Bisschen lästig
W. Pichler
- zur info
0 Armin G.0 W. Pichler0 itsme0 Armin G.
Hi ihr,
Ich will hier nochmal ein bisschen lästig sein, um Werbung für die hervorragende Arbeit für Guninski zu machen. Wer sich tatsächlich für Sicherheit auf Windows interessiert, kann sich hier in die Mailing-Liste eintragen.
--> www.guninski.com/mailinglist.html
Vielleicht sollte ich die letzte mail vom 01. Jan. 2002 einfach unverändert hierrein posten, damit alle sehen, wie einfach es geht:
Georgi Guninski security advisory #52, 2001
IE GetObject() problems
Systems affected:
Patched IE 6.0, somewhat patched 5.5 Win2K
Risk: High
Date: 1 January 2002
Legal Notice:
This Advisory is Copyright (c) 2001 Georgi Guninski.
You may distribute it unmodified.
You may not modify it and distribute it or distribute parts
of it without the author's written permission.
Disclaimer:
The information in this advisory is believed to be true based on
experiments though it may be false.
The opinions expressed in this advisory and program are my own and
not of any company. The usual standard disclaimer applies,
especially the fact that Georgi Guninski is not liable for any damages
caused by direct or indirect use of the information or functionality
provided by this advisory or program. Georgi Guninski bears no
responsibility for content or misuse of this advisory or program or
any derivatives thereof.
Description:
IE allows reading local files due to a bug in GetObject().
Reading local files may lead to executing arbitrary programs.
Details:
GetObject() has a bad security record -
check http://www.guninski.com/browsers.html
The new bug is quite similar to:
http://www.guninski.com/getobject1-desc.html
the difference being:
----------------------
a=GetObject("http://"+location.host+"/../../../../../../test.txt","htmlfile");
----------------------
It is funny that directory traversal on a http: URL leads to reading local files.
Workaround/Solution:
Disable Active Scripting and never turn it on.
Better, do not use IE in hostile environments such as the internet.
Vendor status:
Microsoft was notified on 11 December 2001.
They had 3 weeks to produce a patch but didn't.
Regards,
Georgi Guninski
http://www.guninski.com
----------------------
You may visit Guninski Security Mailing List page at
http://www.guninski.com/mailinglist.html
----------------------
Aber: Ich weiß, ich weiß: juckt im Grunde keinen. Da muß erst mehr passieren.
Ciao
Wolfgang Pichler
Tach auch,
Aber: Ich weiß, ich weiß: juckt im Grunde keinen. Da muß erst mehr passieren.
Richtig. Weil mich Guninski eher langweilt. Warum? Weil da i.d.R. mehrere verschiedene Faktoren zusammenkommen muessen. Wobei der wichtigste meistens uebersehen wird: Dass jemand erst einmal auf eine Seite kommen muss wo diese oder jene Sicherheitsluecke ausgenutzt wird. Und da unterstelle ich mal ganz dreist dass fuer Otto und Erika Mustersurfer das Risiko da gegen Null geht. Die surfen mal eben http://www.bild.de/, http://www.sport1.de/ und vielleicht noch www.praline.de (da bau ich jetzt lieber keinen link ein ;-)) ab, und das war's denn auch. Da duerfte das Risiko extrem gering sein, dass sie dabei auf eine solche Seite treffen. Wie sollten sie auch, wo sollten sie denn den link auf eine solche Seite herbekommen? In Bild oder Praline wird da kaum Werbung fuer gemacht werden...
Da finde ich den hier wesentlich interessanter: http://www.heise.de/newsticker/data/pab-02.01.02-000/. Da reicht es schon den Instant Messenger anzuhaben.
Oder den hier: http://www.theregister.co.uk/content/56/23519.html Das ist zwar auch wieder ein Wurm mit Anhang (das uebliche Spiel) und so langsam lernen die Leute ja, aber ich brauche halt nicht eine bestimmte Seite unter den Billionen Seiten da draussen zu benutzen.
