Christian: Was taugt die Norton Internet Security 2003?

0 43

Was taugt die Norton Internet Security 2003?

Christian
  • software
  1. 0
    backbone
  2. 0
    Armin G.
  3. 0
    Henryk Plötz
    1. 0
      Andreas Korthaus
      1. 0
        Sven Rautenberg
        1. 0
          Andreas Korthaus
          1. 0
            Henryk Plötz
  4. 0
    Sven Rautenberg
    1. 0
      Andreas Korthaus
      1. 0
        Alexander Foken
        1. 0
          Henryk Plötz
      2. 0
        Siechfred
        1. 0
          Siechfred
      3. 0
        Sven Rautenberg
      4. 0
        Henryk Plötz
  5. 0
    Alexander Foken
    1. 0
      Andreas Korthaus
      1. 0
        Alexander Foken
        1. 0
          Andreas Korthaus
          1. 0
            Alexander Foken
            1. 0
              Henryk Plötz
              1. 0
                Sven Rautenberg
                1. 0
                  Henryk Plötz
      2. 0
        Henryk Plötz
  6. 0
    Christian
  7. 0
    Hans-Peter Rieger
    1. 0
      Alexander Foken
      1. 0
        Hans-Peter Rieger
    2. 0
      Henryk Plötz
      1. 0
        Hans-Peter Rieger
      2. 0
        Andreas Korthaus
        1. 0
          Alexander Foken
        2. 0
          Henryk Plötz
          1. 0
            Andres Freund
            1. 0
              Henryk Plötz
              1. 0
                Andreas Korthaus
                1. 0
                  Henryk Plötz
                  1. 0
                    Andreas Korthaus
                    1. 0
                      Henryk Plötz
                      1. 0
                        Andreas Korthaus
              2. 0
                Calocybe
                1. 0
                  Johannes Zeller

Hallo

Ich wüsste gerne mal eure Meinung / Einschätzung:
Taugt die Norton Internet Security 2003 etwas im Bezug auf die Abwehr von Hackerangriffen? Oder ist sie leicht zu umgehen, lässt sie Ports offen?
Ich wüsste es nur gerne, weil ich wissen will, ob man sich mit diesem Produkt geschützt fühlen darf oder nicht.
Danke für eure Antworten,

Christian

  1. hi!

    also was ich zum thema sagen kann ist nur soviel: keine software ist sicher!
    willst du für einen privatanwender ausreichent schutz haben beit du bein norten sicher gut beraten. soll es professioneller sein dann kommst du um einen hardwarefirewall nicht rum (routerfirewall etc.).

    tschau

  2. Tach auch,

    Ich wüsste es nur gerne, weil ich wissen will, ob man sich mit diesem Produkt geschützt fühlen darf oder nicht.

    Nein. Was hilft Dir all diese Software wenn Du Dich dann sicher fuehlst und ohne nachzudenken auf alles klickst was sich bewegt (und auch noch was sich nicht bewegt)?

    Irgendwann kommt ein neuer Virus dummerweise zuerst bei Dir an, bevor irgendeine Antivirusfirma davon gehoert hat. Wenn Du Dich dann hinter Deiner Virenwall- Antiviren- und wasweissichnochsoftware sicher fuehlst, dann sind Deine Daten trotzdem futsch.

    Ich halte diese Programme fuer Geldschneiderei, einen aehnlichen Schutz kann man mit simplen Vorsichtsmassnahmen (Attachments nicht oeffnen) und vernuenftigen Systemeinstellungen (ActiveX...) wahrscheinlich auch erreichen.

    Gruss,
    Armin

    --
    Location: Swindon/Wiltshire/England/UK/Europe/Northern Hemisphere/Planet Earth/Solar System/Milky Way Galaxy/Universe
    http://www.ministryofpropaganda.co.uk/
  3. Moin,

    Ich wüsste gerne mal eure Meinung / Einschätzung:
    Taugt die Norton Internet Security 2003 etwas im Bezug auf die Abwehr von Hackerangriffen?

    Nein. Obwohl: Nach der Installation wird das System oft instabil oder friert gleich einige zeitlang ein. Nach einem Absturz ist es natürlich perfekt gegen jede Art von Angriff geschützt ;-)

    Oder ist sie leicht zu umgehen, lässt sie Ports offen?

    Was soll das bloß immer mit den Ports? Verschaff' dir die Grundlagen zu TCP/IP und lerne was ein Port ist, und warum der Begriff "Port offen lassen" eher Schwachsinn ist. Wenn du schon dabei bist kannst du dich auch in die Grundlagen deines Betriebssystems einlesen und lernen wie du alle Dienste die du nicht benötigst (deiner Fragestellung nach also alle) abschaltest oder vom Internet-Interface entbindest.

    Ich wüsste es nur gerne, weil ich wissen will, ob man sich mit diesem Produkt geschützt fühlen darf oder nicht.

    Geschützt fühlen darfst du dich _in_keinem_Fall_! Das ist nämlich das Hauptproblem von sogenannten Personal Firewalls: Sie machen nicht nur in vielen Fällen das System instabil, nerven den Anwender mit lästigen Nachfragen, verletzten das Internetprotokoll, führen dazu, dass einige Anwendungen nicht mehr funktionieren oder blähen die Codebasis unnötig auf, so dass Fehler die einen fremden nicht autorisierten Zugriff ermöglichen deutlich wahrscheinlicher werden, nein, sie führen auch allzu oft dazu, dass der Anwender sich in wohlig warmer Sicherheit wiegt und ein gesteigertes Risikoverhalten zeigt. (Stichwort Risikokompensation.)

    Der Anwender wiegt sich in Sicherheit und ein Angriff hat es dann vielmals deutlich leichter. Und ja, das ist in vielen Fällen ein 'Designfeature': Die Software baut beim Anwender so eine Art Abhängigkeit auf, was dazu führt, dass dieser Anwender die deutlich sichtbaren Zeichen der Schlechtheit seiner Software ignoriert und sogar noch Updates und ähnliches kauft. Das kommt natürlich der Kasse des Herstellers zu gute.

    Lass' dir aber versichert sein: Eine Personal Firewall ist in 90% der Fälle nutzlos bis gefährlich. Denn was soll sie schon können:
     + Sie schmeisst Pakete von aussen weg. Das kann dein Betriebssystem mindestens genausogut, bzw. sogar besser, da es sich meistens an das Internetprotokoll halten wird.
     + Sie versucht Pakete von innen zu blockieren. Das kann sie prinzipbedingt nicht zuverlässig tun.

    Reporte zu den durch Personal Firewalls ausgelösten Problemen (insbesondere zu Norton Internet Security) findest du zuhauf im Usenet in den passenden Gruppen[1] und weiterführende Informationen in den FAQs dieser Gruppen bzw. auch relativ regelmäßig in der Gruppe selber.

    [1] D.h. de.comp.security.firewall, aber auch (obwohl dort nicht thematisch passend) in de.comp.security.misc, microsoft.public.de.security.heimanwender und microsoft.public.de.security.netzwerk.sicherheit

    --
    Henryk Plötz
    Grüße aus Berlin
    ~~~~~~~~ Un-CDs, nein danke! http://www.heise.de/ct/cd-register/ ~~~~~~~~
    ~~ Help Microsoft fight software piracy: Give Linux to a friend today! ~~
    1. Hi!

      • Sie versucht Pakete von innen zu blockieren. Das kann sie prinzipbedingt nicht zuverlässig tun.

      Wie macht die das überhaupt? Die Anwendungen schreiben doch direkt in ein Socket über den Kernel des Betriebssystems, wie kann sich so eine Firewall überhaupt dazwischen mogeln?

      Grüße
      Andreas

      PS: Danke Dir und Sven für die mal wieder interessanten Beiträge!

      1. Moin!

        • Sie versucht Pakete von innen zu blockieren. Das kann sie prinzipbedingt nicht zuverlässig tun.

        Wie macht die das überhaupt? Die Anwendungen schreiben doch direkt in ein Socket über den Kernel des Betriebssystems, wie kann sich so eine Firewall überhaupt dazwischen mogeln?

        Indem sie den Standard-TCP/IP-Stack z.B. manipuliert oder durch einen eigenen ersetzt. Unter Linux geht's ja auch - nur ist da die Paketfilter-Software im Kernel angesiedelt. Allerdings kann man (ich hab's gerade mal wieder durchexerziert) in der Kernel-Konfiguration sehr viel auch als Modul erstellen lassen, welche sich zur Laufzeit nachladen lassen - also möglicherweise auch die iptables oder ipchains insgesamt, welche ja für den Paketfilter zuständig sind.

        Auf dieselbe Weise könnte es unter Windows funktionieren, indem Microsoft irgendwelche Ansatzpunkte eingebaut hat, die man nur noch nutzen muß.

        - Sven Rautenberg

        --
        Signatur oder nicht Signatur - das ist hier die Frage!
        1. Hi Sven!

          • Sie versucht Pakete von innen zu blockieren. Das kann sie prinzipbedingt nicht zuverlässig tun.

          Wie macht die das überhaupt? Die Anwendungen schreiben doch direkt in ein Socket über den Kernel des Betriebssystems, wie kann sich so eine Firewall überhaupt dazwischen mogeln?

          Indem sie den Standard-TCP/IP-Stack z.B. manipuliert oder durch einen eigenen ersetzt. Unter Linux geht's ja auch - nur ist da die Paketfilter-Software im Kernel angesiedelt. Allerdings kann man (ich hab's gerade mal wieder durchexerziert) in der Kernel-Konfiguration sehr viel auch als Modul erstellen lassen, welche sich zur Laufzeit nachladen lassen - also möglicherweise auch die iptables oder ipchains insgesamt, welche ja für den Paketfilter zuständig sind.

          Auf dieselbe Weise könnte es unter Windows funktionieren, indem Microsoft irgendwelche Ansatzpunkte eingebaut hat, die man nur noch nutzen muß.

          Und läßt sich das dann umgehgen? Wenn sich das umgehen ließe würde wohl kein einziger Trojaner das nicht umgehen und die SW-Firewalls wären in dieser Beziehung vollkommen hinfällig. Aber es scheint ja zu funktionieren, aber wieso sagt Henryk dann "das kann sie prinzipbedingt nicht zuverlässig tun"?

          Entweder "ganz oder gar nicht", oder?

          Grüße
          Andreas

          PS: Abgesehen davon das es zumindest unter Win kein Problem sein sollte die Software-Firewall aus dem Autostart zu nehmen. Aber das könnte man ja merken!

          1. Moin,

            Indem sie den Standard-TCP/IP-Stack z.B. manipuliert oder durch einen eigenen ersetzt.

            Genau. Daher muss sie sich auch so tief ins System eingraben und führt so häufig zu mehr Instabilitäten. Ausserdem kann ein Programmierfehler in der Personal Firewall dann wahrscheinlich auch von aussen ausgenutzt werden, ohne das irgendwo ein Dienst an einem Port lauscht. IIRC gab es das vor nicht allzu langer Zeit (< 1 Jahr her) auch bei einem Produkt, die Details habe ich aber verdrängt.

            Auf dieselbe Weise könnte es unter Windows funktionieren, indem Microsoft irgendwelche Ansatzpunkte eingebaut hat, die man nur noch nutzen muß.

            Microsoft hat in den neueren Windowsversionen sogar einen Paketfilter und eine API dafür eingebaut. Ich bezweifle jedoch, dass der größte Teil der Personal Firewalls die nutzen wird.

            Und läßt sich das dann umgehgen? Wenn sich das umgehen ließe würde wohl kein einziger Trojaner das nicht umgehen und die SW-Firewalls wären in dieser Beziehung vollkommen hinfällig. Aber es scheint ja zu funktionieren, aber wieso sagt Henryk dann "das kann sie prinzipbedingt nicht zuverlässig tun"?

            Es 'scheint zu funktionieren'. Es funktioniert natürlich nicht wirklich, kann aber beeindruckend lange so tun, als ob. Zur Zeit ist eben der Normalzustand ein System ohne Personal Firewall, sodass ein Wurmprogrammierer es häufig nicht für unbedingt nötig erachtet Code zur Umgehung derselben einzubauen. IIRC gab es aber erst kürzlich einen Wurm der eine lange Liste von Personal Firewalls/Virenscannern ausgeschaltet hat, wenn er sie traf.

            Das Ausschalten geht aber in fast jedem Fall: Zum einen wären da die Popups die die meisten Programme aufpoppen lassen wenn ein neues Programm raus will. Wenn der Programmierer der Personal Firewall nicht alles richtig gemacht hat[1], kann das Schadprogramm dieses Popup einfach wegklicken und gleich das Häkchen für "diese Entscheidung merken" anmachen. Ausserdem ist es nicht unwahrscheinlich, dass der User die Personal Firewall administrieren kann, also kann das die Schadsoftware auch. In ganz blöden Fällen läuft die Personal Firewall sogar mit den Privilegien des Users und kann einfach von der Schadsoftware abgeschossen werden. Last but not least: Wenn der User die Schadsoftware als Administrator gestartet hat ist sowieso alles zu spät.

            Das alles sind Punkte die man durch richtige Konfiguration der richtigen Software (d.h. zum Beispiel Tiny/Kerio als Systemdienst mit erweiterten Privilegien starten, jegliche Interaktion mit dem User verweigern und eine Anmeldung als normaler Benutzer) beseitigen kann. Das hilft jedoch nicht viel, da - wie hier bereits genannt - die Schadsoftware _in_jedem_Fall_ nach draussen tunneln kann. Man kann grundsätzlich alles über alles tunneln, solange das zugrundeliegende Protokoll irgendeine Informationen überträgt[2]. Und da der User seine schöne Internetverbindung sicher auch nutzen will, wird es mindestens ein Programm/Protokoll geben welches der User (und damit auch die Schadsoftware) nutzen kann und das Informationen nach draussen übertragen oder von dort empfangen kann.

            Entweder "ganz oder gar nicht", oder?

            Exakt.

            Sobald die Schadsoftware auf dem Rechner mit den Privilegien des Users ausgeführt wird, ist es zu spät um sie an der Übertragung von Informationen nach draussen zu hindern, es sei denn es wird die Übertragung aller Informationen verhindert.

            [1] Gerüchten zufolge soll das auch unter Windows in sicherer Art und Weise machbar sein. Soweit ich mich erinnern kann, wurde der Dialog der bei Strg-Alt-Entf kommt als Beispiel genannt wie es richtig geht.

            [2] Im schlimmsten Fall kann man die Information ja durch "Es wird gesendet"/"Es wird nicht gesendet" nach draussen 'morsen'.

            --
            Henryk Plötz
            Grüße aus Berlin
            ~~~~~~~~ Un-CDs, nein danke! http://www.heise.de/ct/cd-register/ ~~~~~~~~
            ~~ Help Microsoft fight software piracy: Give Linux to a friend today! ~~
  4. Moin!

    Ich wüsste gerne mal eure Meinung / Einschätzung:
    Taugt die Norton Internet Security 2003 etwas im Bezug auf die Abwehr von Hackerangriffen? Oder ist sie leicht zu umgehen, lässt sie Ports offen?

    Personal Firewalls sind dann sinnvoll, wenn sie genau das erledigen, was man von ihnen will.

    Leider wird durch diffuse Panikmache nur sehr selten deutlich, für was sich Personal Firewalls wirklich eignen.

    Du hast explizit nach "Hackerangriffen" gefragt. Ja, dafür eignet sie sich wohl - allerdings kannst du denselben Schutz auch kostenlos haben, indem du dein Betriebssystem entsprechend konfigurierst. Hackerangriffe auf einen im Internet erreichbaren Rechner erfordern, wie du schon erkannt hast, offene Ports. Wenn du von Haus aus keinen Port offen hast, kann auch niemand einbrechen. Also mach deine Ports dicht, indem du die dafür verantwortliche Serversoftware deinstallierst, deaktivierst oder zumindest so einstellst, dass sie auf dem Internet-Interface keinen Port öffnet. Denn das kann man gewöhnlich pro Interface einstellen. Und schon bist du vor Hackerangriffen ziemlich sicher. Gewißheit darüber, ob die Ports alle geschlossen sind, gibt dir ein Portscan von außen, den ein befreundeter Rechner durchführt. Im Internet gibts da einige Services, die sowas anbieten (z.B. scannt http://grc.com ein paar Ports), oder du kennst einen Freund, der das mal bei dir prüft. Oder du kannst dich auf einen Rechner einloggen und selber scannen.

