerbase.de oder Foren wie bsdforen.de usw. besuche, sollten veraltete Browser doch kein Problem sein, oder sehe ich das falsch?
Das Hauptproblem ist, dass Seiten keinen Einfluss auf die geschaltete Werbung haben und oft Assets wie Bilder oder Javascripte von Drittquellen laden. Eine Seite kann absolut seriös sein, wenn ein bösartiges Werbebanner eingeblendet wird, hat man verloren. Das ist auch gleich ein sehr gutes Argument nur mit einem wirksamen Werbeblocker ins Netz zu gehen. Und man muss im Hinterkopf behalten, dass jede Seite potentiell gehijackt sein kann. Niemand von weiß mit 100% Sicherheit, dass zum Beispiel BSDForen beim nächsten Request nicht direkt oder direkt durch eine Drittquelle ein bösartiges Javascript ausliefert.


Wie sieht die Situation aus, wenn ich Javascript deaktiviere und nur selektiv auf vertrauenswuerdigen Seiten aktiviere?
Das wäre tatsächlich wirksam. Viele Teile von Browser sind problematisch - vor allem das Parsen von per Definition kaputten HTML und CSS, aber auch peinliche Bugs wie Codeausführung durch manipulierte Bilder - aber die Javascript-Engine dürfte tatsächlich ein Großteil der Angriffsfläche sein. Schon alleine, weil sie so schön programmierbar ist.
Wir haben es hier mit einem "Die Katze beisst sich in den eigenen Schwanz"-Problem zu tun. Denn, um die neuesten Errungenschaften der Webseitendesigner genießen zu können, benötige ich in der Regel einen aktuellen Browser. Mit einem "aktuellen" Palemoon könnte ich kein Online-Banking mehr betreiben, da der Browser mit der Webseite der Bank nicht mehr richtig interagiert. Selbst bei einigen News-Seiten benötige ich die neuesten Features, damit mir der Betreiber überhaupt etwas zum Lesen anbietet.

Midnight fragt jetzt, ob veraltete Browser vielleicht doch nicht das Problem sind. Und genau hier beginnt das Problem. Nur weil ein Browser älter oder auch alt ist, bedeutet es ja nicht per se, dass es auch unsichere Software ist, oder dieser deswegen automatisch Probleme verursachen kann. Aber hier spricht Yamagi einen Punkt an, welcher auch, oder sogar eher für die Anfälligkeit von modernen Browsern zutrifft: Featuritis!

Kennt jemand die Serie Spongebob? Welch Frage... Blaubarsch-Bube und Meerjungfrau-Mann sitzen zusammen und Spongebob kommt mit Patrick in die Höhle und fragt: Kurze Zwischenfrage: Wie sehr ist hier das OS wichtig, um Browsersicherheitsthemen zu bedienen? Hab ich beispielsweise größere Probleme, wenn ich einen aktuellen Firefox unter macOS High Sierra laufen lasse?

Was kommt? Beide rufen im Chor: "Das Böööööööööse!" In diesem Fall wird allerdings ausser Acht gelassen, dass zu diesem Problem mindestens 4 oder 5 Parteien gehören und nicht nur der Nutzer eines veralteten Browsers. Yamagi hat das Hauptproblem doch sehr gut geschildert: "geschaltete Werbung haben und oft Assets wie Bilder oder Javascripte von Drittquellen". Ist das jetzt meine Aufgabe als Nutzer dies zu prüfen, oder ist da nicht der Seitenbetreiber in der Verantwortung? Oder gehören diese Errungenschaften doch zu den Geistern des Zauberlehrlings, welche dieser rief?

Es wird auch ein Killswitch gefordert, dass eine Software, welche nicht mehr supportet wird, sich nicht mehr ins Internet einwählen kann. Dann wird noch nach strikteren Gesetzen gerufen.... wer soll die machen? Die, die sagen dass das Internet Neuland ist, oder welche gerade die Upload-Filter §17 beschlossen haben? Ich persönlich bin von diesem Weg nicht wirklich überzeugt.

Ich mache keinen Hehl drauss, dass ich dem Standard-Nutzer von Computern nicht sonderlich viel zutraue. Die meisten Betreiber von Mail-Schleudern, welche unser Ticket-System zuspammen, sagen von sich, dass diese ein aktuelles BS und Software verwenden. Ich brauche wohl nicht extra zu erwähnen um welches BS sich dabei handelt. Wem nutzt denn diese ganze Featuris? Dem Nutzer? Das bezweifle ich doch mal ganz stark! Der Großteil, und ich zähle mich dazu, kennt diese Funktionen nicht oder will diese auch nicht nutzen. Wozu brauche ich eine Anzeige für PDFs im Browser? Alles aktuelle Systeme, trotzdem Problemfälle. An der Aktualität der Software kann es wohl nicht liegen.

Das kann jetzt gerne mal jede / jeder / jedes für sich selbst herausfinden. Die Frage lautet: Cui bono - wem nutzt es? Dass es dem Anwender nutzt halte ich für ein vorgeschobenes Argument. Nutzt es vielleicht der Werbeindustrie? Ganz vorne die seriösen und unverdächtigen Firmen wie Google, Amazon, Ebay, Otto und so weiter? Reine Verschwörungstheorie.... Gäbe es vielleicht noch andere Nutznießer? Edward Snowdon hatte einige erwähnt..... aber das ist ja auch reine VT. "Zwinker-Smiley"

Dem Nutzer wird diese Funktionalität doch von den Entwicklern der Browser aufoktruiert, mit der Prämisse, diese diene dem Nutzer. Ach.... (frei nach Loriot). Wer oder was jetzt dahinter steckt, das hat Snowdon.... ach, der mit der VT.......

Yamagi hat in dem Post bestätigt, dass die Abschaltung von JavaScript nützlich wäre. Und genau hier beisst sich die Katze in den eigenen Schwanz. Auf der einen Seite sagt er, genauso wie CommanderZed und Azazyel, dass der User mit dem veralteten Browser die Problematik darstellt, beschreibt aber hier genau den echten Hintergrund. Denn, ohne JavaScript funktionieren viele Webseiten nicht mehr und was dieses Script macht, das ist unbekannt. Könnte man vielleicht herausfinden, aber wie hoch ist der Zeitaufwand? Vielmehr, wer hat den technischen HIntergrund dies zu tun? Wenn also selbst eine seriöse und vertrauenswürdige Seite Schadcode ausliefern kann, wo ist dann das Problem? Nicht eines, viele: HTML5, JavaScrpt...... und so weiter. In diesem Fall also keines, wofür der Anwender verantwortlich wäre. Womit also die Mär entkräftet ist, dass die Mehrzahl der Benutzer an dem eigentliche Problem verantwortlich sind.

