Kommentar: Wieso ausnahmslos jedes Firefox-Update wichtig ist
Alle sechs Wochen veröffentlicht Mozilla ein Update für Firefox, manchmal wird sogar noch ein außerplanmäßiges dazwischengeschoben. Nicht jeder versteht die Notwendigkeit hierfür und so denkt mancher, es sei eine akzeptable Option, ein Update auszulassen oder gar auf eine ältere Version zurückzuwechseln, weil man keine für sich sinnvollen Neuerungen entdeckt oder gar Probleme mit einem Update hat. Mit diesem Kommentar möchte ich ausführen, wieso ich davon nur abraten kann und wieso ausnahmslos jedes Update wichtig ist.
Dieser Kommentar spricht zwar ausdrücklich von Firefox, geht aber über den Tellerrand von Firefox hinaus, denn nichts anderes gilt für Thunderbird, SeaMonkey und zumindest weitestgehend für so ziemlich jedes andere Produkt auch.
Mozilla veröffentlicht mindestens ein Update alle sechs Wochen, welches diverse Neuerungen bringt, mal sind ein paar Dinge mehr nennenswert, mal sind es ein paar Dinge weniger. Die Release Notes stellen in jedem Fall immer nur eine kleine Auswahl der Neuerungen dar. Zumindest Leser dieses Blogs sind immer besser informiert als andere.
Nach einem Update kann es durchaus vorkommen, dass Mozilla eine Option aus dem Produkt entfernt hat, welche man gerne weiter hätte, oder dass sich das Standardverhalten in einem Punkt geändert hat. Vielleicht sorgt auch eine Änderung dafür, dass die Lieblings-Erweiterung nicht mehr kompatibel ist. Einige Nutzer ziehen es dann in Betracht, einfach auf eine ältere Version wieder zurückzuwechseln und vielleicht sogar die Updates zu deaktivieren. Sinnvolle Neuerungen können diese Nutzer nach eigenen Angaben meistens sowieso nicht feststellen, sehen daher auch keinen Nachteil darin. Das ist aber eine furchtbar schlechte Idee.
Alleine aus Gründen der Sicherheit ist es jedem dringend anzuraten, immer die neuste Version zu benutzen. Schon die Idee, ein Produkt für die Kommunikation und Interaktion im Internet zu nutzen, welches bekannte Sicherheitslücken beinhaltet, grenzt an Wahnsinn. Ironischerweise sind das dann auch häufig Nutzer, welche eine Sicherheits-Software einsetzen. Da lautet meine persönliche Empfehlung immer: Deinstalliere die Sicherheits-Software, die frisst nur Ressourcen. Denn wozu benötigt jemand eine Sicherheits-Software, wenn er sowieso Sicherheitslücken in Kauf nimmt und damit Angreifern Tür und Tor öffnet? Mozilla hat eine eigene Seite für bekannte geschlossene Sicherheitslücken in Firefox und Thunderbird. Man muss gar nicht mal verstehen, was das bedeutet, was da steht. Das ist Englisch und sehr technisches Englisch dazu. Es reicht bereits, einfach mal die Einträge zu zählen und die Farben zu betrachten; Rot steht naheliegenderweise für die kritischste Form der Sicherheitslücke. Das sollte einem ein gutes Gefühl dafür geben, dass es eine reale Gefahr ist, eine veraltete Version einzusetzen. Fest steht: Das Internet ist kein Ponyhof und grundsätzlich als potentiell gefährlich zu betrachten. Und fest steht auch: Wo Sicherheitslücken existieren, da werden diese auch ausgenutzt. Die meisten Angriffe führen dann zum Erfolg, wenn das System nicht auf dem aktuellsten Stand ist. Und nichts wäre einfacher zu verhindern als das. Keine Sicherheits-Software kann die Sicherheits-Updates eines Produktes ersetzen. Und bei den Mozilla-Produkten ist bis auf ganz, ganz wenige Ausnahmen jedes Update ein Sicherheits-Update. Und Sicherheit hört nicht beim Schließen von Sicherheitslücken auf. So erhält manche neue Firefox-Version auch neue Sicherheits-Features.
Als nächstes möchte ich auf den Punkt eingehen, dass die neue Version X ja sowieso keine interessanten Neuerungen beinhaltet. Ich denke, die meisten wären erstaunt, wenn sie mal sehen würden, wie viel sich mit jedem Firefox-Update tut. Dass da nur wenig bis gar nichts dabei ist, was einen persönlich auf den ersten Blick interessiert, das mag natürlich sein. Aber dann frage ich: Welches sichtbare Feature wird denn überhaupt vermisst? Die wesentlichen Dinge, die kann Firefox doch. Wozu braucht Firefox unbedingt das Killer-Feature Y, um einen Versionssprung zu rechtfertigen? Ich sehe das so: Mir reicht bereits eine einzige Verbesserung und schon sehe ich einen Grund für die neue Version. So wurde beispielsweise in Firefox 24 der PDF-Betrachter um progressives Laden der PDF-Dateien erweitert – man kann seit dem also PDF-Dateien bereits anfangen zu lesen, bevor das gesamte Dokument geladen ist. Gemessen an der Gesamtheit aller Verbesserungen mag das wenig sein, aber doch genug, um bereits einen Mehrwert darzustellen.
