Hallo,
generell interessiert mich die Frage, wie sicher Mozilla bei eingeschalteten Flash ist
gibt es hier genau so wie beim IE Sicherheitslücken und Probleme?
Wenn ja, wie sieht es mit Plugins aus, die das KILLFLASH ermöglichen? Nützt das überhaupt etwsa , denn zu diesem zeitpunkt ist ja flash bereits geladen wird nur noch im nachhinein deaktiviert
-IRON- Heinz_Malcher „Mozilla | Sicherheit | Flash“
Heinz_Malcher -IRON- „Flash Player Unspecified Buffer Overflow Vulnerability Shockwave GETNETTEXT...“
Danke dir, aber so wie ich das sehe ist da Mozilla und Opera nie gefährdet oder zählt mozilla zu netscape ??
-IRON- Heinz_Malcher „Danke dir, aber so wie ich das sehe ist da Mozilla und Opera nie gefährdet oder...“
Du siehst das richtig, soweit du den aktuellen Mozilla und Netscape 7.x meinst. Je älter die Version, desto wahrscheinlicher ist sie anfällig.
xafford Heinz_Malcher „Mozilla | Sicherheit | Flash“
da flash ein plugin ist, das seine methoden selbst mitbringt hat der browser recht wenig damit zu tun. wenn ein fehler in einer flash-funktion zu finden ist, so ist er dies mit größter wahrscheinlichkeit in jedem plugin.
Heinz_Malcher xafford „da flash ein plugin ist, das seine methoden selbst mitbringt hat der browser...“
danke, dann hilft wahrscheinlch nur deaktivieren von flash oder?
xmaster74 Heinz_Malcher „danke, dann hilft wahrscheinlch nur deaktivieren von flash oder?“
ja sehr richtig!
xafford Heinz_Malcher „danke, dann hilft wahrscheinlch nur deaktivieren von flash oder?“
ja. flash soll ja eine plattformübergreifende lösung darstellen und unabhängig von browser uns OS eien gleiche funktionalität und optik bieten, daher nutzt flash so wenig APIs und libraries des systems wie möglich bis auf die eigentlichen schnittstellen zur integration.
flash unter linux und mac glänzt allerdings seltener durch exploits, als die 2 windowsversionen für IE und netscape. unter win sind afaik sämtliche exploits in beiden versionen (IE und netscape).
-IRON- xafford „da flash ein plugin ist, das seine methoden selbst mitbringt hat der browser...“
Hast du mal einen Blick auf die Links oben geworfen und dir die Exploits durchgelesen?
Es ist keinesfalls immer so, dass der Fehler pauschal jeden Browser betrifft, vor allem dann nicht, wenn es Funktionen betrifft, die nur EIN Browser zur Verfügung stellt. Das ist ja gerade das Schöne.
Tyrfing Heinz_Malcher „Mozilla | Sicherheit | Flash“
Alles, was irgendwelche "aktiven Inhalte" auf Seiten ausführt, kann zu einer Sicherheitslücke werden, allerdings ist Flash von der Anzahl der Bugs her noch relativ sicher und es gibt auch nicht gerade ein Übermaß an Exploits
Heinz_Malcher Nachtrag zu: „Mozilla | Sicherheit | Flash“
Nun bleibt natürlich die Frage offen, ob die Funktion, die man bei Mozilla als Plugin oder addon laden kann, welche anbietet, Flash zu entfernen, aber eben nicht zu deaktivieren, eine sicherheit bietet oder nicht.
DIe animation lädt, man kann das laden sofort abbrechen, es aber nicht verhindern, zumindest nicht den anfang des ladens
-IRON- Heinz_Malcher „Mozilla | Sicherheit | Flash“
Tja was für eine Antwort erwartest du denn?
Grundsätzlich ist Flash eine mögliche Schwachstelle, wenn es unter bestimmten Bedingungen ausgeführt wird.
Solange in du eine aktuelle Version verwendest und für diese keine Lücke bzw. kein Exploit für die Lücke bekannt ist, ist es sehr unwahrscheinlich, wenn auch nicht ausgeschlossen, dass dir was passiert, wenn du auf einem gewöhnlichen Webportal oder einer Seite mit gewissem Ansehen ein Flashfilmchen anschaust. Bei privaten HPs ist das natürlich wieder etwas anders, da man dort grundsätzlich davon ausgehen muss, dass die Seiten in irgend einer Form manipuliert bzw. für bestimmte Browser präpariert sind. Aber auch da bist du mit Mozilla eher im Vorteil, weil du eine Minderheit darstellst.