Und genau darum langweilt mich Guninski. Weil es fuer Otto und Erika Mustersurfer sehr viel wahrscheinlicher ist dass sie den AIM installiert haben oder in Outlook auf ein Attachment klicken. Nicht dass sie irgendeine obskure Seite besuchen wo ein fieser Hacker ein gemeines Script installiert hat der genau weiss wo das file was er lesen moechte abgespeichert ist und der es auf die Mustersurfers abgesehen hat....
Gruss,
Armin
Tach auch,
Aber: Ich weiß, ich weiß: juckt im Grunde keinen. Da muß erst mehr passieren.
Richtig. Weil mich Guninski eher langweilt. Warum? Weil da i.d.R. mehrere verschiedene Faktoren zusammenkommen muessen. Wobei der wichtigste meistens uebersehen wird: Dass jemand erst einmal auf eine Seite kommen muss wo diese oder jene Sicherheitsluecke ausgenutzt wird. Und da unterstelle ich mal ganz dreist dass fuer Otto und Erika Mustersurfer das Risiko da gegen Null geht.
Da fängt Null aber bei dir schon früh an. Alle deutschen Lottospieler hoffen (und zahlen sogar dafür) wöchentlich,
dass sie gewinnen. Und das - wenn man von deiner Wahrscheinlichkeit ausgeht - bei einer Chance unter Null.
Die surfen mal eben http://www.bild.de/, http://www.sport1.de/ und vielleicht noch www.praline.de (da bau ich jetzt lieber keinen link ein ;-)) ab, und das war's denn auch.
Du gehst anscheinend vom gewöhnlichen AOL-User aus???
Und genau darum langweilt mich Guninski. Weil es fuer Otto und Erika Mustersurfer sehr viel wahrscheinlicher ist dass sie den AIM installiert haben oder in Outlook auf ein Attachment klicken. Nicht dass sie irgendeine obskure Seite besuchen wo ein fieser Hacker ein gemeines Script installiert hat der genau weiss wo das file was er lesen moechte abgespeichert ist und der es auf die Mustersurfers abgesehen hat...
Nix kapiert? Da gibt es doch auf Windoze mehrerere files (autoexec.bat, msdos.sys und wie sie alle heissen mögen), die nicht schwer zu finden sind, weil sie sich immer an der gleichen Stelle befinden müssen.
Wie wärs denn, wenn man die mal löschen oder überschreiben würde?
Wenn du selbst bisher davongekommen bist, haste Glück gehabt. Es gibt andere, die hatten dieses Glück nicht - und verwenden den Dreck noch immer....
Gruss
W. Pichler
Hallo,
Wie wärs denn, wenn man die mal löschen oder überschreiben würde?
Wenn du selbst bisher davongekommen bist, haste Glück gehabt. Es
gibt andere, die hatten dieses Glück nicht - und verwenden den
Dreck noch immer....
oh, auch auf die Gefahr, jetzt eine crossposting-Rüge zu bekommen, es gibt im Leben viele, schlimmere Gefahren, in die man sich freiwillig begibt, "reinfällt" und dann trotzdem "den dreck" (wie z.Bsp. Autos) weiter benutzt. Das nennt man dann aber komischerweise nicht "dreck weiter verwenden" sondern "Trauma bearbeiten" oder ähnliches (wovon es zwar nicht weniger Unfälle mit dem geschweisten Sicherheitsrisiko gibt, aber man ist wieder Gesellschaftsfähig....)
So unterschiedlich kanns gehen.....
Chräcker
Tach auch,
Richtig. Weil mich Guninski eher langweilt. Warum? Weil da i.d.R. mehrere verschiedene Faktoren zusammenkommen muessen. Wobei der wichtigste meistens uebersehen wird: Dass jemand erst einmal auf eine Seite kommen muss wo diese oder jene Sicherheitsluecke ausgenutzt wird. Und da unterstelle ich mal ganz dreist dass fuer Otto und Erika Mustersurfer das Risiko da gegen Null geht.