Meine Meinung zu dem Thema:
Die Nutzer von "veralteter" Software stellen nicht wirklich die Problematik dar. Problemverursacher verwenden in der Regel die Einstellung: "Automatische Updates" "Zwinker-Smiley". Außerdem behaupte ich, dass administrierte BSD-Systeme daran einen Anteil von kleiner 0% haben. Wie das bei IoT-Geräten aussieht entzieht sich meiner Kenntnis, ist aber wohl auch nicht Gegenstand der Diskussion, da sich dort wohl auch kein aktueller FatFox installieren ließe. Die Funktionalität kommt von den Herstellern der Browser, von welchen es meines Wissens nach nur wirklich einen gibt: Google. Wer jetzt den FatFox ins Feld führt, sollte sich mal nach der Finanzierung der Mozilla Org fragen. ... ui... ui... ui... VT.

Was soll man als Nutzer im WWW denn machen? Statt sich in diesen Schleifen wieder zu finden, wo über sicher und unsicher nutzlos diskutiert wird, wäre es doch an der Zeit für ein Thema: "Wie konfiguriere ich den "Browser" richtig sicher". Diesen Part habe ich auf den drei Seiten leider vermisst. Pi-Hole wäre in etlichen Fällen eine tolle Nummer. Habe ich allerdings nicht ausprobiert. So in Richtung Lösungsorientierung zu gehen, das wäre klasse. Wenn jemand einen alten Browser verwenden möchte / muss, dann soll er diesen doch bitte in eine Jail oder eine Virtualiserte Umgebung packen, ohne Zugriff auf das reguläre BS (Meine Meinung: So, würde ich das machen... sofern möglich). Was die echten Probleme bezüglich HTML5 und JavaScript betrifft, das, ist eine andere Geschichte, welche von uns aktiv niemand beeinflussen kann.

Um mal auf den Threadopener series300 zurück zu kommen: Ich bin auch der Meinung, dass sich die Browser in eine ganz miese Richtung entwickeln. Die ganze Entwicklung läuft an vielen alternativen BS vorbei, teilweise auch vermutlich gewollt. Aber der Browser ist doch nur das Endprodukt des Problems. Wer war zuerst da, das Huhn oder das Ei? Hat zuerst die Webseite die Funktionalität zur Verfügung gestellt, oder der Browser? Keines, HTML hat das gemacht, welches aus einem ganz anderen Stall kommt. Beide, der Seitenbeteiber und auch der Hersteller des Browsers bedienen sich dieser Funktionalität. Das geht dann noch weiter über....

Wie wäre es, wenn wir das Augenmerk einfach mal von der Gruppe der Benutzer von Altsoftware, welche ja laut diesen Thread per se ohne Berücksichtigung auf Sicherheit konzipiert wurde, auf die Entwickler des ganzen Gedöns richten? Die schreiben die Software also immer neu? Nun ja.....

Vorschlag:
Es sollte im Wiki ein allgemeines Thema erstellt werden für die Benutzung des Internets, Gefahren und Sicherheit. Auf der andern Seite auch Rubriken für die Einstellungen bei Webbrowsern in Sachen Sicherheit. Ich bin gerne bereit meinen Anteil daran zu übernehmen.
 
und wenn es eine entsprechende Schwachstelle im Browser gibt, sogar mehr.
https://www.cvedetails.com/cve/CVE-2021-40494/ z.B. hat man als erfolgreicher Angreifer gleich Admin-Rechte.
Ja nu - wenn man den Browser nimmt um seine Guest-Container zu steuern...
Ich mach das anders - ich nehm schlichte alte rc.d scripte für die Guest-Container, aber ich nehm den Browser um die Firewalls zu konfigurieren - da kann dann der Angreifer sich gleich seine benötigten Hintertüren einbauen. gg

Das hängt einfach vom Backup-Konzept ab. Gegen den Ausfall einer Festplatte hat man ja normalerweise ein RAID laufen und für den Rest ein Backup, das man wieder einspielt. Und wenn nun der Angreifer auch das Backup verschlüsselt?
Dazu muss er root sein. Dann kann er die Schlüssel im Backup-Client austauschen. Das muss dann eine ganze Weile lang bestehenbleiben, bis die alten Backups (die noch mit dem regulären Schlüssel verschlüsselt sind) veraltet sind. Und derweil läuft man gefahr, dass jemand bei einem Restore merkt, dass da was nicht stimmt.

Angreifer sind bei entsprechend lukrativen Zielen eine ganze Weile in der Infrastruktur unterwegs. Da haben sie genug Zeit, Prozesse zu beobachten und Schwachstellen darin zu finden.
Du hast kein offline-Backup? -> Wird das Backup und die Live-Daten verschlüsselt
Du hast mehrere Rechenzentren? -> Werden eben beide gleichzeitig verschlüsselt.
Du hast ein Offline-Backup -> werden über einen längeren Zeitraum nur Teile in Dateien verschlüsselt und so das Backup vergiftet.
Dein Backup-Konzept ist "lückenlos" -> Wird trotzdem verschlüsselt und zusätzlich werden die Daten rausgetragen und du wirst mit der Veröffentlichung erpresst.

Interessant. Das alles setzt aber voraus, dass nicht nur irgendein veralteter Browser in irgendeinem veralteten Arbeitsplatz-Desktop gehackt ist, sondern sich Leute als Superuser in der vitalen Backend-Infrastruktur breitgemacht haben, und dort ein- und ausgehen wie in ihrer Stammkneipe.

Wie stellst du denn sicher, dass die Angreifer dann nicht über den gleichen Weg wieder reinkommen?
Das kommt auf den Kontext an, d.h auf die betroffene Sicherheitszone (zB public oder perimeter oder LAN oder infra).