Die Wahrheit ist allerdings viel mehr: Die wesentlichen, wichtigsten und besten Dinge, worauf es bei einem Browser wirklich ankommt, die stecken unter der Haube, die sind unsichtbar, die nimmt niemand aktiv wahr. Das ist zum einen die Performance. Ein Großteil der Anwendungen im Web wird immer komplexer. Wir betrachten es als selbstverständlich, dass das alles zügig abläuft, aber damit das so ist, wird ein unvorstellbar großer Aufwand in die Verbesserung der Performance gesteckt. Und man kann sagen, was man will: Ein schnellerer Browser ist besser, für jeden. Die wenigsten werden mit der Stoppuhr dasitzen oder Geschwindigkeitsunterschiede zweier aufeinanderfolgender Firefox-Versionen wirklich wahrnehmen. Vergleicht man aber einmal die Geschwindigkeit zweier Firefox-Versionen, die im Abstand eines Jahres oder gar zweier veröffentlicht wurden, dann macht das einen Unterschied. Und noch wichtiger: Die Unterstützung von Webstandards. Nein, das ist eben nichts, was nur Entwickler tangiert, sondern absolut jeden betrifft, der einen Browser benutzt. Webstandards sind die Grundlage aller Webseiten, die wir täglich besuchen. Kaum ein durchschnittlicher Anwender wird sich darüber ganz bewusst freuen, wenn Firefox einen neuen Webstandard unterstützt. Der Punkt ist: Wenn wir eine Webseite besuchen, welche auf diesen Webstandard setzt, dann setzen wir als Anwender voraus, dass Firefox diese Webseite auch in vollem Umfang unterstützt. Und in ausnahmslos jeder Firefox-Version gibt es weitere Verbesserungen an der Front der Webstandards. Und so rasant schnell, wie sich das Web entwickelt, ist das auch notwendig. Und damit sind wir auch wieder bei dem Punkt, wieso das Release-Modell mit sechswöchigen Veröffentlichungen ein Segen ist.
Lange Rede, kurzer Sinn: Ganz egal, ob wir viele sichtbare Veränderungen in einem Firefox-Update sehen oder auf den ersten Blick überhaupt kein Mehrwert für uns drin steckt, es gibt kein unwichtiges Firefox-Update und es ist eine schlechte und wenig durchdachte Entscheidung, eine veraltete Version einzusetzen. Wie es auch bei Menschen vor allem auf die inneren Werte ankommt, ist das bei einem Browser nicht viel anders. Am Ende geht es primär um die Darstellung von und Interaktion mit Webseiten und die Verbesserungen hierfür liegen nun einmal unter der Haube und ziehen keine große Aufmerksamkeit auf sich.
Was ist nun aber mit dem Punkt, dass das Update auf Version X die Lieblings-Erweiterung inkompatibel gemacht hat oder eine Einstellung vermisst wird? Das sollte niemals und unter gar keinen Umständen höher als die Sicherheit gewichtet werden. Hier lautet die Empfehlung: Ab ins Forum von camp-firefox.de, denn hier konnte bislang den allermeisten geholfen werden. Meistens gibt es nämlich tatsächlich Alternativen, man muss einfach nur seine Bequemlichkeit ablegen und bereit sein, diese zu finden.
Sören Hentzschel ist Webentwickler aus Salzburg. Auf soeren-hentzschel.at informiert er umfassend über Neuigkeiten zu Mozilla. Außerdem ist er Betreiber von camp-firefox.de, der ersten Anlaufstelle im deutschsprachigen Raum für Firefox-Probleme aller Art. Weitere Projekte sind firefox.agenedia.com, mozilla.de, firefoxosdevices.org sowie sozone.de.
Deswegen habe ich auch immer die neuste Version. Wegen der Sicherheit und weil neu einfach mehr Spaß macht. Für mich wäre es seltsam eine ältere Version zu nutzen.
Die Leute die das ganze nicht ernst nehmen à la ‚Mir kann da sicher nichts passieren‘ sind dann die, die sich laut beschweren wenn doch mal was passiert.
Auch hier drängt sich wieder meine Frage auf; Warum kein automatisches Update? Zumindest bei gefährlichen Sicherheitslücken könnte man das einführen.
Hallo Soeren,
dieser Artikel ist klasse (wie eigentlich jeder deiner Artikel, aber ich denke, man kann es nicht oft genug sagen) und genau diese Denkweise, bzw. Denkhaltung finde ich super. Zwar bietet der Artikel für Informatiker wenig, bis keine neue Information, aber deine Darstellung der Notwendigkeit von Updates und neuen Versionen könnte nicht besser und verständlicher sein. Sollte sich in nächster Zeit jemand über Updates beschweren, so sende ich guten Gewissens einen Link zu diesem Kommentar. Solch qualitative Artikel sollte es an mehr Stellen zu lesen geben.