Da fängt Null aber bei dir schon früh an. Alle deutschen Lottospieler hoffen (und zahlen sogar dafür) wöchentlich,
dass sie gewinnen. Und das - wenn man von deiner Wahrscheinlichkeit ausgeht - bei einer Chance unter Null.
Sorry, aber was willst Du mir damit sagen? Dass surfen ein Gluecksspiel ist? Dass die links alle nur zufaellig funktionieren und ich nur zufaellig auf die Seite komme wo ich hinwill? Wo ist da der Zusammenhang?
Die surfen mal eben http://www.bild.de/, http://www.sport1.de/ und vielleicht noch www.praline.de (da bau ich jetzt lieber keinen link ein ;-)) ab, und das war's denn auch.
Du gehst anscheinend vom gewöhnlichen AOL-User aus???
Schon mal was von Ueberspitzung gehoert? Die Aussage ist dass das Risiko fuer die meisten Surfer extrem gering ist weil sie in der Regel eine bestimmte Zahl von Seiten besuchen und dazu noch ein paar Seiten die davon verlinkt sind. Vielleicht auch noch ein paar Seiten die sie in Google finden und das war's.
Du bist mir bis jetzt die Erklaerung schuldig geblieben wie die meisten "Normalsurfer" (und sogar Vielsurfer) zu einer Seite gelangen die Sicherheitsluecken ausnutzt.
Und genau darum langweilt mich Guninski. Weil es fuer Otto und Erika Mustersurfer sehr viel wahrscheinlicher ist dass sie den AIM installiert haben oder in Outlook auf ein Attachment klicken. Nicht dass sie irgendeine obskure Seite besuchen wo ein fieser Hacker ein gemeines Script installiert hat der genau weiss wo das file was er lesen moechte abgespeichert ist und der es auf die Mustersurfers abgesehen hat...
Nix kapiert? Da gibt es doch auf Windoze mehrerere files (autoexec.bat, msdos.sys und wie sie alle heissen mögen), die nicht schwer zu finden sind, weil sie sich immer an der gleichen Stelle befinden müssen.
Wie wärs denn, wenn man die mal löschen oder überschreiben würde?
Wenn du selbst bisher davongekommen bist, haste Glück gehabt. Es gibt andere, die hatten dieses Glück nicht - und verwenden den Dreck noch immer....
Tell me something I don't yet know... Und? Meine Kernfrage hast Du immer noch nicht beantwortet: Wie kommen die Leute zu Seiten die so etwas machen? Werden die neuerdings von http://www.bild.de/, http://aktuell.de.selfhtml.org/links/index.htm oder http://www.spiegel.de/ verlinkt? Und mal angenommen jemand tarnt eine Seite die eine Sicherheitsluecke ausnutzt relativ geschickt, glaubst Du nicht dass sich das schnell herumspricht und die Seite aus den Linklisten entfernt wird? Genau deswegen halte ich _dieses_ Risiko fuer extrem gering. So etwas hat nichts mit Glueck zu tun und der Wahrscheinlichkeit solche Seiten zu besuchen. Und nein, diese Wahrscheinlichkeit laesst sich nicht mit der gleichen Methode berechnen wie die Wahrscheinlichkeit dass man im Lotto gewinnt. Die meisten Leute besuchen Websites naemlich nicht nach dem Zufallsprinzip...
Gruss,
Armin
Schon mal was von Ueberspitzung gehoert? Die Aussage ist dass das Risiko fuer die meisten Surfer extrem gering ist weil sie in der Regel eine bestimmte Zahl von Seiten besuchen und dazu noch ein paar Seiten die davon verlinkt sind. Vielleicht auch noch ein paar Seiten die sie in Google finden und das war's.
Diese Ansicht ist verquer, weil du damit die Sicherheit auf den Kopf stellst: Mit dem gleichen Argument könnte man behaupten, Sicherheit ist überflüssig, weil's sowieso nur immer extrem wenig trifft.
Und die wenigen haben dann halt Pech gehabt. Wenn du selber mal zu den Wenigen gehörst, denkst du darüber aber anders.
Du aber meinst, weil die Masse so groß ist, kanns dich nicht erwischen, nach dem Motto: Heiliger St. Florian, verschon mein Haus zünd andre an.
