Cyx23: Sicherheitsrisiko Mozilla/Firefox defaults

Hallo,

immer noch begünstigt Firefox durch seine Voreinstellungen das
Einnisten von schädlichen Programmen wie z.B. Dialern.

Das Rezept scheint bei etwas krimineller Energie einfach. Da gibt es
offenbar Dialerseiten die beim normalen Aufruf vmtl. korrekte Buttons
und rechtliche Hinweistexte zeigen, aber dann beim Besuch von anderen
Seiten kommend irgendwie auch mal ganz anders ausschauen, und bestimmt
gibt es noch zahlreiche andere mögliche Szenarien.

Jetzt ist ja beim Firefox unter Windows per default einfach der Desktop
als Download-Ort eingestellt, das funktioniert so unter Windows 98 wie
unter XP.
Wer nun nach der Installation des angeblich sichereren Firefox auf
einer entsprechend präparierten Seite einen Link anklickt o.ä. startet
womöglich völlig unbemerkt (Datei kann klein sein, zeitgleich sind
Verdeckungsaktionen, etwa auch schliessende Fenster usw., möglich)
einen Download und erhält als Ergebnis scheinbar eine Verküpfung auf
dem Desktop, das angezeigte Symbol dürfte dazu von einer gerade
gespeicherten exe-Datei beliebig bestimmbar sein.

Im worst case ist also der Download gar nicht bemerkt worden, das  neue
Symbol auf dem Desktop wird womöglich nach dem nächsten Rechnerstart
neugierig ausprobiert oder tarnt sich gar durch ein gefaktes oder
genutztes Symbol einer anderen Anwendung.

Grüsse

Cyx23

--
Goldschmiedekurse Goldschmiedekurse  Workshop Schmuckgestaltung Trauringe selber machen
  1. 你好 Cyx23,

    Im worst case ist also der Download gar nicht bemerkt worden, das  neue
    Symbol auf dem Desktop wird womöglich nach dem nächsten Rechnerstart
    neugierig ausprobiert oder tarnt sich gar durch ein gefaktes oder
    genutztes Symbol einer anderen Anwendung.

    In den Default-Einstellungen wird gefragt, was mit einer Datei unbekannten
    (sprich: nicht durch Plugins definierten) MIME-Types passieren soll. Und
    da fuehrt kein Weg dran vorbei; macht man den MIME-Type auf einen bekannten,
    z. B. text/html oder so, dann wird die Datei auch nur im Browserfenster
    angezeigt. An dieser Dialog-Box fuehrt kein Weg vorbei.

    再见,
    克里斯蒂安

    --
    Coincidence?! I THINK NOT!!
    1. Hi Christian,

      ..] angezeigt. An dieser Dialog-Box fuehrt kein Weg vorbei.

      dann ist die Situation nicht ganz so fatal wie von mir befürchtet.

      Nun habe ich aber einen Vorgang so ähnlich wie von mir geschildert
      erlebt, d.h. m.E. auch dass die Dialog-Box -wenn sie nicht doch
      u.U. ausbleibt- verhindert, gefaked oder sonstwie unbemerkt bestätigt
      werden kann. Wahrscheinlich ist das Risiko geringer wenn Popups und
      andere Fenstermanipulationen per Browseroption verhindert sind.

      Ob, wie da eine Bestätigung erfolgt sein sollte kann ich nicht mehr
      nachvollziehen, auch weil ich mich besonders darauf konzentriert
      hatte wie die veränderte/versteckte Darstellung der Seite des
      Dialeranbieters zustandegekommen ist.

      Anders betrachtet, der User ist nicht verzichtbar, ungünstige
      Browserdefaults aber sind unnötig.

      Oder freut sich jemand wenn Downloads den Desktop zukleistern, soll
      es den Vorteil haben wiedergefunden zu werden? Dafür gibt es doch so
      etwas wie "Eigene Dateien", allerdings wohl nicht sprachübergreifend
      gleich bezeichnet.

      Grüsse

      Cyx23

      1. 你好 Cyx23,

        Nun habe ich aber einen Vorgang so ähnlich wie von mir geschildert
        erlebt, d.h. m.E. auch dass die Dialog-Box -wenn sie nicht doch
        u.U. ausbleibt- verhindert, gefaked oder sonstwie unbemerkt bestätigt
        werden kann.

        Nein, an dieser Dialogbox fuehrt einfach kein Weg vorbei, die _musst_ du
        bestaetigen, bzw. nicht nur bestaetigen, sondern du musst auswaehlen, was
        du tun willst.

        Oder freut sich jemand wenn Downloads den Desktop zukleistern, soll
        es den Vorteil haben wiedergefunden zu werden?

        Ich fand dieses Verhalten immer sehr angenehm.

        Dafür gibt es doch so etwas wie "Eigene Dateien", allerdings wohl nicht
        sprachübergreifend gleich bezeichnet.

        Dafuer gibt es eine Umgebungsvariable oder Registry-Setting, weiss nicht
        mehr, ist lange her, das auf dieses Verzeichnis verweist.