Da wir gerade über Sicherheit reden: gibt es eigentlich die Möglichkeit, dass ich meine Eingabe des MasterPassworts in einer Firefox-Sitzung „vergesse“? Also mit anderen Worten: ich schließe den FF fast nie, möchte aber meine Passwörter wieder sperren, sodass ich für die Passwörter dann wieder das MasterPasswort eingeben muss. Zum Beispiel, wenn ich mal meinen Rechner aus der Hand gebe. Gibt es da eine solche Funktion? Oder wo kann ich diesbezüglich ein Ticket schreiben?
Danke für eine Antwort und vor allem für deine Beiträge.
Gerade kommt in mir der Gedanke auf, das es sowas doch längst gibt oder täusche ich mich da?
Ich bin mir da echt nicht sicher weil ich die Option immer auf:
[Nach Updates suchen, aber vor der Installation nachfragen] stehen habe
Ich habe es jetzt mal auf [Updates automatisch installieren] gestellt.
Am 10.12.13 hast Du geschrieben:
„Die Artikel zu den Neuerungen von Firefox, Firefox Mobile und Thunderbird werden spätestens zum großen Fest unter dem Weihnachtsbaum liegen. “
Wie weit ist es mit den Artikeln?
Der Artikel oben liesst sich als wenn er im Frust geschrieben wurde …
Zu Zeiten von NSA, PRISM, Snowden, etc. von Sicherheit im Internet zu reden ist ganz schlecht. Da helfen wie im folgenden Artikel ersichtlich ist nicht einmal die Firefox-Updates !?
http://www.golem.de/news/nsa-skandal-das-saeurebad-fuer-die-internet-fuechse-1312-103636.html
Und noch etwas …. wenn man in einem Addon eine existenzielle Anwendung gefunden hat, ist es sehr schlecht diese „Angewohnheit“ abzulegen wenn das Addon plötzlich inkompartibel geworden ist. Da hilft nur bis zur Herstellung der Kompatibilität ein Aufspielen einer vorherigen Version.
Ist mir nicht bekannt. Zumal ja nicht so viel dagegen sprechen dürfte, Firefox im Fall der Fälle neu zu starten, die Sitzung kann ja gesichert werden. Mozillas Bugtracker findest du hier: https://bugzilla.mozilla.org
Korrekt, automatische Updates gibt es seit eh und je. Firefox installiert die Updates allerdings nicht so heimlich wie Chrome, sondern benachrichtigt darüber, aber das macht Mozilla bewusst anders als Google.
Das war der Plan, nun liege ich aber schon ziemlich lange krank flach und hab daher nur begrenzt Energie und bin froh, wenn ich einen Artikel pro Tag veröffentlichen kann. Die Artikel sind aber alle bereits vorbereitet (der größte Teil ist also erledigt), sie müssen „nur“ noch geschrieben werden.
Das ergibt keinen Sinn. Dazu müsste mich das in irgendeiner Weise persönlich betreffen, aber wie könnte dem so sein?
Das eine hat mit dem anderen überhaupt nichts zu tun. Oder arbeiten Cyberkriminelle, welche deine Kontodaten haben oder deinen Computer zu einem Spam-Netzwerk hinzufügen wollen, neuerdings mit der NSA zusammen? Das sind komplett unterschiedliche Baustellen. Wenn wir von Sicherheitslücken in einem Softwareprodukt sprechen, dann hat das relativ wenig mit der NSA zu tun.
Und das ist eben gefährlich. Da ist es besser, überhaupt keinen Browser zu benutzen. Ob ein Add-on ene existenzielle Bedeutung haben kann, da hab ich ja schon meine Zweifel. Aber selbst wenn, wie gesagt, bislang konnte für so ziemlich alles eine Alternative gefunden werden. Genau diese Einstellung von dir ist der Grund, wieso es diesen Artikel gibt. Weil die meisten überhaupt nicht bemüht sind, eine Alternative / einen Workaround / eine Lösung zu finden, da wird ohne Nachdenken einfach eine veraltete Version aufgespielt, ungeachtet aller Konsequenzen.
@ Sören:
Ernsthaft? Gut, Hardening ist der englische Begriff, der Deutsche würde einfach sagen, es hat sein System gehärtet. Aber das ist eigentlich ein ganz bekannter und anerkannter Ausdruck dafür, sein Betriebssystem abzusichern. 😉
@ Gerhard Hallstein:
Es ging eigentlich. Im Grundtenor meinte er ja, ein Browser ist kein besonders hohes Sicherheitsproblem, weil man per Skriptblocker wie NoScript oder FlashBlock viele dieser Prozesse ja kontrolliert abschalten kann, die Ansicht ist auch unter Laien nix Neues. Für den Rest hat er halt darüber geschrieben, wie er Firefox in seinem Arbeitsablauf einsetzt, und dass das für jeden individuell passen muss, ist ja eh klar.