Du bist mir bis jetzt die Erklaerung schuldig geblieben wie die meisten "Normalsurfer" (und sogar Vielsurfer) zu einer Seite gelangen die Sicherheitsluecken ausnutzt.
Sicherheitsluecken sind also wurscht, weil man sie sowieso kaum ausnützt? Und diejenigen, die danach suchen, sind Spinner? Am besten also wir schmeissen die Sicherheit gleich über Bord. Wenn du im Netz nach Infos suchen, einkaufen, Homebanking betreiben und weiss der Teufel alles machen willst, bist du daneben...
Tell me something I don't yet know... Und? Meine Kernfrage hast Du immer noch nicht beantwortet: Wie kommen die Leute zu Seiten die so etwas machen? Werden die neuerdings von http://www.bild.de/, http://aktuell.de.selfhtml.org/links/index.htm oder http://www.spiegel.de/ verlinkt? Und mal angenommen jemand tarnt eine Seite die eine Sicherheitsluecke ausnutzt relativ geschickt, glaubst Du nicht dass sich das schnell herumspricht und die Seite aus den Linklisten entfernt wird?
Sicherheitslücken in Windows und IE sprechen sich auch schnell herum. Aber was passiert im allgemeinen? Gar nix, M$ hälts oft nicht mal für notwendig, sie zu patchen. Die haben nämlich gute Werbeagenturen.
Ciao
Wolfgang Pichler
Tach auch,
Schon mal was von Ueberspitzung gehoert? Die Aussage ist dass das Risiko fuer die meisten Surfer extrem gering ist weil sie in der Regel eine bestimmte Zahl von Seiten besuchen und dazu noch ein paar Seiten die davon verlinkt sind. Vielleicht auch noch ein paar Seiten die sie in Google finden und das war's.
Diese Ansicht ist verquer, weil du damit die Sicherheit auf den Kopf stellst: Mit dem gleichen Argument könnte man behaupten, Sicherheit ist überflüssig, weil's sowieso nur immer extrem wenig trifft.
Und die wenigen haben dann halt Pech gehabt. Wenn du selber mal zu den Wenigen gehörst, denkst du darüber aber anders.
Du aber meinst, weil die Masse so groß ist, kanns dich nicht erwischen, nach dem Motto: Heiliger St. Florian, verschon mein Haus zünd andre an.
Sag mal, was unterstellst Du mir da eigentlich? Habe ich irgendwo behauptet Sicherheit waere unwichtig? Aber vielleicht sollte man sich erst einmal auf die grossen Risiken konzentrieren (siehe meine erste Antwort) bevor man sich mit den Extremfaellen beschaeftigt, die nur unter ganz bestimmten Umstaenden eintreffen.
Du bist mir bis jetzt die Erklaerung schuldig geblieben wie die meisten "Normalsurfer" (und sogar Vielsurfer) zu einer Seite gelangen die Sicherheitsluecken ausnutzt.
Sicherheitsluecken sind also wurscht, weil man sie sowieso kaum ausnützt? Und diejenigen, die danach suchen, sind Spinner? Am besten also wir schmeissen die Sicherheit gleich über Bord. Wenn du im Netz nach Infos suchen, einkaufen, Homebanking betreiben und weiss der Teufel alles machen willst, bist du daneben...
Sorry, Du lenkst ab. Du bist mir noch immer die Antwort schuldig geblieben wie der Normalsurfer zu einer Seite gelangt die Sicherheitsluecken ausnutzt um files zu loeschen. Darum ging es in Deinem Ausgangsposting auf das ich geantwortet habe. Habe ich irgendwo behauptet man sollte Sicherheitsluecken beim Homebanking vernachlaessigen? Also, ich warte auf Deine Erklaerung wie der Normalsurfer auf Seiten kommt, die die Sicherheitsluecke die Gusinski beschreibt ausnutzen. Wenn Du das erledigt hast koennen wir gerne einig sein dass es keine Sicherheitsluecken beim Onlinebanking und aehnlichem geben darf.