        再见,
        克里斯蒂安

        --
        So, wie ein Teil ist, ist das Ganze.
        1. Hallo Christian,

          Nein, an dieser Dialogbox fuehrt einfach kein Weg vorbei, die _musst_ du
          bestaetigen, bzw. nicht nur bestaetigen, sondern du musst auswaehlen, was
          du tun willst.

          das habe ich anders in Erinnerung, nur habe ich jetzt keinen Ehrgeiz
          mit dem frisch aufgesetzten und wohl nicht ordentlich gesichertem XP
          auf die Suche nach Sicherheitsrisiken zu gehen.

          Ist ja eine andere Situation, aber jetzt ist mir gerade aufgefallen
          dass Firefox beim Download von *.jpg buggy ist, die Datei erst nicht
          anzeigt und dann -ordentlich mit Zielverzeichnis usw.- zwar
          speichert, aber das Ende des Download nicht bemerkt.

          Ich fand dieses Verhalten immer sehr angenehm.

          Da sehe ich immer noch das schon erwähnte Risiko von unbemerkt
          angelegten Pseudolinks, und wahrscheinlich hätte ich lieber den
          Desktop nicht als Ort oder Objekt, sondern als verlässliches Menu,
          wobei mir da sowieso einiges an Ordnung fehlt, und vielleicht
          mehrere Desktops parallel.

          Grüsse

          Cyx23

          1. Tag Cyx23.

            Eines vorweg: ich kenne das Problem mit dem Ablegen von heruntergeladenen Dateien auf dem Desktop, habe es aber bisher nicht als solches empfungen.

            Da sehe ich immer noch das schon erwähnte Risiko von unbemerkt angelegten Pseudolinks, und wahrscheinlich hätte ich lieber den Desktop nicht als Ort oder Objekt, sondern als verlässliches Menu, wobei mir da sowieso einiges an Ordnung fehlt, und vielleicht mehrere Desktops parallel.

            Dann stelle es doch um: Extras - Einstellungen - Downloads - Jedes Mal nachfragen ...

            Siechfred

            --
            «Ich liebe euch doch alle!»
            1. Hallo Siechfred,

              Dann stelle es doch um: Extras - Einstellungen - Downloads - Jedes Mal nachfragen ...

              ja danke, aber mir ging es um die grundsätzliche Frage der Defaults,
              nicht unbedingt aus Prinzip (auch wenn ich nicht drauf gekommen wäre
              dass das Ablegen auf dem Desktop gewünscht sein könnte) sondern wegen
              des möglichen Sicherheitsrisikos, z.B. Firefox frisch installiert
              und dann unbemerkte und später nicht identifizierte Downloadlinks oder
              direkte Verküpfungen auf Dialer usw..

              Besteht eigentlich die Initiative bzw. Sicher durch Netz irgendwie
              noch, zuletzt war das Forum nicht mehr in Betrieb?

              Grüsse

              Cyx23

              1. Tag Cyx23.

                Besteht eigentlich die Initiative bzw. Sicher durch Netz irgendwie noch, zuletzt war das Forum nicht mehr in Betrieb?

                Es ist zwar schade um die Arbeit, die viele sich gemacht haben, aber ich glaube, dass die Initiative im Sande verlaufen ist. Naja, vielleicht taucht «at» ja mal wieder auf, sodass man wenigstens die bisherigen Inhalte auf der Seite unterbringen kann.

                Siechfred

                --
                «Ich liebe euch doch alle!»
                1. Hallo Siechfred,

                  Es ist zwar schade um die Arbeit, die viele sich gemacht haben, aber ich glaube, dass die Initiative im Sande verlaufen ist.

                  ob vielleicht hier im Forum ein Themenbereich "Sicherheit" nützlich wäre?

                  Grüsse,
                  Kristof

                  1. Tag Kristof.

                    ob vielleicht hier im Forum ein Themenbereich "Sicherheit" nützlich wäre?

                    [x] dafür

                    Siechfred

                    --
                    «Ich liebe euch doch alle!»
                    1. Hi Siechfred,

                      ob vielleicht hier im Forum ein Themenbereich "Sicherheit" nützlich wäre?

                      [x] dafür

                      [x] gleichfalls ;-)

                      MfG, Dennis.

                      --
                      Mein SelfCode: ie:{ fl:( br:> va:) ls:[ fo:) rl:( n4:# ss:) de:] js:| ch:{ sh:( mo:} zu:|
                      Das Motto des SELFForums ist das _self_made, also das selbermachen. Deshalb sollte man bevor man irgendetwas fragt, immer erst öffentliche Quellen zu Rate ziehen!
              2. 你好 Cyx23,

                Dann stelle es doch um: Extras - Einstellungen - Downloads - Jedes Mal
                nachfragen ...

                ja danke, aber mir ging es um die grundsätzliche Frage der Defaults,
                [...]

                Kamerad, wenn du mir nicht glaubst, dass das Default "immer nachfragen"
                ist, dann probiere es doch einfach aus. Ansonsten: aufhoeren zu poebeln.