Bei virtuellen Maschinen mag das irgendwo stimmen, aber viele setzen die auch ein, um die Vorteile eines älteren Betriebssystems nicht zu verlieren bzw. auch um z.B. ältere Spiele wieder zum Laufen zu kriegen. Sandboxen sind dagegen öfter im Einsatz als viele denken, weil auch viel eigenständige Software Sandboxen verwendet. Java und der Adobe Reader haben zum Beispiel eigene Sandboxen, in denen ihre Prozesse ausgeführt werden.
Wie gesagt, ich baue auf meinem Windows momentan einiges um und dabei habe ich auch das System weiter gehärtet. Bei den Virenscannern war der Wechsel von Avira auf einen anderen und besseren Scanner schon lange überfällig. Geplant war eigentlich Avast, geworden ist es momentan zumindest Comodo, was ich derzeit teste. Avast kann leider Gottes ne ziemliche Ressourcenschleuder sein und bei CIS habe ich auch die Möglichkeiten, ne Sandbox selber einzusetzen und ggf. ne eigene Firewall zu konfigurieren. Gerade ersteres hat mich u.a. auch dazu bewogen, der Software mal ne Chance zu geben.
Bei den Browsern ist das auch schnell erzählt. Ich hab ja nicht nur einen Browser, sondern mit Trident bzw. dem IE, Chromium und Gecko sind die drei wesentlichen Plattformen auf Windows alle bei mir vertreten. Im Wesentlichen habe ich hier einfach versucht, so gut es geht auf Plugins zu verzichten und auch überflüssige Sachen ansonsten runterzuschmeißen. Der IE muss z.B. auch ohne die ActiveX-Variante vom Flash Player auskommen. 😉 Bin mit dem Thema aber noch nicht durch, geplant ist u.a. noch ne VPN-Nutzung, aber welchen Anbieter ich da nehme oder ob ich mir per Raspberry Pi den VPN-Tunnel selber bastle, das weiss ich noch nicht.
@Kevin:
Du kannst die Optionen für das Skript ja auf deiner Homepage anpassen. Setze einfach in den proFireFoxOptions die Warnung für „unbekannte“ Browser auf „falsch“ (= ausgeblendet).
varproFirefoxOptions = {'other':false};Siehe auch: proFirefox Beschreibung
Eine Antwort noch an Gerhard: Ich bin im Internet seit 1998 und beschäftige mich seitdem intensiv mit Internettechnologien. Ich habe seitdem noch nie ein Antivirenprogramm benutzt, noch nie ein Virus gehabt. Es gab eine einzige Lücke von der ich betroffen war, das war aber ein Windowslücke, die nur im IE zum tragen kam und einzig und allein durch das laden eines Bildes ausgenutzt wurde. Ansonsten werden Lücken nur durch aktive Inhalte übertragen, zumindest im Firefox. Deshalb ist und war es auch immer mein Hauptbrowser. Wenn du alle aktiven Inhalte blockst, so wie ich es tue und nur bei Bedarf zuläßt, hast du mit 99%ig Sicherheit kein Risiko. Größer ist das Risiko wenn du einem Antivirenprogramm vertraust.
Für mich persönlich sind AV Programme Schlangeöl, die nicht auf Computer gehören. Sie wiegen den Benutzer in Sicherheit, wenn du dann aber auf einen zip Anhang klickst, der geschickt verpackt ist, hilft dir das auch nicht mehr.
Ja, ich mache das auch so bei allen, denen ich ihr System einrichte. Kein AV Programm! Du bist verantwortlich dafür ob ein Virus kommt oder nicht. Dazu zählt natürlich auch das updaten von Anwendungen, wobei Windows dabei nicht sonderlich hilfreich ist, da viele Anwendungen von Hand geupdatet werden müssen. Und keiner davon hatte bisher Virenprobleme.
Das Sicherheitsrisiko ist nicht der Browser sondern der User, wer das nicht verinnerlicht fährt tatsächlich gefährlich.
Ich wollte aber gar keine grosse Diskussion vom Zaun brechen, wie gesagt mir ging es MEIN empfinden bei manchen Änderungen, die ein update regelmäßig bei MIR hervor rufen. Und ich daher Verständnis dafür habe, dass jemand vor automatischen updates zurück schreckt und ich empfehle in dem Fall eben die ESR Version, die einen vor manchen nervingen Änderungen zumindest eine Zeitlang schützt und die von dir genannten Sicherheitsrisiken minimiert.
