Zone Alarm Meldung

Hallo,

Zufrieden, weil das Programm erfolgreich simuliert, was es zu
tun vorgibt? Weil es immer bei bösen Dingen geblinkt hat?

zum Teil tut es (überprüfbar) genau das, was es soll:
Banner, Cookies, JavaScript und -Applets, Datenversand und -empfang diverser Programme blockieren

zum Teil gibt es vor etwas zu tun, was ich nicht überprüfen kann:
Sicherheit gegen Angriffe bieten

Da es den ersten Part zuverlässig erledigt, nehme ich einfach an, dass es beim zweiten nicht völlig versagt. Zumal es nicht irgendwie durch blinkende Stopp-Schilder nervt.

Wie soll ein Laie denn entscheiden, welche Software auf seinen
Rechner darf und welche nicht?

Vertrauenssache? Der Hersteller gibt Garantien? Die Software
wurde von unabhängigen Experten durchleuchtet?

Vertrauenssache - Wem sollte man denn vertrauen?
tatsächliche Hersteller-Garantien - Wo gibt es das denn?
unabhängige Experten - kenne ich leider nicht

Tja. Sicherheit und „mal das eine oder andere Programm“ kann
man sich abschminken. So einfach ist das.

Welche Programme für den simpel gestrickten Windows-Benutzer sind es denn, die deinem strengen Blick standhalten?

Oder ist dies den Spezis, die auch
den dahinterstehenden Code verstehen, vorbehalten?

Zweite Festplatte kaufen, zweitsystem zum Basteln starten.

Gute Idee, bei Gelegenheit lade ich dich mal zum AtGuard-Hacken ein. Wäre interessant…

Daß keine Lücke gefunden wurde ist ein schwaches Indiz und
keinesfalls ein Beweis für irgendwas.

Wie war das da oben? „unabhängige Experten…“

Ein Blutdruckgerät in der Hand eines Idioten nützt nichts. Der
stellt sich ans Ziel des 200-Meter Laufes und macht eine
Personal Blutdruck-Check, stellt Wetre fest, die zu hoch sind
und verschreibt allen ankommenden massenweise
Blutdrucksenkende Medikamente. Der (kostenpflichtige)
PersonalBlutdruck-CheckPro beinhaltet noch eine Herzoperation.

Se*lustigevergleiche*bastian schlägt ja mal wieder zu…
Abgesehen davon passt es nicht ganz, da ich ja nichts potentiell Schädliches (Blutdruck senkende Medikamente, Herzoperation) erleide.

Sollen alle diese Leute lieber Ihren
Internet-Zugang wieder abgeben und sich auf Standardsachen wie
Word-Briefschreiben und Word-Brief-Ausdrucken und MS
Solitär-spielen beschränken?

Ja. Bitte.

und im Netz tummeln sich nur noch die Fachidioten, ist bestimmt sehr lustig

Ansonsten vertrauen, daß die Programme das tun, was der
Hersteller behauptet und auch nicht heimlich GUIDs und
Schuhgröße übermittelt.

eben, ich vertraue bis zum Gegenbeweis z.B. AtGuard

Microsoft würde ich da nicht trauen, BTW.

daran kommt der Normalo leider wohl noch schlecht vorbei…

definiere „einfacheres System“

Wenig Code, wenig Funktionen.

ist wohl heutzutage unrealistisch

Sendmail vs. qmail
Bind vs. djbdbs
wu-ftpd vs publicfile.

kenne ich alles höchstens vom Hören-Sagen aus Gesprächen unserer Programmierer…

PS: Ich lese deine Ausführungen (auch wenn sie einen leichten
Hauch von Elitärem und Überheblichkeit haben) übrigens mit
Genuss.

Nur ein Hauch?! Ist wohl nicht mein Tag heute.

na gut, ich erhöhe auf Sturmwind

Sebastian

Salzmann

zum Teil tut es (überprüfbar) genau das, was es soll:
Banner, Cookies,

Junkbuster

JavaScript und -Applets,

Browser konfigurieren

Datenversand und
-empfang diverser Programme blockieren

„Diverse Programme“ deinstallieren

Da es den ersten Part zuverlässig erledigt, nehme ich einfach
an, dass es beim zweiten nicht völlig versagt. Zumal es nicht
irgendwie durch blinkende Stopp-Schilder nervt.

Wie tut es das denn, das „vor Angriffen warnen“. Trojaner, auf die man zugreifen kann, werden ja von dem Zauberprogramm schon beim Download vaporisiert.

Wie soll ein Laie denn entscheiden, welche Software auf seinen
Rechner darf und welche nicht?

Vertrauenssache? Der Hersteller gibt Garantien? Die Software
wurde von unabhängigen Experten durchleuchtet?

Vertrauenssache - Wem sollte man denn vertrauen?

Wenn ich Sicherheit haben will, vertraue ich keinem Hersteller.

tatsächliche Hersteller-Garantien - Wo gibt es das denn?

Nicht bei Microsoft AFAIK. Im professionellen Umfeld gibt es soetwas dennoch.

unabhängige Experten - kenne ich leider nicht

Informieren? Nein, für achtmarkfuffzig gibts die nicht am Nachmittag.

Tja. Sicherheit und „mal das eine oder andere Programm“ kann
man sich abschminken. So einfach ist das.

Welche Programme für den simpel gestrickten Windows-Benutzer
sind es denn, die deinem strengen Blick standhalten?

Mir fallen keine ein. Was aber auch daran liegen könnte, daß ich kaum noch Windows-Programme kenne und mir das Betriebssystem mit jedem release suspekter wird.

Oder ist dies den Spezis, die auch
den dahinterstehenden Code verstehen, vorbehalten?

Zweite Festplatte kaufen, zweitsystem zum Basteln starten.

Gute Idee, bei Gelegenheit lade ich dich mal zum
AtGuard-Hacken ein. Wäre interessant…

Wie meinen?