    Ich wüsste es nur gerne, weil ich wissen will, ob man sich mit diesem Produkt geschützt fühlen darf oder nicht.

    Nein, darfst du leider nicht. Das ist das Problem bei allen Personal Firewalls: Jedes Programm, das der Anwender auf dem Rechner beabsichtigt oder unbeabsichtigt startet, kann die Firewall im Prinzip abschalten. Wenn du also ganz unbekümmert surfst und dir dabei eine böse Software (z.B. ein Dialer oder einen Trojaner) einfängst und die startest, dann schützt die Firewall dich davor nicht. Denn genausogut könntest du ja den Dialer gewollt haben oder irgendeine erwünschte Software herunterladen wollen - woran soll die Firewall das erkennen?

    Und wenn so eine Schadsoftware erst einmal gestartet ist, dann hat sie mindestens die Macht, die der aktuelle Benutzer auch hat. Wenn du also die Firewall abschalten kannst, kann der Trojaner das auch - und dann alle möglichen Dinge anrichten.

    Außerdem kann sich der Trojaner als Nutzprogramm, dem du bereits den Zugriff aufs Internet gestattet hast, verkleiden - teilweise, indem wirklich das Nutzprogramm für den Internetzugriff benutzt wird. ActiveX-Applets zum Beispiel laufen im IE - den benutzt du aber wahrscheinlich zum Surfen, also darf der. Ein böses Applet, das du dir eingefangen hast, surft also immer mit, ohne dass die Firewall dagegen etwas tun kann.

    Ein dritter Punkt: Die Firewall wird dir sicherlich melden, wie toll sie ist, und jeden geblockten Datenverkehr anzeigen wollen. Damit kriegst du das Gefühl, dass du eine tolle Firewall hast, weil die ja soviel wegblockt, und gleichzeitig meinst du, dass du ständig unter Angriffen leidest. Beides ist falsch. Richtig ist, dass die Pakete, die an geschlossene Ports gerichtet sind, auch ohne Firewall abgewiesen werden - nur eben ohne Trara und Meldung, und zweitens ist das Eintreffen eines Datenpakets, und sei es auch auf dem Port eines bekannten Trojaners, noch lange kein Angriff, sondern schlimmstenfalls ein "An der Tür rütteln um zu gucken, ob offen ist", oftmals aber auch schlicht der Rest eines Datenverkehrs.

    Du siehst also: Eine Personal Firewall hilft dir eigentlich fast gar nicht. Lediglich wenn du es nicht schaffst, offene Ports zum Internet hin zu schließen, wird sie diese Aufgabe übernehmen können und auch sicher ausführen. Alle weitergehenden Features sind, wenn man sie mal ganz streng betrachtet, Augenwischerei. Und das gilt grundsätzlich für alle derartigen Firewall-Produkte, nicht nur für Norton.

    - Sven Rautenberg

    --
    Signatur oder nicht Signatur - das ist hier die Frage!
    1. Hi!

      Du hast explizit nach "Hackerangriffen" gefragt. Ja, dafür eignet sie sich wohl - allerdings kannst du denselben Schutz auch kostenlos haben, indem du dein Betriebssystem entsprechend konfigurierst.

      Was verständlicherweise nicht jeder kann ;-)

      Hackerangriffe auf einen im Internet erreichbaren Rechner erfordern, wie du schon erkannt hast, offene Ports. Wenn du von Haus aus keinen Port offen hast, kann auch niemand einbrechen.

      Es sei denn man installiert ominöse Software die unbemerkt einen Port für remote-access öffnet. Ich kenne mich da auch nicht wirklich aud, aber ich meie mal gelesen zu haben dass sich viele Dinge auch gut verstecken lassen, vor allem Prozesse werden nicht alle im Task-Manager angezeigt, außerdem werden einige Prozesse zu einem "kombiniert" der angezeigt wird, vieleicht könnte man sogar da noch was "anhängen". Und offene Ports kann man AFAIK unter Windows (und Linux) auch nicht anzeigen, nur durch einen Scan, mit netstat.exe bekommt man ja soweit ich weiß nur bestehende Verbindungen, oder?

      Nein, darfst du leider nicht. Das ist das Problem bei allen Personal Firewalls: Jedes Programm, das der Anwender auf dem Rechner beabsichtigt oder unbeabsichtigt startet, kann die Firewall im Prinzip abschalten.

      Meinst Du indem es aus dem Autostart(wie auch immer der realisiert wird) genommen wird? Denn anders wüßte ich nicht wie man GUI-Software beeinflussen könnte.

      Wenn du also ganz unbekümmert surfst und dir dabei eine böse Software (z.B. ein Dialer oder einen Trojaner) einfängst und die startest, dann schützt die Firewall dich davor nicht. Denn genausogut könntest du ja den Dialer gewollt haben oder irgendeine erwünschte Software herunterladen wollen - woran soll die Firewall das erkennen?

      Man selbst sieht ja was passiert, und die Firewall "meldet" ja immer wenn sich so ein Programm unerwünscht mit dem Internet verbinden will. In diesem Fall kann man den Zugriff für diese Software ja durchaus unterbinden, so dass z.B. ein Trojaner keine Möglichkeit hat nach aussen zu komunizieren.

      Und wenn so eine Schadsoftware erst einmal gestartet ist, dann hat sie mindestens die Macht, die der aktuelle Benutzer auch hat. Wenn du also die Firewall abschalten kannst, kann der Trojaner das auch - und dann alle möglichen Dinge anrichten.

      Auch direkt abschalten? Wie soll den ein externes Programm auf eine GUI-Software zugreifen können? Man könnte höchstens den entsprechenden prozess killen, aber wie sowas unter Windows ohne manuell den Task-Manager zu benutzen funktioniert habe ich bisher nihct herausbekommen, denn der Task-Manager kann manche Prozesse zum verrecken nicht killen, z.B. den Apachen.

      Außerdem kann sich der Trojaner als Nutzprogramm, dem du bereits den Zugriff aufs Internet gestattet hast, verkleiden - teilweise, indem wirklich das Nutzprogramm für den Internetzugriff benutzt wird. ActiveX-Applets zum Beispiel laufen im IE - den benutzt du aber wahrscheinlich zum Surfen, also darf der. Ein böses Applet, das du dir eingefangen hast, surft also immer mit, ohne dass die Firewall dagegen etwas tun kann.

      Kann denn ein ActiveX-Applets als "service" laufen? Das ist doch eher so eine Art Script, das ja nicht an einem Port lauschen kann, oder?

      Danke für das interessante Posting, nicht falsch verstehen ich habe auch keine Firewall und will auch keine, aber ich finde eine Firewall für Leute die sich wenigstens ein bisschen mit PCs auskennen aber nicht gut genug(keien Ahnung von TCP/IP) durchaus für sinnvoll, da die einfach nicht in der Lage sind selbst ein vergleichbares Sicherheits-Niveau herzustellen.
      Was ich aber bestätigen kann dass sich gerade diese Leute als die großen Kings vorkommen die glauben die Gefahren des Internet verstanden zu haben und Stolz auf jeden einzelnen abgewehrten "Hacker-Angriff" sind ;-)
      Naja, ein trügerisches Sicherheits-Gefühl, ist die Frage was besser ist.

      Viele Grüße
      Andreas

      1. Moin Moin !

        Und offene Ports kann man AFAIK unter Windows (und Linux) auch nicht anzeigen, nur durch einen Scan, mit netstat.exe bekommt man ja soweit ich weiß nur bestehende Verbindungen, oder?

        Daür gibt es Scan-Dienste, siehe anderswo in diesem Thread.

        Nein, darfst du leider nicht. Das ist das Problem bei allen Personal Firewalls: Jedes Programm, das der Anwender auf dem Rechner beabsichtigt oder unbeabsichtigt startet, kann die Firewall im Prinzip abschalten.
        Meinst Du indem es aus dem Autostart(wie auch immer der realisiert wird) genommen wird? Denn anders wüßte ich nicht wie man GUI-Software beeinflussen könnte.

        BOOL EnumWindows(

        WNDENUMPROC  lpEnumFunc, // address of callback function
            LPARAM  lParam  // application-defined value
           );

        ... damit findet man das Window der PFW ...

        BOOL PostMessage(
            HWND  hwnd, // handle of destination window
            UINT  uMsg, // message to post
            WPARAM  wParam, // first message parameter
            LPARAM  lParam  // second message parameter
        );

        ... und damit schickt man dem Window der PFW ein WM_QUIT oder ähnliches.

        Gegen so primitive Angriffe sollte eine PFW geschützt sein, aber das Prinzip ändert sich nicht. Man muß den Angriff nur verbessern.

        Man selbst sieht ja was passiert, und die Firewall "meldet" ja immer wenn sich so ein Programm unerwünscht mit dem Internet verbinden will. In diesem Fall kann man den Zugriff für diese Software ja durchaus unterbinden, so dass z.B. ein Trojaner keine Möglichkeit hat nach aussen zu komunizieren.

        Aber nur, wenn der Trojaner nicht vorher die PFW ausgehebelt hat. Oder sich schlicht IEXPLORER.EXE nennt. Darauf sollen schon PFWs hereingefallen sein.

        Auch direkt abschalten? Wie soll den ein externes Programm auf eine GUI-Software zugreifen können? Man könnte höchstens den entsprechenden prozess killen, aber wie sowas unter Windows ohne manuell den Task-Manager zu benutzen funktioniert habe ich bisher nihct herausbekommen, denn der Task-Manager kann manche Prozesse zum verrecken nicht killen, z.B. den Apachen.

        http://www.sysinternals.com bietet u.a. pslist.exe und pskill.exe (in pstools.zip?). Mit ersterem sieht man so ziemlich jeden Prozess, mit letzterem kann man auch Programme abschießen, die als "Local System" laufen. pskill.exe kann einem echt ans Herz wachsen, wenn mal wieder ein CGI in eine Endlosschleife rennt.

        Kann denn ein ActiveX-Applets als "service" laufen? Das ist doch eher so eine Art Script, das ja nicht an einem Port lauschen kann, oder?

        ActiveX-Controls sind DLLs und dürfen so ziemlich alles, was jede andere EXE oder DLL auch darf. Was hintert ein ActiveX-Control, aus sich heraus eine EXE-Datei auf die Platte zu schreiben, diese dann aufzurufen (wodurch sich die EXE als Service installiert), und in Zukunft quasi als Proxy zwischen dieser EXE und dem Web zu fungieren?

        Danke für das interessante Posting, nicht falsch verstehen ich habe auch keine Firewall und will auch keine, aber ich finde eine Firewall für Leute die sich wenigstens ein bisschen mit PCs auskennen aber nicht gut genug(keien Ahnung von TCP/IP) durchaus für sinnvoll, da die einfach nicht in der Lage sind selbst ein vergleichbares Sicherheits-Niveau herzustellen.

        Ein paar Screenshots tuns auch: Dialup-Network -> TCP-IP -> Kein Windows Sharing auf Dialup-Adapter. Siehe c't (mehrfach).

        Naja, ein trügerisches Sicherheits-Gefühl, ist die Frage was besser ist.

        Ungeschützt oder mit einer "Türklingel"? Hmmm, dann doch lieber einen dedizierten Portfilter auf einer eigenen Kiste. Oder zumindest das Wissen, daß ungeschützter Internet-Zugang und ungeschützter GV ähnlich riskant sind. ;-)

        Sinnvoll wären sinnvolle Default-Werte im OS. Windows Sharing hat auf Dial-Up-Networking ins Internet nichts zu suchen, um nur einen "falschen" Default-Wert zu nennen.

        Alexander

        --
        Nein, ich beantworte keine Fragen per eMail. Dafür ist das Forum da.
        Today I will gladly share my knowledge and experience, for there are no sweeter words than "I told you so!"
        1. Moin,

          Sinnvoll wären sinnvolle Default-Werte im OS. Windows Sharing hat auf Dial-Up-Networking ins Internet nichts zu suchen, um nur einen "falschen" Default-Wert zu nennen.

          Mein Windows XP Professional hat das auch nicht mehr gemacht. Ich war richtiggehend erstaunt, dass die da mal was reparieren.

          Dafür gibt es jetzt andere gefährliche Defaults: Zum Beispiel darf jeder Benutzer nach Herzenslust Wählverbindungen aufbauen oder in der Datei mit den systemweit benutzten DFÜ-Verbindungen rumschreiben.

          --
          Henryk Plötz
          Grüße aus Berlin
          ~~~~~~~~ Un-CDs, nein danke! http://www.heise.de/ct/cd-register/ ~~~~~~~~
          ~~ Help Microsoft fight software piracy: Give Linux to a friend today! ~~
      2. Hallo Alexander,

        aber ich finde eine Firewall für Leute die sich wenigstens ein bisschen mit PCs auskennen aber nicht gut genug(keien Ahnung von TCP/IP) durchaus für sinnvoll, da die einfach nicht in der Lage sind selbst ein vergleichbares Sicherheits-Niveau herzustellen.

        Du sprichst mir aus dem Herzen, denn ich bin ein solcher User.

        Was ich aber bestätigen kann dass sich gerade diese Leute als die großen Kings vorkommen die glauben die Gefahren des Internet verstanden zu haben und Stolz auf jeden einzelnen abgewehrten "Hacker-Angriff" sind

        Gut, zu den Leuten zähle ich mich nicht, denn der sicherste Schutz ist imho immer noch, sensible Daten einfach nicht auf dem Rechner liegen zu haben, soweit es möglich ist.

        mfg Torsten

        --
        Opinions are like assholes: everybody has one.
        ss:| zu:| ls:# fo:| de:[ va:| ch:? n4:& rl:? br:& js:| ie:% fl:( mo:}
        1. Hallo Alexander,

          Natürlich war dies eine Antwort auf das Posting von Andreas. Sorry.

      3. Moin!

        Du hast explizit nach "Hackerangriffen" gefragt. Ja, dafür eignet sie sich wohl - allerdings kannst du denselben Schutz auch kostenlos haben, indem du dein Betriebssystem entsprechend konfigurierst.
        Was verständlicherweise nicht jeder kann ;-)

        Natürlich ist das Wissen um die Abstellmöglichkeit nicht unbedingt vorhanden - zuerst zumindest. Aber mit Google bewaffnet kriegt man ziemlich viel heraus.

        Ich hatte beispielsweise bei meinem WinME-Laptop festgestellt, dass Port 5000 offen ist. Eine kurze Suche in Google nach "Windows ME port 5000" lieferte mir dann die Info, dass es sich hierbei um den Dienst "Universal Plug and Play" handelt, und da ich den nicht brauche - und ihn auch sonst _niemand_ heutzutage braucht, und einige ältere Implementationen des Dienstes obendrein noch anfällig für Attacken waren (mindestens drei Stück sind bekannt, die den angegriffenen Rechner zum Absturz bringen können), habe ich mit der gefundenen Anleitung den Dienst mittels "msconfig" ausgeschaltet.

        Dasselbe kann man für alle weiteren Dienste machen, die man findet und von denen man nicht weiß, warum sie da sind. Entweder trifft man auf eine Anleitung, wie das Teil abzuschalten ist, oder man trifft auf eine Erklärung, was das ist.

        Aber trotzdem gilt folgende Daumenregel: Ein reiner Surf-Rechner benötigt KEINE OFFENEN Ports. ALLE Ports, die dennoch offen sind, sind unnötig - solange, bis der Benutzer in einer bewußten Entscheidung einen Port offen haben will, weil er gewisse Dienste benötigt, die anders nicht zu realisieren sind.