Noch zum PDF Viewer: mein PDF Reader ist ein PDF Viewer der mit Debian mitgeliefert wird, keine Ahnung ob der sicherer ist als das im Browser, aber ich denke schon, denn er macht nichts anderes, als ein PDF anzeigen. Zudem mag ich es auch nicht PDFs im Browser anzuschauen, ich möchte sie in aller Regel runterladen, um sie mir bei gelegenheit in Ruhe durchzulesen. Für mich ist die Verringerung des Risikos durch weniger Aktivität im Browser, die ja dummerweise immer mehr können (und deshalb auch immer mehr geblockt werden muss) ein Vorteil, der nicht durch eine vermeintliche Bequemlichkeit ausgewogen wird.
Ach eine Frage habe ich vergessen. Ich habe hier an meinem alten Rechner, den ich 2003 gekauft hatte, Windows XP drauf – kein AV Programm – da ist noch das Orginalbetriebsystem drauf wie ich es von Aldi damals bekommen habe.
Ich hab aus Interesse wegen den vielen Panikmeldungen auch mal ein Virenprüfprogramm von einer Boot CD was ja regelmäßig der c’t beiligt laufen lassen, es ist kein Virus auf dem System.
Also das kann man so wirklich nicht stehen lassen. Woher möchtest du denn wissen, ob du jemals einen Virus gehabt hast, wenn du nie eine Software installiert hattest, die das erkennt? Das erscheint mir jetzt ziemlich unglaubwürdig. Genauso zweifle ich ganz stark daran, dass du weißt, von wie vielen Sicherheitslücken du wirklich schon betroffen warst.
Alle aktiven Inhalte blocken, das heißt auf Deutsch: JavaScript, XHR-Requests, Objekte, Fonts, iFrames und jetzt kommts: Stylesheets. Auch Stylesheets sind aktiver Inhalt. An dieser Aussage habe ich daher jezt auch schon wieder berechtigte Zweifel. Ich glaube nicht, dass du das CSS aller Webseiten standardmäßig blockierst.
Es hilft dir aber deutlich mehr als wenn du überhaupt keinen Schutz hast. Du glaubst wohl, du könntest nur ein Opfer von Angriffen werden, wenn du unseriöse Inhalte herunterlädst. Darüber sind wir aber schon seit ein paar Jährchen hinaus, Angreifer sind heute viel intelligenter, so eine Drive-By-Infektion kann sich jeder einfangen, egal wie vorsichtig er ist. Häufig geht das ja auch über Webseiten, denen wir normalerweise uneingeschränkt vertrauen, weil diese entsprechend manipuliert wurden.
Ziemlich naive Einstellung…
Auch hieder wieder: Das weißt du überhaupt nicht.
Da stimme ich dir zu. Das größte Sicherheitsriskiko ist der Mensch. Der Mensch, der seine Software nicht aktualisiert und der Mensch, der sich für intelligenter als die Entwickler von Schadsoftware hält…
Das ist sehr unwahrscheinlich, dass er sicherer ist. Er mag auch sehr sicher sein, das kann ja gut sein, aber ganz bestimmt nicht grundsätzlich sicherer. Denn viel weniger Angriffsfläche kann halt einfach nicht geboten werden. Am Ende sind es also dann wahrscheinlich auch nur die Sicherheitslücken, die den Unterschied machen. Bei Mozilla weiß ich wie gesagt, wie schnell und zuverlässig die Lücken behoben werden, zu deinem Linux-Programm kenne ich keine Zahlen.
Was ist das jetzt schon wieder für eine merkwürdige Aussage?
@Sören:
Sicher, dass es wieder funktioniert? :-/ Op(er)a zeigt im Moment gar nichts an (liegt evtl. daran, dass ich es dort ausgeblendet habe bzw. sie aktuell sind) und der IE 10 (Win7) schreibt folgendes:
Cache und Cokies löschen bringt nichts 😀 Und lass mich raten, was mir nun geraten wird: Router neu starten, dass mir ne neue IP etc. zugeteilt wird o.O 😉 😀
Natürlich weiß ich, ob ich Schadprogramme auf meinem Rechner hatte.
Ich schaue regelmäßig die Prozesslisten an und beaobachte den Netzverkehr auf meinem Rechner. Ausserdem hatte ich doch geschrieben, dass ich auch mit einer entsprechenden CD mein System hin und wieder durchsuche. Also ich habe durchaus schon Software benutzt diie nach Viren sucht, aber ich installiere sie nicht auch meinem System. Ich kann also mit 100%iger Sicherheit sagen, dass ich keinen Virus habe.
Und Antivirenprogramme sind nicht „besser als gar kein Schutz“ – wobei ich nie von gar keinen Schutz gesprochen habe. Natürlich musst du dich schützen. Das wichtigste ist, dass du dich nicht meinem Adminaccount einloggst, dann Softwareupdates, dann sollten die problematischsten aktivitäten deaktiviert werden und dann musst du aufmerksam sein. Dieses Verfahren ist immer besser, als der vermeintliche Schutz einer Software.