Das Konzept ist im kleinen Umfeld ein No-Brainer, wenn man aber mehrere TB Daten hat und die aus dem Offline-Backup wiederherstellen muss, ist das eben nicht mal in 5min erledigt.
Mehrere TB sind normalerweise nicht irgendein verschlüsselter PC, sondern eher Anwendungs-Nutzlast.
Da sehe ich, erstmal und ganz grob, drei Fälle:
A) ein m.o.w. privates Home-Net, wo die Terabytes das NAS sind, also i.W. die Urlaubsfotos und die Videosammlung. Das fällt unter persönliches Pech.
B) der Spengler von nebenan, den man gezwungen hat seine Buchhaltung auf Computer umzustellen, und der jetzt eben einen Computer hat, und vielleicht auch noch einen Backup - aber keine gegliederte Infrastruktur. Für den sollte es inzwischen Cloud-Lösungen geben.
C) ein irgendwie sinnvoll gestaltetes Corporate-LAN. Da sind die TB dann normalerweise Datenbanken, und die kann man nicht einfach so "verschlüsseln". (Und die haben eh zwei Backups: ein normales, und ein streaming-redolog für point-in-time recovery)
 
Aber das meine ich eben: man installiert Security fixe so schnell wie möglich. Sie zu lesen (um dann zB zu sehen dass man die betroffene Software nichtmal verwendet), dafür bleibt keine zeit mehr.

Ich würde ich mich natürlich auch freuen, mir für jeden Security-Patch erstmal eine Woche Zeit zur Analyse zu nehmen. In der Praxis lagert man diese Aufgabe an seine jeweilige Distribution der Wahl aus und nutzt deren Vorarbeit.

Und da sehe ich die Grenze zwischen sinnvoller Vorsicht und blinder Ritualistik: im letzteren Fall opfert man dem Computer Sicherheitspatche, so wie man einem Drachen Jungfrauen opfern würde, in der Hoffnung dass es irgendwas helfen möge...

Welche Vorgehensweise würdest du vorschlagen? Möglichst nah an Upstream bleiben und zeitnah alle Patches einspielen ist in der Praxis die beste Methode, sein Betriebssystem abzusichern.

Wie viele Systeme administrierst du auf Arbeit und wie gehst du in der Praxis damit um? Welche Tools nutzt du?

In der IT möchte ich eher nicht, dass Entwicklungen von Emotionen getrieben werden.

Dito.

Also Du meinst, die Rechner sind nicht unsicherer geworden, das Internet nicht so viel gefährlicher, aber viel mehr Dinge hängen darin zusammen und voneinander ab.
Das ist natürlich ein Punkt - aber eben ein emotionaler Punkt: <das darf nicht scheitern weil so viel davon abhängt>.

Schadenswahrscheinlichkeit mal potenzieller Schaden unter Berücksichtigung der Risikotragfähigkeit und Risikoeinstellung ist doch eine ganz nüchterne Betrachtung, die wenig mit Emotionalität zu tun hat.

Das habe ich oft bei Managern erlebt, die systematisch Stress zu verbreiten versuchen, indem sie erzählen wieviel Geld von dem (gerade relevanten) Problem angeblich abhängt. Eine zur Fehlerfindung völlig wertlose Information, denn ein Bit funktioniert ja nicht anders, ob es nun einen Cent, einen Euro oder eine Million Euro kostet.

Priorisierung. Wenn eine Produktionsstraße steht, deren Ausfall jede Stunde ein paar Millionen Euro kostet, hat die Fehlerbehebung eine andere Dringlichkeit als wenn die Gleichstellungsbeauftragte Chantal-Beatrice Lochstampfer-Nothdurft keine Katzenbilder mehr auf ihrem Home-Laufwerk speichern kann.

Ja - aber nur als der User, der den Browser aufgerufen hat. Oder kurz gesagt, man kann alles das machen, was dieser User eben machen könnte.

Nachdem die meisten User mit ihrem Account irgendwas machen können - sonst wäre der Account auch recht witzlos - haben wir hier schon das Problem. Mit Millionen Accounts unter der eigenen Kontrolle kann man schon gehörig Schaden anrichten.

Ich versteh nicht, warum das immer noch diskutiert wird. Ich hab es zuerst für einen Witz gehalten - aber wenn es das wirklich gibt: sind die vorhandenen Infrastrukturen wirklich so mistig, dass sie damit ein Problem haben? (Platten könne sterben, Hardware kann vom Blitz getroffen werden, und dann sind die Daten ebenso weg, d.h. der Fall muss in einem contingency plan bereits enthalten sein.)

Es verursacht auf jeden Fall eine Störung des normalen Betriebsablauf und ist mit Aufwand und Kosten verbunden. Von der Möglichkeit des Abziehens vertraulicher Daten wollen wir mal gar nicht anfangen...

Nur weil ein Browser älter oder auch alt ist, bedeutet es ja nicht per se, dass es auch unsichere Software ist, oder dieser deswegen automatisch Probleme verursachen kann.

Man sieht es doch an den ganzen schlecht gepflegten (d.h. veralteten) Firefox-Forks, dass ein alter Browser sehr wohl ein Problem, eben weil so lange so viele bekannte Sicherheitslücken unbehoben bleiben.

Wie viele dutzende aktiv ausgenutzte CVEs hat man mit einem zwei Jahre alten Firefox?

Ist das jetzt meine Aufgabe als Nutzer dies zu prüfen, oder ist da nicht der Seitenbetreiber in der Verantwortung? Oder gehören diese Errungenschaften doch zu den Geistern des Zauberlehrlings, welche dieser rief?

Eine müßige Frage, nachdem der Nutzer im Zweifelsfalle ebenso Betroffener wie Teil des Problems sein wird.

Meine Meinung zu dem Thema:
Die Nutzer von "veralteter" Software stellen nicht wirklich die Problematik dar.

Sie sind ein großer Teil des Problems.

Problemverursacher verwenden in der Regel die Einstellung: "Automatische Updates"

Problemverursacher sind doch hauptsächlich die Leute, die ihre Systeme nicht patchen (d.h. je nach Betriebssystem die automatischen Updates deaktivieren).

Die automatischen Updates sind doch hauptsächlich deswegen eingeführt worden, weil die Leute ihre Systeme nicht gepatcht haben (vgl. "nur alle 3 Monate Security-Fixes einspielen") und gekapert wurden. Durch die automatischen Updates sind die Nutzer wenigstens auf einem aktuellen Stand, ohne dass sie etwas machen oder wissen müssten.