Wird eine Flashanimation erst mal geladen, kann natürlich theoretisch auch schon zu Beginn der schädliche Code auf den PC gelangen. Ob er dann auch ausgeführt wird, wenn das Laden unterbrochen wird, ist eine andere Frage. Das kann dir nur der Ersteller diese bözen Flashfilmz sagen (den es erstmal geben muss) ;)
Teletom Heinz_Malcher „Mozilla | Sicherheit | Flash“
Ja ja, das leidige Thema. Eine Kette ist immer nur so stark wie ihr schwächstes Glied.
Wie steht es aber mit ActiveX bei Mozilla ?
Gruß
Teletom
Plazebo Teletom „Ja ja, das leidige Thema. Eine Kette ist immer nur so stark wie ihr schwächstes...“
Was soll damit sein?
-IRON- Teletom „Ja ja, das leidige Thema. Eine Kette ist immer nur so stark wie ihr schwächstes...“
Vermutlich spielst du auf das nachrüstbare ActiveX-PlugIn für Mozilla an. Glücklicherweise wird das erstens kein vernünftiger Mensch in einer unsicheren Umgebung installieren und verwenden und zweitens befähigt es den Browser lediglich, bereits installierte ActiveX-Komponenten zu nutzen. Es können keine neuen ActiveX-Controls aus dem Netz nachgeladen werden.
Darüber hinaus täuscht der Browser dem Benutzer auch nicht vor, ActiveX zwingend zu benötigen, um eine Seite, in der OBJECT-Tags auftauchen darstellen zu können, wie es der IE tut.
Teletom -IRON- „Vermutlich spielst du auf das nachrüstbare ActiveX-PlugIn für Mozilla an....“
Hi,
Komponenten wie ActiveX und Flash sind für Homepagebuilder äußerst interessant. Das können mir mit Sicherheit auch anderer Nickles-Mitglieder bestätigen (so Xafford, Heinz_Malcher u.v.a.m.).
Aus diesem Grunde kann man im Allgemeinen nicht auf die genannten Möglichkeiten verzichten.
ActiveX und Flash haben offensichtlich nichts mit der Verursachung der mit Hilfe dieser Komponenten verbreiteten Trojaner zu tun.
Eine Sicherheits-Firewall-Strategie, die die Gefahr der Schädigung des Systems minimiert, ist in jedem Fall nötig und wichtig. Dann kann man auch etwas emotionsloser mit ActiveX und Flash umgehen.
Gruß
Teletom
Zaphod Teletom „Hi, Komponenten wie ActiveX und Flash sind für Homepagebuilder äußerst...“
.... über Flash kann man streiten, ich habe jedoch nur wenige wirklich sinnvolle Anwendungen gesehen -> 90% an Flash im Web sind schlicht und ergreifen überflüssig...
Active-X braucht keine seriöse Webseite, alles, was sich damit machen lässt, lässt sich plattformübergreifend mit Javascript, Java und anderen Techniken machen - mit dem Vorteil, dass es dann sicherer ist (Sandbox-Prinzip statt Vollzugriff auf den Client) und es nicht nur im IE funktioniert. Allenfalls in einem Intranet in einer reinen M$-Umgebung lässt sich über die Sinnhaftigkeit von Active-X diskutieren - in allen anderen Bereichen hat das nichts verloren.
Der Lastzug ohne TÜV darf auch nicht auf die öffentliche Straße (weil zu unsicher) und wird eventuell noch im Werksverkehr eingesetzt ...
Zum Thema (Desktop-)Firewall: was nützt es, Systemressourcen zu verbraten, wenn sich ebendiese "Firewall" durch Active-X einfach abschalten lässt? Bevor man über die Sinnhaftigkeit einer "Firewall" nachdenkt, sollte man zunächst mal möglichst sichere Software verwenden, nur mit eingeschränkten Benutzerrechten ins Netz gehen und nur das einschalten, was zwingend notwendig ist...
Ein Sicherheitskonzept bringt mehr als die Blockierung des PCs durch endlose im Hintergrund laufende Prozesse ...
HTH, Z.