Aber das ist nicht nur meine Meinung http://blog.fefe.de/?ts=afa06cee
Selbstverständlich versuche ich mich zu informieren, wie gesagt ich mache das erfolgreich seit 15 Jahren, weiß durchaus wovon ich rede. Ich weiß nicht, wie du dazu kommst mich hier in deinem Blog permanent als Naiv hinzustellen? Ich versuche doch auch nicht dich zu beleidigen.
Aber wie schon mehrfach gesagt mein Thema war eigentlich ein ganz anderes. Ich wollte darauf hinweisen, warum manche Leute sich schwer tun bei den updates, wenn sie hinter merken, dass sie wieder etwas in ihrem Arbeitsablauf ändern müssen.
Trotzdem aber noch ein Wort: Weil du es so ausdrückst, ich halte deine These für naiv. Denn natürlich bedürfen alle Lücken einer aktive Mitarbeit. Auch ein Drive-by-download exploit wird nur wirksam werden, wenn die Lücke in dein System eingreifen kann. Mangels Rechten kann aber bei mir und bei den Leuten wo ich den Rechner einrichte kein Programm im Hintergrund das System korumpieren. Das heißt es gibt immer noch eine Hürde, die überwunden werden muss. Wenn es schon an der ersten – im Browser – vorbei gekommen ist, denn die meisten aktiven Inhalte sind ja erst mal bei mir geblockt.
Bei dir klingt das so, als ob ein Rechner mal eben so aus dem Internet befallen werden könnte, nur weil eine CSS oder eine Fonts Datei geladen wurde. Wenn das so wäre, wäre das Internet schon längst nicht mehr benutzbar,
Denn auch wenn du und ich unsere Browser immer aktuell halten, bei der Mehrzahl der normalen User war das lange Zeit nicht so üblich. Ich treffe auch heute noch auf Rechner mit Firefox 3.x. Nach deiner These müßten diese Rechner Virenverseuchte Botschleudern sein, was sie aber in der Regel nicht sind.
Und wenn es wirklich die Möglichkeit gibt, mittels CSS den Versuch zu starten auf meinem Rechner etwas zu manipulieren, dann werde ich den Browser wechseln oder diese Technik deaktiveren. Ich weiß, dass mittles CSS immer mehr die Seiten aktiv gestalten werden können, wenn dort aber Bufferoverflows oder ähnliches entdeckt werden, dann würde ich an der Qualität der Software zweifeln.
Meine „merkwürdige“ Aussage wegen dem zu blockenden Inhalten, weil Browser immer mehr können, bezieht sich auf die Sachen die du selber vorher erwähnst. Angefangen von Fonts, über XHR Request, die FileApi, Audio, Video, PDF – Firefox kann immer mehr wo potentielle Sicherheitslücken lauern und deshalb muss man als aufmerksamer Benutzer sich immer öfter Gedanken machen, was man blockt.
Natürlich ist eine Software, die einzig und allein ein PDF anzeigt – und keinen aktiven Inhalten umsetzt – sicherer, als wenn ich ein PDF, mit JS in einer Umgebung öffne, die viel mehr kann und daher auch mehr Lücken haben kann. Und wenn ich mal ein PDF das aktive Inhalte hat anzeigen muss, dann öffne ich Windows in einer VM.
Ich weiß aber auch nicht warum du so unfreundlich zu mir bist, ursprünglich wollte ich eigentlich nur einen Kommentar über die Probleme, die manche mit den regelmäßigen updates haben, abgeben und habe versucht diese ausführlich zu beschreiben. Aber ich wollte ich nicht grundsätzlich die Aussage des Artikels widersprechen, ich habe ja von Anfang gesagt, dass ich durchaus auch meinen Browser aktuell halte.
Ich fand daher nicht, dass das irgendeinen Anlass zu solch einer ausufernden Diskussion gegeben hätte. Ich habe da offensichtlich in irgendein ein Wespennest gestochen?
Ich habe die letzten Tage genutzt mich mal ein weing über drive-by-download schlau zu machen, da ich diesen Begriff noch nicht häufig gehört habe. (http://www.iseclab.org/papers/driveby.pdf)
Das ist schönes Marketing. Das was diese Phrase beschreibt, ist das wovon ich bisher ausging, dass das die „natürlichste“ Verbreitungsform eines Virus im Browsers ist. Es wird ein Javascript in eine Webseite geschmuggelt, das mittels eines Obfuscator unleserlich gemacht wurde. Dieses JS lädt dann über eine oder auch mehrere Seiten Code nach. Am Ende steht dann eine Lücke im Browser, mit der versucht wird auf dem System Schadsoftware zu installieren.
Das „download“ ist eine natürliche Sache, alles muss im Browser „gedownloaded“ werden und „drive“ ist hier die Ausführung von Schadcode, wenn eine Lücke vorhanden ist.
Diese Masche ist im Firefox ganz einfach zu verhindern, z.b. mit NoScript. Da wird das notwendige JS nicht mehr ausgeführt, wenn es von einer anderen Domain kommt, bzw. müßtest du es explizit zulassen.