Gruss,
Armin
Moin
Sorry, Du lenkst ab. Du bist mir noch immer die Antwort schuldig geblieben wie der Normalsurfer zu einer Seite gelangt die Sicherheitsluecken ausnutzt um files zu loeschen.
Einige mögliche Antworten hast du in deinem ersten Posting in diesem Thread schon gegeben (http://forum.de.selfhtml.org/?m=10585&t=1830):
Und genau darum langweilt mich Guninski. Weil es fuer Otto und Erika Mustersurfer sehr viel wahrscheinlicher ist dass sie den AIM installiert haben oder in Outlook auf ein Attachment klicken.
Oder glaubst du, dass jemand der in Outlook die 100. Reinkarnation von von ILoveYou ausführt, nicht auch einen Link, der mit VerdienenSieSichEinfach10Euro beschriftet ist, anklicken wird oder gar Outlook so eingestellt hat, dass <meta http-equiv="refresh" content="0; URL=http://www.boeserurl.de"> einfach so funktioniert? Und dito für AIM: Wenn du einfach mal so ein paar URLs über AIM verschickst, wie hoch meinst du, wird dann der Prozentteil der Besucher sein die die einfach so öffnen?
Ausserdem könnte man dem nächsten Webserver-Wurm der die Runde macht, einfach mal Seiten die die Sicherheitslücke ausnutzen mit auf den Weg geben. Deine Beispielseiten laufen zwar alle auf dem Apachen, aber es soll durchaus noch große Websites geben, die den IIS benutzen und von Herrn und Frau Mustermann besucht werden.
--
Henryk Plötz
Grüße von der Ostsee
Tach auch,
Oder glaubst du, dass jemand der in Outlook die 100. Reinkarnation von von ILoveYou ausführt, nicht auch einen Link, der mit VerdienenSieSichEinfach10Euro beschriftet ist, anklicken wird oder gar Outlook so eingestellt hat, dass <meta http-equiv="refresh" content="0; URL=http://www.boeserurl.de"> einfach so funktioniert? Und dito für AIM: Wenn du einfach mal so ein paar URLs über AIM verschickst, wie hoch meinst du, wird dann der Prozentteil der Besucher sein die die einfach so öffnen?
OK, kann ich akzeptieren. An die Moeglichkeit hatte ich so nicht gedacht. Auch wenn es halt wieder der Umweg ueber eine email oder einen Messenger ist. Und noch habe ich ja die Hoffnung nicht aufgegeben dass die Leute nicht auf jeden Scheiss klicken der da ankommt. Habe ich jedenfalls meine Eltern und Schwester zu erzogen, meine Schwester hat mich sogar erst angerufen als ich ihr mal eine eCard von Chraeckers Stempelgeheimnis geschickt habe...
Ausserdem könnte man dem nächsten Webserver-Wurm der die Runde macht, einfach mal Seiten die die Sicherheitslücke ausnutzen mit auf den Weg geben. Deine Beispielseiten laufen zwar alle auf dem Apachen, aber es soll durchaus noch große Websites geben, die den IIS benutzen und von Herrn und Frau Mustermann besucht werden.
Auch moeglich. Eine der meistbesuchten Websites laeuft mit Sicherheit auf IIS ;-) Und meinen Hoster habe ich mir unter anderem danach ausgesucht welche Serversoftware dort laeuft (nein, kein IIS. Das waere fuer mich ein Kuendigungsgrund).
Du hast mich teilueberzeugt. Will sagen dass ich das Risiko jetzt hoeher einschaetze als in meiner Ausgangsantwort, aber im Vergleich zu den meisten anderen Risiken (diverse email-Viren, verschiedene IM-bugs, undichte Verbindungen beim Online-Banking) halte ich es nach wie vor gering.
Gruss,
Armin
Du hast mich teilueberzeugt. Will sagen dass ich das Risiko jetzt hoeher einschaetze als in meiner Ausgangsantwort, aber im Vergleich zu den meisten anderen Risiken (diverse email-Viren, verschiedene IM-bugs, undichte Verbindungen beim Online-Banking) halte ich es nach wie vor gering.