        Hackerangriffe auf einen im Internet erreichbaren Rechner erfordern, wie du schon erkannt hast, offene Ports. Wenn du von Haus aus keinen Port offen hast, kann auch niemand einbrechen.
        Es sei denn man installiert ominöse Software die unbemerkt einen Port für remote-access öffnet. Ich kenne mich da auch nicht wirklich aud, aber ich meie mal gelesen zu haben dass sich viele Dinge auch gut verstecken lassen, vor allem Prozesse werden nicht alle im Task-Manager angezeigt, außerdem werden einige Prozesse zu einem "kombiniert" der angezeigt wird, vieleicht könnte man sogar da noch was "anhängen". Und offene Ports kann man AFAIK unter Windows (und Linux) auch nicht anzeigen, nur durch einen Scan, mit netstat.exe bekommt man ja soweit ich weiß nur bestehende Verbindungen, oder?

        netstat -an zeigt unter Linux _alle_ Informationen bezüglich TCP, UDP und RAW an, auch offene Ports (Stichwort LISTEN). netstat -ln zeigt nur die offenen Ports an.

        Das sollte grundsätzlich auch unter Windows gehen (gerade probiert: Unter ME kennt netstat nur die Option a, nicht die Option l).

        Außerdem ist eines klar: Sollte der Benutzer oder ein anderes Ereignis dazu führen, dass auf dem zu schützenden Rechner bösartiger Code ausgeführt wird, hat zu diesem Zeitpunkt das Schutzkonzept bereits versagt. Die Firewall jedoch kann sowas prinzipbedingt kaum vorher abfangen, und hinterher ist sie den Aktionen des Schädlings im Prinzip ausgeliefert.

        Nein, darfst du leider nicht. Das ist das Problem bei allen Personal Firewalls: Jedes Programm, das der Anwender auf dem Rechner beabsichtigt oder unbeabsichtigt startet, kann die Firewall im Prinzip abschalten.
        Meinst Du indem es aus dem Autostart(wie auch immer der realisiert wird) genommen wird? Denn anders wüßte ich nicht wie man GUI-Software beeinflussen könnte.

        Es gibt Mittel und Wege, über Windows-Interne Nachrichtensendungen andere Software fernzusteuern. Ein netter Hack vom CCC hat mittels eines ActiveX-Applets mal die Finanzsoftware Quicken ferngesteuert und dort eine Überweisung eingetragen. Quicken wurde dazu außerhalb des sichtbaren Bildschirms positioniert. Und das fiese: Wenn der Angegriffene Homebanking mit Quicken macht, dann wird er in der Regel die Überweisungen automatisch zur Bank übertragen lassen. Wenn er nicht aufpaßt, geht die falsche Überweisung, authentifiziert durch die eigene TAN, mit auf die Leitung zur Bank und wird ausgeführt - und es dürfte ziemlich schwierig sein, dieses Geld irgendwie wiederzukriegen...

        Wenn du also ganz unbekümmert surfst und dir dabei eine böse Software (z.B. ein Dialer oder einen Trojaner) einfängst und die startest, dann schützt die Firewall dich davor nicht. Denn genausogut könntest du ja den Dialer gewollt haben oder irgendeine erwünschte Software herunterladen wollen - woran soll die Firewall das erkennen?
        Man selbst sieht ja was passiert, und die Firewall "meldet" ja immer wenn sich so ein Programm unerwünscht mit dem Internet verbinden will. In diesem Fall kann man den Zugriff für diese Software ja durchaus unterbinden, so dass z.B. ein Trojaner keine Möglichkeit hat nach aussen zu komunizieren.

        Die Tatsache, dass nette Programme sich auf Standardwegen, die von der Firewall kontrolliert werden (und die sie somit melden kann), mit dem Internet verbinden hindert niemanden daran, nicht doch Software zu schreiben, welche entweder die Abfrage umgeht (z.B. automatisch "erlauben" klickt), oder die Abfrage verhindert, indem die Liste der erlaubten Programme geändert wird, oder sich als erlaubtes Programm tarnt, oder die Firewall abschaltet, oder einen anderen Weg an der Firewall vorbei findet, um ins Netz zu kommunizieren.

        Nur ein kleines Beispiel: Der Real-Player ist ja bekanntermaßen ziemlich "kommunikativ", was Unterhaltungen mit "zuhause" angeht. Ich habe gerüchteweise gehört, dass das "Nach Hause telefonieren" ziemlich aggressiv vonstatten geht. Typischerweise nutzt er ein eigenes Protokoll. Wenn aber die Verbindung wegen einer Firewall absolut nicht hergestellt werden kann, wird zuletzt Trick 17 ausgepackt: Die Daten werden per HTTP in einer GET-URL mitgeschickt. Und das überlistet wirklich die meisten Firewalls!

        1. Der Real-Player als Programm hat in der Regel die Erlaubnis, HTTP mit Servern zu sprechen, damit er z.B. HTTP-Streaming empfangen kann. Damit sind alle Personal Firewalls schon mal umgangen.
        2. Eine Paketfilter-Firewall kann natürlich den Inhalt der Sendung in der GET-URL nicht verstehen und auch nicht blocken, denn Kommunikation mit Port 80 ist fürs Surfen absolut erlaubt.
        3. Auch ein Proxy, der HTTP nun wirklich versteht, kann gegen das Anfordern einer GET-URL mit langem Parameter nicht wirklich etwas haben.

        Natürlich kann man den Realplayer belauschen, herausfinden, mit welchem Server er spricht, und den sperren. Aber wer garantiert denn, dass dies der einzige Server ist, mit dem der Player sprechen kann?

        Das Beispiel soll zeigen, dass Firewalls bei weitem nicht alles verhindern können, was ihnen immer so angedichtet wird. Wenn Software erst einmal auf dem Rechner ausgeführt wird, ist im Prinzip alles verloren!

        Kann denn ein ActiveX-Applets als "service" laufen? Das ist doch eher so eine Art Script, das ja nicht an einem Port lauschen kann, oder?

        Was hindert das Skript (was es ja nicht ist) daran, eine Datei auf die Festplatte zu schreiben, die dann genau das macht, was vom Angreifer gewünscht ist? Bedenke: ActiveX kennt keinerlei Zugriffsbeschränkungen. Der einzige "Schutz", den Microsoft sich ausgedacht hat, sind Signaturen der Applets. Man muß also nur so ein Applet signiert bekommen und kann dann im Prinzip tun und lassen, was man will - sofern die Signierung überhaupt nötig ist, denn viele User klicken ja auf alles, was nach Dialogbox aussieht - und meist mit dem Default "Ja, ich will".

        Danke für das interessante Posting, nicht falsch verstehen ich habe auch keine Firewall und will auch keine, aber ich finde eine Firewall für Leute die sich wenigstens ein bisschen mit PCs auskennen aber nicht gut genug(keien Ahnung von TCP/IP) durchaus für sinnvoll, da die einfach nicht in der Lage sind selbst ein vergleichbares Sicherheits-Niveau herzustellen.

        Sicherheit ist kein Zustand, sondern ein Weg. Es ist eine grundsätzliche Arbeits-, um nicht zu sagen Lebenseinstellung. :) Sicherheit beginnt im eigenen Kopf.

        Was ich aber bestätigen kann dass sich gerade diese Leute als die großen Kings vorkommen die glauben die Gefahren des Internet verstanden zu haben und Stolz auf jeden einzelnen abgewehrten "Hacker-Angriff" sind ;-)

        ...bei denen es wirklich guttun würde, wenn sie mal so richtig auf die Nase fliegen würden. ;)

        - Sven Rautenberg

        --
        Signatur oder nicht Signatur - das ist hier die Frage!
      4. Moin,

        Und offene Ports kann man AFAIK unter Windows (und Linux) auch nicht anzeigen, nur durch einen Scan, mit netstat.exe bekommt man ja soweit ich weiß nur bestehende Verbindungen, oder?

        'türlich kann man die anzeigen, genau da ist netstat ja für da. Schau einfach mal in die Hilfe davon, es können beide netstats das. Unter Windows kann man auch tcpview benutzen wenn man es bunt will. Evt. sollte man das auch sonst tun, da das Windows-netstat defekt ist, und hin und wieder mal falsche Sachen anzeigt. (Wenn ich mich richtig erinnere zeigt es vor allem zuviele Ports als LISTEN an.)

        Meinst Du indem es aus dem Autostart(wie auch immer der realisiert wird) genommen wird? Denn anders wüßte ich nicht wie man GUI-Software beeinflussen könnte.

        Och, du kannst sie zum Beispiel killen, in ihrer Konfigurationsdatei/registryzweig rumfuhrwerken oder ihr synthetische Maus- oder Tastaturevents schicken.

        Man könnte höchstens den entsprechenden prozess killen, aber wie sowas unter Windows ohne manuell den Task-Manager zu benutzen funktioniert habe ich bisher nihct herausbekommen,

        Der Taskmanager ist ja auch nur eine Oberfläche. Alles was der kann, kann ein selbstgeschriebenes Programm natürlich auch (und mehr).

        denn der Task-Manager kann manche Prozesse zum verrecken nicht killen, z.B. den Apachen.

        Der Taskmanager mag einiges nicht können, das ist aber noch kein Grund dafür, dass "man" es nicht können kann.

        Danke für das interessante Posting, nicht falsch verstehen ich habe auch keine Firewall und will auch keine, aber ich finde eine Firewall für Leute die sich wenigstens ein bisschen mit PCs auskennen aber nicht gut genug(keien Ahnung von TCP/IP) durchaus für sinnvoll, da die einfach nicht in der Lage sind selbst ein vergleichbares Sicherheits-Niveau herzustellen.

        Doch, denn eine Personal Firewall stellt kein "Sicherheits-Niveau" her. Merke: "In des tumben Toren Hand ist das beste Werkzeug Tand". Für Leute die sich nicht eindringlich mit der Materie befassen wollen, gibt es (fast) fertige Klickanleitungen und viel Doku. Einiges ist in der FAQ vom microsoft.public.de.security.heimanwender verlinkt.

        --
        Henryk Plötz
        Grüße aus Berlin
        ~~~~~~~~ Un-CDs, nein danke! http://www.heise.de/ct/cd-register/ ~~~~~~~~
        ~~ Help Microsoft fight software piracy: Give Linux to a friend today! ~~
  5. Moin Moin !

    Zum Thema Personal Firewalls ganz allgemein (denn das Norton-Ding kenne ich nicht):

    Sie sind für die Hersteller eine Lizenz zum Geld drucken, denn es gibt genug Leute, die verunsichert sind und glauben, mit einer CD aus einem bunten Pappkarton könnten sie ihren Computer absolut sicher machen.

    Wie Sven und Henryk schon geschrieben haben, ist eine Personal Firewall von bösartiger Software abschaltbar oder zumindest zu umgehen.

    Eine "richtige" Firewall macht nichts anderes als den Firewall-Job. Keine andere Software läuft auf dem Firewall-Rechner, damit keine andere Software die Firewall-Software "abschießen" kann.

    Aber Personal Firewalls *können* *nützlich* sein. Nicht unbedingt als Firewall, aber als Maßnahme, um Spyware zu "fangen". Man konfiguriert die PFW so, daß sie GAR NICHTS zuläßt, und installiert / startet dann Spyware-verdächtige Software. Schlägt die PFW an, so erkennt man die Spyware, oft mit Ziel des "Anrufs zuhause" und Namen der EXE-Datei.

    Etwas sicherer (bei richtiger Konfiguration) ist ein eigener ("dedizierter") Rechner, der als Portfilter (und ggf. Proxy / Stateful Inspection) arbeitet. Das muß keine High-End-Kiste sein, ein alter 486er reicht für ISDN vollkommen aus (http://www.fli4l.de/ und andere).

    Auf jeden Fall kann dann keine Software auf dem Arbeitsrechner die "Firewall" (korrekt: Portfilter) aushebeln.

    Alexander

    --
    Nein, ich beantworte keine Fragen per eMail. Dafür ist das Forum da.
    Today I will gladly share my knowledge and experience, for there are no sweeter words than "I told you so!"
    1. Hi!

      Etwas sicherer (bei richtiger Konfiguration) ist ein eigener ("dedizierter") Rechner, der als Portfilter (und ggf. Proxy / Stateful Inspection) arbeitet. Das muß keine High-End-Kiste sein, ein alter 486er reicht für ISDN vollkommen aus (http://www.fli4l.de/ und andere).

      Auch nicht verkehrt(und gar nicht so teuer) sind Router die einen evtl. einen Paketfilter und NAT anbieten. Vor allem durch NAT kann man genau bestimmen ob und wenn ja welche Ports auf welchen Rechner weitergeleitet werden sollen.

      Mal ne Frage hierzu - woher weiß so ein Router ob er ein IP-Paket (z.B. einen HTTP-Response) durchleiten soll oder nicht? Wenn ich mich nicht irre arbeiten Router doch nur auf IP-Ebene, und da weiß er doch nicht was jetzt in dem Paket ist, wie unterscheidet er es von irgendeinem Request in welchem protokoll auch immer an so einen Port der ja nicht per Port-Forewarding weitergeleitet wird? ich meine IP wird ja normalerweise nicht verschlüsselt also könnte jemand ja so einen Response vortäuschen und in Wirklichkeit einen Request an einen offenen Trojaner-Port auf einem Rechner hinter dem Router leiten, oder? AFAIK merkt sich ja der Router einen "IP-Request" eines seiner Clients und kann dann den "Response" entsprechend wieder zurückleiten, also müsste bei dem von mir oben beschriebenen Vorgehen schonmal ein Request erfolgt sein auf den man dann antwortet. Oder scheitert das ganze dann endgültig beim Client da er das nicht erwartete IP-Paket verwerfen würde?

      Grüße
      Andreas

      1. Moin Moin !

        Mal ne Frage hierzu - woher weiß so ein Router ob er ein IP-Paket (z.B. einen HTTP-Response) durchleiten soll oder nicht?

        Ich schmeiß mal zwei Begriffe in die Runde: Three-Way-Handshake und NAT *TABLE*. Viel Spaß mit Google. ;-)

        HTTP läuft über TCP, und TCP simuliert/sichert eine permanente Verbindung, ganz ähnlich wie ein serielles Kabel.

        HTTP benutzt für Request und Response eine einzige Verbindung, die (beim Surfen) vom LAN (innen) zum Internet (außen) aufgebaut wird. Du kannst von außen keinen Request faken.

        Wenn ich mich nicht irre arbeiten Router doch nur auf IP-Ebene, und da weiß er doch nicht was jetzt in dem Paket ist,

        Das braucht er auch nicht zu wissen.

        wie unterscheidet er es von irgendeinem Request in welchem protokoll auch immer an so einen Port der ja nicht per Port-Forewarding weitergeleitet wird?

        Der "Surf-Request" kommt von innen, die Connection-Daten (Source-IP, Source-Port, Dest-IP, Dest-Port, Translation-IPs und -Ports) werden gespeichert, bis die Connection abgebaut wird.

        Von außen kommende TCP-Verbindungen werden entweder abgelehnt oder an einen Server hinter dem Router weitergeleitet, je nach Konfiguration.

        ich meine IP wird ja normalerweise nicht verschlüsselt also könnte jemand ja so einen Response vortäuschen und in Wirklichkeit einen Request an einen offenen Trojaner-Port auf einem Rechner hinter dem Router leiten, oder?

        Nein. Der Response kommt auf der selben Connection zurück, die schon für den Request benutzt wurde. Die Verbindung besteht bei einem Response schon, deswegen kannst Du keinen Response faken. Dem Router ist es übrigens egal, ob auf einer Connection HTTP, SSH oder sonstwas "gesprochen" wird. Der Router kümmert sich nur um Connections.

