@deeprybka: Vielen lieben Dank für den interessanten Tipp! Das scheint mir wirklich ein vernünftiger Ansatz. Sandbox kenn ich ja schon aber wenn es nur um sicheres Surfen geht, scheint das eine viel schlankere und optimierte Variante. Ich werde es sofort testen. Sehr sympathisch finde ich auch, dass es eine Open-Source Version gibt. Außerdem ist diese Lösung einfach und nachvollziehbar.

@mort: Danke für den Link! Ich habe durch den Text zwar verstanden, wie komplex und diffus ein Angriff verlaufen kann, aber eine wirkliche zufriedenstellende Lösung kann ich daraus nicht ableiten. Ich sehe sie jedenfalls nicht in Bing.

Nach wie vor frage ich mich, welcher Bestandteil von HTML (und allem was darin enthalten sein kann, wie z.B. Javascript, Flash etc.) solche Unsicherheiten verursacht und warum das solchen Systemen wie Linux und Mac kaum juckt. Letztendlich möchte man doch nur Informationen auf dem Browserbildschirm. Warum ist es nicht möglich, die Funktionsvielfalt einer (Browser-)Skriptsprache nur auf die Darstellung von "Browserelementen" zu beschränken und den Rest einfach nicht zuzulassen. Technisch sollte das doch kein Thema sein. Hängt Oracle, Adobe und Konsorten da mit drin im Hamsterrad?
Ist es eigentlich in der Regel immer Java-Script (Java ist weder bei mir, noch bei meiner Freundin installiert), was derartige Probleme verursacht? Warum hat sich der Mist dann so durchgesetzt? Und wenn dem so ist, dann wäre man ja mit Noscript glücklich, solange man abschätzen kann, welches Skript gut oder bösartig ist.
Warum ist es nicht möglich, nur bestimmte Befehle zuzulassen bzw. zu blockieren. Z.B. diejenigen, die ausführbare Dateien starten etc. Wie sieht es aus mit PHP, was ja serverseitig ausgeführt wird? Im Endeffekt könnte doch der Browser jede HTML-Seite "parsen" und bestimmte "unsichere" Befehle, die nichts mit Webseiten-Darstellung zu tun haben, vor dem Ausführen eliminieren... oder?

Sorry für die vielen Fragen aber das Thema ist so interessant wie komplex

LG, Andi

Zitat:

Zitat von SchotenAndi

Letztendlich möchte man doch nur Informationen auf dem Browserbildschirm. Warum ist es nicht möglich, die Funktionsvielfalt einer (Browser-)Skriptsprache nur auf die Darstellung von "Browserelementen" zu beschränken und den Rest einfach nicht zuzulassen.

Exakt. Das würde eigentlich reichen. Nur: die diversen Anbieter und wohl auch die meisten Nutzer wollen offensichtlich Multimedia klicki bunti mit Bewegung und Ton. Und auch da gibt es Unterschiede: man könnte Film- und Tonformate (sowie pdf und Textformate) so gestalten dass kein ausführbarer Code drin enthalten ist, aber die Hersteller haben leider anders entschieden. Und somit kann in jedem Film, in jedem Musikstück, in jedem Office Dokument und sogar in jedem .pdf Schadsoftware enthalten sein, die schlimmstenfalls die (immerhin eingebauten) Sicherungsmaßnahmen umgeht und deinen Rechner infiziert.

Selbst wenn die Hersteller da mehr auf Sicherheit "im Design" bedacht gewesen wären: wenn dein Bildbetrachter eine Lücke hat kann selbst das Öffnen eines Bildes Schadcode ausführen.

=> 100 % Sicherheit gibt es nicht, egal was du tust.

An die "Bitbox" hatte ich auch schon gedacht, ich weiß aber nicht ob die noch aktuell genug ist, außerdem glaube ich dass sie für den Laptop deiner Freundin (der wie du schreibst nicht so schnell ist) das Richtige ist: in der Bitbox läuft ein Linux in einer VM in dem ein Browser läuft.

Wenn du das Risiko also wirklich minimieren willst könntest du statt dessen auf dem Laptop deiner Freundin ein Linux als Dual Boot installieren (bei langsamer Hardware & Anfängern empfehle ich Lubuntu oder OpenSuse mit LXDE als Desktop (OpenSuse, bei Installation "anderer Desktop" klicken, dann "LXDE" wählen).