Folgendes Szenario ist durchaus vorstellbar:
Ein Forum mit interessanten Themen, die auch "dumme User" anziehen. Etliche User geben die Links auf ihre Homepage mit an. Ein User hat eine Homepage auf dem eigenen Server, mit einem dynamischen Nameservice hat er sogar eine Text-URL statt nur eine IP, und dummerweise hat dieser User von Servern einfach keine Ahnung. Und dummerweise (die Zweite!) hat dieser Server sich einen Internet-Wurm eingefangen, der beim unachtsamen Besucher (völlig unabsichtlich, was den User angeht) eine Sicherheitslücke ausnutzt.
Unwahrscheinlich? Absolut nicht!
Mir sind in meiner Computer-Laufbahn nicht mehr als 5 Computerviren real über die Festplatte gelaufen - keiner wurde unabsichtlich aktiv, weil ich aufpasse. Ich würde also mein Risiko als "gering" einschätzen, wie ich das Risiko, einen Virus zu bekommen, für Privatmenschen generell als eher gering einschätzen würde. Trotzdem bin ich unlängst wie oben beschrieben auf einen Server gestoßen, welcher ein Popup-Fenster mit einer "readme.eml" öffnete. Den Wurmnamen habe ich vergessen, aber da ich mit Opera surfe, war es mir auch egal.
Trotzdem ein Beispiel, wie sich unbescholtene, aber auch unbeholfene User dumme Sachen einfangen können, wenn sie den falschen Browser mit den falschen Links füttern.
Und gerade in diesem Forum hier ist es recht einfach, unter falschem Namen böse URLs zu posten. Die werden zwar recht schnell durch Warnmeldungen aufmerksamer Fachkundiger lahmgelegt (möglicherweise sogar gelöscht), aber Schaden kann man immer anrichten, zumindest bei ein paar Dummen, die zuerst klicken - und auch bei den Schlauen, die mit dem falschen Browser surfen. Der Internet Explorer ist ja nicht unverbreitet.
- Sven Rautenberg
PS: Ich weise ausdrücklich darauf hin, daß das Posten von gefährlichen URLs in diesem Forum nicht geduldet wird und auch strafrechtliche Konsequenzen nach sich ziehen kann, wie die Betreiber des Forums sicher gerne bestätigen werden. :)
n'Abend Sven !
PS: Ich weise ausdrücklich darauf hin, daß das Posten von gefährlichen URLs in diesem Forum nicht geduldet wird und auch strafrechtliche Konsequenzen nach sich ziehen kann, wie die Betreiber des Forums sicher gerne bestätigen werden. :)
Definiere "gefährliche URLs" !
Hinweis: Alle hier angeführten URLs sind frei erfunden und
dienen nur der Veranschaulichung.
1. www.porsche.xy - schnelle Autos können zum Rasen verleiten
Das ist gefährlich !
2. www.einbecker.xy - Alkohol beeinträchtigt die Feinmotorik
Das ist gefährlich !
1 & 2 verleitet zum alkoholisierten Fahren (na gut, ist
ungesetzlich, also ab auf die BlackList)
3. www.marlborough.xy - Rauchen _gefährdet_ die Gesundheit !
4. www.free-climbing.xy - eine _gefährliche_ Sportart
5. www.eisbein.xy - falsche Ernährung ist ungesund
- Das ist gefährlich !
Diese Liste mit "gefährlichen" URLs ist beliebig erweiterbar ;-)
MfG McNavc
ps: @Einbecker sorry für Punkt 2. - konnte nicht widerstehen ;-)
Moin!
- www.einbecker.xy - Alkohol beeinträchtigt die Feinmotorik
Das ist gefährlich !
Also, erstmal ist es entweder http://www.einbecker-brauhaus.de/ oder http://www.einbecker.com - Wenn schon auch eins der besten, ach was sage ich, _das_ beste Bier Deutschlands aufmerksam gemacht wird, dann aber auch richtig.