        AFAIK merkt sich ja der Router einen "IP-Request" eines seiner Clients und kann dann den "Response" entsprechend wieder zurückleiten,

        Nein, Du würfelst HTTP und TCP durcheinander. Der Client baut eine TCP-Connection zum Server auf (Three-Way-Handshake), dabei verändert der NAT-Router klammheimlich die Connection-Daten in den IP-Paketen, so daß es von außen so aussieht, als käme die Connection vom Router.

        also müsste bei dem von mir oben beschriebenen Vorgehen schonmal ein Request erfolgt sein auf den man dann antwortet. Oder scheitert das ganze dann endgültig beim Client da er das nicht erwartete IP-Paket verwerfen würde?

        Trenne HTTP und TCP in deinem Kopf. Von außen kann ohne HTTP-Request kein HTTP-Response kommen.
        TCP-Connections von außen werden überwiegend geblockt.

        Alexander

        --
        Nein, ich beantworte keine Fragen per eMail. Dafür ist das Forum da.
        Today I will gladly share my knowledge and experience, for there are no sweeter words than "I told you so!"
        1. Hi!

          Mal ne Frage hierzu - woher weiß so ein Router ob er ein IP-Paket (z.B. einen HTTP-Response) durchleiten soll oder nicht?

          Ich schmeiß mal zwei Begriffe in die Runde: Three-Way-Handshake und NAT *TABLE*. Viel Spaß mit Google. ;-)

          HTTP läuft über TCP, und TCP simuliert/sichert eine permanente Verbindung, ganz ähnlich wie ein serielles Kabel.

          HTTP benutzt für Request und Response eine einzige Verbindung, die (beim Surfen) vom LAN (innen) zum Internet (außen) aufgebaut wird. Du kannst von außen keinen Request faken.

          Schon klar, aber Router können kein TCP udn schon gar kein HTTP also habe ich diese Ebenen außer Acht gelassen. Das problem muss sich auf IP Ebene lösen lassen, nur wie? Wie gesagt glaueb ich zu wissen dass es da so sequenzen gibt an der der Router eine "IP-Antwort" erkennt und entsprechend weiterleitet, aber eben da es auf IP Ebene läuft frage ich mich wieso das zuverlässig funktionieren soll!

          wie unterscheidet er es von irgendeinem Request in welchem protokoll auch immer an so einen Port der ja nicht per Port-Forewarding weitergeleitet wird?

          Der "Surf-Request" kommt von innen, die Connection-Daten (Source-IP, Source-Port, Dest-IP, Dest-Port, Translation-IPs und -Ports) werden gespeichert, bis die Connection abgebaut wird.

          wie kann auf IP-Ebene eine Verbindung aufgebaut werden? IMHO gibt es doch nur auf TCP-Ebene eine echte Verbindung, oder?

          Von außen kommende TCP-Verbindungen werden entweder abgelehnt oder an einen Server hinter dem Router weitergeleitet, je nach Konfiguration.

          Der Router sieht doch nur ein IP-Paket mit Source IP und Dest. IP. Heißt also das Router die noch Paketfilter NAT... haben noch zusätzlich das TCP/UDP Protokoll implementiert haben.
          OK, dann relativiert sich natürlich so einiges was ich geschrieben habe, hatte ich nicht dran gedacht ;-)

          Aber wenn das TCP implementiert wird heitß das doch noch nicht dass der Router auch tatsächlich eine TCP Verbindung herstellt, oder? Das kann ich mir nämöoch nicht vorstelle. Ich würde vermuten dass der Router die TCP-Daten extrahieren und verstehn kann, um z.B. bestimmte Ports zu filtern, hm, aber wenn NAT funktionieren soll dann braucht er schon sowas wie eine echte TCP-Verbindung, oder er speichert die Daten irgendwie anders zwischen, er bedient sich also der Daten die seine Clients und der Host verwenden. Denn eine TCP-Verbindung ist ja eine logische Verbindung zw. 2 Rechnern, die Router dazwischen verwenden AFAIK nur das IP-Protokoll um die Daten weiterzureichen. IMHO kann der Router gar keien TCP-Verbinding aufbauen denn der Client will ja explizit eine TCP-Verbindung zu einem ganz anderen Rchner aufbauen, daher vermute ich dass der Riuter nur die Daten extrahiert und sich selbst irgendwo zwischenspeichert und kontrolliert.

          ich meine IP wird ja normalerweise nicht verschlüsselt also könnte jemand ja so einen Response vortäuschen und in Wirklichkeit einen Request an einen offenen Trojaner-Port auf einem Rechner hinter dem Router leiten, oder?

          Nein. Der Response kommt auf der selben Connection zurück, die schon für den Request benutzt wurde. Die Verbindung besteht bei einem Response schon, deswegen kannst Du keinen Response faken. Dem Router ist es übrigens egal, ob auf einer Connection HTTP, SSH oder sonstwas "gesprochen" wird. Der Router kümmert sich nur um Connections.

          Gut, wenn ein Router TCP versteht kann er anhand der TCP-Header ja ne ganze Menge kontrollieren. Meinst Du also dass der Router dann die Aufgabe des eigentlichen Empfängers übernimmt und den TCP-Header auch tatsächlich auf entsprechende Daten wie Sequenznummer... überprüft? Würde ein Router nicht hoffnungslos überlastet wenn er wirklich wie ein echter Empfänger diese ganzen Angaben prüft?
          Um gegen den von mir skizzierten Angriff gewappnet zu sein, muss der Router Daten des TCP-Requests(ich weiß hier nicht die genauen Bezeichnungen auswendig, ich nenne es jetzt einfach mal so) , und muss dann die TCP-Response mit zu erwartenden Daten vergleichen.

          Aber ich frage mich ob er das überhaupt muss, denn wenn mit so einem Rsponse was nicht stimmt, sagen wir mal ich schicke dem Router ein Paket in einem Eigenen Protokoll für meinen bösen Trojaner, und packe das ganez in einen solchen TCP-Response, dann müsste doch theoretisch das Betriebssystem, wenn es eben diesen Response nicht erwartet dieses Paket verwerfen, und der Router bräuchte sich um sowas gar nicht kümmern, oder?

          Hm, bin irgendwie etwas verwirrt wie man vermutlich merkt ;-)

          AFAIK merkt sich ja der Router einen "IP-Request" eines seiner Clients und kann dann den "Response" entsprechend wieder zurückleiten,

          Nein, Du würfelst HTTP und TCP durcheinander. Der Client baut eine TCP-Connection zum Server auf (Three-Way-Handshake), dabei verändert der NAT-Router klammheimlich die Connection-Daten in den IP-Paketen, so daß es von außen so aussieht, als käme die Connection vom Router.

          Aha! Aber baut der Router jetzt wirklich eien TCP-Verbindung auf oder "fummelt" er nur ein bisschen in den Paketen rum?

          also müsste bei dem von mir oben beschriebenen Vorgehen schonmal ein Request erfolgt sein auf den man dann antwortet. Oder scheitert das ganze dann endgültig beim Client da er das nicht erwartete IP-Paket verwerfen würde?

          Trenne HTTP und TCP in deinem Kopf. Von außen kann ohne HTTP-Request kein HTTP-Response kommen.

          Das trenne ich durchaus, die von mir fälschlicherweise verwendeten Begriffe verwirren Dich vermutlich :-)

          TCP-Connections von außen werden überwiegend geblockt.

          OK, ich denke ich habe es verstanden ;-) Mein Idee war es halt von außen so zu tun als ob man mitten in einer TCP-Verbindung wäre, aber vermutlich würde das dann spätestens beim Client scheitern da die TCP-Implementierung nichst mit solchen Paketen anfangen könnte, also vergiss es ;-)
          Was ich jetzt noch nicht wirklich weiß - würden Router TCP-Pakete "blind" weiterleiten, oder prüfen sie tatsächlich wie der Client ob das Paket überhaupt "gültig" ist da angefordert?

          Danke für die Erklärung

          Grüße
          Andreas

          1. Moin Moin !

            HTTP benutzt für Request und Response eine einzige Verbindung, die (beim Surfen) vom LAN (innen) zum Internet (außen) aufgebaut wird. Du kannst von außen keinen Request faken.

            Schon klar, aber Router können kein TCP udn schon gar kein HTTP also habe ich diese Ebenen außer Acht gelassen.

            Du irrst. Ein NAT-Router (und davon reden wir die ganze Zeit) *muß* außer IP auch TCP und UDP können. Und damit FTP "blödensicher" funktioniert, muß der Router auch teilweise FTP verstehen.

            Das problem muss sich auf IP Ebene lösen lassen, nur wie? Wie gesagt glaueb ich zu wissen dass es da so sequenzen gibt an der der Router eine "IP-Antwort" erkennt und entsprechend weiterleitet, aber eben da es auf IP Ebene läuft frage ich mich wieso das zuverlässig funktionieren soll!

            Nein. Siehe Posting [pref:t=45082&m=246097] von Henryk Plötz.

            wie unterscheidet er es von irgendeinem Request in welchem protokoll auch immer an so einen Port der ja nicht per Port-Forewarding weitergeleitet wird?

            Der "Surf-Request" kommt von innen, die Connection-Daten (Source-IP, Source-Port, Dest-IP, Dest-Port, Translation-IPs und -Ports) werden gespeichert, bis die Connection abgebaut wird.
            wie kann auf IP-Ebene eine Verbindung aufgebaut werden? IMHO gibt es doch nur auf TCP-Ebene eine echte Verbindung, oder?

            Davon rede ich die ganze Zeit. Die IP-Parameter sind Teil der TCP-Verbindung.

            Von außen kommende TCP-Verbindungen werden entweder abgelehnt oder an einen Server hinter dem Router weitergeleitet, je nach Konfiguration.
            Der Router sieht doch nur ein IP-Paket mit Source IP und Dest. IP. Heißt also das Router die noch Paketfilter NAT... haben noch zusätzlich das TCP/UDP Protokoll implementiert haben.
            OK, dann relativiert sich natürlich so einiges was ich geschrieben habe, hatte ich nicht dran gedacht ;-)

            Aahhh! Der Groschen ist gefallen.

            Aber wenn das TCP implementiert wird heitß das doch noch nicht dass der Router auch tatsächlich eine TCP Verbindung herstellt, oder? Das kann ich mir nämöoch nicht vorstelle. Ich würde vermuten dass der Router die TCP-Daten extrahieren und verstehn kann, um z.B. bestimmte Ports zu filtern, hm, aber wenn NAT funktionieren soll dann braucht er schon sowas wie eine echte TCP-Verbindung, oder er speichert die Daten irgendwie anders zwischen, er bedient sich also der Daten die seine Clients und der Host verwenden. Denn eine TCP-Verbindung ist ja eine logische Verbindung zw. 2 Rechnern, die Router dazwischen verwenden AFAIK nur das IP-Protokoll um die Daten weiterzureichen. IMHO kann der Router gar keien TCP-Verbinding aufbauen denn der Client will ja explizit eine TCP-Verbindung zu einem ganz anderen Rchner aufbauen, daher vermute ich dass der Riuter nur die Daten extrahiert und sich selbst irgendwo zwischenspeichert und kontrolliert.

            Nimm Dir eine gute Enführung zu TCP/IP zur Hand ... (Schande über mich - habs studiert und trotzdem keinen guten Link zur Hand).

            http://www.tldp.org/HOWTO/IP-Masquerade-HOWTO/index.html könnte Dich interessieren (wenn Du den Linux-spezifischen Teil ignorierst). Dort sind auch viele weiterführende Links.

            Der Client *muß* eine Verbindung zum NAT-Router machen, weil das sein *einziger* Weg nach draußen ist. Der Client macht die Verbindung nicht gezielt zum NAT-Router auf, aber dieser fühlt sich angesprochen, manipuliert die Connection-Daten (NAT Teil 1) und baut seinerseits eine Connection ins "böse Internet" auf (NAT Teil 2). Die Daten für beide Connections (jeweils Source und Dest IP und Port) legt er in einer Tabelle (NAT-Tabelle) ab. So weiß der NAT-Router zu jeder Zeit, welche Intern-Verbindung zu welcher Extern-Verbindung gehört.

            Gut, wenn ein Router TCP versteht kann er anhand der TCP-Header ja ne ganze Menge kontrollieren. Meinst Du also dass der Router dann die Aufgabe des eigentlichen Empfängers übernimmt und den TCP-Header auch tatsächlich auf entsprechende Daten wie Sequenznummer... überprüft?

            Ja.

            Würde ein Router nicht hoffnungslos überlastet wenn er wirklich wie ein echter Empfänger diese ganzen Angaben prüft?

            Nein. TCP/IP ist recht einfach gestrickt, die Tests beschränken sich auf ein paar Bit-Operationen.

            Um gegen den von mir skizzierten Angriff gewappnet zu sein, muss der Router Daten des TCP-Requests(ich weiß hier nicht die genauen Bezeichnungen auswendig, ich nenne es jetzt einfach mal so) , und muss dann die TCP-Response mit zu erwartenden Daten vergleichen.

            Ja. Aber der Vergleich geht sehr schnell, weil TCP so einfach ist. Schritt 2 des TWH wird immer abgeleht, wenn nicht ein passender Schritt 1 im TCP/IP-Stack gespeichert ist (Source/Dest-IP/Port, TCP Sequence Numbers).

            Aber ich frage mich ob er das überhaupt muss, denn wenn mit so einem Rsponse was nicht stimmt, sagen wir mal ich schicke dem Router ein Paket in einem Eigenen Protokoll für meinen bösen Trojaner, und packe das ganez in einen solchen TCP-Response, dann müsste doch theoretisch das Betriebssystem, wenn es eben diesen Response nicht erwartet dieses Paket verwerfen, und der Router bräuchte sich um sowas gar nicht kümmern, oder?

            Der NAT-Router verwirft das Paket, weil Du den Schritt 2 des TWH vor dem Schritt 1 machen willst. Es ist für den Router wesentlich einfacher, Schrott gleich wegzuwerfen, als zu versuchen, diesen Job den Clients reinzudrücken.

            Hm, bin irgendwie etwas verwirrt wie man vermutlich merkt ;-)

            In der Tat.

            AFAIK merkt sich ja der Router einen "IP-Request" eines seiner Clients und kann dann den "Response" entsprechend wieder zurückleiten,

            Nein, Du würfelst HTTP und TCP durcheinander. Der Client baut eine TCP-Connection zum Server auf (Three-Way-Handshake), dabei verändert der NAT-Router klammheimlich die Connection-Daten in den IP-Paketen, so daß es von außen so aussieht, als käme die Connection vom Router.
            Aha! Aber baut der Router jetzt wirklich eien TCP-Verbindung auf oder "fummelt" er nur ein bisschen in den Paketen rum?

            Das kannst Du sehen, wie Du willst: Von außen gesehen kommt die Verbindung vom NAT-Router, von innen gesehen ist der Router (fast) unsichtbar, er ist nur einer von vielen HOPs zum Server. Was im Router passiert, steht u.a. in /usr/src/linux. ;-) Und natürlich in den vielen HOWTOs zum Thema.

            Trenne HTTP und TCP in deinem Kopf. Von außen kann ohne HTTP-Request kein HTTP-Response kommen.
            Das trenne ich durchaus, die von mir fälschlicherweise verwendeten Begriffe verwirren Dich vermutlich :-)

            Oh ja. Du benutzt HTTP-Begriffe für TCP, und Du gehst -- dem Text nach -- davon aus, daß HTTP-Request und HTTP-Response getrennte Verbindungen benutzen. Der HTTP-Request baut implizit eine TCP-Verbindung auf, die vom Server auch für den HTTP-Response benutzt wird. Bei HTTP/0.9 und HTTP/1.0 ist dann Schluß (Verbindungsabbau), bei HTTP/1.1 mit Keep-Alive wird die TCP-Verbindung für weitere Request-Response-Paare benutzt, bis Client oder Server keinen Bock mehr haben ("Connection: closed").