Daß keine Lücke gefunden wurde ist ein schwaches Indiz und
keinesfalls ein Beweis für irgendwas.

Wie war das da oben? „unabhängige Experten…“

„Unabhängige Experten“ setzte ich ein, um Software zu untersuchen, die untersuchbar ist. Bei fertig kompiliertem Binärmüll entfällt diese Möglichkeit in der Praxis. Man kann deshalb nur versuchen zu beschreiben, was die Software in der Situation X macht. Man kann es nicht vorhersehen, was man bei dem Vorhandensein von Quellcode und einem deterministischen System könnte.

Abgesehen davon passt es nicht ganz, da ich ja nichts
potentiell Schädliches (Blutdruck senkende Medikamente,
Herzoperation) erleide.

PersonalFirewall installiert, ScriptKiddi scannt wild rum, Firewall schlägt alerm, tut sonswas, schrebt Logdateien, beschäftigt den Rechner bis zum Absturz. Was? Der Text war noch nicht gespeichert? Do it again, Sam.

Ich finde das schon potenziell schädlich. Ich habe auch noch so eine nette Zip-datei, die entpackt mehrere terabyte groß sein soll. Da kann man Virenscanner prima dran verrecken lassen…

Ja. Bitte.

und im Netz tummeln sich nur noch die Fachidioten, ist
bestimmt sehr lustig

Nein. Meine Eltern tummeln sich auch im netz. Die haben ihre Linux-Kiste von mir hingestellt bekommen und kennen das root-Passwort nicht. Klar, man kann immernoch die Datei mit den eigenen Konto-PINs an sämtliche Bekannten versenden, aber esrmal ist das System idiotensicher und dennoch Internettauglich.

Ansonsten vertrauen, daß die Programme das tun, was der
Hersteller behauptet und auch nicht heimlich GUIDs und
Schuhgröße übermittelt.

eben, ich vertraue bis zum Gegenbeweis z.B. AtGuard

„Ich habe der italienischen Mafia schon 5000 DM gegeben, daß sie meine gekidnappte kleine Schwester nicht vergewaltigen. Aber ich traue ihnen nicht, deshalb bekommt die Russen-Mafia[1] 10000 DM, daß sie sie von der Camorra befreien“

Microsoft würde ich da nicht trauen, BTW.

daran kommt der Normalo leider wohl noch schlecht vorbei…

Was tut der „Normalo“, daß er das nicht könnte?

definiere „einfacheres System“

Wenig Code, wenig Funktionen.

ist wohl heutzutage unrealistisch

Warum? Wieviele Funktionen von Word nutzt „man“ so? Und Excel? Ist das nicht das Programm, wo man die Kästchen nicht erst umständlich über die Funktion „Tabelle“ erstellen muß?

Nur ein Hauch?! Ist wohl nicht mein Tag heute.

na gut, ich erhöhe auf Sturmwind

Geh Spielen.

Sebastian

[1] Nein. Kein BILD-Leser

Allerdings brauchst Du für diese Funktionen keine Firewall.
Das geht auch mit anderen Tools.

Für einen guten Vorschlag bin ich hier dankbar.
Der Firewall-Teil von AtGuard läßt sich nach meiner Erfahrung
gut durch die Tiny Personal Firewall ersetzen.

Was genau macht das Konzept von TF gegnüber AG so überlegen. Wie stehst Du zu der Empfehlung auf dem neuen Windows ME?

Wie steht es aber mit dem Filtern von Popup-Fenstern bzw.
JavaScript im allgemeinen, Werbebannern oder Cookies?

Junkbuster. Open Source.

Der Siemens Webwasher läßt sich hier nicht detailliert genug
konfigurieren.

Kenne ich zugegebermassen nicht, ich surfe mit voller Webedröhnung, außer unter lynx.

Gegenfrage: Was ist denn eigentlich so immens dramatisch
daran, wenn denn mal eine Software ‚nach Hause telefoniert‘?
Ich denke, da wird in letzter Zeit auch etwas arg viel Wirbel
gemacht.

Nein. Programme, die heimlich irgendwas übermitteln will ich nicht. Ich sehe ein recht auf (teil)anonyme Kommunikation. Wenn ich Daten übermittele, dann bitte transparent und mit meiner Zustimmung.

Mit ZoneAlarm scheint der Rechner nicht verwundbarer als ohne.

Scheint.

Wir können es auch gerne einen „Anscheinsbeweis“ nennen - bis
jemand ein treffendes Gegenbeispiel genannt hat.

Risikokompensation. Die Fragen, die hier gelegentlich auftauchen zeugen davon. Ansonste finde ich einen Anscheinsbeweis eins schwache Lösung, wenns auch anders geht.

Über irgendeinen Port von außen ist das sicherlich schwer bis
unmöglich. Jemandem einen Trojaner unterzuschieben ist schon
wesentlich einfacher.

Weil bestimmte Firemen ihre Software in grottenschlechter Vorkonfiguration in die Welt schmeissen? Weil der Laie erzählz bekommt, daß man für einen Computer keinen Mausführerschein braucht - geschweige denn ein Hirn.

Ein wenig Know-How vorausgesetzt, wird auch ein Virenscanner
hier schnell nutzlos.

Eben. Virenscanner ind nutzlos wie Personal Firewalls. Auch wenn sie genügend abgehangene Viren tatsächlich mal erkennen.

Noch ein wenig Fleiß vorausgesetzt und eine dedizierte
Firewall wird ebenso nutzlos, weil man ohne weiteres davon
ausgehen kann, daß outbound http möglich ist. Auf diesem Wege
verlassen dann beliebige Daten unbemerkt den Rechner des
Opfers.

Eben. Es kommt darauf an, was für Schrottprogramme im Netz installiert werden dürfen. Eine Firewall gegen Trotteligkeit und Böswilligkeit der User ist eine sehr suboptimale Geschichte.