Teletom Zaphod „.... über Flash kann man streiten, ich habe jedoch nur wenige wirklich...“
Bei NT, W2000, XP kann man das "Abschalten der Firewall" durch unauthorisierte Fremdprogramme ganz leicht verhindern (siehe vorherige Postings zu diesem Thema).
Flash und ActiveX haben wie jede Entwicklung ihre Existenzberechtigung.
Plazebo Teletom „Hi, Komponenten wie ActiveX und Flash sind für Homepagebuilder äußerst...“
Was hast du eigentlich mit deinem emotionslos? Das hat mit Emotionen in beiden Fällen überhaupt nichts zutun.
Im übrigen finde ich es recht erstaunlich, dass du an dieser Stelle das fehlen von ActiveX für einen großen Verlust hälst, aber auf der anderen Seite argumentiert hast, dass man ja ActiveX nachrüsten könne und Mozilla deshalb genauso unsicher sei wie der IE. Irgendwas ist da faul an deiner Argumentation. Je nachdem welche Situation gerade gefragt ist, ziehe ich das eine oder andere Argument um Mozilla schlecht zu machen. Und wer hat überhaupt von ActiveX geredet? Komisch dass du diese Diskussion aus heiterem Himmel wieder anzettelst.
Teletom Plazebo „Was hast du eigentlich mit deinem emotionslos? Das hat mit Emotionen in beiden...“
Relativ emotionslos zu arbeiten, ist für jeden erstrebenswert.
(damit sind negative Emotionen wie Wut, genervt, Stress usw. gemeint).
Mozillo hat hier im Thread niemand schlecht gemacht außer in Deiner Unterstellung, Du kannst mich gerne korrigieren.
-IRON- Teletom „Hi, Komponenten wie ActiveX und Flash sind für Homepagebuilder äußerst...“
Logischer Fehler deinerseits.
Du schreibst sehr richtig, dass ActiveX und Flash für eine bestimmte Zielgruppe, du nennst die Homepagebuilder, interessant sein KANN, wobei interessant ja nicht gleichbedeutend mit unerlässlich ist. Einen Satz später formulierst du kühn, dass DAHER im Allgemeinen nicht darauf verzichtet werden könne. Also bitte! :D Wie kommts zu dieser plötzlichen Verallgemeinerung?
Liegen dir Statistiken über den Anteil unverzichtbarer Webseiten weltweit oder in Deutschland vor, die ausschließlich mit ActiveX und/oder Flash sinnvoll zu handhaben sind? Dann her mit dem Link.
Du schreibst, dass OFFENSICHTLICH Flash und ActiveX nicht die Problemkinder sind. Offensichtlich? Weil DU das sagst. Offensichtlich ist der Mond aus Käse, denn Käse ist gelb und auch der Mond scheint gelblich. Löcher hat er auch. Womöglich ist der Mond gar ein Schweizer.
Teletom -IRON- „Logischer Fehler deinerseits. Du schreibst sehr richtig, dass ActiveX und Flash...“
>Du schreibst, dass OFFENSICHTLICH Flash und ActiveX nicht die Problemkinder sind. Offensichtlich? Weil DU das sagst. Offensichtlich ist der Mond aus Käse, denn Käse ist gelb und auch der Mond scheint gelblich. Löcher hat er auch. Womöglich ist der Mond gar ein Schweizer.
So ein Käse, außer wenn der Mond ein Schweizer wär, wär das vielleicht gar nicht so schlecht.
Gruß
Teletom
Olaf19 Teletom „ Du schreibst, dass OFFENSICHTLICH Flash und ActiveX nicht die Problemkinder...“
Hi Teletom!
Deine schlagfertigen Antworten sind wirklich eine Klasse für sich... und das meine ich jetzt weder
- ironisch
- sarkastisch
- -IRON-isch
oder wie auch immer - sondern einfach nur so, wie ich es sage. Nur: Zur Sache tun diese rhetorischen Kabinettstückchen in den meisten Fällen nichts. So auch in diesem. -IRON- hat Dir mit diesem launigen Vergleich: Mond-Löcher-Schweizerkäse, auf humorvolle Weise etwas mitgeteilt, auf das Du in der Sache leider nicht eingegangen bist.
Noch ist ja Gelegenheit.