Dir moege verziehen sein, falls du den koestlichen Gerstensaft aus unserer schoenen Kleinstadt nicht kennst, aber sonst muesste Dir aufgefallen sein, dass man es nicht gleich in eine Kategorie mit Berenzen, Holsten oder selbst Flens (sorry, Fetz ;-) ) packen sollte - Einbecker Brauherren Pils hat keinerlei allo... alhoko... alka-selzerische Wirkung. Nein - wirklich nicht - Es befluegelt nur ein wenig - vielleicht vergleichbar mit Energy-Drinks, die aber 1. eine verdammt haessliche Farbe und 2. einen noch haesslicheren Geschmack haben.
Ausserdem trank schon Martin Luther dieses Bier auf seiner Hochzeit, und Muenchen musste sich extra nen Einbecker Braumeister einkaufen, damit die was halbwegs geniessbaren produziern konnten (:-P Harry).
- www.eisbein.xy - falsche Ernährung ist ungesund
(und verdammt kalt auch noch ;-) )
ps: @Einbecker sorry für Punkt 2. - konnte nicht widerstehen ;-)
SCNRE
Viele Gruesse,
Einbecker
Wenn Du das erledigt hast koennen wir gerne einig sein dass es keine Sicherheitsluecken beim Onlinebanking und aehnlichem geben darf.
Soweit ich sehe, ist die Frage jetzt nur noch, was du als "ähnliches" auffasst.
Surfen mit dem IE gehört für dich jedenfalls nicht dazu. Denn das darf unsicher sein, da dich ja vermeintlich hinter der Masse verstecken kannst.
Wenn man mit dem IE die wichtigen Online-Banking-Daten auf der Festplatte auslesen kann, dann wird aber mit dem IE das Online-Banking auch grundsätzlich unsicher. Oder meinst du da was anderes?
Ciao
W. Pichler
Tach auch,
Wenn Du das erledigt hast koennen wir gerne einig sein dass es keine Sicherheitsluecken beim Onlinebanking und aehnlichem geben darf.
Soweit ich sehe, ist die Frage jetzt nur noch, was du als "ähnliches" auffasst.
Onlineshopping? Online Anmeldung beim Einwohnermeldeamt (soll in Bremen demnaechst oder sogar jetzt schon gehen, haben mir meine Eltern erzaehlt)? Alles was eine sichere Kommunikation erfordert. Sichere Server (Wozu ich MS nicht gerade zaehle, aber ein schlecht administrierter Linux/Apache duerfte auch nicht so viel besser sein).
Surfen mit dem IE gehört für dich jedenfalls nicht dazu. Denn das darf unsicher sein, da dich ja vermeintlich hinter der Masse verstecken kannst.
Sorry Wolfgang (nehme mal an das ist Dein Name, wenn ich mich richtig erinnere), auf der Basis habe ich keine Lust zu diskutieren. Du kannst oder willst meine Argumente nicht verstehen. Da legst mir etwas in den Mund was ich nie gesagt habe.
Wenn man mit dem IE die wichtigen Online-Banking-Daten auf der Festplatte auslesen kann, dann wird aber mit dem IE das Online-Banking auch grundsätzlich unsicher. Oder meinst du da was anderes?
Was hat das jetzt mit dem IE zu tun? Ich weiss ja nicht wo Du Deine Online-Banking Daten speicherst, also ich habe meine nicht auf meinem PC. Was soll da also mit dem IE ausgelesen werden? Die Daten sind bei der Bank, ob sie da sicherer sind oder ob nicht vielleicht jemand sie abfaengt waehrend sie unterwegs sind, das ist das Sicherheitsthema was mich interessiert.
Gruss,
Armin
Was hat das jetzt mit dem IE zu tun? Ich weiss ja nicht wo Du Deine Online-Banking Daten speicherst, also ich habe meine nicht auf meinem PC. Was soll da also mit dem IE ausgelesen werden? Die Daten sind bei der Bank, ob sie da sicherer sind oder ob nicht vielleicht jemand sie abfaengt waehrend sie unterwegs sind, das ist das Sicherheitsthema was mich interessiert.