Außerdem behaupte ich, dass administrierte BSD-Systeme daran einen Anteil von kleiner 0% haben.

Wir hatten und haben auch hier in BSDForen Nutzer, die von ihren WWW-Ausflügen auf abgekündigten Versionen von BSD, Solaris & Co. berichten.

Gerade im BSD-Umfeld gibt es eine große Fraktion, die etablierte Best Practices (u.a. Configuration Management, zeitnahes patchen etc.) verabscheut und ihre Systeme lieber manuell schlecht pflegt. Die fallen regelmäßig bei meinen Kunden bei Security-Audits durch.

Vorschlag:
Es sollte im Wiki ein allgemeines Thema erstellt werden für die Benutzung des Internets,Gefahren und Sicherheit. Auf der andern Seite auch Rubriken für die Einstellungen bei Webbrowsern in Sachen Sicherheit. Ich bin gerne bereit meinen Anteil daran zu übernehmen.

Meiner Meinung nach helfen nur reasonable defaults. Sichere Voreinstellungen und automatische Updates, so dass ein Nutzer - wenn er nichts macht - trotzdem immer ein nutzbares und trotzdem möglichst sicheres System hat. Sobald ein Nutzer aktiv werden muss, ist der Zug schon abgefahren.
 
Ich würde ich mich natürlich auch freuen, mir für jeden Security-Patch erstmal eine Woche Zeit zur Analyse zu nehmen.
Wenn Du eine Woche brauchst um ein CVE zu lesen, dann liegt das Problem woanders.

Wie viele Systeme administrierst du auf Arbeit und wie gehst du in der Praxis damit um? Welche Tools nutzt du?
Keine mehr, weil micht mehr gefragt. Zu Zeiten als IT-Skill noch gefragt war, waren das die beiden großen deutschen Banken, zwei der großen Telcos, ein paar Versicherungen und Pharma-Konzerne, und verschiedenes Internationales in Wallstreet und Nahost. Zusammen bestimmt ein paar hunderttausend Systeme, hab nie gezählt. War auch nicht relevant, es ging ja darum, den Mainframe abzulösen und eine TCP/IP basierte Client-Server IT-Landschaft zu erschaffen.

Schadenswahrscheinlichkeit mal potenzieller Schaden unter Berücksichtigung der Risikotragfähigkeit und Risikoeinstellung ist doch eine ganz nüchterne Betrachtung, die wenig mit Emotionalität zu tun hat.
Können die Betriebswirte ja machen, wenn sie nix besseres zu tun haben.

Priorisierung. Wenn eine Produktionsstraße steht, deren Ausfall jede Stunde ein paar Millionen Euro kostet, hat die Fehlerbehebung eine andere Dringlichkeit als wenn die Gleichstellungsbeauftragte Chantal-Beatrice Lochstampfer-Nothdurft keine Katzenbilder mehr auf ihrem Home-Laufwerk speichern kann.
Das dürfte Dein:e verantwortliche:r Polit-Funktionär:in anders gewichten.

Man sieht es doch an den ganzen schlecht gepflegten (d.h. veralteten) Firefox-Forks, dass ein alter Browser sehr wohl ein Problem, eben weil so lange so viele bekannte Sicherheitslücken unbehoben bleiben.

Wie viele dutzende aktiv ausgenutzte CVEs hat man mit einem zwei Jahre alten Firefox?
Vermutung: keine, weil die alle auf Windows basieren?

Die automatischen Updates sind doch hauptsächlich deswegen eingeführt worden, weil die Leute ihre Systeme nicht gepatcht haben (vgl. "nur alle 3 Monate Security-Fixes einspielen") und gekapert wurden. Durch die automatischen Updates sind die Nutzer wenigstens auf einem aktuellen Stand, ohne dass sie etwas machen oder wissen müssten.
Was soll denn "nur" alle drei Monate heißen?
Bei Apple ist es ja nochmal ganz anders: da bekommst du überhaupt keine Fixe, ausser du willigst ein dass Apple deine personenbezogenen Daten mißbrauchen darf. Ohne Mißbrauchserlaubnis keine Patche. Und da ersteres m.E. die Grundrechte verletzt, werden Apfelkisten grundsätzlich nicht gepatcht.

Wir hatten und haben auch hier in BSDForen Nutzer, die von ihren WWW-Ausflügen auf abgekündigten Versionen von BSD, Solaris & Co. berichten.

Gerade im BSD-Umfeld gibt es eine große Fraktion, die etablierte Best Practices (u.a. Configuration Management, zeitnahes patchen etc.) verabscheut und ihre Systeme lieber manuell schlecht pflegt. Die fallen regelmäßig bei meinen Kunden bei Security-Audits durch.
Ja, diese Art security-Audits kenne ich. Wenn man da zB in der SSH asymmetrische Schlüssel (pubic/private Keys) verwendet, fällt man bei diesen Audits durch - weil die vorgeschriebene Mindestlänge des Passworts nicht geprüft werden kann, weil es ja keines gibt.
(Und eine endlose Liste dergleichen weiterer von nachgeschulten Schreibtischtätern ersonnener und völlig an der Realität vorbeigehender Anforderungen.)

Das ganze ist natürlich symptomatisch für den generellen Skill-Verfall.
Z.B. hab ich 2008 ZFS eingeführt, weil dadurch die datenbank backups (streaming redolog) um faktor zehn kleiner wurden. Jahre später kamen dann andere aus der Deckung und haben das bestätigt.
Heute dagegen heißt es, dass man eine Datenbank gar nicht direkt ins Backup sichern darf, weil die Leute üblicherweise zu blöd sind um das richtig zu machen. Stattdessen muss man eine extra zusätzliche Platte kaufen und die Datenbank erstmal komplett da drauf kopieren, um sie dann von da in den Backup zu sichern.

Und so läuft das auf der ganzen Linie: man will den DAU zum standard erklären.

Meiner Meinung nach helfen nur reasonable defaults.
Genau: der DAU als Standard.
 
Ja - aber nur als der User, der den Browser aufgerufen hat. Oder kurz gesagt, man kann alles das machen, was dieser User eben machen könnte.