Eine Personal Firewall bietet hier differenziertere Regeln: So
darf das eMail-Programm beispielsweise keine http-Verbindung
zum Webserver des Herstellers aufbauen,

Wozu auch? Per MSAPI (oder wie heißt das Ding nun) kann jedes Programm das Mailprogramm dazu zu bringen, eine Mailnachricht zu senden. Die Programme sind das problem, nicht bestimmte offene Ports.

ein Web-Browser
hingegen darf http freizügiger nutzen.

Ich vermute, es ist trivial, ein Programm zu schreiben, was den IE mit einer URL wie http://pöse-puben.hk/makemoneyfast?Kontonummer&amp:stuck_out_tongue_winking_eye:IN zu staerten. Wenn es vorher die Kontonummer und Pin aus Deinem Homebanking-Programm ausgelesen hat, ist sie nun auch in Fernost. Und die Firewall fand es schon ok, daß der IE auch mal ins Internet will.

Angriffe von innen abzuwehren ist mit einer Firewall kaum
möglich. Mit einer dedizierten noch weniger als mit einer
Personal Firewall.

*Zustimm*

Schick dem Opfer eine eMail mit Anhang (nein, es muß kein
verdächtiges *.exe sein) oder laß ihm sonst irgendwie Software
zukommen. Problem gelöst.

Eben. Es gibt keine einfachen Lösungen. Auch wenn die Marketing-Abteilungen das nicht wahr haben wollen. Weder mit Personal Firewalls noch mit Virenscannern.

Sebastian

An dieser Stelle muss ich auch mal meinen Senf dazugeben.

na dann mischen wir das mal zusammen und sehen, was das wird

Scharf. :-·

Aber: Bleibt mein gutes Gefühl, dass ich trotz allem evtl.
sicherer fahre als ohne. Und ich finde es gut, Kontrolle
darüber zu haben, was nach oder von außen „Kontakt aufnehmen“
möchte.

Du solltest ein Mikrofon in den Wind halten und mit einer Antenne ins Weltall lauschen. Auch dort bekommst Du garantiert sinnfreien Müll.

Schließlich verwaltet man an seinem Rechner heute ja (z.T.
sehr) persönliche Daten. Und da ist die Frage nach der
informationellen Selbstbestimmung schon nicht einfach nur
„Wirbel“…

Da kann ich Dir nur voll zustimmen.

„ziemlich“ und „ohne weiteres“ - was hinter diesen Worten
steckt, ist eben für Nicht-Fachleute unklar. Deswegen
vielleicht die Verwendung von Systemen, die (wenn auch nicht
zu 100% und ohne Gewähr) Abhilfe versprechen.

Ziemlich und ohne weiteres bedeutet, daß das System sehr sicher ist. Das kann ich auch als Windows-Hasser so unterstützen. Mit Firewalls bekommt man es nicht sicherer, man hat allerdings das wohliege Gefühl, wichtig zu sein, weil man ja gelegentlich gehackt wird.

siehe oben. Wer wegen der Meldungen in Panik verfällt, der ist
vielleicht wirklich nicht der geeignete Anwender solcher
Systeme.

Und wer sich wundert, warum Programm X nicht mehr funktionuiert wohl auch…

[Regeln, was nach innen und nach außen darf]

Auf eine (sicher bescheidene und unvollkommene) Weise macht
man das ja auch mit AtGuard.

Klar… Und der Hase auf der Landstraße tut das auch.

Ein Auto weicht nach rechts aus, das andere in den linken Graben. Das schnelle Auto macht den Hasen dann zu Brei.

Ich soll alle Programme ohne
Sorgen nutzen, die ich mir irgendwo aus dem Netz saugen
möchte!>

Prima. Und alle Haufen fressen, die Du an den Wurzeln der Parkbäume findest und jeden Dreck in die Venen donnern, den Du am Bahnhof so zu kaufen bekommst. Soll echt cool sein. Für eine scheisse kurze Zeit.

war ein Spaß…

beruhigt.

Also: Wenn man das Internet nutzen möchte aber kein
tiefgehendes Fachwissen über irgendwelche TCP/IP-Sachen hat,
dann lieber das Thema Sicherheit gleich vergessen? Sollte da
jemand kommen, der einem mit einer Software (begrenzte)
Abhilfe verspricht, dann antwortet man mit fester Stimme: „Ich
habe keine Ahnung von Protokollen, Packets etc. , ich will nur
surfen. Deswegen ist mir die Sicherheit egal.“

Also: Angenommen, ich hätte von Medizin null Ahnung: würdest Du trotzdem das tun, was auf den großen Plakaten gegen Aids, Krebs, Herzinfarkt und hässliche Kinder emfohlen wurde: Obskure Vitamintabletten fressen (Dr Rath, IIRC). Oder würdest Du dich informieren, wie Du gesund lebst (mal Gemüse neben die Zigarren legen und den Tequila mit Zitrone triken). denk’ mal darüber nach. Auch auf dem Gebiet gibt es viel Voodoo, hier ist die Öffentlichkeit allerdings schon viel kritischer (meine/hoffe ich zumindest)

Aber ich stimme nicht zu, wenn man den
Anwendern diese Systeme austreiben will. Weil mich bisher
niemand davon überzeugt hat, dass

1. so ein System schadet

Ich mülle meine Fetplatte lieber mit Programmen zu, die mir was nützen. Nichts schaden ist ein Zeitverschwendungskriterium.

Nochmal: Weil Röntgenstrahlen neimendem wehtun, gab es Röntgengeräte in den 50gern in jedem Schuhhaus, was etwas auf sich hielt. Man konnte viel besser sehen, wie der Schuh zum Fuß passt[1].

2. so ein System überhaupt nicht nützlich ist
   Sollte das passieren, dann fliegt mein AtGuard raus.

