Ich gebs auf…
Wie gesagt, ich bin immer noch auf O97 - und jetzt hab ich
sogar erstklassige Argumente gegen ein Upgrade . . .
Nein hast du nicht, weil du die ActiveX Komponente erstens gar nicht installieren musst und zweitens im Browser auch deaktivieren kannst.
Open Office baut jetzt also nicht nur die Funktionen, sondern
auch die Sicherheitsmängel von Microsoft nach?
Was zum Teufel hat ActiveX in einer
Textverarbeitung oder Tabellenkalkulation zu suchen?
Gar nichts. Das ActiveX-Ding ist einfach nur ein Container, um OpenOffice in ein beliebiges Windows-Programm einzubetten. Ein Browser ist hier nur ein mögliches Ziel. Auch hat das Problem doch überhaupt nichts mit ActiveX zu tun, sondern es geht um Sicherheitslücken in einem Office-Programm (nicht um welche in ActiveX). Die Sicherheitslücken hat das Programm auch, wenn du eine manipulierte Datei einfach so öffnest.
Okay, da hast du natürlich recht.
Ich selber (und jeder meiner Freunde oder andere, die was
davon verstehen) würden solch ein Video sofort löschen. Ich
hab meine Standard-Codecs, alles was darauf nicht läuft ist
Abfall.
a) Auch deine „Standard-Codecs“ haben Sicherheitslücken
b) Das Beispiel mit dem Nachinstallieren von Codecs war nur ein Beispiel. Genauso kann ich unten in den Tray das Windows-Update Symbol einblenden und behaupten es sind neue Updates da. Ein Klick bringt dann ein 1:1 nachgebautes Windows-Update Fenster hervor, das dann die erhöhten Rechte benötigt. Genauso kann ich in deinem Startmenü einfach einen bestimmten Eintrag zu einem Programm ersetzen, welches Admin-Rechte erfordern würde. Beim nächsten Start des Programms erscheint dann ganz normal der Dialog zu Authentifizierung und den wirst auch du bestätigten. Der Phantasie sind hier keine Grenzen gesetzt.
Wie auch immer: ich halte dies nicht für einen
Sicherheitsmangel der Software, sondern des Systems - und das
hab ich von Anfang an ausdrücklich ausgenommen.
Das liegt nicht am System, das ist in jedem System so. In einem Linux-System funktioniert das genauso wie unter MacOSX oder sonstwo. Nochmal: Auch eine Schadsoftware unter Benutzerrechten ist eine ernsthafte Bedrohung.
Ich hab’s einmal (zugegeben vor ewigen Zeiten) bei Outlook
erlebt. Sicher war der Fehler nach zwei Tagen durch einen
weiteren Patch behoben,
Also, ich rekapituliere mal:
Weil du 1x vor Urzeiten zwei Tage einen fehlerhaften Outlook-Patch hattest, willst du jahrelang mit veralteter und sicherheitsgefährdender Software arbeiten? Und das empfiehlst du hier auch noch ernsthaft anderen Leuten?
aber in einer Firma, die mit email
arbeiten muss, sind diese zwei Tage eine halbe Katastrophe.
In einer Firma sollten Patches vom Administrator ohnehin erstmal getestet werden, z.B. auf einem speziellen PC oder in einer virtuellen Maschine. Weisen sie keine Fehler auf, kann er die Patches auch auf den Produktiv-Systemen einspielen.
Oder erachtest du es für besser, wenn stattdessen ein Virus mittels einer Spam-Mail einfach mal so dann eventuell die komplette Firma außer Gefecht setzt? Aus so Dingen wie dem Desaster um den Conficker-Wurm scheinst du nicht viel gelernt zu haben.
Seither bin ich a) mit Patches (außer System) vorsichtiger
geworden und benutze b) wo immer möglich keine Software vom M$
mehr.
Weder das eine noch das andere machen leider einen Sinn.
Ich will es mal so formulieren:
Software, die mit Daten aus dem Web arbeiten, sollte sich
selber updaten. Email-Client und Browser. Genauso wie das
System.
Das sind dann:
Browser, Mail-Client, Instant Messenger alá ICQ/Skype, Runtime-Environments, Zip-Programme, Office-Programme, Bildbetrachter, Flash-Plugin, PDF Reader, alle Mediaplayer, Firewalls, Virenscanner, Text-Editoren, P2P-Programme, usw usf…
Das sind dann bei mir z.B. alleine 24 Programme und ich habe sicher noch einige vergessen.