Azazyel

Nachdem die meisten User mit ihrem Account irgendwas machen können - sonst wäre der Account auch recht witzlos - haben wir hier schon das Problem. Mit Millionen Accounts unter der eigenen Kontrolle kann man schon gehörig Schaden anrichten.
Hier stelle ich mir sowieso die Frage, warum kann dieses Browser-Gedöns (also alles was damit dazu gehört) genau das gleiche, was ich als User auch kann? Da dies auch bei den aktuellen Browsern und Betriebssystemen möglich ist, welchen Einfluss habe ich denn als User da noch? Ach, stimmt. Ich kann ja JavaScript abschalten. Problem ist dann aber, dass ich die Seiten nicht mehr aufrufen kann. Und der Bezug auf die Millionen Accounts hinkt dermaßen, das tut nicht Not. Wenn jemand mit seinem Root-Account im Internet unterwegs ist, dann ist das eh sträflicher Leichtsinn. Einfach dem Root das Internet verbieten und schon ist das System sicherer.

Nur weil ein Browser älter oder auch alt ist, bedeutet es ja nicht per se, dass es auch unsichere Software ist, oder dieser deswegen automatisch Probleme verursachen kann.

Azazyel

"Man sieht es doch an den ganzen schlecht gepflegten (d.h. veralteten) Firefox-Forks, dass ein alter Browser sehr wohl ein Problem, eben weil so lange so viele bekannte Sicherheitslücken unbehoben bleiben.

Wie viele dutzende aktiv ausgenutzte CVEs hat man mit einem zwei Jahre alten Firefox?"

Dann verfügst Du über Informationen welche in diesem Fall sehr hilfreich sein können. Ist es dir möglich, diese uns zur Verfügung zu stellen, damit wir, aus hoffentlich seriöser Quelle, erfahren können, wie hoch der Umfang an Schaden ist, welcher durch zwei Jahre alte ungepatchte FeuerFüchse ist?

Ist das jetzt meine Aufgabe als Nutzer dies zu prüfen, oder ist da nicht der Seitenbetreiber in der Verantwortung? Oder gehören diese Errungenschaften doch zu den Geistern des Zauberlehrlings, welche dieser rief?
Azazyel
"Eine müßige Frage, nachdem der Nutzer im Zweifelsfalle ebenso Betroffener wie Teil des Problems sein wird."

Aha. Demnach ist also ein Fahrzeugbesitzer eines Dieselfahrzeugs eines bestimmten deutschen Konzerns auch noch selbst schuld, dass er ein solches Produkt gekauft hat? Wurde bei diesem noch eingebrochen, dann hat er seine Wohnung / Haus nicht gut gesichert gehabt, also selbst schuld! Sorry, aber deine Argumentation ist weit ab der Realität. Die Verantwortung jetzt auf den Endbenutzer zu schieben deutet eher auf Arroganz gegenüber diesen hin, statt eine Lösung finden zu wollen. Du verteidigst gerade die Seitenbetreiber, welche JavaScript von Drittanbietern einbinden, ohne für dessen Inhalt verantwortlich gemacht zu werden. Besser noch, Du bezichstigst den Endanwender ein wesentlicher Teil des Problems zu sein.

Azazyel schrieb:
Du kannst via Angriff auf den Browser beliebige Befehle bzw. Software ausführen und den Rechner dann u.a. für Distributed Denial of Service verwenden.

Beliebt ist auch Ransomware, die Verschlüsselung aller auf und von diesem Rechner erreichbaren Daten (z.B. auf Fileshares) und nachfolgende Erpressung (Entschlüsselung nur gegen Bezahlung).
Ich glaube, wir kommen dem Problem näher. Wenn also der Browser diese beliebigen Befehle und auch keine andere Software ausführen könnte, wäre dieser dann sicherer? Warum ist denn Ransomware möglich? Weil jemand mit einem Palmoon auf Basis von FireFox 27 unterwegs ist? Ach nee, eher nicht. Die Zielgruppe ist eher ein Betriebssystem aus Seatle / Washington. Und die Gruppe MUSS die Rechner updaten. Kurze Zwischenfrage: Da diese Systeme in der Regel aktuell sind, sollten diese nach deiner Argumentation nicht zu den Problemfällen zählen, oder sehe ich das falsch?

Problemverursacher verwenden in der Regel die Einstellung: "Automatische Updates"
Azazyel:
"Problemverursacher sind doch hauptsächlich die Leute, die ihre Systeme nicht patchen (d.h. je nach Betriebssystem die automatischen Updates deaktivieren).

Die automatischen Updates sind doch hauptsächlich deswegen eingeführt worden, weil die Leute ihre Systeme nicht gepatcht haben (vgl. "nur alle 3 Monate Security-Fixes einspielen") und gekapert wurden. Durch die automatischen Updates sind die Nutzer wenigstens auf einem aktuellen Stand, ohne dass sie etwas machen oder wissen müssten."

Du hast den "Zwinker-Smiley" unterschlagen, weswegen der Satz jetzt in einem anderen Bild erscheint. Die Fraktion der Nutzer mit den "Automatischen Updates" sind natürlich die Versuchskaninchen von Windows 10. Die sind in der Regel auf dem neuesten Stand, da diese Updates ja standardmässig aktiviert sind. Gerade nach einem Update steigen die Support-Anfragen in Foren welche sich damit beschäftigen drastisch an. Ist aber ein anderes Thema.

Sag mir jetzt bitte nicht, dass Du bei Produktiv-Systemen die automatischen Updates aktivierst? Moment, doch, das tust Du!

Azazyel
Ich würde ich mich natürlich auch freuen, mir für jeden Security-Patch erstmal eine Woche Zeit zur Analyse zu nehmen. In der Praxis lagert man diese Aufgabe an seine jeweilige Distribution der Wahl aus und nutzt deren Vorarbeit.
Das muss man sich jetzt mal auf der Zunge zergehen lassen. Da kann ich doch nur hoffen, dass die Distribution deiner Wahl auch dafür belohnt wird. BTW, mit der gleichen Argumentation gehen die MS-Jünger in den Ring und laufen im Frühjahr oder Herbst voll gegen die Wand. Du gehst also davon aus, dass der Distributor deinen Job macht? Ein Haufen an Freiwilligen, welcher deinen Job macht? Sag mir bitte, das das nicht dein Ernst ist....