            TCP-Connections von außen werden überwiegend geblockt.
            OK, ich denke ich habe es verstanden ;-) Mein Idee war es halt von außen so zu tun als ob man mitten in einer TCP-Verbindung wäre, aber vermutlich würde das dann spätestens beim Client scheitern da die TCP-Implementierung nichst mit solchen Paketen anfangen könnte, also vergiss es ;-)

            Nein, das wird jetzt ausdiskutiert! ;-)

            Mit sehr viel Aufwand ist es möglich, eine bestehendenTCP-Verbindung zu "hijacken", damit kann man (wenn man netzwerktechnisch dicht am Client bzw. Router ist) eine TCP-Verbindung zu einer anderen Maschine umleiten. Dazu muß der Angreifer aber für jedes einzelne TCP-Paket schneller antworten als der Original-Server, zumindest bis der Original-Server die Verbindung als abgerissen ansieht.

            Was ich jetzt noch nicht wirklich weiß - würden Router TCP-Pakete "blind" weiterleiten, oder prüfen sie tatsächlich wie der Client ob das Paket überhaupt "gültig" ist da angefordert?

            Das fällt unter Port-Filter.

            Man kann NAT-Router so einstellen, daß sie nach bestimmten Regeln filtern. Zum Beispiel alle IP-Adressen blocken, die ausschließlich für pr0n oder die Konkurenz arbeiten. Oder nur bestimmte Clients für den Internet-Zugang zulassen. Oder alle Ports zu "bösen" Diensten (Telnet, Chat, Peer-To-Peer, Windows-Dienste) blocken. Meistens blockiert man auch gleich noch HTTP (und oft auch FTP) und läßt diese über einen Proxy laufen. So läufts bei mir in der Firma: Ich kann gar nicht raus, nur passives FTP und HTTP über einen Proxy funktionieren - soweit die Regeln für alle "normalen" Mitarbeiter. Ich habe auch noch eine ISDN-Karte, mit der ich mich am Proxy vorbei mogeln kann, um auf Server beim Kunden zu kommen.

            Danke für die Erklärung

            Jederzeit wieder.

            Alexander

            --
            Nein, ich beantworte keine Fragen per eMail. Dafür ist das Forum da.
            Today I will gladly share my knowledge and experience, for there are no sweeter words than "I told you so!"
            1. Moin,

              Du irrst. Ein NAT-Router (und davon reden wir die ganze Zeit) *muß* außer IP auch TCP und UDP können.

              Es würde helfen, wenn du das Ding nicht mehr als Router bezeichnest, denn das ist es eigentlich nicht. Diese Verwirrung ist vermutlich nur entstanden, weil man das Masquerading-Ding als Default-Gateway beim Client einstellen muß, wie man es auch mit einem Router tun würde.

              Nimm Dir eine gute Enführung zu TCP/IP zur Hand ... (Schande über mich - habs studiert und trotzdem keinen guten Link zur Hand).

              TCP/IP studiert? ;-)

              In http://groups.google.com/groups?selm=4f8q3b.ki1.ln%40ID-124865.user.dfncis.de hat's eine Reihe von Links. Da wird wohl was vernünftiges dabei sein.

              Der Client macht die Verbindung nicht gezielt zum NAT-Router auf, aber dieser fühlt sich angesprochen

              In den allermeisten Fällen (wenn das Masquerading-Gateway als Default-Gateway eingetragen ist) macht der Client das schon recht gezielt. Man kann das auch transparent machen, indem das Gateway einfach im promiscous mode lauscht und alles beantwortet was nicht in das lokale Netz gehen soll. Für den Client sieht das dann so aus, als wäre das gesamte Internet an dem einen Ethernetkabel angeschlossen. Das finde ich aber hässlich.

              Der NAT-Router verwirft das Paket, weil Du den Schritt 2 des TWH vor dem Schritt 1 machen willst. Es ist für den Router wesentlich einfacher, Schrott gleich wegzuwerfen, als zu versuchen, diesen Job den Clients reinzudrücken.

              Nicht notwendigerweise. Wie ich bereits schrieb ist NAT kein Sicherheitsfeature und viele Implemementierungen zielen nur darauf ab die Sache möglichst effizient hinzukriegen. Es ist durchaus wahrscheinlich, dass diese Implementierungen auch Pakete ohne bestehende TCP-Verbindung in das interne netz weiterleiten.

              Bei HTTP/0.9 und HTTP/1.0 ist dann Schluß (Verbindungsabbau), bei HTTP/1.1 mit Keep-Alive wird die TCP-Verbindung für weitere Request-Response-Paare benutzt, bis Client oder Server keinen Bock mehr haben ("Connection: closed").

              s/closed/close/

              --
              Henryk Plötz
              Grüße aus Berlin
              ~~~~~~~~ Un-CDs, nein danke! http://www.heise.de/ct/cd-register/ ~~~~~~~~
              ~~ Help Microsoft fight software piracy: Give Linux to a friend today! ~~
              1. Moin!

                Der Client macht die Verbindung nicht gezielt zum NAT-Router auf, aber dieser fühlt sich angesprochen

                Der Client macht sehr wohl gezielt eine Verbindung zum NAT-Router-Gateway auf. Weil in seiner internen Routing-Tabelle eben dieses Gateway als Default-Gateway verzeichnet ist.

                Die Verbindung wird auf IP-Ebene allerdings mit dem Zielrechner hergestellt. Aber aufgrund der Routingtabellen kann der Client feststellen, zu welcher IP er im lokalen Netz das Paket schicken muß. Diese IP löst er dann mit ARP in eine Hardware-Adresse (MAC) auf und schickt das Paket dann dorthin. Das Gateway wird dann schon weiterwissen...

                In den allermeisten Fällen (wenn das Masquerading-Gateway als Default-Gateway eingetragen ist) macht der Client das schon recht gezielt. Man kann das auch transparent machen, indem das Gateway einfach im promiscous mode lauscht und alles beantwortet was nicht in das lokale Netz gehen soll. Für den Client sieht das dann so aus, als wäre das gesamte Internet an dem einen Ethernetkabel angeschlossen. Das finde ich aber hässlich.

                Die Frage ist: Wie soll das gehen? Wie kriegt man die Clients dazu, allen Datenverkehr ins lokale Netz zu pusten - außer man trägt ein Default-Gateway ein oder manipuliert den TCP/IP-Stack hinsichtlich des Routings. Und wenn man irgendeine IP (die auf ARP-Anfragen auch noch irgendwie antworten muß) einträgt, dann kann man auch gleich das Gateway eintragen. :)

                - Sven Rautenberg

                --
                Signatur oder nicht Signatur - das ist hier die Frage!
                1. Moin,

                  Die Frage ist: Wie soll das gehen? Wie kriegt man die Clients dazu, allen Datenverkehr ins lokale Netz zu pusten - außer man trägt ein Default-Gateway ein oder manipuliert den TCP/IP-Stack hinsichtlich des Routings. Und wenn man irgendeine IP (die auf ARP-Anfragen auch noch irgendwie antworten muß) einträgt, dann kann man auch gleich das Gateway eintragen. :)

                  Ich wollte darauf hinaus, dass das Gateway einfach auf jede ARP-Anfrage die nicht in das lokale Netz gehört mit seiner MAC-Addresse antwortet. (Ich dachte ich hätte so etwas schon mal gesehen.) Jetzt wo du das sagst, fällt mir aber auf, dass man den Client dann aber wenigstens mit einer passenden Subnetzmaske (0.0.0.0 glaube ich) davon überzeugen muss, dass das ganze Internet an seinem Kabel zu hängen scheint.

                  Dann gibt es da noch eine Mischform die man wohl bei kommerziellen Lösungen für WLAN-Hotspots einsetzt: Das Gateway antwortet ebenfalls auf fast alle ARP-Anfragen und man vertraut darauf, dass auf den Clients schon irgendein Default-Gateway eingetragen sein wird (wenn sie nicht gleich auf DHCP stehen).

                  --
                  Henryk Plötz
                  Grüße aus Berlin
                  ~~~~~~~~ Un-CDs, nein danke! http://www.heise.de/ct/cd-register/ ~~~~~~~~
                  ~~ Help Microsoft fight software piracy: Give Linux to a friend today! ~~
      2. Moin,

        Auch nicht verkehrt(und gar nicht so teuer) sind Router die einen evtl. einen Paketfilter und NAT anbieten. Vor allem durch NAT kann man genau bestimmen ob und wenn ja welche Ports auf welchen Rechner weitergeleitet werden sollen.

        NAT ist kein Sicherheitsfeature. Wurde erst kürzlich auf de.comp.security.firewall (glaube ich) durchgenommen.

        Mal ne Frage hierzu - woher weiß so ein Router ob er ein IP-Paket (z.B. einen HTTP-Response) durchleiten soll oder nicht? Wenn ich mich nicht irre arbeiten Router doch nur auf IP-Ebene

        Du irrst dich nicht. Die Lösung ist einfach: Das was dem Heimanwender da als 'Router' verkauft wird, ist in 99% aller Fälle keiner, deswegen wehre ich mich auch standhaft gegen diesen Begriff. Da es fast immer NAT macht und da auch nur die eingeschränkte Variante mit genau einer öffentlichen und mehreren privaten Addressen (manchmal auch Port Address Translation bzw. PAT genannt) ist es ein Masquerading-Gateway.

        Ein echter Router arbeitet tatsächlich meistens nur auf der Ebene von IP und schickt einfach IP-Pakete die irgendwo reinkommen nach irgendeiner Regel irgendwo wieder raus.

        Das Ding da das Masquerading macht, arbeitet teilweise auf höheren Ebenen: In der Regel TCP/UDP und IP aber bei ganz kranken Fällen wie FTP kann es auch notwendig sein, dort tätig zu werden. Wenn ein Paket von innen kommt und nach draussen soll, werden die alte Absenderaddresse und der alte Port (daher geht das nicht auf der IP-Ebene da es dort keine Ports gibt) gemerkt und die Absenderaddresse mit der öffentlichen Addresse des Gateways und der Absenderport  mit einer neuen Nummer ersetzt. Für den Empfänger sieht das so aus, als würde das Paket von dem Gateway kommen und er schickt seine Antwort dorthin und an die soeben ausgesuchte neue Portnummer zurück. Das Gateway nimmt das Paket in Emfang und sieht aufgrund der Portnummer und des Absenders in seiner Liste nach, schreibt die Addressen und Portnummern um und leitet das Paket nach drinnen weiter.

        --
        Henryk Plötz
        Grüße aus Berlin
        ~~~~~~~~ Un-CDs, nein danke! http://www.heise.de/ct/cd-register/ ~~~~~~~~
        ~~ Help Microsoft fight software piracy: Give Linux to a friend today! ~~
  6. Hallo

    Danke für eure zahlreichen und informativen Antworten. Nun bin ich mir sicher, dass ich mich mit einer Personal Firewall nicht sicher fühlen kann und werde mir wohl mal ein bisschen Wissen über das HTTP und das TCP/IP-Protokoll aneignen.

    Christian

  7. Hallo Christian,

    nach so viel profunder Information seitens der Experten vielleicht noch ein Erfahrungsbericht eines Dilletanten aus der Praxis gefällig ?

    Ich bin ca. 2 Stunden täglich online und bekomme im Schnitt ein bis zwei Dutzend Mails pro Tag (darunter 75 % Spam). Ohne Firewall und Virenscanner hatte ich in regelmäßigen, kurzen Abständen (alle 1 bis 2 Wochen) erhebliche Probleme. Nach dem etwas unglücklich agierenden NIS 2001, dem sehr viel besseren NIS 2002 arbeite ich nun mit dem NIS 2003, seit dem es ihn gibt. Nun erhalte ich im Schnitt einmal pro Tag eine Virenwarnung und ebenfalls etwa einmal pro Tag eine Meldung (manchmal auch 2 oder 3) von der Firewall über einen abgeblockten Zugriff von Außen. Seit dem ich den NIS einsetze hatte ich _kein_einziges_Problem_ mehr mit Angriffen aus dem Internet jedlicher Art.

    Mein Fazit: Man trenne sich von dem Gedanken, dass _irgendwas_ im Internet sicher sein könne und stelle fest, dass auch eine 95 % Lösung 100 % glücklich machen kann.

    Ciao
    Hans-Peter

    PS: Ich nutzte auch intensiv das unsichere Internet-Banking, weil ich glaube, das die Wahrscheinlichkeit eines Hackerangriffs auf mein Online-Konto um Größenordnungen geringer ist als die Wahrscheinlichkeit, vor dem Geldautomat in der Bank von einer dunklen Gestalt eins über die Rübe gezogen zu bekommen.

    1. Moin Moin !

      Seit dem ich den NIS einsetze hatte ich _kein_einziges_Problem_ mehr mit Angriffen aus dem Internet jedlicher Art.

      Das hättest Du auch gratis haben können, mit einem Virenscanner, sauber eingestelltem DFÜ-Netzwerk und vielleicht noch einer recycleten Maschine mit fli4l.

      Mein Fazit: Man trenne sich von dem Gedanken, dass _irgendwas_ im Internet sicher sein könne und stelle fest, dass auch eine 95 % Lösung 100 % glücklich machen kann.

      Hmmm. Ich benutze Opera und Mozilla, gerade weil ich *KEINE* nervenden Popups haben will. Da wird eine PFW echt kontraproduktiv: "Huch, da hat jemand nachgeschaut, welche Dienste laufen. Soll ich mir jetzt in die Hose machen? [Yes][No][Don't Ask]" "Huch, da hat jemand versucht, Dir per Windows Messaging Service ein Spam-Popup zu schicken."

      Solche Informationen sind zwar ganz nett, aber eigentlich interessieren sie mich nicht. Was stört mich ein Verbindungsversuch für irgendeinen Trojaner-Port, wenn auf meiner Maschine gar kein Trojaner auf Verbindungen wartet? Wenn der Port wirklich offen ist (sprich: wahrscheinlich ein Trojaner lauert), dann und nur dann macht so eine Meldung Sinn, und dann sollte erstmal geblockt werden.

      PS: Ich nutzte auch intensiv das unsichere Internet-Banking, weil ich glaube, das die Wahrscheinlichkeit eines Hackerangriffs auf mein Online-Konto um Größenordnungen geringer ist als die Wahrscheinlichkeit, vor dem Geldautomat in der Bank von einer dunklen Gestalt eins über die Rübe gezogen zu bekommen.

      Du druckst Dein eigenes Geld? *SCNR*

      Alexander

      --
      Nein, ich beantworte keine Fragen per eMail. Dafür ist das Forum da.
      Today I will gladly share my knowledge and experience, for there are no sweeter words than "I told you so!"
      1. Hi Alexander,

        vielleicht habe ich mich falsch ausgedrückt: Durch den Einsatz des NIS 2003 auf meinem PC habe ich nicht _Deine_ Probleme gelöst, sondern meine.

        Im Kontext meines Arbeitsumfelds gibt es Gründe, derentwegen ich u. U. weder ein (klassisches) DFÜ-Netzwerk verwenden kann und derentwegen ich gelegentlich die IE verwenden muss und derentwegen ich sogar dessen Sicherheitseinstellungen runterschrauben muss, derentwegen ich auch mal Flash-Filmchen blinken und hüpfen lassen muss und derentwegen ich sogar mal Cookies erlauben muss und all das erlauben muss, was Du garniemalsnicht tun würdest.

        Und wenn ich der Meinung wäre, ich müsste meinen Monitor auf den Kopf stellen um meine Kunden zufrieden zu stellen, dann würde ich das auch machen, unberührt davon, ob Du das für sinnvoll ansiehst oder nicht.

        Über die (wie Du schreibst) "nervenden Popups" habe ich bei einigen Providern (speziell in Amiland") helfen können. Sicherheitslücken zu schließen und schwarze Schafe ausfindig zu machen. Das ist zwar nicht mein Job, aber es macht Spass und bringt eine gewisse Befriedigung.