Linux ist vom Design her nicht wirklich sicherer als Windows 7, da aber nur 2 % aller Desktops mit Linux ausgestattet sind lohnt es sich für die Kriminellen nicht Schadsoftware dafür zu schreiben. Somit surfe ich unter Linux reichlich unbeschwert. Als "Paranoiker" habe ich zusätzlich noch Adblock Plus (viele Kriminelle liefern Schadprogramme über Werbebanner aus- solange die Anbieter das nicht absichern surfe ich nur mit Adblocker) und Noscript.

Ehrlich gesagt muss ich aber auch sagen dass bisher bei den Windows Rechnern um die ich mich gekümmert habe nie groß was passiert ist. Wenn du also die Tipps die hier im Forum unter den Anleitungen als "wie sicherer ich einen Rechner ab" beherzigst reduzierst du die Wahrscheinlichkeit dich mit Schadsoftware herumzuärgern schon gewaltig.

W_Dackel, ich danke dir für die aufklärenden Worte! Genauso verständlich, wie du die Sachlage formuliert hast, so traurig ist ihre Existenz.

Zitat:

Zitat von W_Dackel

=> 100 % Sicherheit gibt es nicht, egal was du tust.

Das stimmt, aber ich möchte wenigstens entscheiden können, was ich tue bzw. was getan wird. Deshalb suche ich nach Lösungen mit mehr Kontrolle, was natürlich auch mehr Know How voraussetzt. Ich selbst könnte mich mit Noscript anfreunden aber meine Freundin wird damit überfordert sein. Eine andere Schlussfolgerung nach allen Tipps und Kommentaren wäre, alle (unsicheren) Standard-Komponenten gegen Alternativen auszutauschen: Windows > Linux; Firefox > Chrome (s.u.); Acrobat Reader > Sumatra PDF etc.)

Bezüglich meines Thread-Titels habe ich eine interessante Seite gefunden:
hxxp://www.extremetech.com/computing/178587-firefox-is-still-the-least-secure-web-browser-falls-to-four-zero-day-exploits-at-pwn2own
Eigentlich wird hier genau bestätigt, was ich vermutet habe. Danach bin ich schon fast in die Versuchung gekommen, auf Chrome umzuschwenken. Und interessanterweise kommt hier die Sandbox wieder ins Spiel.
Aber eigentlich gefällt mir Firefox mit den nützlichen Plugins und so habe ich mich weiter auf Suche begeben. Fündig geworden bin ich hier:
hxxp://sandbox.secubrowser.com
und hier:
hxxp://www.chip.de/downloads/Secure-Browser-by-Dell_43910274.html
Bisher getestet habe ich nur SecuBrowser und es funktioniert ziemlich gut. Einzige Nachteil ist eben der "virtuelle Speicherort" der Daten. Aber da lässt sich ja was machen. Bisher ist die Sandbox-Lösung in meinen Augen die einzige "sorglos"-Konfiguration für komfortables und uneingeschränktes Surfvergnügen, die auch für ältere Rechner funktioniert. Grundsatz dabei: generell aufpassen, wo man hin surft und wo man drauf klickt aber nicht Übertreiben. Wenn was passieren sollte (ist mir mit der genannten Methode bisher nur sehr selten), lässt sich Firefox in Sekunden wiederherstellen und weiter geht's.

Zitat:

Zitat von W_Dackel

An die "Bitbox" hatte ich auch schon gedacht, ich weiß aber nicht ob die noch aktuell genug ist, außerdem glaube ich dass sie für den Laptop deiner Freundin (der wie du schreibst nicht so schnell ist) das Richtige ist: in der Bitbox läuft ein Linux in einer VM in dem ein Browser läuft.

Ja, vollkommen richtig! Auch das habe ich heute Abend ausprobiert. In der Tat kommt diese Lösung aus Performance-Gründen nicht in Frage. Eigentlich schade.

Zitat:

Zitat von W_Dackel

Wenn du das Risiko also wirklich minimieren willst könntest du statt dessen auf dem Laptop deiner Freundin ein Linux als Dual Boot installieren (bei langsamer Hardware & Anfängern empfehle ich Lubuntu oder OpenSuse mit LXDE als Desktop (OpenSuse, bei Installation "anderer Desktop" klicken, dann "LXDE" wählen).

Vielen Dank für die Info! Ich selbst hatte ihr auch bereits Linux als Standard-System empfohlen aber sie hängt doch sehr an einigen Programmen, die nicht gut unter Wine laufen würden.
Darf ich ganz nebenbei fragen, welche Linux-Distrtibution du verwendest?
PS: ich browse überwiegend mit einem PowerPC der Marke Apple... auch zieeeemlich unbeschwert ;-)

LG, Andi