Sicherheitsrisiko Mozilla/Firefox defaults
Cyx23
- browser
0 Christian Kruse0 Cyx230 Christian Kruse0 Der Martin
Hallo,
immer noch begünstigt Firefox durch seine Voreinstellungen das
Einnisten von schädlichen Programmen wie z.B. Dialern.
Das Rezept scheint bei etwas krimineller Energie einfach. Da gibt es
offenbar Dialerseiten die beim normalen Aufruf vmtl. korrekte Buttons
und rechtliche Hinweistexte zeigen, aber dann beim Besuch von anderen
Seiten kommend irgendwie auch mal ganz anders ausschauen, und bestimmt
gibt es noch zahlreiche andere mögliche Szenarien.
Jetzt ist ja beim Firefox unter Windows per default einfach der Desktop
als Download-Ort eingestellt, das funktioniert so unter Windows 98 wie
unter XP.
Wer nun nach der Installation des angeblich sichereren Firefox auf
einer entsprechend präparierten Seite einen Link anklickt o.ä. startet
womöglich völlig unbemerkt (Datei kann klein sein, zeitgleich sind
Verdeckungsaktionen, etwa auch schliessende Fenster usw., möglich)
einen Download und erhält als Ergebnis scheinbar eine Verküpfung auf
dem Desktop, das angezeigte Symbol dürfte dazu von einer gerade
gespeicherten exe-Datei beliebig bestimmbar sein.
Im worst case ist also der Download gar nicht bemerkt worden, das neue
Symbol auf dem Desktop wird womöglich nach dem nächsten Rechnerstart
neugierig ausprobiert oder tarnt sich gar durch ein gefaktes oder
genutztes Symbol einer anderen Anwendung.
Grüsse
Cyx23
你好 Cyx23,
Im worst case ist also der Download gar nicht bemerkt worden, das neue
Symbol auf dem Desktop wird womöglich nach dem nächsten Rechnerstart
neugierig ausprobiert oder tarnt sich gar durch ein gefaktes oder
genutztes Symbol einer anderen Anwendung.
In den Default-Einstellungen wird gefragt, was mit einer Datei unbekannten
(sprich: nicht durch Plugins definierten) MIME-Types passieren soll. Und
da fuehrt kein Weg dran vorbei; macht man den MIME-Type auf einen bekannten,
z. B. text/html oder so, dann wird die Datei auch nur im Browserfenster
angezeigt. An dieser Dialog-Box fuehrt kein Weg vorbei.
再见,
克里斯蒂安
Hi Christian,
..] angezeigt. An dieser Dialog-Box fuehrt kein Weg vorbei.
dann ist die Situation nicht ganz so fatal wie von mir befürchtet.
Nun habe ich aber einen Vorgang so ähnlich wie von mir geschildert
erlebt, d.h. m.E. auch dass die Dialog-Box -wenn sie nicht doch
u.U. ausbleibt- verhindert, gefaked oder sonstwie unbemerkt bestätigt
werden kann. Wahrscheinlich ist das Risiko geringer wenn Popups und
andere Fenstermanipulationen per Browseroption verhindert sind.
Ob, wie da eine Bestätigung erfolgt sein sollte kann ich nicht mehr
nachvollziehen, auch weil ich mich besonders darauf konzentriert
hatte wie die veränderte/versteckte Darstellung der Seite des
Dialeranbieters zustandegekommen ist.
Anders betrachtet, der User ist nicht verzichtbar, ungünstige
Browserdefaults aber sind unnötig.
Oder freut sich jemand wenn Downloads den Desktop zukleistern, soll
es den Vorteil haben wiedergefunden zu werden? Dafür gibt es doch so
etwas wie "Eigene Dateien", allerdings wohl nicht sprachübergreifend
gleich bezeichnet.
Grüsse
Cyx23
你好 Cyx23,
Nun habe ich aber einen Vorgang so ähnlich wie von mir geschildert
erlebt, d.h. m.E. auch dass die Dialog-Box -wenn sie nicht doch
u.U. ausbleibt- verhindert, gefaked oder sonstwie unbemerkt bestätigt
werden kann.
Nein, an dieser Dialogbox fuehrt einfach kein Weg vorbei, die _musst_ du
bestaetigen, bzw. nicht nur bestaetigen, sondern du musst auswaehlen, was
du tun willst.
Oder freut sich jemand wenn Downloads den Desktop zukleistern, soll
es den Vorteil haben wiedergefunden zu werden?