Vorschlag:
Es sollte im Wiki ein allgemeines Thema erstellt werden für die Benutzung des Internets,Gefahren und Sicherheit. Auf der andern Seite auch Rubriken für die Einstellungen bei Webbrowsern in Sachen Sicherheit. Ich bin gerne bereit meinen Anteil daran zu übernehmen.
Azazyel
"Meiner Meinung nach helfen nur reasonable defaults. Sichere Voreinstellungen und automatische Updates, so dass ein Nutzer - wenn er nichts macht - trotzdem immer ein nutzbares und trotzdem möglichst sicheres System hat. Sobald ein Nutzer aktiv werden muss, ist der Zug schon abgefahren."

Mir selber stellt sich dann folgende Frage: "Warum gibt es denn dann Einstellungen, welche einen Browser unsicher machen?" Wer entscheidet was sicher und unsicher ist? Deine Rechnung geht hinten und vorne nicht auf. Der Endanwender ist überhaupt nicht mehr in der Lage einen modernen Browser zu administrieren. Wir sprechen von 100 MB Software auf der Maschine. Das ist selbst für Profis nicht mehr überschaubar. Zumal dazu ja noch die externe Software dazu kommt. Ich behaupte mal, dass die Entwicklung schon lange aus dem Ruder gelaufen ist und von Konzernen übernommen worden ist, welche daran sehr gut partizipieren. Womit soll Google eigentlich sein Geld verdienen? Google stellt mit seiner Chrome-Truppe mehr Entwickler auf die Beine als FreeBSD, NetBSD und OpenBSD zusammen. Und die haben richtig Kohle im Kreuz.... die können schon mal eine Milliarde verbrennen.... have it......

Meine Meinung:
"Der Fisch beginnt vom Kopf her an zu stinken!" Ich gebe zu, viele Nutzer sind einfach zu leichgläubig. Die werden halt Opfer von Spammern und das sollte in der Regel auch schon alles gewesen sein. Als Opfer für Ransom-Ware sind die uninteressant. Auch sonst halte ich den Endanwender als ein untergeordnetes Rädchen im Getriebe. Spannender sind mehr die echten Profis bei Hilton, Baumgarten und sonstigen Unternehmen, wo Millionen von Kundendaten und Kreditkarten-Informationen abgeflossen sind. Ich gehe mal davon aus, dass hier kein veralteter Browser oder was auch immer der Grund gewesen ist, sondern .... egal. Es fängt doch mit den Beschlüssen des W3C an, oder nicht? Sir Tim Berners Lee ist doch immer noch in der Position zu entscheiden, wohin die Reise geht. Cui bono - wem nutzt es, wer hat die Kohle? Die 63 Angestelten vom W3C wollen auch essen..... Street food, 1*... 3* ,,, oder 4* Küche. Ach... VT..... Der Endanwender ist lediglich ein Opfer und es braucht keinen erhobenen Zeigefinger um diesen zu belehren. Denn dann, dann schalten die auf stur, und das zu recht. Auf die Frage: "Warum kann man denn so was dort einstellen?", darauf hätte ich keine plausible Antwort. Aber vielleicht kann mir Azazyel ja eine liefern?
Es wird hier eine Mücke zum Elefanten gemacht. Selbst die hochgelobten Experten des Heise-Verlages sind ja in die Ransom-Ware-Falle gelaufen. Da war mit Sicherheit kein veralteter Browser das Problem. Ach nee, es war ein dummer User und ein BS eines Software-Herstellers aus Seattle involviert. Ich gehe mal schwer davon aus, dass wenn die den aktuellen Palemoon (FireFox 27) verwendet hätten, dann wäre das nicht passiert! Somit wäre die alte Software sogar sicherer gewesen. Hmmm, und nun?

Vorschlag:
Ich wiederhole mich: Es sollte im Wiki ein allgemeines Thema erstellt werden für die Benutzung des Internets, Gefahren und Sicherheit. Auf der andern Seite auch Rubriken für die Einstellungen bei Webbrowsern in Sachen Sicherheit. Ich bin gerne bereit meinen Anteil daran zu übernehmen.
 
Leute, bevor ihr ernsthaft hier diskutiert wieso es keine völlig bekloppte Idee ist einen alten Browser zu nutzen oder sein OS nicht aktuell zu halten, erzählt doch mal wo das Problem liegt, mit dem aktuellen Browser und dem aktuellen OS?
 
Hier stelle ich mir sowieso die Frage, warum kann dieses Browser-Gedöns (also alles was damit dazu gehört) genau das gleiche, was ich als User auch kann?
Viele Mainstream-Browser sind inzwischen sogar so programmiert, das kritische Teile (Parsing, Rendering) in einer Sandbox laufen. Theoretisch könnte man den Browser sogar noch mehr abkapseln. Wird aber aus rein praktischen Gründen nicht gemacht. Dateizugriffe sind zum Beispiel schon allein für die Cache-Funktionalität nötig oder auch fürs Browser-Profil. Aber auch, damit der User Downloads speichern kann. Auch bei Netzwerkzugriffen gibt es Einschränkung aber Du kannst bei einem Browser da natürlich nicht alles verbieten. :-)

Da dies auch bei den aktuellen Browsern und Betriebssystemen möglich ist, welchen Einfluss habe ich denn als User da noch?
Du kannst auch selbst den Browser einsperren. Die einfachste Sandbox-Möglichkeit wäre, den Browser mit nem eigenen User-Account laufen zu lassen. Dann hat er immer noch die Möglichkeit Dateizugriffe zu machen aber eben nicht mehr auf die Dateien, auf die Du sonst so zugreifen kannst.

Das muss man sich jetzt mal auf der Zunge zergehen lassen. Da kann ich doch nur hoffen, dass die Distribution deiner Wahl auch dafür belohnt wird. BTW, mit der gleichen Argumentation gehen die MS-Jünger in den Ring und laufen im Frühjahr oder Herbst voll gegen die Wand. Du gehst also davon aus, dass der Distributor deinen Job macht?
Soso. Du durchguckst also alle Patches die Dein System und Deine von Dir benutzten Programme sind händisch durch. Du beherrschst selbstverständlich alle Programmiersprachen die heutzutage so benutzt werden und wenn was nicht in Ordnung ist, dann schreibst Du Dir das noch zurecht.
Ja nee, iss klar. :-)

Leute, bevor ihr ernsthaft hier diskutiert wieso es keine völlig bekloppte Idee ist einen alten Browser zu nutzen
Richtig alte Systeme sind so weit weg vom Stand der Technik das viele moderne Angriffe die aktuell sind, da gar nicht mehr funktionieren. :-)
 
PMc said:
Ja, und dann muss man konsequenterweise auch die selberkompilierten Betriebssysteme im Internet verbieten - gleiches Recht für alle, und es könnte ja sein, dass da jemand im Quellcode die Sicherheitsmechanismen ausser kraft setzt.