Firefox,
Internet Explorer,
Opera,
Thunderbird,
Skype,
ICQ,
Java,
.Net,
7-zip,
OpenOffice,
XnView,
IrfanView,
Adobe Flashplayer,
Adobe Reader,
Ghostview,
VLC,
iTunes,
Quicktime,
Realplayer,
Avira,
Notepad++,
Google Earth,
Vuze,
Das sind alles gängige Programme, die sich so oder so ähnlich auf den meisten Rechnern finden lassen und damit auch angegriffen werden, wenn es dafür Exploits gibt. Sollen dann für alle 24 Programme im Hintergrund Update-Tools laufen?
Diese Arbeit dem User aufzuhalsen wird nicht funktionieren.
Diese Arbeit muss der Benutzer - bzw in einer Firma der Admin - machen. Daran führt derzeit kein Weg vorbei.
Also ich bin a) vollkommen normal
Nein, das bist du nicht. Wirklicht nicht.
Aha, und warum bin ich nicht normal?
Normale User sind meine Mutter, Opa Müller von neben an und
Klein-Fritzchen, der sich AutoCad installiert, um damit seinen
Hamsterkäfig zu designen.
Ja und? Installier deiner Mutter doch einfach Secunia PSI oder ein ähnliches Tool, dann kriegt sie zumindest mit, wenn sie unsicher unterwegs ist.
Ich hab weiss der Teufel wie viele
Wochen damit verbracht, denen beizubringen, das man nicht als
Administartor arbeitet. Und die sollen jetzt die gesammte
Software aktuell halten?
Sollen sie besser mit lauter Sicherheitslücken im Web rumrennen?
Nur zur Erinnerung: Weiter oben hast du denen unterstellt, das
die noch nicht mal wüssten, was Makros sind (womit du
wahrscheinlich sogar Recht hast).
Ja und? Umso wichtiger ist es ja, dass sie Updates einspielen. Dazu gehört nun nicht viel Wissen, wenn einem ein Tool wie Secunia PSI ohnehin alles sagt. Dann musst du nur noch den Download-Button drücken, die Setup.exe starten, ein paar mal auf next/next klicken und fertig. Das kriegt auch ein unbedarfter User zusammen.
Dieses Programm kannte ich vor einer Woche noch nicht mal.
Woher soll Opa Müller/Mama etc. das kennen?
Deshalb sage ich dir es ja.
Mal ganz davon abgesehen: Was macht dich so sicher, das diese
Software jede Lücke und jedes Programm kennt?
Weil Secunia zusammen mit SecurityFocus (BugTraq) DIE Anlaufstelle für Security Advisiories im Netz ist. Wenn es eine bekannte Lücke gibt, dann kennt die Secunia auch. Gegen Zero-Day Exploits nützt das natürlich auch nichts, aber einen wertvollen Zero-Day Exploit wird auch keiner nutzen, um auf den Rechner von Tante Erna zu kommen.
In Anbetracht der Vielzahl der denkbaren Programme fällt mir das
schwer zu glauben.
Dir fiel es auch schwer zu glauben, dass Office-Programme ein Browser-Plugin besitzen…
Und grundsätzlich: du legst damit die Sicherheit deiner
Software in die Hände eines dir völig unbekannten
Programmierers (denn von dieser Firma hab ich vorher nie etwas
gehört und OpenSource scheint es ja auch nicht zu sein)
Ja, genau wie ich meine Sicherheit in die Hände von Ubuntu/Debian lege, dass die z.B. alle Sicherheitslücken für alle Programme in ihren Repositories (immerhin auch mehrere tausend) patchen. Und die müssen nicht nur die Security Advisories kennen (wie Secunia) sondern die müssen die Software auch noch fixen oder zumindest eine neue Version kompilieren, testen usw.
lässt sich das mit deinem Sicherheitsbedürfnis in Deckung
bringen?
Weil ich Secunia vertraue. Genau wie ich Ubuntu vertraue. Sicherheit lebt von Vertrauen.
Meiner Meinung nach sollten sich Programme auf Ihre Arbeit
konzentrieren - für die Sicherheit muss das Betriebssystem
zuständig sein.
Ja, das mag natürlich das Optimum sein, allerdings gibts das nur im Takatuka-Land. Derzeitige Betriebssysteme können das nicht.
