Hallo xaver,
Ich beantworte das in absteigender Reihenfolge, korrespondierend zu deinen Fragen.
Hmm also erstmal verlasse ich micht nicht auf Polling Systeme. Das ist einfach vom Prinzip her unsicher.
Die Darstellung(und der Drive-By-Download) der E-Mail in besagtem Fall kann eigentlich nicht passieren verursachen WENN der Browser erstens sauber von Plugins/Extension ist und JavaScript blockiert wird oder wenigstens für nicht näher bekannte Domains blockiert wird Outlook is hier in der Vergangenheit unangenehm aufgefallen(zumindes in früheren Versionen) weil es HTML Mails mittels der IE-Engine stumpf ausgeführt hat. Der erste Virus der das bekannterweise ausgenutzt hat war der "I love you" Virus (die älteren erinnern sich) das war im Jahr im 2001.
Du hast recht das Standardsoftware immer wieder Lücken enthalt. Zum Teil ohne Schuld weil die verwendeten Bibliotheken unsicher oder kompromitiert sind. Es gab mal einen Virus der hat die Entwicklungsumgebung(Backend Compiler) von Delphi Entwicklern so modifiziert das diese automatisch verseuchte Programme ausgeliefert haben. Einige dieser Programme habens auch in den Downloadbereich von Seiten wie Heise.de geschafft. Man darf einfach niemandem vertrauen, nicht weil der Anbieter es vielleicht böse meint. Auch er kann kompromimiert sein, man hört oft genug das die Datenbank von Anbieter X oder Y gehackt wurde(ganz zu schweigen von den Fällen die man nicht höhrt)
Java und Adobe kommen mir persönlich erst garnicht aufs System aber deswegen ist man davor nicht gefeilt. Um so wichtiger ist es seinen Traffic unter Kontrolle zu haben. Beispiel: Meine Firewall sorgt das Outlook.exe keine anderen Programme starten darf. Outlook.exe darf eine Pop3 und SMPT Kommunikation aufbauen zu einer einzelnen gezielten Adresse. Alles andere(http usw. ist verboten) Sollte die exe manipuliert oder ersetzt werden wird meine Firewall ^mir das mitteilen. Irgendwann muss ein Schadprogramm mal irgendwas tun um sich dauerhaft ins System einzunisten. An der Stelle greift die 2. Verteidungslinie. 1) Programme dürfen andere Programme nicht starten(oder auf Nachfrage), die Ausnahme gilt für Installationen(die immer offline erfolgen sollten) 2.) Programme dürfen nicht generell mit dem Internet kommunizieren(oder auf Nachfrage), der Browser bildet dabei eine partielle Ausnahme(meiner darf http und https für beliebige verbindungen), deswegen ist es extrem wichtig diesen immer ganz scharf zu kontrollieren. 3.) Programme dürfen garnicht starten(oder auf nachfrage) Firefox lagert Plugins übrigns in einen eigenen PluginContainer (Plugin-Container.exe) aus den man in seiner Firewall unabhängig vom Browser konfigurieren kann. Plugins gehen damit nicht einfach mit den Rechten ihrers Browser auf die Pirsch. Danke Firefox!
QuickJava kenne ich garnicht, da ich Java nicht brauche(wer schon) behalte ich das aber mal im Hinterkopf, falls ich mal in die Situation komme wo ich jemanden kenne/betreue der Java braucht.
Die von dir verlinkten Hinweise finde ich etwas naiv und ist wohl für ein Publikum gedacht das von IT keine Ahnung hat und leider auch niemanden zur Seite der ihr System betreut.
Nein ich bastele nicht an irgendwelchen unkoscheren Web-Clients. Ich bin beruflich Desktop Application Developer im Windows Umfeld mit Schwerpunkt .NET (Framework) Ich mach das aber schon seid ich 15 bin, damals noch Windows95 und C++.
Aber ja, wenn du ein Forum nutzen willst wirst du um JavaScript nicht herumkommen( ich kenne nur Ausnahme und das ist mycsharp.de - die grösste deutsche developer community für C#) Das ist fallweise auch okay, wenn dich die Webseite aber zwingt weitere Third Party Domains für ein Posting zuzulassen dann lass es. Es gibt Ausnahmen z.b während des Registrierungsprozesses, gerade für Captchas werden hier gerne externe Anbieter genutzt z.B. google und den sonderfall das sich anbieter gerne mehrere domains reservieren. Für Nickles.de musst bspw. nickles.de und inickles.de für javascript zulassen, was im Prinzip okay ist. Den Rest lass draussen!
Der Grund Nickles.de nicht generall zuzulassen ist einfach meine innere defensive Einstellung. Lieber ein Klick mehr als das ich irgendwas nicht mitkriege. Wenn man genau so an die Sache rangeht wird man auch kaum Probleme haben.
PaoloP
xaver4