Dann müsstest Du ja programmieren komplett verbieten. Denn ich brauch keinen offenen Quellcode. Ich kann mir auch meine eigene (und dann extra unsichere) Software schreiben.
Es ging nie darum das Programmieren zu verbieten, sondern nur, bestimmte Parameter beim Kompilieren zu setzen. Kennst Du Linux from Scratch? So ein Ding auf Basis von BSD und dann würden solche Kommentare ausbleiben.

Aber das ist auch gar nicht das, worum es Yamagi ging. Es ging um den unbedarften Nutzer der sich nicht auskennt. Damit der nicht versehentlich oder fahrlässigerweise mit alter, unsicherer Software unterwegs ist.
Wer mit Quelltexten was anfangen kann, der ist ohnehin kein Unbedarfter.
Jedenfalls hab ich das so verstanden.
Wieso wird eigentlich immer so auf "alter und unsicherer" Software herumgeritten? Warum werden die Endanwender immer beleidigt? Nur weil diese sich nicht mit der Materie auskennen? Wenn es danach geht, dann sind wir alle in 98% aller tätigkeiten unbedarfte Nutzer.
Abgesehen davon sind Browser heute zu komplex. Was da alles drin steckt ist inzwischen mehr als zuviel des Guten. Einfacher wäre in dem Fall besser.
Noch schöner wäre es freilich, wenn wir die Softwarequalität endlich mal auf ein akzeptables Level heben könnten. Was immer als Grund dagegen angeführt wird es nicht zu tun ist, das die Kosten steigen würden. Rechnet man aber mal gegen was Sicherheitsprobleme/Bugs an Kosten verursachen dann sieht die Sache schon anders aus. Würde man dann noch darauf verzichten hunderte von Features einzubauen die letztlich eh niemand braucht, würde das die Kosten nochmals senken.
Leider ist es im Augenblick so, das die Marktsituation feature-reiche und qualitativ fragwürde Software eher befördert wird.
Auf der einen Seite bist Du einsichtigt, auf der andern Seite blind. Ich finde es schön, dass du mich und PMc bestätigst, dass die heutige Software zu komplex ist. Aber bei dem Rest bist Du irgendwie ausgestiegen...... So etwas wie Softwarequalität gab es mal... so bis Anfang der 90er. Alles was danach gekommen ist, das ist das Werk von Marketing und BWL. Excel 2019 hat die gleichen Fehler wie Ecxel 4.0, nur halt mit Patches. Da die Patches auf die Patches aufbauen, muss man halt mit dieser Masse an Programm auf der Platte leben. Heutzutage von Softwarequalität zu sprechen ist der Witz schlechthin. Dieses Feature ist den Entwicklern schon vor Jahrzehnten aberzogen worden. Was ich jetzt allerdings nicht verstehe, ist deine Aussage, dass die Marktsituation feature-reiche und qualitativ fragwürde Software eher befördert wird.
 
Die Glaskugel vibriert: Fieses Schnauben, Weißglut und Flammenkriege in nicht ganz so ferner Zukunft.

Daher die vorgreifende Erinnerung: bitte freundlich bleiben. ;)
 
Soso. Du durchguckst also alle Patches die Dein System und Deine von Dir benutzten Programme sind händisch durch. Du beherrschst selbstverständlich alle Programmiersprachen die heutzutage so benutzt werden und wenn was nicht in Ordnung ist, dann schreibst Du Dir das noch zurecht.
Ja nee, iss klar. :-)
Was stößt Dir daran auf?

Im grunde halte ich das durchaus so ähnlich: was nicht so funktioniert wie ich will, wird gefixt. Hier zB siehst Du, wie weit ich in die Sourcecode Details von eben Firefox hineinzugehen gewillt bin: https://bugzilla.mozilla.org/show_bug.cgi?id=1732476

In anderen Fällen hab ich Fehler in der GSSAPI verschlüsselung von Postgres angemeckert und fixen lassen, oder sachen im Apache eingegrenzt.

Das ist genau der Grund, warum ich die Sourcen haben will, und warum ich ein Berkeley-OS haben will, wo der Sourcecode exakt dem laufenden Binärcode entspricht. Dann ist das ganze nämlich auch gar nicht so sehr schwer.
 
Es ging nie darum das Programmieren zu verbieten, sondern nur, bestimmte Parameter beim Kompilieren zu setzen. Kennst Du Linux from Scratch? So ein Ding auf Basis von BSD und dann würden solche Kommentare ausbleiben.
Du redest wirr.

Wieso wird eigentlich immer so auf "alter und unsicherer" Software herumgeritten? Warum werden die Endanwender immer beleidigt?
Tue ich nicht. Ich bin ja explizit der Meinung das wir zu besserer Software kommen müssen. Das Patches/Updates überhaupt notwendig sind ist kein Qualitätsmerkmal, sondern ein Mangel.

Aber bei dem Rest bist Du irgendwie ausgestiegen...... So etwas wie Softwarequalität gab es mal... so bis Anfang der 90er. Alles was danach gekommen ist, das ist das Werk von Marketing und BWL.
Dem hab ich gar nicht widersprochen (auch wenn ich es weniger dramatisch sehe als Du). Abgesehen davon kann man aber nicht sagen, das sich überhaupt nix getan hat. Allerdings ist halt die Komplexität schneller gestiegen als das "Software-Engineering" hinter her kam, darum ist die Gesamtsituation eben gelinde gesagt: suboptimal.

Was ich jetzt allerdings nicht verstehe, ist deine Aussage, dass die Marktsituation feature-reiche und qualitativ fragwürde Software eher befördert wird.
Das sagst Du doch letztlich selber.
Irgendwie dichtest Du mir Widersprüche, die ich so gar nicht geäußert habe. Das kann natürlich daran liegen, das ich mich unverständlich ausdrücke. Vielleicht ist es jetzt ja klarer geworden. Ansonsten kannst Du natürlich gerne noch mal nachfragen.