Ich fand dieses Verhalten immer sehr angenehm.
Dafür gibt es doch so etwas wie "Eigene Dateien", allerdings wohl nicht
sprachübergreifend gleich bezeichnet.
Dafuer gibt es eine Umgebungsvariable oder Registry-Setting, weiss nicht
mehr, ist lange her, das auf dieses Verzeichnis verweist.
再见,
克里斯蒂安
Hallo Christian,
Nein, an dieser Dialogbox fuehrt einfach kein Weg vorbei, die _musst_ du
bestaetigen, bzw. nicht nur bestaetigen, sondern du musst auswaehlen, was
du tun willst.
das habe ich anders in Erinnerung, nur habe ich jetzt keinen Ehrgeiz
mit dem frisch aufgesetzten und wohl nicht ordentlich gesichertem XP
auf die Suche nach Sicherheitsrisiken zu gehen.
Ist ja eine andere Situation, aber jetzt ist mir gerade aufgefallen
dass Firefox beim Download von *.jpg buggy ist, die Datei erst nicht
anzeigt und dann -ordentlich mit Zielverzeichnis usw.- zwar
speichert, aber das Ende des Download nicht bemerkt.
Ich fand dieses Verhalten immer sehr angenehm.
Da sehe ich immer noch das schon erwähnte Risiko von unbemerkt
angelegten Pseudolinks, und wahrscheinlich hätte ich lieber den
Desktop nicht als Ort oder Objekt, sondern als verlässliches Menu,
wobei mir da sowieso einiges an Ordnung fehlt, und vielleicht
mehrere Desktops parallel.
Grüsse
Cyx23
Tag Cyx23.
Eines vorweg: ich kenne das Problem mit dem Ablegen von heruntergeladenen Dateien auf dem Desktop, habe es aber bisher nicht als solches empfungen.
Da sehe ich immer noch das schon erwähnte Risiko von unbemerkt angelegten Pseudolinks, und wahrscheinlich hätte ich lieber den Desktop nicht als Ort oder Objekt, sondern als verlässliches Menu, wobei mir da sowieso einiges an Ordnung fehlt, und vielleicht mehrere Desktops parallel.
Dann stelle es doch um: Extras - Einstellungen - Downloads - Jedes Mal nachfragen ...
Siechfred
Hallo Siechfred,
Dann stelle es doch um: Extras - Einstellungen - Downloads - Jedes Mal nachfragen ...
ja danke, aber mir ging es um die grundsätzliche Frage der Defaults,
nicht unbedingt aus Prinzip (auch wenn ich nicht drauf gekommen wäre
dass das Ablegen auf dem Desktop gewünscht sein könnte) sondern wegen
des möglichen Sicherheitsrisikos, z.B. Firefox frisch installiert
und dann unbemerkte und später nicht identifizierte Downloadlinks oder
direkte Verküpfungen auf Dialer usw..
Besteht eigentlich die Initiative bzw. Sicher durch Netz irgendwie
noch, zuletzt war das Forum nicht mehr in Betrieb?
Grüsse
Cyx23
Tag Cyx23.
Besteht eigentlich die Initiative bzw. Sicher durch Netz irgendwie noch, zuletzt war das Forum nicht mehr in Betrieb?
Es ist zwar schade um die Arbeit, die viele sich gemacht haben, aber ich glaube, dass die Initiative im Sande verlaufen ist. Naja, vielleicht taucht «at» ja mal wieder auf, sodass man wenigstens die bisherigen Inhalte auf der Seite unterbringen kann.
Siechfred
Hallo Siechfred,
Es ist zwar schade um die Arbeit, die viele sich gemacht haben, aber ich glaube, dass die Initiative im Sande verlaufen ist.
ob vielleicht hier im Forum ein Themenbereich "Sicherheit" nützlich wäre?
Grüsse,
Kristof
Tag Kristof.
ob vielleicht hier im Forum ein Themenbereich "Sicherheit" nützlich wäre?
[x] dafür
Siechfred
Hi Siechfred,
ob vielleicht hier im Forum ein Themenbereich "Sicherheit" nützlich wäre?
[x] dafür
[x] gleichfalls ;-)
MfG, Dennis.
你好 Cyx23,
Dann stelle es doch um: Extras - Einstellungen - Downloads - Jedes Mal
nachfragen ...ja danke, aber mir ging es um die grundsätzliche Frage der Defaults,
[...]