        Es ändert nichts dran: Der NIS hat (nicht technisch/wissenschaftlich, sondern empirisch/phänomenologisch betrachtet) genau das bewirkt, was er bewirken sollte. Die alten, bekannten Probleme habe ich jetzt nicht mehr (sondern neue, unbekannte :-) )

        Ciao
        Hans-Peter

        PS: Nein, mein Geld drucke ich (noch) nicht selber. 9 von 10 Bankgeschäfte mache ich am PC und wenn ich doch mal Bargeld brauche (so alle 2 bis 3 Monate), dann ... dann schicke ich halt meine Frau zum Automaten :-)

    2. Moin,

      Ich bin ca. 2 Stunden täglich online und bekomme im Schnitt ein bis zwei Dutzend Mails pro Tag (darunter 75 % Spam). Ohne Firewall und Virenscanner hatte ich in regelmäßigen, kurzen Abständen (alle 1 bis 2 Wochen) erhebliche Probleme.

      Man kann jedes System schlecht konfigurieren und warten. Your point being?

      --
      Henryk Plötz
      Grüße aus Berlin
      ~~~~~~~~ Un-CDs, nein danke! http://www.heise.de/ct/cd-register/ ~~~~~~~~
      ~~ Help Microsoft fight software piracy: Give Linux to a friend today! ~~
      1. ... hatte ich in regelmäßigen, kurzen Abständen (alle 1 bis 2 Wochen) erhebliche Probleme.

        Man kann jedes System schlecht konfigurieren und warten. Your point being?

        ... Probleme mit Viren, Trojaner, Würmer, etc.

      2. Hi!

        Man kann jedes System schlecht konfigurieren und warten. Your point being?

        Aber Du bist nicht grundsätzlich gegen Virenscanner, oder?

        Was würdest Du denn z.B. meinem Vater empfehlen? Ist knapp 60, kennt sich halbwegs mit Windows aus(weiß halt wie man Programme startet, mit dem Explorer Dateien findet, wie man ins Internet kommt, wie man mit Outlook Emails schreibt, Office... solche Sachen halt), aber der wird niemals TCP/IP verstehen (wollen). Was man vermutlich nicht merkt, ich habe kürzlich eine Klausur zu dem Thema geschrieben(Basistechnologien des Internet, OSI-Moduell und dagegen die in der Praxis relevanten Protokolle der einzelnen Schichten), und ich habe mich schon selbst ein bisschen weitergehend informiert, gucke mir gelegentlich mal mit Ethereal an was so an Paketen hin- und hergeschickt wird, und selbst ich(nicht falsch verstehen ;-)) habe noch Probleme mit einigen Dingen wie "Router"+NAT wie man so schön gesehen hat.

        Naja. Jedenfalls schickt er mir andauernd diese komischen "hoax"-mails und glaubt wer weiß was würde demnächst mit seinem PC passieren.
        Und auf dem Rechner von ihm finde ich öfter mal ominöse Spyware, komische neue DFÜ-Verbindungen (zum Glück hat er nur DSL ;-))... was würdest Du in einem solchen Fall empfehlen? Früher oder später fängt er sich irgendwie mal einen Trojaner ein, wäre eine aktuelle PFW nicht ein geeigneter Schutzmechanismus? Sicher sollte ich die dann konfigurieren so dass ich nicht alle 30 Minuten nen Anruf bekomme und ich brühwarm über die aktuellen "Hacker-Angriffe" informiert werde, aber vermutlich kann man ja die Benachrichtigung ausschalten.
        Mir ist - vor allem auch durch diesen Thread - absolut bewußt dass es kein 100%iger Schutz sein kann, trotzdem würde es wohl gegen die meisten Script-Kiddies helfen, die nur mal eben aus Spass die Festplatte formatieren wollen.

        Oder meinst Du es reicht ein Virenscanner, denn wenn der einen Trojaner nicht erkennt wird eine Firewall den möglicherweise durchlassen? Ich bezweifele das aber, da die Trojaner-"Entwickler" sich zur Zeit wohl kaum die Arbeit machen brauchen PFWs zu umgehen/abzuschalten, schlicht weil sie kaum jemand hat.

        Ich sträube mich ein wenig gegen die sicherlich vernünftige und sicherste Lösung das sich jeder Benutzer entsprechend informieren sollte. Für Leute wie hier im Forum ist das sicher was anders, aber Leute wie man Vater, für die der PC wirklich nur Mittel zum Zweck ist, halt eine bessere Schreibmaschiene + Informtions-Medium(Internet) + Email, die wollen das mit möglichst wenig Aufwand einfach verwenden ohne eigene(oft teure) Zeit für solche Dinge aufzuwenden. Ein Virenprogramm/personal-Firewall hat jeder typische DAU in 30 Sekunden installiert. Ist das denn nicht wenigstens ein besserer Schutz als gar keiner - wenn man davon ausgeht dass der Anwender sich niemals die Zeit nehmen würde sich eingehend mit der Sicherheit seines Systems oder sogar Kommunikations-Protokollen zu beschäftigen? Auch wenn das vernünftig wäre, ich kann es Leuten die den PC wirklich nur als "Mittel zum Zweck" betrachten auch nicht wirklich verdenken. Es ist IMHO vielleicht vergleichbar mit einem Auto und Inspektion vs. eigene "Kontrolle", wenn man sich auskennt ist eine eigene Kontrolle des Fahrzeugs vermutlich besser als wenn das irgendein dämlicher Lehrling(soll es ja auch geben ;-)) "mit halben A..." macht. Aber nicht jeder hat Lust sich so eingehend mit diesen Dingen zu beschäftigen und ist daher bereit Geld dafür zu bezahlen, dass das jemand anders macht, und so sehe ich es - wenn auch nicht 100%ig vergleichbar - mit Virenscannern/Firewalls. Derjenige der sehr viel Zeit aufgebracht hat und sein System "beherrscht" wird einen erheblich besseren Schutz erfahren, aber der Verwender der genannten Software erkauft sich hiermit wenigstens einen gewissen Schutz gegen die am häufigsten auftretenden Viren, Trojaner etc.

        Denn auch wenn ich das System meines Vaters nach bestem Wissen und Gewissen wirklich weitgehend sicher aufgesetzt habe, das Problem bleibt er selbst der auf alles klickt was nicht stillhält - und aus einem mir unerklährlichen Grund kann man es ihm auch nicht abgewöhnen ;-)
        Zumal IE und Outlook natürlich auch das Klicken manchmal gar nicht mehr notwendig machen.
        Die Gefahr die man so bannen könnte wären halt "handelsübliche" Trojaner die hinter einer Firewall doch meist nutzlos sind.
        Und eine Virensoftware ist bei der Verwendung von Outlook IMHO obligatorisch ;-)
        Oder was würdest Du einem solchen typischen Anwender empfehlen?

        Viele Grüße
        Andreas

        1. Moin Moin !

          Was würdest Du denn z.B. meinem Vater empfehlen? Ist knapp 60, kennt sich halbwegs mit Windows aus(weiß halt wie man Programme startet, mit dem Explorer Dateien findet, wie man ins Internet kommt, wie man mit Outlook Emails schreibt, Office... solche Sachen halt),

          [...]

          Und auf dem Rechner von ihm finde ich öfter mal ominöse Spyware, komische neue DFÜ-Verbindungen (zum Glück hat er nur DSL ;-))... was würdest Du in einem solchen Fall empfehlen?
          Ich sträube mich ein wenig gegen die sicherlich vernünftige und sicherste Lösung das sich jeder Benutzer entsprechend informieren sollte. Für Leute wie hier im Forum ist das sicher was anders, aber Leute wie man Vater, für die der PC wirklich nur Mittel zum Zweck ist, halt eine bessere Schreibmaschiene + Informtions-Medium(Internet) + Email, die wollen das mit möglichst wenig Aufwand einfach verwenden ohne eigene(oft teure) Zeit für solche Dinge aufzuwenden.

          [...]

          Denn auch wenn ich das System meines Vaters nach bestem Wissen und Gewissen wirklich weitgehend sicher aufgesetzt habe,

          Merkst Du den Widerspruch? OE + IE sind nach bestem Wissen und Gewissen eben nicht sicher!

          das Problem bleibt er selbst der auf alles klickt was nicht stillhält - und aus einem mir unerklährlichen Grund kann man es ihm auch nicht abgewöhnen ;-)
          Zumal IE und Outlook natürlich auch das Klicken manchmal gar nicht mehr notwendig machen.
          Die Gefahr die man so bannen könnte wären halt "handelsübliche" Trojaner die hinter einer Firewall doch meist nutzlos sind.
          Und eine Virensoftware ist bei der Verwendung von Outlook IMHO obligatorisch ;-)
          Oder was würdest Du einem solchen typischen Anwender empfehlen?

          Ich habe mittlerweile vier solcher "Kanditaten", und keiner hat solche Probleme. Wieso?

          Grund 1: Ich erkläre ihnen die Spielregeln
          * Mail-Attachments sind böse.
          * EXE-Dateien aus dem WWW sind böse.
          * Internet Explorer ist böse.

          (Das ist nicht die ganze Wahrheit, aber mehr brauchen sie erstmal nicht zu wissen.)

          Grund 2: Keine bekannt unsicheren Programme
          * Gemailt wird mit Netscape 4.7x oder Mozilla (je nach Rechnerleistung)
          * Fürs WWW gibt es Netscape 4.7x, Mozilla oder Opera (je nach Rechnerleistung)
          * IE und OE werden so gut es geht versteckt, tauchen also wenigstens auf dem Desktop und in der Schnellstart-Leiste nicht auf.

          Bevor der Browserkrieg wieder losgeht: Für Gelegenheitssurfer ist der Browser eigentlich ziemlich egal, Hauptsache die Webseiten werden brauchbar dargestellt. Aber für genau diese Zeilgruppe sollte der Browser möglichst wenige Lücken bieten. Und an genau der Stelle finde ich den IE inakzeptabel unsicher.

          Alexander

          --
          Nein, ich beantworte keine Fragen per eMail. Dafür ist das Forum da.
          Today I will gladly share my knowledge and experience, for there are no sweeter words than "I told you so!"
        2. Moin,

          Aber Du bist nicht grundsätzlich gegen Virenscanner, oder?

          Sie können prinzipbedingt (Signaturen sind immer veraltet, und Heuristik funktioniert wenig zuverlässig) nicht das leisten was ihre Hersteller versprechen. Immerhin ist ein Hintergrundscanner wenigstens theoretisch in der Lage, einen kleinen Teil der Schadsoftware bereits zu finden, während sie noch inaktiv ist. Schadsoftware erst an ihren Aktionen erkennen zu wollen (wie das Personal Firewall üblicherweise versuchen) kann wie bereits erläutert nicht funktionieren.

          Aber auch hier gilt:

          • Regelmäßig updaten (sogar noch deutlich regelmäßiger als alles andere)
          • nicht mit Userprivilegien laufen oder durch diesen konfigurieren lassen
          • auf einem sicher konfigurierten System, d.h. also eines welches Schadsoftware gar nicht erst ausführt, bzw. wo diese keinen Schaden anrichten kann, sind sie weitgehend überflüssig

          Was würdest Du denn z.B. meinem Vater empfehlen? Ist knapp 60, kennt sich halbwegs mit Windows aus(weiß halt wie man Programme startet, mit dem Explorer Dateien findet, wie man ins Internet kommt, wie man mit Outlook Emails schreibt, Office... solche Sachen halt), aber der wird niemals TCP/IP verstehen (wollen).

          Meiner bescheidenen Meinung nach ist für den Fall, dass jemand es gar nicht verstehen will, die korrekte Lösung:

          • Betriebssystem mit ordentlichem Benutzerkonzept installieren
          • das System von jemandem voll funktionsfähig und sicher einrichten lassen, der etwas davon versteht (nicht notwendigerweise du, das kann auch ein externer Dienstleister machen)
          • ein funktionierendes und getestetes Backupschema aufsetzen, welches jederzeit ein ausreichend aktuelles (je nach Anwendungsfall, zum Beispiel tagesaktuell) Backup aller Bereiche in die der User schreiben kann (auf einem korrekt eingerichteten System also nur /home bzw. "Dokumente und Einstellungen") vorhält und auch wiederherstellen kann
          • dem Nutzer nicht das Passwort für die root/Administrator-Berechtigung geben

          Das ist meiner Meinung nach ein sehr guter Kompromiss: Der Nutzer kann das System nutzen, es kann es aber nicht kaputt machen. Schlimmstenfalls kann er seine eigenen Daten zerstören, die dann aber problemlos wiederhergestellt werden können.

          Und auf dem Rechner von ihm finde ich öfter mal ominöse Spyware, komische neue DFÜ-Verbindungen (zum Glück hat er nur DSL ;-))... was würdest Du in einem solchen Fall empfehlen?

          Genau das. Wobei der letzte Punkt hier einer der wichtigsten ist, da es so auch durch geschicktes social engineering recht gut ausgeschlossen ist, dass das System kaputt gemacht wird. Zur endgültigen Beruhigung sollte man vielleicht noch ein Image des eingerichteten Systems ziehen und im Zweifelsfall alles platt machen und das Image zurückspielen (Userdaten und -einstellungen kommen dann aus dem Backup). Das kann natürlich (zum Beispiel durch einlegen der richtigen CD) automatisch gemacht werden, wenn es einmal manuell angestossen wurde.

          Früher oder später fängt er sich irgendwie mal einen Trojaner ein, wäre eine aktuelle PFW nicht ein geeigneter Schutzmechanismus?

          Nein. Wie du schreibst kennt der User die Grundlagen nicht und _will_ sich auch nicht damit befassen. Sojemand ist in keinem Fall kompetent _irgendeine_ Schutzlösung sicher aufzusetzen oder zu administrieren. Im besten Fall führt das Installieren zusätzlicher Software durch diesen Benutzer zu keiner verbesserten Gesamtsicherheit. Im schlimmsten Fall ist alles kaputt.

          Ich bezweifele das aber, da die Trojaner-"Entwickler" sich zur Zeit wohl kaum die Arbeit machen brauchen PFWs zu umgehen/abzuschalten, schlicht weil sie kaum jemand hat.

          Frei nach Finagles Gesetz wird genau die Schadsoftware die letztendlich bei dir zur Ausführung kommt, zu den 1% gehören die sämtliche "Schutzsoftware" restlos und umweltfreundlich entsorgen.

          Ich sträube mich ein wenig gegen die sicherlich vernünftige und sicherste Lösung das sich jeder Benutzer entsprechend informieren sollte. Für Leute wie hier im Forum ist das sicher was anders, aber Leute wie man Vater, für die der PC wirklich nur Mittel zum Zweck ist,

          Genau so ein User braucht auch keine Adminstrationsrechte auf dem Rechner. Er kann damit nicht nur nichts anfangen, er kann (und wird) damit sogar Schaden anrichten.

          halt eine bessere Schreibmaschiene + Informtions-Medium(Internet) + Email, die wollen das mit möglichst wenig Aufwand einfach verwenden ohne eigene(oft teure) Zeit für solche Dinge aufzuwenden.

          Ein Computer ist aber nun einmal so ziemlich das komplexeste Gerät dass sich in einem Haushalt befinden wird. Auch 1000 Marketingmenschen können die Komplexität von Abermillionen Zeilen Code und Tausenden Konfigurationsvariablen nicht wegreden. Um es sicher zu betreiben gibt es zwei Möglichkeiten: a) du beschäftigst dich mit der Materie oder b) du lässt es jemanden machen der sich damit auskennt (und bezahlst ihn gegebenenfalls für seine Leistung).

          Ein Virenprogramm/personal-Firewall hat jeder typische DAU in 30 Sekunden installiert.

          Und wenn es in 2s installiert wäre, Schutz kann es nicht bieten, da der DAU ein DAU ist. Egal was dir das Marketing einreden will.

          Derjenige der sehr viel Zeit aufgebracht hat und sein System "beherrscht" wird einen erheblich besseren Schutz erfahren, aber der Verwender der genannten Software erkauft sich hiermit wenigstens einen gewissen Schutz gegen die am häufigsten auftretenden Viren, Trojaner etc.