Die nächste Hürde ist, die potentiellen Lücken die dein System korumpieren könnten zu deaktiveren, bzw. erst nach Nachfragen zu aktivieren, was ja immer mehr Browser von Haus aus machen. Die meisten beschriebenen Lücken in dem Kontext, betreffen Java, Javascript, Flash, PDF oder ActiveX.
Und die dritte Hürde ist, dass der Firefox natürlich nicht in der Lage sein sollte mit seinen Rechten Software zu installieren. Also, wenn eine Lücke im Fx ausgenutzt wird, dann nur mit meinen (eingeschränkten) Userrechten. Das heißt keine Software- oder gar Treiberinstallation ist möglich.
Mein „Grundtenor“ ist also nicht, dass der Firefox kein Problem darstellt oder das „ohne Schutz“ besser ist, sondern Firefox ist das größte Sicherheitsproblem, dass aber nicht durch eine Software die manchmal funktioniert und manchmal nicht, sicherer wird. Besser als ein Antivirenprogramm ist es z.b. NoScript zu verwenden, da die Software an dem Punkt eingreift, wo Schadsoftware ihre Wege sucht. Das gleiche gilt für andere Gefahrenstelle im System. Aber das vermeintliche erkennen nach einem Donwload, halte ich (und andere) für unsicher.
Ein schönes Beispiel dafür ist diese ältere Meldung eines Drive-by-download Expoit:
http://www.heise.de/newsticker/meldung/Zero-Day-Exploit-fuer-Internet-Explorer-breitet-sich-aus-189633.html
„Zum Anderen haben noch längst nicht alle Hersteller passende Signaturen erstellt. Einen echten Exploit, der heise Security am Dienstag erreichte, erkannten am heutigen Samstag unter anderem CA, Kaspersky, Trend Micro, NOD32, Panda und F-Secure noch nicht.“
Hm.. nein. Ich hab das Problem nochmal weitergegeben.
Wir haben nochmal einen Fix eingespielt. Jetzt sollte es aber wirklich gehen. Der IE könnte weiter ein Problem sein, aber zumindest die FF Version sollte passen.
@ struppi
Du hast hier mittlerweile Romane geschrieben, die außer Sören vermutlich keiner versteht. Einfache Menschen wie mich lässt Du einfach nur doof da stehen, weil Du nur für Insider bzw. „Experten“ verständlich schreibst.
Insofern bist Du schon „naiv“ – zu glauben, jeder könne Deine Ausführungen verstehen. Aber wahrscheinlich schreibst Du ohnehin nicht für einfache Anwender wie mich nach dem Motto „Wer zu dumm ist, mich zu verstehen, ist selbst schuld.“
Deine Fachsprache nervt mich einfach und vergällt es mir immer mehr, dieser Diskussion von Sören weiter zu folgen.
Sorry… Ich weiß, ich kann echt aufhaltend und aufdringlich sein… Aber irgendwie finde ich zwischen der Version (veraltet!?) 31.0.1650.63 und (neu!?) 31.0.1650.63 keinen Unterschied?! Ich hab selbst ne Homepage (die ich für Chrome getestet habe), als ich das Script nochmal eingefügt habe, bekam ich das gegen den Kopf gehauen 😀 😀 😀
Mit rotem Hintergrund 😉 Und wenn ich bei den updates schaue, kriege ich gezeigt Chrome sei aktuell 😀
Eventuell hat chrome inzwischen auch etwas am useragent verändert. Kannst du den useragent bitte einmal posten? Danke.
Edit: Hat sich erledigt. Die Erkennung für Chrome funktioniert nun wieder korrekt und auch der IE 11 wird korrekt erkannt.
Merkwürdig… Nun funktioniert es wieder :-/
Aber für alle Fälle:
Google Chrome Version 31.0.1650.63
MfG
Das Problem wurde ja auch behoben, siehe Edit im vorherigen Kommentar. 😉
Hallo Gerhard!
Im Prinzip schreib ich die Kommenare ja nicht für dich.
Leider wurden hier Aussagen über mich geschrieben, die mich persönlich angegriffen und auch fachlich nicht in Ordnung waren. Daher meine lange und ausführlichen Erläuterungen. Ich weiß zwar nicht, warum du dich jetzt persönlich davon betroffen fühlst, du kannst aber gerne mich fragen, wenn du etwas nicht verstehst. Ich schrieb ebenfalls einen Blog und bin viel in Foren unterwegs, in denen ich Menschen helfe die Fragen zu solchen Themen haben. Aber wie gesagt, meine Antwort war ja nicht an dich gerichtet.
Dass mit der Fachsprache ehrt mich zwar, ist aber falsch, da ich sicher keine Fachsprache spreche/schreibe. Ich zähle lediglich das auf, was andere hier verwenden und im ersten Satz des zweiten Postings schrieb ich, dass ich von einem Begriff vorher noch nicht viel gehört habe. Also ich verstehe wirklich nicht, warum du mir Vorwirfst ich benutze Fachbegriffe, die ich hier nur von anderen aufgreife?