CU
Olaf
Teletom Olaf19 „Mozilla | Sicherheit | Flash => back to the roots!“
>dass DAHER im Allgemeinen nicht darauf verzichtet werden könne.
das bedeutet, dass mindestens eine ActiveX-Implementierung vorhanden ist, nichts weiter. Auf keinen Fall bedeutet das, dass alle ActiveX anwenden.
Der Beweis ist leicht, hier eine ActiveX-Anwendung, die vor kurzem the_mic (thx) vorgestellt hat:
http://home.1asphost.com/sousy2050/jeeper.jpg
Gruß
Teletom
Max Payne Teletom „Mozilla | Sicherheit | Flash => back to the roots!“
<ironie> Hmm, wirklich unverzichtbar, dieses ActiveX! </ironie>
Allerdings hat mein DVD-Laufwerk einen Button, mit dem ich es öffnen und schließen kann wann immer ich will, so daß ich auf fremde Hilfe nicht angewiesen bin.
Macht Dich an diesem Beispiel eigentlich nicht stutzig, daß jemand via ActiveX auf Deinem Rechner auch Sachen veranstalten könnte, ohne daß es sofort so offenkundig wird wie eine sich öffnende Laufwerksschublade? Da hilft Dir auch keine Firewall weiter, weil dies nicht als "Angriff von außen" erkannt wird.
Teletom Max Payne „Mozilla | Sicherheit | Flash => back to the roots!“
>Macht Dich an diesem Beispiel eigentlich nicht stutzig, daß jemand...
Genau so ist es. (Es freut mich, dass wir einer Meinung sind.)
...das macht mich schon viel zu lange stutzig.
AktiveX und die anderen Programmmöglichkeiten bieten leider schon seit Beginn der EDV die Möglichkeit, dass Trojaner auf das System kommen.
Das Negative bei jedem Trojaner ist, dass der Anwender denkt, es wäre ein brauchbares Programm. Erfreulich ist, dass Trojaner nur die schwarzen Schafe darstellen und im Vergleich zu den wirklich brauchbaren Programmen seltener vorkommen, das ist bei ActiveX so und das ist in der gesamten EDV so.
Firewalls können direkte Angriffs- und Spam-Netzwerkpakete fernhalten. Durch den möglichen direkten Zugriff ohne Firewall können natürlich auch Trojaner auf das System gelangen (z.B. Spam-Nachricht "Gehe zur Seite X und installiere ein Programm" = Trojaner)
URLs im Internet sollte man nur aufsuchen, wenn man diesen Seiten vertraut. Auch ohne ActiveX kann man einen "Klickmich" Trojaner aktivieren.
Gruß
Teletom
Olaf19 Teletom „Mozilla | Sicherheit | Flash => back to the roots!“
> URLs im Internet sollte man nur aufsuchen, wenn man diesen Seiten vertraut
Das ist aber schwer vorherzusehen - bei Google-Suchergebnissen z.B. weiß ich im Prinzip nie vorher, was mich erwartet.
CU
Olaf
xafford Heinz_Malcher „Mozilla | Sicherheit | Flash“
ps: @heinz, mit flash verhält es sich ähnlich wie mit javaVirtualMachines. liegt der flaw in der grundlegenden implementierung, so ist eventuell noch die systemplattform interessant (solaris, linus, unix, windows, mac), der browser ist aber egal, da ja die VM (bei flash eben das plugin) weitestgehend unabhängig vom browser arbeitet (dies ist ja der grundgedanke bei plattformübergreifenden lösungen). ergo: flaw im plugin, mit 99% sicherheit jedes plugin für identische plattformen betroffen.
Heinz_Malcher Nachtrag zu: „Mozilla | Sicherheit | Flash“
Apropos Flash deaktivieren, ich weiss garnicht, wo das liegt, denn ich habe es eigentlich nicht mitinstalliert, wie kann ich genau dieses flash auf das mozilla greift, löschen oder umbenennen bzw. erstmal finden?
wenn ich dann auf eine seite mit flash geh bekomm ich jedesmal das plugin zum download angeboten, das will ich eigentlich nicht, wie verhindere ich das
xafford Heinz_Malcher „Apropos Flash deaktivieren, ich weiss garnicht, wo das liegt, denn ich habe es...“
Programme/mozilla.org/Mozilla/Plugins/
dort findest du das flash-plugin
Heinz_Malcher xafford „Programme/mozilla.org/Mozilla/Plugins/ dort findest du das flash-plugin“
danke dir