          Nein, die Software kann so keinen Schutz bieten. Spar' dir das Geld dafür lieber und beauftrage einen Fachmann, dein System richtig zu konfigurieren.

          --
          Henryk Plötz
          Grüße aus Berlin
          ~~~~~~~~ Un-CDs, nein danke! http://www.heise.de/ct/cd-register/ ~~~~~~~~
          ~~ Help Microsoft fight software piracy: Give Linux to a friend today! ~~
          1. Hi,

            Meiner bescheidenen Meinung nach ist für den Fall, dass jemand es gar nicht verstehen will, die korrekte Lösung:

            • Betriebssystem mit ordentlichem Benutzerkonzept installieren
            • das System von jemandem voll funktionsfähig und sicher einrichten lassen, der etwas davon versteht (nicht notwendigerweise du, das kann auch ein externer Dienstleister machen)
            • ein funktionierendes und getestetes Backupschema aufsetzen, welches jederzeit ein ausreichend aktuelles (je nach Anwendungsfall, zum Beispiel tagesaktuell) Backup aller Bereiche in die der User schreiben kann (auf einem korrekt eingerichteten System also nur /home bzw. "Dokumente und Einstellungen") vorhält und auch wiederherstellen kann
            • dem Nutzer nicht das Passwort für die root/Administrator-Berechtigung geben

            Und wenn mäglich ssh oder ähnliches aufsetzten, da es manchmal sehr anstrengend sein kann, über Ferndiagnose vom anderen Ende Deutschlands herauszubekommen, was gerade nicht funktioniert, da gerade die Anwender bei denen soetwas recht häufig notwendig ist, logischweise auch nicht beschreiben können was sie gemacht haben.

            Zu den User Berechtigungen. Unter Windows gibt es da halt das Problem, das viele Programme nur unter Administrator laufen. Selbst Microsoft eigene Programme wie zum Beispiel das Spiel "Age of Mythology" läuft aus unerfindlichen Gründen nur mit Administratorrechten (unter win2k) wie ich leider Erfahren musste, als mein Bruder meinen Pc benutzen wollte um es bei mir zu spielen.

            Das ist meiner Meinung nach ein sehr guter Kompromiss: Der Nutzer kann das System nutzen, es kann es aber nicht kaputt machen. Schlimmstenfalls kann er seine eigenen Daten zerstören, die dann aber problemlos wiederhergestellt werden können.

            Das Problem ist halt, dass der User spätestens nach einem Monat es müde wird, immer die Backup medien zu wechseln, was bei einigermaßen bezahlbaren Lösungen auf jeden Fall notwendig wird.
            Das Problem ist, dass die meisten verlangen Software selber zu installieren dürfen, was nun mal bein einer vernünfitigen Konfiguration nicht funktioniert.

            'Grüße Andres Freund

            --
            ss:) zu:) ls:} fo:) de:] va:) ch:| n4:& rl:° br:^ js:( ie:% fl:( mo:|
            1. Moin,

              Und wenn mäglich ssh oder ähnliches aufsetzten

              Sichere Konfiguration bedeutet auch, dass _kein_ Dienst ständig am Internet lauscht. Selbst SSH hatte bereits einen Remote-Root-Exploit.
              Ich habe das bei meinem Vater so gemacht, dass ich vnc installiert aber nicht aktiviert habe. Falls es irgendwann mal ein Problem gibt, kann er den Server mit einem Doppelklick starten (ja, bei meinen Eltern hat es nur Win98, aber ich ordne meinen Vater auch nicht in die Will-Nichts-Wissen-Kategorie), undzwar möglichst nur während ich grade mit ihm am Telefon spreche.

              da es manchmal sehr anstrengend sein kann, über Ferndiagnose vom anderen Ende Deutschlands herauszubekommen, was gerade nicht funktioniert, da gerade die Anwender bei denen soetwas recht häufig notwendig ist, logischweise auch nicht beschreiben können was sie gemacht haben.

              Falls es richtig aufgesetzt wurde, sollte das eigentlich nicht notwendig sein (jaja ich weiss: "falls" ... "sollte" vs. Finagle) und alle auftretenden Probleme müssten durch das Zurückspielen des Images behoben werden können.

              Zu den User Berechtigungen. Unter Windows gibt es da halt das Problem, das viele Programme nur unter Administrator laufen.

              Wenn das Program von sich sagt (zum Beispiel auf der Verpackung), zu deinem Betriebssystem kompatibel zu sein, aber dann solche Spirenzien macht, darfst du dich an den Hersteller wenden und die Korrektur dieses Mangels verlangen. IANAL aber das Deutsche Recht gibt dir soweit ich weiss einige Mittel an die Hand. (Mehr dazu findet sich in den thematisch passenden Usenetgruppen.)
              Wenn das Programm nicht mit dem Betriebssystem kompatibel ist, muss man sich halt etwas anderes suchen. (Es kann nicht schaden auch dann dem Hersteller mitzuteilen, dass man sich aus diesem Grund für ein Konkurrenzprodukt entschieden hat.)

              Das Problem ist halt, dass der User spätestens nach einem Monat es müde wird, immer die Backup medien zu wechseln, was bei einigermaßen bezahlbaren Lösungen auf jeden Fall notwendig wird.

              Ich vertraue in dem Fall auf Darwin: Nach dem nächsten Datenverlust, aber spätestens nach dem Übernächsten wird das Backup zu einer minimal lästigen aber alltäglichen Gewohnheit wie Zähneputzen.

              Das Problem ist, dass die meisten verlangen Software selber zu installieren dürfen, was nun mal bein einer vernünfitigen Konfiguration nicht funktioniert.

              Dann hat der User eben ein Problem. Ich hoffe jedoch, dass die meisten Exemplare der "Ich will doch nur Briefe schreiben"-Kategorie einsehen werden, dass sie keine Rechte für die Softwareinstallation brauchen.

              Bei mindestens einem Betriebssystem ist das aber ohnehin kein Problem, da sich da die meiste Software (zumindest alles was Otto Normal je in den Sinn kommen könnte zu installieren) auch mit Userrechten in das Heimatverzeichnis installieren lässt. Eigentlich(!) sollte das mit keinem Betriebssystem ein Problem darstellen, da die neuinstallierte Software genau die gleichen Privilegien wie der installierende Anweder (also sogut wie keine) bekommen sollte, aber naja, die Jungs in Redmond werden das auch nochmal irgendwann hinkriegen. Hoffe ich.

              --
              Henryk Plötz
              Grüße aus Berlin
              ~~~~~~~~ Un-CDs, nein danke! http://www.heise.de/ct/cd-register/ ~~~~~~~~
              ~~ Help Microsoft fight software piracy: Give Linux to a friend today! ~~
              1. Hi!

                Sichere Konfiguration bedeutet auch, dass _kein_ Dienst ständig am Internet lauscht. Selbst SSH hatte bereits einen Remote-Root-Exploit.

                Außerdem kenne ich mich mit der Windows-Kommandozeiel nicht wirklich so gut aus das ich damit was fernwarten könnte, mit Linux schon, aber Windows? Aber SSH könnte man ja auch per Knopfdruck starten ;-)

                Ich habe das bei meinem Vater so gemacht, dass ich vnc installiert aber nicht aktiviert habe. Falls es irgendwann mal ein Problem gibt, kann er den Server mit einem Doppelklick starten (ja, bei meinen Eltern hat es nur Win98, aber ich ordne meinen Vater auch nicht in die Will-Nichts-Wissen-Kategorie), undzwar möglichst nur während ich grade mit ihm am Telefon spreche.

                Genau das ist mein Problem, mein Vater gehört ebenfalls nicht in die "Will-Nichts-Wissen-Kategorie", sondern "ich kann alles selber lösen", und wenn ich dann zwischendurch ne Computer-Bild da rumliegen sehe wird mit immer ganz anders ;-)

                Er würde es nie einsehen auf seinem eigenen System das Admin-Passwort nicht zu haben(unter Win2K heißt das auch was anders als unter Win98!), denn tatsächlich kann man viele Dinge nicht machen ohne Admin-Zugang. Naja, dabei geht es hauptsächlich um Installation von Programmen, und das sollte ja nicht ständig nötig sein, naja, muss ich wohl etwas überzeugugs-Arbeit leisten(mein Vater ist in dieser Hinsicht sehr uneinsichtig und will der Chef auf seinem Rechner bleiben - aus Prinzip... ;-)), naja, aber Du hast schon Recht, da muss sich was ändern. Das System so wie es heute läuft wurde von einem sog. Experten aufgesetzt, für teueres Geld! Naja, das ist jetzt sicher 2-3 Jahre her(ja, win2k Installation mit der täglisch gearbeitet wird die seit 2-3 Jahren ohne Probleme läuft - soll es auch geben ;-))

                Ach ja und von wegen mail/browser-Software, ich verwende ausschließlich Mozilla, aber andere Leute sträuben sich dagegen. Schon alleine der Mozilla-Drache hat IMHO gerade bei älteren Leuten dazu geführt die Software nicht ernst zu nehmen, das neue Start-Fenster ist da erheblich besser. Ich habe mal zu Hause bei meiner Schwester auf dem PC Mozilla installiert, und den dann komplett als IE getaren, nur mal um zu sehen ob sie das merkt - sie hat es ein halbes Jahr nicht gemerkt. Nur mein Vater - wenn er den Rechner gestartet hat hatte seitdem eine eine Antipatie  gegen Mozilla, nur durch dieses Startup-Bild auf dem Rechner von meiner Schwester.
                Naja, so langsam habe ich Ihn jetzt überzeugt dass es nichts schlimmes ist und dass es ja eigentlich Netscape ist und der war doch früher so toll... naja.
                Noch viel mehr Probleme bereitet hier Outlook, das ja ein erheblich größerees Sicherheitsrisiko darstellt, aber eben auch nicht nur für mails genutzt wird, sondern auch für Termine, Kontakte...

                Falls es richtig aufgesetzt wurde, sollte das eigentlich nicht notwendig sein (jaja ich weiss: "falls" ... "sollte" vs. Finagle) und alle auftretenden Probleme müssten durch das Zurückspielen des Images behoben werden können.

                Du sagst also man soll nur auf sein "Eigene-Dateien"-Verz. zugreifen können? Hm, im Prinzip reicht das ja, aber was ist wenn Du mehrere vernetzte Rechner hast(3 Stück, alle über einen Switch verbunden, alle mit Dateifreigabe(habe ich alles nicht eingerichtet, sondern der "Fachmann", auf allen Rechnern komplett C: freigegegen!)), naja, ich habedann vor einem Jahr mal die Freigabe von C rausgenommen, und auf einem Rechner eine extra-Partition für Datenaustausch und geteilte Dokumente erstellt, oder gibt es unter Windows ohne Server eine Möglichkeite über eigene/geteilte Dateien eine Freigabe dort zu implementieren?

                Das Problem ist halt, dass der User spätestens nach einem Monat es müde wird, immer die Backup medien zu wechseln, was bei einigermaßen bezahlbaren Lösungen auf jeden Fall notwendig wird.

                Ich vertraue in dem Fall auf Darwin: Nach dem nächsten Datenverlust, aber spätestens nach dem Übernächsten wird das Backup zu einer minimal lästigen aber alltäglichen Gewohnheit wie Zähneputzen.

                Würdest Du also nur Dokumente udn Einstellungen sichern? IMHO speichern einige Programme ihre Daten durchaus woanders. Dazu kommt noch dass dann in jedem Rechner ein CD-Brenner oder sowas installiert sein muss, oder man überträgt den ganzen kram gesichert auf diese eine "Datenaustausch-Partition" und brennt deren Inhalt, naja.

                Dann hat der User eben ein Problem. Ich hoffe jedoch, dass die meisten Exemplare der "Ich will doch nur Briefe schreiben"-Kategorie einsehen werden, dass sie keine Rechte für die Softwareinstallation brauchen.

                Ja, diese Leute sind wie "Lemminge", die lassen einen einfach machen, Hauptsache es geht noch ins Internet und Word funktioniert ;-)
                Problematischer ist der Typ - zu dem ich meinen Vater zähle - der am liebsten alles selbst machen will, und ich Zweifel auch schonmal über 100 EUR mit einer(!) Support-Hotline vertelefoniert hat ;-) Und eben letztere lassen sich ungerne bevormunden.

                Grüße
                Andreas

                1. Moin,

                  Außerdem kenne ich mich mit der Windows-Kommandozeiel nicht wirklich so gut aus das ich damit was fernwarten könnte, mit Linux schon, aber Windows? Aber SSH könnte man ja auch per Knopfdruck starten ;-)

                  Ich hatte versucht die Aussagen möglichst betriebssystemunabhängig zu lassen und der Einfachheit einfach mal eine Äquivalenz der möglichen Fernwartungszugänge angenommen. Ihnen allen ist gemein, dass man sie (wie jeden anderen Dienst auch) auf keinen Fall am Internetinterface lauschen lässt, wenn da nicht ständig einer ist der ein Auge auf die Sicherheitsmeldungen hat und zeitnah (d.h. in diesem Fall weniger als eine Woche) Updates einspielen kann.

                  Genau das ist mein Problem, mein Vater gehört ebenfalls nicht in die "Will-Nichts-Wissen-Kategorie", sondern "ich kann alles selber lösen",

                  Da ist es dann weniger ein technisches als ein soziales Problem.

                  und wenn ich dann zwischendurch ne Computer-Bild da rumliegen sehe wird mit immer ganz anders ;-)

                  ACK. Bei uns zu Hause ist die mittlerweile sogar abonniert. (Das Layout scheint zusammen mit der T-Online-Website um den Preis für die unübersichtlichste Zeichenansammlung aller Zeiten konkurrieren zu wollen. Aber das nur nebenbei.)

                  Er würde es nie einsehen auf seinem eigenen System das Admin-Passwort nicht zu haben(unter Win2K heißt das auch was anders als unter Win98!), denn tatsächlich kann man viele Dinge nicht machen ohne Admin-Zugang.

                  Wenn es richtig funktioniert sollte keine der Aktionen die zur alltäglichen Arbeit gehören Administrator-Berechtigung erfordern und im Gegenzug nur Administrationsaufgaben mit Administratorberechtigung ausgeführt werden.[1]

                  Experten aufgesetzt, für teueres Geld! Naja, das ist jetzt sicher 2-3 Jahre her(ja, win2k Installation mit der täglisch gearbeitet wird die seit 2-3 Jahren ohne Probleme läuft - soll es auch geben ;-))

                  Sicherheitsupdates habt ihr aber zwischendurch schon mal eingespielt? Es gab da vor einiger Zeit (>1.5 Jahre, glaube ich) mal ein 'nützliches' Privilege Elevation-Problem in Windows 2000.

                  Ach ja und von wegen mail/browser-Software, ich verwende ausschließlich Mozilla, aber andere Leute sträuben sich dagegen. Schon alleine der Mozilla-Drache hat IMHO gerade bei älteren Leuten dazu geführt die Software nicht ernst zu nehmen, das neue Start-Fenster ist da erheblich besser.

                  Ich habe Mozilla irgendwo um die Version 1 herum zu Hause zum Standardbrowser erklärt. Den Splash-Screen habe ich aber eigentlich immer ausgetauscht. (Weil mir der Drache auch nicht gefiel; und damit man nach einem Upgrade auch erkennen konnte, dass sich da was getan hat.)

                  Du sagst also man soll nur auf sein "Eigene-Dateien"-Verz. zugreifen können?

                  Ja. Bei unixoiden Systemen ist das schon lange üblich, dass ein User Schreibzugriff auf sein Heimatverzeichnis, auf /tmp, gegebenenfalls auf ein paar Gerätedateien in /dev und vielleicht auf seine Mailbox irgendwo in /var/spool hat und sonst nirgends. Offensichtlich ist das für so ziemlich jede Art von Software ausreichend.