Klar. Ein dicker Wattebausch auf der Stirn kann eigentlich beim Autofahren nicht schaden. Und bei einem Unfall schütt er vielleicht mein Hirn, deshalb habe ich mir da oben was angepappt.

Egal, was ich mir für Software installiere?

Was hast Du an „keine Serverdienste“ nicht verstanden?

Sebastian

[1] Not kidding

[ZoneAlarm]

Kann man eben so einstellen, dass Ruhe ist )

Die Option kenne ich zufällig. Sie heißt „Deinstallation“

Deinen Vergleich verstehe ich nicht - es gibt nun mal die
Probleme! Da reicht es wenn man im Netzwerk mit verschiedenen
Word-Versionen arbeiten muss.

Eben. Word benutzen und sagen, man tut es der Kompatibilität wegen ist der reine Hohn.

Damit sie nicht einfach irgendwas im Netz tun. Macht meine
Schneckenverbindung per Modem auch noch langsamer.

Das wird ja immer bunter. Programm nicht aktiv aber tut trotzdem alles mögliche?

(Jemanden,
der per DSL surft juckt das vielleicht nicht.)

Doch, das würde mich jucken.

Hm. Anpingen kann ich Dich immernoch. Aber du merkst davon
nichts - genauso wie ohne ZotenAlarm

naja, dann ist’s ja auch für die Katz )

Sag ich doch

Was bewirkt so ein Ping eigentlich?

**Bist Du da?**
 Ja!
**Bist Du da?**
 Ja!
**Bist Du da?**
 Ja!
**Bist Du da?**
 Ja!
**Bist Du da?**
 Ja!

Netzwerktest und anderes…

Sebastian

JavaScript und -Applets,

Browser konfigurieren

Das hört sich interessant an. Welchen Browser kann man denn so konfigurieren, daß er beispielsweise Popups filtert, JavaScript für einige Sites zuläßt, für andere hingegen nicht?

Vertrauenssache - Wem sollte man denn vertrauen?

Wenn ich Sicherheit haben will, vertraue ich keinem
Hersteller.

Ich beneide Dich um Deine Freizeit. Wie viele Stunden hat Dein Tag eigentlich?
Die Java SDK Soucen haben nur 140MB. Ich hätte die gerne mal von einem unabhängigen Experten verifiziert. Was würde das bei Dir kosten (mit anschließender Garantieerklärung natürlich)?

Mir fallen keine ein. Was aber auch daran liegen könnte, daß
ich kaum noch Windows-Programme kenne und mir das
Betriebssystem mit jedem release suspekter wird.

Windows ist eben nur etwas für Leute, die sich zutrauen, ein Betriebssystem zu nutzen, daß schon lange nicht mehr auf einer Diskette Platz hat

Gute Idee, bei Gelegenheit lade ich dich mal zum
AtGuard-Hacken ein. Wäre interessant…

Wie meinen?

Ich denke, Du hast schon verstanden: Praxis ist gefragt, nicht nur Theorie.

PersonalFirewall installiert, ScriptKiddi scannt wild rum,
Firewall schlägt alerm, tut sonswas, schrebt Logdateien,
beschäftigt den Rechner bis zum Absturz. Was? Der Text war
noch nicht gespeichert? Do it again, Sam.

Du solltest Deinen 386er dringend mal ablösen, wenn Du solche Probleme verzeichnest. Daß ein PC mit üblicher Internet-Anbindung sich durch das Schreiben von Log-Einträgen überlasten läßt, halte ich für ein Gerücht.

Nein. Meine Eltern tummeln sich auch im netz. Die haben ihre
Linux-Kiste von mir hingestellt bekommen und kennen das
root-Passwort nicht. Klar, man kann immernoch die Datei mit
den eigenen Konto-PINs an sämtliche Bekannten versenden, aber
esrmal ist das System idiotensicher und dennoch
Internettauglich.

Und Du verbürgst Dich dafür, daß die installierte Software genau das tut, was sie tun soll, weil Du natürlich jede Zeile Quellcode verifiziert hast…

Nur ein Hauch?! Ist wohl nicht mein Tag heute.

na gut, ich erhöhe auf Sturmwind

Geh Spielen.

Du provozierst solche Reaktionen. Dann solltest Du sie auch einstecken können.

CU
Markus

Allerdings brauchst Du für diese Funktionen keine Firewall.
Das geht auch mit anderen Tools.

Für einen guten Vorschlag bin ich hier dankbar.
Der Firewall-Teil von AtGuard läßt sich nach meiner Erfahrung
gut durch die Tiny Personal Firewall ersetzen.

Was genau macht das Konzept von TF gegnüber AG so überlegen.
Wie stehst Du zu der Empfehlung auf dem neuen Windows ME?

Das ist keine Frage Deiner geliebten Konzepte. Das Problem von AtGuard ist schlicht, daß es vor Win2k entstanden ist und es keine aktualisierten Versionen mehr gibt.
Ich nutze kein WinME und kann daher nichts zur Kompatibilität sagen.

Wie steht es aber mit dem Filtern von Popup-Fenstern bzw.
JavaScript im allgemeinen, Werbebannern oder Cookies?

Junkbuster. Open Source.

http://www.junkbusters.com/ht/en/ijbman.html

Dieser Proxy filtert zwar URLs, jedoch nicht die Nutzdaten.
Wie steht es also mit dem Filtern von Popups oder von JavaScripten, welche Cookies setzen?

Über irgendeinen Port von außen ist das sicherlich schwer bis
unmöglich. Jemandem einen Trojaner unterzuschieben ist schon
wesentlich einfacher.

Weil bestimmte Firemen ihre Software in grottenschlechter
Vorkonfiguration in die Welt schmeissen?

Laß den Hersteller oder den Admin doch konfigurieren, was er will. Das schwächste Glied in der Kette bleibt immer der Mensch.