Kamerad, wenn du mir nicht glaubst, dass das Default "immer nachfragen"
ist, dann probiere es doch einfach aus. Ansonsten: aufhoeren zu poebeln.
再见,
克里斯蒂安
Hallo CK,
ja danke, aber mir ging es um die grundsätzliche Frage der Defaults,
[...]Kamerad, wenn du mir nicht glaubst, dass das Default "immer nachfragen"
ist, dann probiere es doch einfach aus. Ansonsten: aufhoeren zu poebeln.
schon so früh oder noch so spät an der Kiste?
Der Default um den es da ging ist "Desktop", und der ist mir mehrfach
beim frisch installierten Firefox, zuletzt auf einem gerade
aufgesetzten XP, untergekommen (s.u. * ).
Dieser stellt m.E. wegen der möglichen schon ausgeführten Folgen ein
erhebliches Sicherheitsrisiko dar, egal ob mit oder ohne zusätzliche
Nachfrage bzw. gerne auch mit übersehener oder durch böse Seiten
irgendwie verdeckter oder sonstwie verDAUter Abfrage.
Der richtige Default wäre m.E. eine Abfrage wo bzw. wohin, oder aber
als Vorschlag das Verzeichnis "eigene Dateien", selbst wenn ich gerne
zur Kenntnis nehme dass der Desktop von Anwendern auch als
Download-Ort begrüßt wird.
(*) Das Ganze wird dadurch nicht sicherer das sich Firefox (default)
inkonsistent verhält abhängig davon ob nun der Download per rechte
Maustaste oder per Link gestartet wird.
Also nochmnal, der Downloadort "Desktop" stellt m.E. auch mit
zusätzlicher Abfrage ein Sicherheitsrisiko dar, und sollte nicht
vorbelegt sein, bei offenbar bestehender Nachfrage kann er ja gerne
bei den Einstellungen anklickbar sein, m.E. neben "Eigene Dateien",
dazu sollte sich Firefox beim Download erstmal konsistent verhalten.
Das Problem wird gerade dadurch besonders verschärft dass Firefox als
sicherer Browser empfohlen wird, der "Auslieferungszustand" aber,
auch mit dem RSS-Feed im Bookmark, nachlässig a la plug and pray ist.
Grüsse
Cyx23
Tag Christian.
Kamerad, wenn du mir nicht glaubst, dass das Default "immer nachfragen" ist, dann probiere es doch einfach aus.
In meinem aktuellen Firefox 1.0.1 unter Win XP war die Default-Einstellung (also die nach Installation und vor manueller Konfiguration) "Alle Dateien in diesem Ordner abspeichern: Desktop". Ich habe sie dann umgestellt.
Siechfred
你好 Siechfred,
Kamerad, wenn du mir nicht glaubst, dass das Default "immer nachfragen"
ist, dann probiere es doch einfach aus.In meinem aktuellen Firefox 1.0.1 unter Win XP war die
Default-Einstellung (also die nach Installation und vor manueller
Konfiguration) "Alle Dateien in diesem Ordner abspeichern: Desktop". Ich
habe sie dann umgestellt.
Ja, das habe ich ja nicht bestritten. Aber trotz allem fragt der Firefox
immer nach, er laedt nichts einfach so herunter.
再见,
克里斯蒂安
Hallo,
Oder freut sich jemand wenn Downloads den Desktop zukleistern, soll es den Vorteil haben wiedergefunden zu werden?
Ja, das sehe ich jedenfalls so. Ich lege Downloads auch prinzipiell erstmal auf dem Desktop ab. Da sehe ich sie sofort und vergesse daher nicht, dass ich mit der Datei noch irgendwas tun wollte (sie z.B. in ein bestimmtes Zielverzeichnis schieben).
Dafür gibt es doch so etwas wie "Eigene Dateien", allerdings wohl nicht sprachübergreifend gleich bezeichnet.
Stimmt. Außerdem finde ich den "Eigene Dateien"-Mechanismus von Windows derart lästig, dass ich seit Jahren versuche, dieses Verhalten auf das zurückzuführen, das vor der Einführung des IE4 mit seinen Shell-Erweiterungen üblich war. Da hatte jede Applikation ihr eigenes Basisverzeichnis, eine globale Einstellung wie "Eigene Dateien", die in 90% der Fälle nicht dem entspricht, was ich will, gab es damals nciht.
Als Notlösung habe ich seither immer das Verzeichnis "Eigene Dateien" identisch mit dem Desktop gesetzt.
So long & gute Nacht,
Martin