                  Hm, im Prinzip reicht das ja, aber was ist wenn Du mehrere vernetzte Rechner hast(3 Stück, alle über einen Switch verbunden, alle mit Dateifreigabe(habe ich alles nicht eingerichtet, sondern der "Fachmann", auf allen Rechnern komplett C: freigegegen!)), naja, ich habedann vor einem Jahr mal die Freigabe von C rausgenommen, und auf einem Rechner eine extra-Partition für Datenaustausch und geteilte Dokumente erstellt, oder gibt es unter Windows ohne Server eine Möglichkeite über eigene/geteilte Dateien eine Freigabe dort zu implementieren?

                  Was hältst du von Rechtsklick auf "Dokumente und Einstellungen", Freigabe..., Freigeben als...? Und wenn man das richtig macht (das heisst die Microsoft-Vorgabe "einfache Dateifreigabe" nicht akzeptiert) dann werden Dateien auch dann noch von den normalen NTFS-Berechtigungen geschützt.

                  Würdest Du also nur Dokumente udn Einstellungen sichern? IMHO speichern einige Programme ihre Daten durchaus woanders.

                  Dann sind diese Programme nach Definition kaputt bzw. nicht mit dem Betriebssystem kompatibel. Wenn die Dateiberechtigungen richtig gesetzt sind kann sich das Programm auf den Kopf stellen, wird aber da nirgendwo dran schreiben können.

                  Dazu kommt noch dass dann in jedem Rechner ein CD-Brenner oder sowas installiert sein muss, oder man überträgt den ganzen kram gesichert auf diese eine "Datenaustausch-Partition" und brennt deren Inhalt, naja.

                  Wenn sowieso ein Netzwerk da rumsteht, kann man ein Rechner ja zum Backupserver (zumindest nebenbei) abstellen. Das fällt aber alles unter die Zuständigkeit des erwähnten Backupkonzeptes und damit sollte sich jemand befassen der sich damit auskennt. One size fits all gibt es hier kaum.

                  [1] Ja, ich selber halte mich auch nicht daran und habe fast immer irgendwo eine root-shell offen, weil ich zum Beispiel mit meinem Laptop häufiger den Standort wechsle und am Netzwerk rummachen muß. Ich zähle mich aber eher auch zu den Leuten die wissen was sie tun und immer die Arbeitsstation sperren wenn sie den Rechner verlassen. (Was natürlich nicht heisst, dass da nicht manchmal Missgeschicke passieren.)

                  --
                  Henryk Plötz
                  Grüße aus Berlin
                  ~~~~~~~~ Un-CDs, nein danke! http://www.heise.de/ct/cd-register/ ~~~~~~~~
                  ~~ Help Microsoft fight software piracy: Give Linux to a friend today! ~~
                  1. Hi Henryk!

                    Genau das ist mein Problem, mein Vater gehört ebenfalls nicht in die "Will-Nichts-Wissen-Kategorie", sondern "ich kann alles selber lösen",

                    Da ist es dann weniger ein technisches als ein soziales Problem.

                    das ist wohl war...
                    Naja, das System ist eigentlich auch derart überfrachtet, das solt eman mal von Grund auf neu aufsetzen, um mal den ganzen Mist der sich im Laufe der Zeit angesammtl hat loszuwerden. Und dann kann man ja den Kompromiss eingehen das Admin-Passwort irgendwo aufzuschreiben und an einem sicheren Ort zu "verstecken" - auch wenn man das nicht machen sollte, wenn das wenigstens dazu führt dass nicht mehr der Admin-Tzgang verwendet wird.
                    Und da Office-Lizenzen auch nicht gerade billig sind, vor allem wenn man damit 4-5 Rechner ausstatten will, habe ich es auch geschafft Ihn von Open-Office zu überzeugen, auch wenn er das noch nicht verwendet, das würde ich dann glaube ich mal alles komplett "einführen" ;-)
                    Und auch Mozilla ist inzwischen als Browser akzeptiert, die Sache ist nur der Ersatz für Outlook. Und da habe ich noch ein Problem, nämlich eine Lösung zu finden wie man Termine und Adressen auf den Rchnern abgleichen kann - mit Outlook ohne Exchange wirklich so gut wie unmöglich. Wobei es da ein Plugin gibt um PHP-Ggrupware als "Exchange-Server" zu verwenden, das habe ich aber noch nicht probiert, aber eigentlich will ich ja weg von Outlook, nur ist das so eine Sache mit Alternativen. Mozilla hat zwar alle Elemente, für Mail auch vollkommen ausreichend, aber für Termine und Kalender sehe ich hier auch noch nicht wirklich eine gute Möglichkeit das zu synchronisieren. Ich hatte mich mal mit ein paar Dingen rumgespielt, Apache + mod_dav zum Veröffentlichen eines Kalenders, aber das hatte ich selbst unter Linux nicht so richtig hinbekommen - aber es soll angeblich funktionieren, und dann noch einen LDAP-Server zum veröffentlichen von Andressen. Nur leider ist die Integration von Mozilla in OpenOffice noch nicht wirklich schön. Außerdem ist das alles unter Windows auch nicht so eine tolle Sache, naja.
                    ich warte mal bis Mozilla 1.5 rauskommt, dann ist der Kalender wohl offiziell dabei und "stable".
                    ich hatte auch mal eine andere Groupware(more.groupware - php/MySQL-basiert) ausprobiert, aber das ist für den Alltag nicht wirklich schön.

                    und wenn ich dann zwischendurch ne Computer-Bild da rumliegen sehe wird mit immer ganz anders ;-)

                    ACK. Bei uns zu Hause ist die mittlerweile sogar abonniert. (Das Layout scheint zusammen mit der T-Online-Website um den Preis für die unübersichtlichste Zeichenansammlung aller Zeiten konkurrieren zu wollen. Aber das nur nebenbei.)

                    Vor allem wenn der dann anfängt die tollen und streng  geheimen Tricks auszuprobieren... am besten noch in der Registry... naja, aber sowas habe unter Strafandrohung streng verboten ;-)

                    Er würde es nie einsehen auf seinem eigenen System das Admin-Passwort nicht zu haben(unter Win2K heißt das auch was anders als unter Win98!), denn tatsächlich kann man viele Dinge nicht machen ohne Admin-Zugang.

                    Wenn es richtig funktioniert sollte keine der Aktionen die zur alltäglichen Arbeit gehören Administrator-Berechtigung erfordern und im Gegenzug nur Administrationsaufgaben mit Administratorberechtigung ausgeführt werden.[1]

                    Experten aufgesetzt, für teueres Geld! Naja, das ist jetzt sicher 2-3 Jahre her(ja, win2k Installation mit der täglisch gearbeitet wird die seit 2-3 Jahren ohne Probleme läuft - soll es auch geben ;-))

                    Sicherheitsupdates habt ihr aber zwischendurch schon mal eingespielt? Es gab da vor einiger Zeit (>1.5 Jahre, glaube ich) mal ein 'nützliches' Privilege Elevation-Problem in Windows 2000.

                    Ja, halt SP3 und ein paar weitere Patches. ich lad mir das immer runter wenn es rauskommt und spiele das auf alle Rechner mit denen ich zu tun habe, auch ein paar Patches "pre-SP4"..., aber wenn ich ehrlich sein soll läuft Win2000 nach SP2 nicht mehr so gut, hab hier und da öfter mal Probleme. Daher überlege ich mir mal ne Win2000 SP3 CD zu besorgen, wen ich ne Lizens habe, darf ich mir vermutlich trotzdem keine Kopie aus nem P2P Netzwerk ziehen, oder? Nur finde ich das nachträgliche installieren von Service-Packs bei einem neuen System nicht so schön...

                    Ich habe Mozilla irgendwo um die Version 1 herum zu Hause zum Standardbrowser erklärt. Den Splash-Screen habe ich aber eigentlich immer ausgetauscht. (Weil mir der Drache auch nicht gefiel; und damit man nach einem Upgrade auch erkennen konnte, dass sich da was getan hat.)

                    Danke für das Stichwort ;-)

                    -nosplash

                    als Startparameter finde ich perfekt ;-)

                    Was hältst du von Rechtsklick auf "Dokumente und Einstellungen", Freigabe..., Freigeben als...? Und wenn man das richtig macht (das heisst die Microsoft-Vorgabe "einfache Dateifreigabe" nicht akzeptiert) dann werden Dateien auch dann noch von den normalen NTFS-Berechtigungen geschützt.

                    Ja, so habe ich es auch mit der Austausch-Partition gemacht, aber bei Client-Server Versionen gibt es da ja so schöne hierfür vorgesehene Verzeichniss unter Dokumente und Einstellungen, naja, kann ich mir ja selbst basteln.

                    Würdest Du also nur Dokumente udn Einstellungen sichern? IMHO speichern einige Programme ihre Daten durchaus woanders.

                    Dann sind diese Programme nach Definition kaputt bzw. nicht mit dem Betriebssystem kompatibel. Wenn die Dateiberechtigungen richtig gesetzt sind kann sich das Programm auf den Kopf stellen, wird aber da nirgendwo dran schreiben können.

                    Ich weiß jetzt nicht mehr welche das alle sind, aber teilweise eine eingesetze speziell beruflich benötigte Software speichert Daten in eigenen Access-Dateien, an die man auch nicht dran kommt udn dessen Speicherpfand man AFAIK nicht verändern kann.

                    Wenn sowieso ein Netzwerk da rumsteht, kann man ein Rechner ja zum Backupserver (zumindest nebenbei) abstellen. Das fällt aber alles unter die Zuständigkeit des erwähnten Backupkonzeptes und damit sollte sich jemand befassen der sich damit auskennt. One size fits all gibt es hier kaum.

                    Wie gesagt war das so ein Spezialist da der ein Bandlaufwerk angedreht hat von einer Firma die es inzwischen nicht merh gibt und für dieses Laufwerk gibt es nur Treiber für Windows >= 98, nicht Linux und nicht Win2K. Der hatte deshalb so ein Dual-Boot System eingerichtet, wenn man sichern wollte dann musste man Win98 starten... (das hatte er schon ein paar Mionate voher verkauft als der alte PC noch mit Win98 lief...) naja, Du kannst Dir vorstellen wie oft es heute ein Backup gibt. Und _sowas_ hätte ich auch gekonnt. Das Laufwerk war nicht billig und kann man eigentlich wegschmeißen, zumal es für 2GB so an die 5 Stunden gebraucht hat! Und billig war das nicht wirklich. Das nur zum Thema "Spezialisten".

                    Ich glaube der Trick ist einfach sich von Linux "inspirieren" zu lassen ;-) Wenn man will kann man Windows sicher fast vergleichbar einrichten, nur macht das normalerweise kein Mensch.

                    Viele Grüße
                    Andreas

                    1. Moin,

                      Wobei es da ein Plugin gibt um PHP-Ggrupware als "Exchange-Server" zu verwenden, das habe ich aber noch nicht probiert, aber eigentlich will ich ja weg von Outlook, nur ist das so eine Sache mit Alternativen.

                      Angeblich soll Evolution sowas können. Habe es aber noch nie benutzt.

                      Nur finde ich das nachträgliche installieren von Service-Packs bei einem neuen System nicht so schön...

                      Das Googlestichwort das du suchst heisst Slipstreaming.

                      Und um mal wieder was zum Threadthema zu sagen: Wie gerade auf der Amaya-Mailingliste zu lesen war, kommt dieses Norton Internet Security-Dingens in der Standardeinstellung doch tatsächlich auf die haarsträubend blöde Idee den Accept-Encoding-Header in ausgehenden HTTP-Anfragen zu unterdrücken. Die Opfer dieser Software können also zum Beispiel das Forum hier nicht komprimiert empfangen, was ja wohl einen handfesten Nachteil für Nutzer und Serverbetreiber bedeutet.

                      Und weil es ja auch fast Zeit für das *g* zum verlängerten Wochenende ist, hier nochmal ein wunderschöner Usenetbeitrag von einem Exemplar der Zielgruppe besagter Software: http://groups.google.com/groups?as_umsgid=b8od2m%24c0j1k%241%40ID-44567.news.dfncis.de.
                      (Es wird dringend empfohlen den Konsum von Getränken vor dem Aufrufen dieses Links einzustellen. Flüssigkeit in der Tastatur kommt einfach nicht gut. ;-)

                      --
                      Henryk Plötz
                      Grüße aus Berlin
                      ~~~~~~~~ Un-CDs, nein danke! http://www.heise.de/ct/cd-register/ ~~~~~~~~
                      ~~ Help Microsoft fight software piracy: Give Linux to a friend today! ~~
                      1. Hi!

                        Angeblich soll Evolution sowas können. Habe es aber noch nie benutzt.

                        Evolution gibts leider, leider nur für Linux.

                        Nur finde ich das nachträgliche installieren von Service-Packs bei einem neuen System nicht so schön...

                        Das Googlestichwort das du suchst heisst Slipstreaming.

                        Danke! Wenn ich aber heute eine aktuelle win2000 SP3 CD kaufe, ist das dann dasselbe wie so eine "Slipstreaming-Version", oder sind die Änderungen des SP komplett integriert? Aber ich denke durch die direkte Integration ist schon ne Menge gewonnen gegenüber eine nachträglichen Aktualisierung.

                        Und um mal wieder was zum Threadthema zu sagen: Wie gerade auf der Amaya-Mailingliste zu lesen war, kommt dieses Norton Internet Security-Dingens in der Standardeinstellung doch tatsächlich auf die haarsträubend blöde Idee den Accept-Encoding-Header in ausgehenden HTTP-Anfragen zu unterdrücken. Die Opfer dieser Software können also zum Beispiel das Forum hier nicht komprimiert empfangen, was ja wohl einen handfesten Nachteil für Nutzer und Serverbetreiber bedeutet.

                        In der Tat! Sogar für alle anderen Internetanwender da unnötigerweise mehr Traffic erzeugt wird.

                        Und weil es ja auch fast Zeit für das *g* zum verlängerten Wochenende ist, hier nochmal ein wunderschöner Usenetbeitrag von einem Exemplar der Zielgruppe besagter Software: http://groups.google.com/groups?as_umsgid=b8od2m%24c0j1k%241%40ID-44567.news.dfncis.de.
                        (Es wird dringend empfohlen den Konsum von Getränken vor dem Aufrufen dieses Links einzustellen. Flüssigkeit in der Tastatur kommt einfach nicht gut. ;-)

                        Ist das jetzt ein Scherz oder posten Leute tatsächlich sowas? Was so ne nette Kombination von gesundem Halbwissen alles so produzieren kann... ;-)

                        Grüße
                        Andreas

              2. Moin moin!

                Bei mindestens einem Betriebssystem ist das aber ohnehin kein Problem, da sich da die meiste Software (zumindest alles was Otto Normal je in den Sinn kommen könnte zu installieren) auch mit Userrechten in das Heimatverzeichnis installieren lässt. Eigentlich(!) sollte das mit keinem Betriebssystem ein Problem darstellen, da die neuinstallierte Software genau die gleichen Privilegien wie der installierende Anweder (also sogut wie keine) bekommen sollte, aber naja, die Jungs in Redmond werden das auch nochmal irgendwann hinkriegen. Hoffe ich.

                Aber klar. Bisher haben sie doch auch alles moegliche mit 20 Jahren Verspaetung von Unix uebernommen, wieso sollte das in dem Punkt anders sein? ;-)

                So long

                --
                Person who say it cannot be done should not interrupt person doing it.
                    -- Chinese Proverb
                1. Hallo Calocybe

                  Aber klar. Bisher haben sie doch auch alles moegliche mit 20 Jahren Verspaetung von Unix uebernommen, wieso sollte das in dem Punkt anders sein? ;-)

                  Weil es Microsoft bis dahin nicht mehr gibt, hoffe ich. ;-)

                  Schöne Grüße

                  Johannes

                  --
                  ss:| zu:) ls:[ fo:) de:] va:) ch:] sh:( n4:& rl:( br:^ js:| ie:{ fl:( mo:|
                  Selfcode bei http://emmanuel.dammerer.at/selfcode.html