Wozu auch? Per MSAPI (oder wie heißt das Ding nun) kann jedes
Programm das Mailprogramm dazu zu bringen, eine Mailnachricht
zu senden. Die Programme sind das problem, nicht bestimmte
offene Ports.

Dann schalte die MSAPI doch ab - sofern sie überhaupt installiert ist. Problem gelöst.

CU
Markus

Hallo,

zum Teil tut es (überprüfbar) genau das, was es soll:
Banner, Cookies,

Junkbuster

danke für den Tipp

JavaScript und -Applets,

Browser konfigurieren

welchen Browser kann ich denn Seiten-spezifisch derart konfigurieren? Bastelst du mir so einen mal?

Datenversand und
-empfang diverser Programme blockieren

„Diverse Programme“ deinstallieren

der smiley hinter deiner Aussage hätte aber hier gepasst, oder?
Ich will (so weit es möglich ist) die Kontrolle, wann welches Programm Daten versendet resp. empfängt. Die Deinstallation erleichtert die Kontrolle nicht.

Wie tut es das denn, das „vor Angriffen warnen“.

durch Log-Dateien, kennst du ja, dieses interessante Konzept, oder?

Trojaner, auf die man zugreifen kann, werden ja von
dem Zauberprogramm schon beim Download vaporisiert.

harhar, spaßig drauf heute…

Vertrauenssache - Wem sollte man denn vertrauen?

Wenn ich Sicherheit haben will, vertraue ich keinem
Hersteller.

aha, alles, was bei dir läuft, ist selbstgebastelt? Oder legst du keinen Wert auf Sicherheit?

Nicht bei Microsoft AFAIK. Im professionellen Umfeld gibt es
soetwas dennoch.

„…vertraue ich keinem Hersteller.“ - ?

unabhängige Experten - kenne ich leider nicht

Informieren? Nein, für achtmarkfuffzig gibts die nicht am
Nachmittag.

für Tipps zu unabhängigen Experten wäre ich dankbar. Zumindest habe ich nicht das Geld, für meinen PC zu Hause einen IT-Fachmann die Sicherheit überprüfen zu lassen.

Tja. Sicherheit und „mal das eine oder andere Programm“ kann
man sich abschminken. So einfach ist das.

aha

Welche Programme für den simpel gestrickten Windows-Benutzer
sind es denn, die deinem strengen Blick standhalten?

Mir fallen keine ein. Was aber auch daran liegen könnte, daß
ich kaum noch Windows-Programme kenne und mir das
Betriebssystem mit jedem release suspekter wird.

also bist du nicht der Fachmann, den ich fragen sollte, da du dich mit Windows-Programmen nicht auskennst…

Gute Idee, bei Gelegenheit lade ich dich mal zum
AtGuard-Hacken ein. Wäre interessant…

Wie meinen?

Was ist hier deinem Verständnis entgangen?

PersonalFirewall installiert, ScriptKiddi scannt wild rum,
Firewall schlägt alerm, tut sonswas, schrebt Logdateien,
beschäftigt den Rechner bis zum Absturz. Was? Der Text war
noch nicht gespeichert? Do it again, Sam.

interessant, aber ist das realistisch?

Ich finde das schon potenziell schädlich. Ich habe auch noch
so eine nette Zip-datei, die entpackt mehrere terabyte groß
sein soll. Da kann man Virenscanner prima dran verrecken
lassen…

wie groß ist die denn gepackt? Kann man so etwas per Mail verschicken?

und im Netz tummeln sich nur noch die Fachidioten, ist
bestimmt sehr lustig

Nein. Meine Eltern tummeln sich auch im netz. Die haben ihre
Linux-Kiste von mir hingestellt bekommen und kennen das
root-Passwort nicht. Klar, man kann immernoch die Datei mit
den eigenen Konto-PINs an sämtliche Bekannten versenden, aber
esrmal ist das System idiotensicher und dennoch
Internettauglich.

da haben sie aber Glück, dass sie dich haben…

Microsoft würde ich da nicht trauen, BTW.

daran kommt der Normalo leider wohl noch schlecht vorbei…

Was tut der „Normalo“, daß er das nicht könnte?

wie meinen?

na gut, ich erhöhe auf Sturmwind

Geh Spielen.

na na, wie man in den Wald hinein ruft…
Aber vielleicht gilt ja das Sprichwort nicht für Super-Experten wie dich

Salzmann

Was genau macht das Konzept von TF gegnüber AG so überlegen.

Wie stehst Du zu der Empfehlung auf dem neuen Windows ME?

Das ist keine Frage Deiner geliebten Konzepte. Das Problem von

AtGuard ist schlicht, daß es vor Win2k entstanden ist und es

keine aktualisierten Versionen mehr gibt.

Meine Frage ziehlte eher auf die nicht vorhandenen Benutzerrechte auf den Home-Windows ab.

Wie steht es aber mit dem Filtern von Popup-Fenstern bzw.

JavaScript im allgemeinen, Werbebannern oder Cookies?

Junkbuster. Open Source.

http://www.junkbusters.com/ht/en/ijbman.html

Dieser Proxy filtert zwar URLs, jedoch nicht die Nutzdaten.

Wie steht es also mit dem Filtern von Popups oder von

JavaScripten, welche Cookies setzen?

Meines Wissen nicht. Ich benutze allerdings soetwas nicht. Weder ZA noch Junkbuster. Das ist möglicherweise sogar nett, aber es als Sicherheitsgewinn zu verkaufen? Hm. Spätestens bei verschlüsselten Verbindungen hat es sich ausgefiltert.

Laß den Hersteller oder den Admin doch konfigurieren, was er

will. Das schwächste Glied in der Kette bleibt immer der

Mensch.

Eben. Sicher computern ohne Auhnung geht eben nicht. Da nützen auch ZoneAlarm und Konsorten nichts - da hilft nur eine gute Einweisung des Nutzers.