Tut mir leid, wenn ich das so sagen muß. Aber DEINE Phantasie würde für effizientes Ausshnüffeln nicht ausreichen. Das heißt aber noch lange nicht, dass es nicht genügend Leute mit aureichender Phantasie (und ausreichenden Kenntnissen) gibt, die das auch versuchen umzusetzen.
Wir gingen davon aus, dass Guniniski ein neues Sicherheitsloch im IE entdeckte, mit dem man beliebige Programme auf dem Client ausführen und lokale files auslesen kann. Das aber rief bei dir nur die übliche "Langeweile" hervor. (Ich wette, dass du IE verwendest!) Wenn du vielleicht keine sicherheitsrelevanten Daten auf deiner Festplatte speicherst, ist das gut so, heisst aber nicht, dass das generell so gemacht wird.
Wie man an den Virenlöchern von Outlook Express sieht, sind Löcher nur eine Frage der Zeit, bis sie ausgenutzt werden.
Nur wegen deines mangelnden Vorstellungsvermögens aber kann das Sicherheitsthema nicht eingeschränkt werden. Der IE ist eine der Hauptbühnen, auch wenn es den IE-Usern nicht gefällt.
Ciao
Wolfgang Pichler
wo sollten sie denn den link auf eine solche Seite herbekommen?
Moin Armin,
Leute auf Seiten locken geht ganz fix.
Untenstehende Mail habe ich heute gekriegt.
Von AntiVirus@freesurf.ch
Sieht doch ganz serious aus ...
Dumm nur, dass dass ich mit der angegebenen email zwar empfange,
sie aber noch nie als Sendeadresse verwendet/gespeichert/sonstwas habe.
Grüsse, Achim
________________
Hallo !
Wir mussten feststellen das ihr PC von Viren befallen ist. In den letzten Wochen
verbreiteten sich Viren masiv per eMail und verschickten sich selbst weiter. Diese
Viren spionieren teilweise ihre Daten aus und verschicken diese im Hintergrund
an den Versender der Viren. Wir mußten feststellen das auch von ihrem PC diese
Viren verschickt wurden.
Wir raten Ihnen daher dringend ein Update ihrer Virensoftware zu machen und
falls ihre Virensoftware diesen Virus noch nicht erkennt sich dringend andere
Schutzprogramme zu installieren.
Ein Virus kann viel Schaden anrichten und es kann sein das sie ihre komplette
Festplatte löschen müssen um den Virus zu beseitigen.
Sorgen Sie dafür das der Virus sich nicht tief in ihr System einnistet und schützen
Sie sich !
Auf der Sonderseite von < www.sicherheit.6hg.de> können Sie die Sicherheitseinstellungen überprüfen und
bei schlechtem Schutz gleich die entsprechende Schutzsoftware downloaden um
sich künftig vor gefährlichen Viren und Trojanern zu schützen.
Wir empfehlen Ihnen folgende Internetseiten:
http://www.sicherheit.dlz.to
http://www.virenschutz.ql.st
http://www.sicherheit.6hg.de
Mit freundlichen Grüßen
Ihr AntiVirus Team
Tach auch,
Leute auf Seiten locken geht ganz fix.
Hat mir Henryk ja weiter unten schon erklaert. Sehe ich auch (in Grenzen) ein.
Untenstehende Mail habe ich heute gekriegt.
Von AntiVirus@freesurf.ch
Sieht doch ganz serious aus ...
Findest Du? Fuer mich nicht, aber fuer Erika und Otto Mustersurfer wahrscheinlich schon. Gebe ich zu.
Wir empfehlen Ihnen folgende Internetseiten:
http://www.sicherheit.dlz.to
http://www.virenschutz.ql.st
http://www.sicherheit.6hg.de
Also bei solchen domains gehen bei mir alle Warnlampen an. Aber ich stimme zu, wer noch auf irgendwelche Attachments klickt, klickt auch auf solche links. Der liest auch solche mails, die bei mir halt unbesehen in den Muell wandern.
Gruss,
Armin