Doch.
Ein sauber eingerichtetes und aktuelles Windows ab 2000 mit
strikter Trennung zwischen Benutzer und Admin halte ich für
sicher.
Nein, das ist doch purer Unsinn. Inwiefern soll Windows 2000 denn bitte für die Sicherheit deines Systems sorgen, wenn die Software ausgeführte Software fehlerhaft ist??
Zumindest haben meine User seither keinen Wurm oder Virus mehr
eingeschleust bekommen - vorher, zu Win9x-Zeiten haben die das
ohne Probleme wöchentlich geschafft. Trotz aktuellen
Virenscannern!
Das liegt aber mit Sicherheit nicht an Windows 2000.
Nein, das funktioniert nicht einfach nur, in dem man als Benutzer arbeitet, weil auch ein unter Benutzer-Rechten ausgeführtes Programm ein Sicherheitsrisiko ist und sich dann lokal erhöhte Rechte verschaffen kann.
Nein. Bei einem aktuellen und sauberen System kann es das nicht.
Du, ich hab ehrlich gesagt keine Lust dir alles tausend mal zu erklären, und du kommst dann wieder mit der gleichen haltlosen Unsinns-Behauptung daher.
Microsoft (und die werdens ja wohl besser wissen als du) schreibt:
For the Windows user interface, the desktop is the security boundary.
Quelle: http://support.microsoft.com/?scid=kb%3Ben-us%3B3276…
Mit anderen Worten: Wenn ein Schadprogramm auch mit normalen Rechten läuft, dann kann es anzeigen was es will. Es kann Fenster ausblenden, es kann Buttons klicken usw usf… genau wie du. Und damit kann es auch nach Belieben den Benutzer dazu bringen, dass es ihm erhöhte Rechte verschafft.
Und natürlich hast du und alle deine Bekannten längst die Patches für die 7 Tage alte Lücke in Windows 2000 eingespielt, die einer Software auch ohne dein Zutun erhöhte Rechte verschafft:
http://secunia.com/advisories/37001/
Und genauso hast du hoffentlich diese ebenfalls erst 7 Tage alten Patches für diese extrem kritischen Lücken in Windows 2000 installiert, die bereits aktiv ausgenutzt werden und dies remote und ohne dein Zutun möglich ist:
http://secunia.com/advisories/36997/
http://secunia.com/advisories/37000/
http://secunia.com/advisories/36938/
Wenn das so einfach wäre, dann wäre jede einzelne Windowse da
draussen völlig verseucht.
Die meisten Windowse oder zumindest ein sehr großer Teil da draußen SIND verseucht mit irgendwas. Bei jedem 2. PC den du genauer untersuchst, wirst du irgendwie geartete Schadprogramme finden. Oder woher glaubst du kommt der ganze SPAM, die ganzen DoS Attacken? Die kommen von verseuchten Windows-Systemen.
Doch, selbst verständlich.
Aber wenn ein Programm die Darstellungsroutinen des IE zum
Anzeigen von Bildern verwendet und dabei durch eine
Sicherheitlücke Code injiziert werden kann, dann ist das ein
Problem der Firma Microsoft, weil Teil des Betriebssystems.
Quatsch. Die Lücke ist in der Software z.B. OpenOffice enthalten - vollkommen egal ob die grad im IE eingebettet wird oder nicht.
Wenn der MediaPlayer bei eingebetteten Videos auf Webseiten
bei einem unbekannten Codec auf einmal Schadcode nachlädt,
dann ist das ein Problem von M$, weil Teil des
Betriebssystems.
Und wenn das gleiche beim VLC passiert, dann ist das auch Microsofts Problem? Oder im Adobe Reader? Oder in Skype? Also die anderen machen Fehler, und Microsoft soll dafür gerade stehen? Lächerlich…
Und wenn ActiveX (in einer Textverarbeitung - da komm ich
nicht drüber weg . . ) in Office (egal, welchem) Probleme
macht, dann ist das ein Problem von M$ - denn das sind alles
Systembestandteile!
Das Problem liegt - zum Xten mal - nicht bei ActiveX sondern IN DER EINGEBETTETEN APPLIKATION. Das Ding ist als Firefox Plugin ganz ohne ActiveX genauso verwundbar.