Wozu auch? Per MSAPI (oder wie heißt das Ding nun) kann jedes

Programm das Mailprogramm dazu zu bringen, eine Mailnachricht

zu senden. Die Programme sind das problem, nicht bestimmte

offene Ports.

Dann schalte die MSAPI doch ab - sofern sie überhaupt

installiert ist. Problem gelöst.

Eben. Rechner sicher konfigurieren und Du löst die Probleme. Keine Zusatzsoftware…

Sebastian

JavaScript und -Applets,

Browser konfigurieren

Das hört sich interessant an. Welchen Browser kann man denn so
konfigurieren, daß er beispielsweise Popups filtert,
JavaScript für einige Sites zuläßt, für andere hingegen nicht?

Selektiv geht das zugegebenrmassen nicht. Opera kann man beipielsweise verbieten, Cookies von bestimmten Domains zu akzeptieren, Pop-ups zu öffnen und so fort. Ich selber habe Java sowieso tozal abgestellt, JavaScript wie Du siehst - allerdings nicht.

(Ja, Opera ist Closed Source und Adware. Die haben allerdings ihr Werbeversendungsprotokoll oggengelegt und ich habe es mittels sbiffer verifizieren können)

Das Problem, Java von bestimmten Seiten zuzulassen, hätte immer noch das Problem der Authetizität. Ich erinnere mich noch an den Nameserver Hack, als sämtliche Anfragen an gmx irgendwo anders aufliefen. Da hätte man prima POP-Passwürter en masse sammeln können.

Vertrauenssache - Wem sollte man denn vertrauen?

Wenn ich Sicherheit haben will, vertraue ich keinem
Hersteller.

Ich beneide Dich um Deine Freizeit.

Eben. Man muß abwägen. Wenn ich nur die Sicherheit eines Heimanwenders will, vertraue ich darauf, daß der Offene Code von genügend Leuten gelesen wurde. Für ansonsten sicherheitskritische Anwendungen wird das halt nicht benutzt.

Die Java SDK Soucen haben nur 140MB. Ich hätte die gerne mal
von einem unabhängigen Experten verifiziert. Was würde das bei
Dir kosten (mit anschließender Garantieerklärung natürlich)?

1000 Mark mehr, als ich im Garantiefall maximal zahlen muß. Mit anderen Worten: Ich mache sowas nicht.

PersonalFirewall installiert, ScriptKiddi scannt wild rum,
Firewall schlägt alerm, tut sonswas, schrebt Logdateien,
beschäftigt den Rechner bis zum Absturz. Was? Der Text war
noch nicht gespeichert? Do it again, Sam.

Du solltest Deinen 386er dringend mal ablösen, wenn Du solche
Probleme verzeichnest. Daß ein PC mit üblicher
Internet-Anbindung sich durch das Schreiben von Log-Einträgen
überlasten läßt, halte ich für ein Gerücht.

Ich weiß es nicht, ehrlich. Wenn ich mir die die Fenster so ansehe, die in der ZonaAlarm Amleitung so aufgamalt sind, dürfte ein munterer Portscan - am besten von 20 IPs gleichzeitig - Farbe auf den Schirm bringen. Wie schnell der Rechner an solchen Meldungen ertrinkt, weiß ich wirklich nicht, aber wenn ich unsere Kiste auf der Arbeit sehe, ahne ich Schlimmstes.

Nein. Meine Eltern tummeln sich auch im netz. Die haben ihre
Linux-Kiste von mir hingestellt bekommen und kennen das
root-Passwort nicht. Klar, man kann immernoch die Datei mit
den eigenen Konto-PINs an sämtliche Bekannten versenden, aber
esrmal ist das System idiotensicher und dennoch
Internettauglich.

Und Du verbürgst Dich dafür, daß die installierte Software
genau das tut, was sie tun soll, weil Du natürlich jede Zeile
Quellcode verifiziert hast…

Nein. Habe ich natürlich nicht. Aber im Sinne der „Heimanwendersicherheit“ halte ich es für ausreichend, daß die Möglichkeit gegeben war (und ich wette: wenn Du einen netten Kernelbug im Code entdeckst und ihn am besten patcht hat das positives Karma auf Deinen (potenziellen) Chef.

Geh Spielen.

Du provozierst solche Reaktionen. Dann solltest Du sie auch
einstecken können.

[] Display Smilies

Schalt das 'mal bei Dir um.

Sebastian

JavaScript und -Applets,

Browser konfigurieren

welchen Browser kann ich denn Seiten-spezifisch derart
konfigurieren? Bastelst du mir so einen mal?

Ich kenne keinen, der das tut. Siehe auch meine Antwort auf Markus, der einen ganz ähnlichen Einwand gebracht hat.

Datenversand und
-empfang diverser Programme blockieren

„Diverse Programme“ deinstallieren

der smiley hinter deiner Aussage hätte aber hier gepasst,
oder?

Meine Visitenkarte hast Du gelesen? Trotzdem: Programme, die Dinge tun, die ich nicht nachvollziehen kann und möglicherweise nicht will, werden gekickt.

Ich will (so weit es möglich ist) die Kontrolle, wann welches
Programm Daten versendet resp. empfängt. Die Deinstallation
erleichtert die Kontrolle nicht.

Was bringt Dir die zeitliche Kontrolle? Wenn ich einen Virenscanner programmieren sollte, der Deine Festplatte nach Bildern von Nackten Fliegen durchsucht würde er die Namensliste Deiner Freundinnen auf der Festplatte genau dann versenden, wenn er (auch) vorgibt, ein Update nackter Fliegensorten zu machen.

Wie tut es das denn, das „vor Angriffen warnen“.

durch Log-Dateien, kennst du ja, dieses interessante Konzept,
oder?

Ummm…

Vertrauenssache - Wem sollte man denn vertrauen?