Die Glaskugel vibriert: Fieses Schnauben, Weißglut und Flammenkriege in nicht ganz so ferner Zukunft.
Und wenn schon. :-)
Manchmal gehört das auch ein stückweit dazu. Mir ist es lieber wenn ein wenig die Fetzen fliegen als wenn gar kein Meinungsaustausch stattfinden, weil sich alle "einig" sind.

Daher die vorgreifende Erinnerung: bitte freundlich bleiben.
Problematisch ist es doch eigentlich nur, wenn die Sachdiskussion untergeht und es nur noch ums "dreschen" geht. Wenn mal hier und da was ähm ... Außerfachliches kommt, dann kann zumindest ich damit leben. Solange sich dies in einem akzeptablen Spektrum bewegt sollte das doch alles kein Problem sein.

Anyway: Ein kleiner Hinweis darauf kann natürlich nie schaden. :-)
 
Was stößt Dir daran auf?
Ich sag mal, das ich arge Zweifel habe, das Du wirklich alles überblickst. Klar. Bei einzelnen Programmen ist das noch realistisch. Hier wie halt die Firefox-Geschichte von Dir.
Aber ein komplettes System mit allem drum und dran?

Versteh' mich nicht falsch. Ich möchte Dir da keinesfalls zu Nahe treten oder so. Und vielleicht reden wir da auch nur aneinander vorbei.

Das ist genau der Grund, warum ich die Sourcen haben will
Das ist ja auch alles in Ordnung. Das möchte ich auch gern. Aber ich maße mir deshalb nicht an in jedem einzelnen Fall sagen zu können, ob Patches/Updates ok sind oder nicht. Vieles kann ich gar nicht einschätzen (oder die damit verbundene Einarbeitung wäre mit soviel Aufwand verbunden, das ich dann gar keine Zeit mehr für irgendwas anderes hätte) und da muss ich mich halt auch ein stück weit auf Dritte verlassen.
 
Sachlich und Meinungsaustausch, alles korrekt.

War auch nur ein Zwischenruf, keine Ermahnung bisher. :)
 
Viele Mainstream-Browser sind inzwischen sogar so programmiert, das kritische Teile (Parsing, Rendering) in einer Sandbox laufen. Theoretisch könnte man den Browser sogar noch mehr abkapseln. Wird aber aus rein praktischen Gründen nicht gemacht. Dateizugriffe sind zum Beispiel schon allein für die Cache-Funktionalität nötig oder auch fürs Browser-Profil. Aber auch, damit der User Downloads speichern kann. Auch bei Netzwerkzugriffen gibt es Einschränkung aber Du kannst bei einem Browser da natürlich nicht alles verbieten. :-)
Dass ein Browser einen Cache benötigt und ein Verzeichnis wo die Downloads abgelegt wrden, dass konnten die schon in den 90ern, Spannender sind doch eher die Neuerungen wie Cookies, Tracking und der andere Stoff. In Verbindung mit HTML5 und JavaScript sprechen wir doch hier eher von einem BS innerhalb des BS. Das mit der Sandbox halte ich persönlich für Augenwischerei.
Du kannst auch selbst den Browser einsperren. Die einfachste Sandbox-Möglichkeit wäre, den Browser mit nem eigenen User-Account laufen zu lassen. Dann hat er immer noch die Möglichkeit Dateizugriffe zu machen aber eben nicht mehr auf die Dateien, auf die Du sonst so zugreifen kannst.
Ja klar. Wieso kann der Browser das denn sowieso? Und genau das ist doch ein spannender Punkt: Auf welche Dateien möchte der Browser denn zugreifen wollen, bzw. müssen?
Soso. Du durchguckst also alle Patches die Dein System und Deine von Dir benutzten Programme sind händisch durch. Du beherrschst selbstverständlich alle Programmiersprachen die heutzutage so benutzt werden und wenn was nicht in Ordnung ist, dann schreibst Du Dir das noch zurecht.
Ja nee, iss klar. :-)
Nö, das hatte ich auch nie behauptet. Ein Durchsehen von Code ist in Anbetracht der Menge überhaupt nicht möglich. Aber schön, dass Du mir dies unterstellen möchtest. Was heutzutage ja auch wegen der BWLer aus der Mode gekommen ist, das sind Testsysteme. Dort die Patches einspielen, eine Woche prüfen und dann ein Urteil fällen. Es ist echt unschön, wenn plötzlich ein Produktivsystem nicht mehr richtig funktioniert nach dem Update. Und falsch verstanden hast Du mich auch. Ich hatte geschrieben: "Da kann ich doch nur hoffen, dass die Distribution deiner Wahl auch dafür belohnt wird." Wenn man also den Distributor für sich arbeiten lässt, warum sind diese dann finanziell so schlecht bestückt?

Richtig alte Systeme sind so weit weg vom Stand der Technik das viele moderne Angriffe die aktuell sind, da gar nicht mehr funktionieren. :-)
Diese Aussage ist, unter bestimmten Aspekten sogar richtig. Bitte beachte: "unter bestimmten Aspekten". Umgekehrt: nahezu 100% der Angriffe aus dem Internet betreffen aktuelle Software. Ja, und nu? Wir drehen uns im Kreis. Wenn Du von richtig alten Systemen sprichst, dann nutz doch mal links, links2, w3m oder den eww vom Emacs. Okay, das war gemein. Dann einfach mal den Dillo.... 3.0.5[1] (30 June 2015; 6 years ago) [±] ich gehe mit dir jede Wette ein, dass Du keinerlei Gefahr mehr im Internet darstellst.
 
Diese Aussage ist, unter bestimmten Aspekten sogar richtig. Bitte beachte: "unter bestimmten Aspekten". Umgekehrt: nahezu 100% der Angriffe aus dem Internet betreffen aktuelle Software. Ja, und nu? Wir drehen uns im Kreis. Wenn Du von richtig alten Systemen sprichst, dann nutz doch mal links, links2, w3m oder den eww vom Emacs. Okay, das war gemein. Dann einfach mal den Dillo.... 3.0.5[1] (30 June 2015; 6 years ago) [±] ich gehe mit dir jede Wette ein, dass Du keinerlei Gefahr mehr im Internet darstellst.

Und jetzt mal mit Beispielen von Browsern mit denen man das Web normal benutzen kann bitte.
 
Zurück
Oben