Und wenn das Progamm seinen zugesicherten Speicher verlässt
und woanders hinschreibt, muss es vom System zwangsbeendet
werden, wenn nicht . . . M$.
Das lässt aber die Prozessor-Architektur gar nicht zu… mein Gott. Es gibt dutzende Versuche auf x86 Systemen um Buffer Overruns in den Griff zu kriegen. Keines davon funktioniert zuverlässig und Microsoft hat daran sicher keine Schuld. Buffer Overruns funktionierten auf Linux oder MacOSX übrigens genauso. Und das kommt nicht von „M$“.
Und wer auf einem sauberen, aktuellen System nur als Benutzer
arbeitet, dem kann das am A**** vorbei gehen. Denn dann kann
sich ein nachgeladener Virus mangels Rechten nicht ins System
einklinken.
Ich habe dir jetzt 1000x versucht zu erklären, dass dies eben nicht stimmt. Durch manipulierte Verknüpfungen auf Desktop/Startmenü oder durch gefakte Tray-Icons kann ein Programm auch so an erhöhte Rechte kommen.
Du kannst es drehen und wenden, wie du willst: letzlich kannst
du o gut wie immer 98% aller Probleme auf das System
zurückführen.
Das ist hanebüchener Unsinn. Auch ein Schadprogramm mit Benutzerrechten ist bedrohlich. Merke: Das Ding hat die gleichen Rechte wie du. Es ist für ein Schadprogramm absolut kein Problem eiN Firefox Addon heimlich zu installieren, dass einfach alle Passwort-Felder von dir ausliest und diese ins Internet an Herrchen sendet. Dazu braucht es keine erhöhten Rechte.
Und zum Schluß komm ich mal wieder auf deine eindruckvolle
Liste der neuen Funktionen von IrfanView zurück. Ja, da sind
viele tolle und eindrucksvolle Sachen bei. Hand auf’s Herz:
brauchst du die?
Drucken? Slideshow? Verlustlose JPEG-Rotation? Transparente PNGs? Deutscher Sprach-Support? Nein, das braucht kein Mensch… *boink*
Aber wenn nein, dann hätte man doch auch bei der
(wahrscheinlich) Fehlerfreien letzen 3.xx Version bleiben
können. Denn nach meiner Erfahrung werden Progamme mit der
Zeit/den Patches immer fehlerfreier.
ES GIBT KEINE FEHLERHAFTE 3.xx VERSION!!
Die sind ALLE verwundbar. Wie schwer ist das zu kapieren. Wenn du ein nicht verwundbares IrfanView haben willst, dann gibt es jetzt nur EINE einzige Version: 4.25
PS: mit letzterem meine ich Graphik, Office, Video, Musik und
sonne Software. System, Browser, Email-Client, eigentlich
alles, was laufend ins Web ist davon ausdrücklich ausgenommen,
das muss man natürlich aktuell halten.
Genau das Gegenteil hast du vorher behauptet.
Und wenn eine Firma es schafft, bei einer simplen
Anzeige-Software (Acrobat Reader) Sicherheitslücken einzubauen
. . . nun, vieleicht sollte man dann mal nach Alternativen
Ausschau halten. Die gibt es.
Lol. Ich glaube du hast keine Ahnung was PDF für ein komplexes Format ist und du hast nochmal keine Ahnung von Software-Sicherheit. Es gibt keine faktisch keine fehlerfreie Software und es gibt auch keine Alternative zum Adobe Reader die fehlerfrei ist.
Die brauchbarste Alternative ist der Foxit Reader und die hat genauso Sicherheitslücken. Und lustigerweise ist die sogar derzeit besonders verwundbar - es gibt nämlich seit 5 Tagen eine ungepatchte kritische Lücke, so dass mit dieser Adobe Reader Alternative derzeit ein Besuch einer manipulierten Webseite schon ausreicht um sich Malware einzufangen:
http://secunia.com/advisories/product/20648/
So, und von meiner Seite aus ist hiermit Schluss.
Ich bin es leid dir alles 1000x zu erklären, dir deine Behauptungen belegbar zu widerlegen und dann kommst du in der nächsten Antwort wieder mit dem gleichen Unsinn. Dass du keine Ahnung von IT-Sicherheit hast, hast du mir eindrucksvoll bewiesen und zumindest das hat etwas gutes: Es erlaubt mir - und vielleicht anderen hier - die Aussagekraft deiner künftigen Antworten besser zu beurteilen.