Wenn ich Sicherheit haben will, vertraue ich keinem
Hersteller.

aha, alles, was bei dir läuft, ist selbstgebastelt? Oder legst
du keinen Wert auf Sicherheit?

Die Sachen,die ich hier in meinem Heimuser-Status laufen habe „reichen“ mir, wenn die Möglichkeit bestand, daß man sie analysiert. Da vertraue ich (blind?), daß der Code schon durch genug unabhängige Augen gegangen ist.

Nicht bei Microsoft AFAIK. Im professionellen Umfeld gibt es
soetwas dennoch.

„…vertraue ich keinem Hersteller.“ - ?

Es gibt Firmen, die Garantien unabhängig vom Hersteller geben. Wenn ich eine Garantie habe, daß die Software mich vor dem Datengau rettet oder ansonsten sämtlichge Schäden ersetzt bekomme, vertraue ich auch einem Hersteller. Aber soetwas schließt die MS-EULA (und die allermeisten anderen) aus.

für Tipps zu unabhängigen Experten wäre ich dankbar.

Den Autor der von mir ziterten Seiten, Lutz Donnerhacke - halte ich für einen solchen. Er hat nicht nur nette Seiten gebaut…

also bist du nicht der Fachmann, den ich fragen sollte, da du
dich mit Windows-Programmen nicht auskennst…

Nein.

Gute Idee, bei Gelegenheit lade ich dich mal zum
AtGuard-Hacken ein. Wäre interessant…

Wie meinen?

Was ist hier deinem Verständnis entgangen?

Hm: Du meinst, ich soll Deine Firewall „hacken“? Dazu wäre es natürlich hilfreich, sie schoneinmal gesehen zu haben. Ich weiß nicht, was si so tut, aber ein Ping von einem Rechner mit fetter Netzanbindung wär schon lustig. Oder ein Posrtscan?

noch nicht gespeichert? Do it again, Sam.

interessant, aber ist das realistisch?

Ich weiß es nicht, aber ich extrapoliere nur die Belastbarkeit der Windowskiste auf Arbeit.

Ich finde das schon potenziell schädlich. Ich habe auch noch
so eine nette Zip-datei, die entpackt mehrere terabyte groß
sein soll. Da kann man Virenscanner prima dran verrecken
lassen…

wie groß ist die denn gepackt?

42 kByte

Kann man so etwas per Mail
verschicken?

Ja.

[Eltern habe eingerichteten rechner bekommen]

da haben sie aber Glück, dass sie dich haben…

Klar. Sonst hätten sie die Alternative gehabt einen „Ich-bin-doch-nicht-blöd-Computer“ billich gekauft zu haben und möglicherweise ein blaues Auge zu bekommen oder einen Rechner nach Bedarf konfiguriert zu bekommen. Aber das will man natürlich nicht bezahlen…

Microsoft würde ich da nicht trauen, BTW.

daran kommt der Normalo leider wohl noch schlecht vorbei…

Was tut der „Normalo“, daß er das nicht könnte?

wie meinen?

Was genau tut der „Normalo“, was er ohne Mircosoft nicht auch könnte?

Sebastian

Super-Experten wie dich

_{Ich habe beruflich erstaunlich wenig mit Computern zu tun}

Das Problem, Java von bestimmten Seiten zuzulassen, hätte
immer noch das Problem der Authetizität. Ich erinnere mich
noch an den Nameserver Hack, als sämtliche Anfragen an gmx
irgendwo anders aufliefen. Da hätte man prima POP-Passwürter
en masse sammeln können.

Es bedarf jedoch wesentlich höherer kriminieller Energie, einen Nameserver zu hacken, als „versehentlich“ schädlichen Code auf einer Website zu veröffentlichen.

Eben. Man muß abwägen. Wenn ich nur die Sicherheit eines
Heimanwenders will, vertraue ich darauf, daß der Offene Code
von genügend Leuten gelesen wurde. Für ansonsten
sicherheitskritische Anwendungen wird das halt nicht benutzt.

Du weisst sicherlich, was ein Induktionsbeweis ist, oder?

Bei einem Induktionsbeweis sind zwei Behauptungen zu zeigen.

1. der Induktionsanfang
2. der Induktionsschritt

Du machst den Induktionsschitt
„andere sagen die Software ist sicher, deshalb traue auch ich
der Software“
ohne den Induktionsanfang
„Es gibt eine vertrauenwürdige Person, welche den kompletten Sourcecode verifiziert hat.“

Aus diesem Grund ist der Induktionsschluß nicht zulässig.

Ich weiß es nicht, ehrlich. Wenn ich mir die die Fenster so
ansehe, die in der ZonaAlarm Amleitung so aufgamalt sind,
dürfte ein munterer Portscan - am besten von 20 IPs
gleichzeitig - Farbe auf den Schirm bringen. Wie schnell der
Rechner an solchen Meldungen ertrinkt, weiß ich wirklich
nicht, aber wenn ich unsere Kiste auf der Arbeit sehe, ahne
ich Schlimmstes.

Wir sprachen hier auch über Logfile-Einträge und nicht über Popup-Fenster.

Nein. Habe ich natürlich nicht. Aber im Sinne der
„Heimanwendersicherheit“ halte ich es für ausreichend, daß die
Möglichkeit gegeben war

Guter Punkt!
Mit dieser Einstellung kommt auch ein wesentlicher Teil der Fragen hier im Forum zu stande.
Ich denke, wir sollten das im Hinterkopf behalten.

CU
Markus

Hallo,

Meine Visitenkarte hast Du gelesen? Trotzdem: Programme, die
Dinge tun, die ich nicht nachvollziehen kann und
möglicherweise nicht will, werden gekickt.