                再见,
                克里斯蒂安

                --
                Auf der ganzen Welt gibt es nichts Weicheres und Schwaecheres als Wasser. Doch in der Art, wie es dem Harten zusetzt, kommt nichts ihm gleich.
                1. Hallo CK,

                  ja danke, aber mir ging es um die grundsätzliche Frage der Defaults,
                  [...]

                  Kamerad, wenn du mir nicht glaubst, dass das Default "immer nachfragen"
                  ist, dann probiere es doch einfach aus. Ansonsten: aufhoeren zu poebeln.

                  schon so früh oder noch so spät an der Kiste?

                  Der Default um den es da ging ist "Desktop", und der ist mir mehrfach
                  beim frisch installierten Firefox, zuletzt auf einem gerade
                  aufgesetzten XP, untergekommen (s.u. * ).

                  Dieser stellt m.E. wegen der möglichen schon ausgeführten Folgen ein
                  erhebliches Sicherheitsrisiko dar, egal ob mit oder ohne zusätzliche
                  Nachfrage bzw. gerne auch mit übersehener oder durch böse Seiten
                  irgendwie verdeckter oder sonstwie verDAUter Abfrage.

                  Der richtige Default wäre m.E. eine Abfrage wo bzw. wohin, oder aber
                  als Vorschlag das Verzeichnis "eigene Dateien", selbst wenn ich gerne
                  zur Kenntnis nehme dass der Desktop von Anwendern auch als
                  Download-Ort begrüßt wird.

                  (*) Das Ganze wird dadurch nicht sicherer das sich Firefox (default)
                  inkonsistent verhält abhängig davon ob nun der Download per rechte
                  Maustaste oder per Link gestartet wird.

                  Also nochmnal, der Downloadort "Desktop" stellt m.E. auch mit
                  zusätzlicher Abfrage ein Sicherheitsrisiko dar, und sollte nicht
                  vorbelegt sein, bei offenbar bestehender Nachfrage kann er ja gerne
                  bei den Einstellungen anklickbar sein, m.E. neben "Eigene Dateien",
                  dazu sollte sich Firefox beim Download erstmal konsistent verhalten.

                  Das Problem wird gerade dadurch besonders verschärft dass Firefox als
                  sicherer Browser empfohlen wird, der "Auslieferungszustand" aber,
                  auch mit dem RSS-Feed im Bookmark, nachlässig a la plug and pray ist.

                  Grüsse

                  Cyx23

                2. Tag Christian.

                  Kamerad, wenn du mir nicht glaubst, dass das Default "immer nachfragen" ist, dann probiere es doch einfach aus.

                  In meinem aktuellen Firefox 1.0.1 unter Win XP war die Default-Einstellung (also die nach Installation und vor manueller Konfiguration) "Alle Dateien in diesem Ordner abspeichern: Desktop". Ich habe sie dann umgestellt.

                  Siechfred

                  --
                  «Ich liebe euch doch alle!»
                  1. 你好 Siechfred,

                    Kamerad, wenn du mir nicht glaubst, dass das Default "immer nachfragen"
                    ist, dann probiere es doch einfach aus.

                    In meinem aktuellen Firefox 1.0.1 unter Win XP war die
                    Default-Einstellung (also die nach Installation und vor manueller
                    Konfiguration) "Alle Dateien in diesem Ordner abspeichern: Desktop". Ich
                    habe sie dann umgestellt.

                    Ja, das habe ich ja nicht bestritten. Aber trotz allem fragt der Firefox
                    immer nach, er laedt nichts einfach so herunter.

                    再见,
                    克里斯蒂安

                    --
                    Es ist uns nicht möglich, in einem Bereich unseres Lebens richtig zu verhalten, wenn wir in allen anderen falsch handeln. Das Leben ist ein unteilbares Ganzes.
      2. Hallo,

        Oder freut sich jemand wenn Downloads den Desktop zukleistern, soll es den Vorteil haben wiedergefunden zu werden?

        Ja, das sehe ich jedenfalls so. Ich lege Downloads auch prinzipiell erstmal auf dem Desktop ab. Da sehe ich sie sofort und vergesse daher nicht, dass ich mit der Datei noch irgendwas tun wollte (sie z.B. in ein bestimmtes Zielverzeichnis schieben).

        Dafür gibt es doch so etwas wie "Eigene Dateien", allerdings wohl nicht sprachübergreifend gleich bezeichnet.

        Stimmt. Außerdem finde ich den "Eigene Dateien"-Mechanismus von Windows derart lästig, dass ich seit Jahren versuche, dieses Verhalten auf das zurückzuführen, das vor der Einführung des IE4 mit seinen Shell-Erweiterungen üblich war. Da hatte jede Applikation ihr eigenes Basisverzeichnis, eine globale Einstellung wie "Eigene Dateien", die in 90% der Fälle nicht dem entspricht, was ich will, gab es damals nciht.

        Als Notlösung habe ich seither immer das Verzeichnis "Eigene Dateien" identisch mit dem Desktop gesetzt.

        So long & gute Nacht,

        Martin