Der einzige Grund, warum ich hier überhaupt kommentiert hatte, war dass ich ein gewisses Verständnis dafür habe, wenn manche Menschen mit updates schwierigkeiten haben und das hatte ich versucht mit – meiner Meinung nach – einfachen Beispielen versucht zu erklären. Alles was darüber hinaus ging, kam nicht von mir, daher sind deine Vorwürfe nicht an mich zu richten, sondern an die, die mir irgendwelche Sachen unterstellen.
Und ich weiß nicht, ob ich es schon gesagt hatte, ich update meinen Firefox!
Ich nutze sogar Firefox auf Linux/Debian, wo normalerweise kein Firefox installiert ist, sondern eine ältere Version namens Iceweasel (https://de.wikipedia.org/wiki/Iceweasel), also gehe ich mit dem Inhalt des Artikels absolut konform.
Nur die Aussage über die vermeintliche Sicherheit eines Antivirenprogramms konnte ich so nicht stehen lassen.
Das ist hoffentlich ein Scherz von dir. Ich glaube nicht, dass du hier von irgendjemandem persönlich angegriffen worden bist. Zum Fachlichen spare ich mir jeden Kommentar.
Was war denn deiner Meinung nach die getroffene Aussage? Im Artikel geht es nicht um den Sinn oder Unsinn von Antiviren-Software. Und in den Kommentaren war davon die Rede, dass du ohne Einsatz von Software nicht behaupten kannst, noch nie von einem Virus betroffen gewesen zu sein, das geht über die Möglichkeiten eines Menschen hinaus.
Naja, die Wortwahl in manchen Antworten die an mich persönlich gerichtet wurden, empand ich als unnötig unsachlich. Begriffe wie „aiv“ und „Laien“, aber auch das ich irgendjemand für dumm halte, empfinde ich als anmaßend. Aber wenn das hier der normale Tonfall ist, musss ich mich wohl entschuldigen.
Das es im Artikel um Antivirenprogramme ging habe ich nicht gesagt, wie kommst du darauf?
Aber dass du ohne Antivirenprogramm nicht kontrollieren kannst, was auf deinem System passiert ist falsch. Natürlich kannst du dein System kontrollieren. Auch wenn Viren viel tun um sich zu verschleiern, müssen sie ja erstmal in der Lage sein dein System zu befallen und dann müssen sie natürlich auch aktiv sein, ansonsten hätte ein Virus ja keinen Zweck.
Der Befall und die Aktivität kannst du natürlich beobachten. Selbstverständlich mit Software. Aber eben nicht mit Antivirensoftware, die fiindet nur das was sie kennt.
Das wurde auch gar nicht behauptet. Es ging darum, mit welcher Sicherheit du meintest, noch nie von einem Virus befallen gewesen zu sein und gleichzeitig sagtest, kein Programm zur Virenerkennung zu nutzen. Wenn überhaupt kann das nur Software erkennen. Das war meine Aussage. Von Kontrolle habe ich in diesem Zusammenhang bestimmt nicht gesprochen.
Übrigens stimmt es auch nicht, dass Antivirensoftware nur das findet, was sie kennt. Darüber sind wir seit ein paar Jahren hinaus. Es gibt Muster für verdächtige Aktivitäten, man kann unbekannte Bedrohungen technisch durchaus erkennen und einen Verdacht aussprechen. Keine Software kann immer 100% erkennen, auch die Entwickler von Schadsoftware machen Fortschritte, ist ja vollkommen klar, aber es ist schon durchaus viel möglich heute.
Darüber kann man geteilter Meinung sein, denn – eben – man kann einen Befall an Aktivitäten erkennen. Ob man dafür unbedingt ein Antivirenprogramm braucht ist eine andere Frage. Das war aber auch die Ausgangslage meiner ursprünglichen Aussage, ich versuche mein System zu kontrollieren, eine Lücke im Browser kann nicht mein System befallen, da der Browser keine Rechte hat um mein System zu kompromittieren. Was anders sind die Lücken im Browser selbst, die durch die immer weiter steigenden Möglichkeiten natürlich auch immer kritischer werden. Daher ist dort – also im Browser – meine Taktik, Aktivitäten, soweit wie möglich, nur bei Bedarf zu zulassen oder ganz zu verweigern. Insofern sind aber z.b. Bufferoverflow Lücken im CSS für mich keine kritischen Lücken.
Aber wie auch immer, da Linux automatisch alle installierte Software aus dem respositories aktuell hält, mach ich es ja so wie du sagst. Letztlich führen aber – zumindest auch für mich – manchmal nervige Änderungen dazu, mit dem Gedanken zu spielen das automatische update zu deaktivieren. Nichtsdestotrotz gibt es auch gute Änderungen, das sollte gar nicht so negativ rüberkommen.