Mein Problem: ich kann bei überhaupt keinem Programm nachvollziehen, was es eventuell im Hintergrund und heimlich tut.
Jetzt wirst du vielleicht sagen: „Wozu dann eine PF? Da kannst du es ja auch nicht…“
Aber: Ich muss mich mit meinem Nicht-Wissen über Source Codes etc. einfach darauf verlassen, was der Hersteller sagt.

Gates sagt: „Mit Word kannst du wunderbar Briefe schreiben.“
Salzmann stellt fest: „Mit Word kann ich gut Briefe schreiben.“

Der AtGuard-Macher sagt: „Mit AtGuard bist du sicherer und komfortabler im Internet.“
Salzmann stellt fest: „MIt AtGuard bin ich komfortabler im Internet. Niemand kann mir sagen, ob ich nun sicherer, unsicherer oder genauso sicher wie ohne im Internet bin.“

Was bringt Dir die zeitliche Kontrolle? Wenn ich einen
Virenscanner programmieren sollte, der Deine Festplatte nach
Bildern von Nackten Fliegen durchsucht würde er die
Namensliste Deiner Freundinnen auf der Festplatte genau dann
versenden, wenn er (auch) vorgibt, ein Update nackter
Fliegensorten zu machen.

du hast natürlich recht: Das für einen gewollten Zweck freigegebene Programm kann während der Bearbeitung dieses Zweckes noch etwas ganz anderes, ungewolltes tun. Das bekomme ich auch mit meiner Firewall nur mit, wenn es dafür plötzlich andere Ports oder Protokolle benutzt.
Aber wenigstens müssen sich die Programme dann derart intelligent verhalten, dass sie ihre Unartigkeiten während offizieller Prozesse verbrechen. Keines kann dann einfach so etwas starten… Ist zwar wenig, aber besser als gar nichts.

Die Sachen,die ich hier in meinem Heimuser-Status laufen habe

„reichen“ mir, wenn die Möglichkeit bestand, daß man sie
analysiert. Da vertraue ich (blind?), daß der Code schon durch
genug unabhängige Augen gegangen ist.

na, irgendwo treffen wir uns ja doch auf einem Blind-Vertrauen-Niveau…

für Tipps zu unabhängigen Experten wäre ich dankbar.

Den Autor der von mir ziterten Seiten, Lutz Donnerhacke -
halte ich für einen solchen. Er hat nicht nur nette Seiten
gebaut…

werde mal nachsehen…

Hm: Du meinst, ich soll Deine Firewall „hacken“? Dazu wäre es
natürlich hilfreich, sie schoneinmal gesehen zu haben. Ich
weiß nicht, was si so tut, aber ein Ping von einem Rechner mit
fetter Netzanbindung wär schon lustig. Oder ein Posrtscan?

werde, falls ich mal einen Rechner für solche Tests übrig haben sollte, auf diese Idee zurückkommen…

…Ich habe auch noch
so eine nette Zip-datei, die entpackt mehrere terabyte groß
sein soll. Da kann man Virenscanner prima dran verrecken
lassen…

wie groß ist die denn gepackt?

42 kByte

siehste mal, wie unwissend ich bin, hätte nie gedacht, dass man Terabytes so komprimiert bekommt. Interessehalber: Was ist das denn für ein Format?

Was genau tut der „Normalo“, was er ohne Mircosoft nicht auch
könnte?

Ich bin mir nicht sicher, ob die Alternativen zu den verschiedenen Office-Programmen in punkto Herstellergarantie besser sind. Zumindest werben sie scheinbar auch nicht damit…

Gruß vom
Salzmann

Du machst den Induktionsschitt
„andere sagen die Software ist sicher, deshalb traue auch ich
der Software“
ohne den Induktionsanfang
„Es gibt eine vertrauenwürdige Person, welche den
kompletten Sourcecode verifiziert hat.“

Aus diesem Grund ist der Induktionsschluß nicht zulässig.

„Es gibt vertrauenswürdige Personen, die den Source-Code gesehen haben. Nicht jeder alles, aber jeder einen Teil“

Das ist in der Form sicher nicht perfekt, aber unter alltäglichem Sicherheitsdenken für mich weitaus akzeptabler als „Nur die Firma kennt die Quellcodes, sagt aber, das Produkt ist gut“

Das BSD-Code-Auditing halte ich zudem ebenfalls für einen guten Ansatz - immer zusammengenommen mit offenen Quellen wohlgemerkt.

Ich weiß es nicht, ehrlich. Wenn ich mir die die Fenster so
ansehe, die in der ZonaAlarm Amleitung so aufgamalt sind,
dürfte ein munterer Portscan - am besten von 20 IPs
gleichzeitig - Farbe auf den Schirm bringen. Wie schnell der
Rechner an solchen Meldungen ertrinkt, weiß ich wirklich
nicht, aber wenn ich unsere Kiste auf der Arbeit sehe, ahne
ich Schlimmstes.

Wir sprachen hier auch über Logfile-Einträge und nicht über
Popup-Fenster.

Langsam bekomme ich Lust am Testen, mit dicker Bandbreite von mehreren Rechnern einen nmap-decoy-Scan auf ein mit Zonealarm „gesichertes“ Gerät loszulassen. Von Zuhause habe ich nur eine Modemleitung, aber ich hätte einen Rechner im Auge, mit den das klappen sollte.

(Man musste nur sicherstellen, daß man keinen falschen trifft (schließlich ist es nicht „mein“ Rechner, aber für eine Bloßstellung von Zonealarm sollte ich grünes Licht beommen

Nein. Habe ich natürlich nicht. Aber im Sinne der
„Heimanwendersicherheit“ halte ich es für ausreichend, daß die
Möglichkeit gegeben war

Guter Punkt!
Mit dieser Einstellung kommt auch ein wesentlicher Teil der
Fragen hier im Forum zu stande.

Womit sich die Katze wieder in den Schwanz beißt, ob eine PF die Heimanwendersicherheit erhöht (was ich ja konsequent bezweifele)

Sebastian