Zitat:

Zitat von cosinus

Das Problem in dieser Diskussion die sich hier auftut liegt eigentlich nur am Sonderfall Windows/IE, denn der IE lässt sich nicht deinstallieren.

Da nenne ich schon extra Beispiele und Du atmest immer noch ausschliesslich die Luft in deinem Buero. *Kopf kratz*
Der IE ist vielleicht kein ausgewiesener Service, bietet aber durchaus aehnliche Features und wird vom System fuer diverse Aktionen benutzt, ob Du das willst oder nicht glaubst, interessiert Windows ziemlich wenig. Dabei dachte ich immer, das waere dein Fachgebiet?

Und ja, dieser Fall mit dem IE betrifft nur Windows und eigentlich gibt es ja viele Versionen vom IE und die verfuegbaren Versionen sind auch noch abhaengig von der Windowsversion.

Statt Dein Schicksal in die Haende von Jose Maria, Brad, Giorgio, "Mozilla", etc. zu legen koenntest Du auch im IE alles in geeignete Zonen legen und voila, Du darfst selbst bestimmen, wer Javascript ausfuehren darf und wer nicht. Das ganze funktioniert so aehnlich auch in Chrome. Und soll sogar im Firefox funktionieren. Aber dazu muesste man wohl mal was selber machen und verstehen, wie das Ganze funktioniert.

Wie eingehend erwaehnt, liegt genau dort die Schwierigkeit (Unzumutbarkeit?) fuer den Laien.

Zitat:

Zitat von bombinho

Da nenne ich schon extra Beispiele und Du atmest immer noch ausschliesslich die Luft in deinem Buero. *Kopf kratz*

Das Wiederholen von dämlichen Beispielen macht diese nicht besser.
Nochmal: beim Surfen kannst du entweder nur Browser X oder Browser Y verwenden. Aber nicht gleichzeitig X und Y (es sei denn du machst bei jeder Session auch immer zwei verschiedene Browser auf und rufst dann manuell alles zweimal auf, in jedem Browser je 1x ) und erst recht keinen Browser Z, der die Engines und somit auch Angriffsflächen von X und Y vereint.

Zitat:

Zitat von bombinho

Der IE ist vielleicht kein ausgewiesener Service, bietet aber durchaus aehnliche Features und wird vom System fuer diverse Aktionen benutzt, ob Du das willst oder nicht glaubst, interessiert Windows ziemlich wenig. Dabei dachte ich immer, das waere dein Fachgebiet?

Ich kann deiner skurilen Logik nicht folgen.
Was hat das mit Firefox, Chrome oder einem anderen alternativen Browser zu tun?
Wenn ich unter Windows mit Firefox oder Chrome auf eine gecrackte Seite surfe, welche Exploits für einen verwundbaren IE hat, dann nimmt mein System welchen Schaden?
Auf die Erklärung bin ich ja mal gespannt, denn du behauptest ja man habe eine größere Angriffsfläche unter Windows wenn man einen anderen Browser als IE nimmt.

Zitat:

Zitat von bombinho

Wie eingehend erwaehnt, liegt genau dort die Schwierigkeit (Unzumutbarkeit?) fuer den Laien.

Eben. Deswegen NoScript für Firefox oder meinetwegen NotScripts für Chrome. Erfordert auch etwas Einarbeitung aber ist imho ja nun eindeutig komfortabler das Rumgefrickel im IE.

Zitat:

Zitat von cosinus

Ich kann deiner skurilen Logik nicht folgen.
Was hat das mit Firefox, Chrome oder einem anderen alternativen Browser zu tun?
Wenn ich unter Windows mit Firefox oder Chrome auf eine gecrackte Seite surfe, welche Exploits für einen verwundbaren IE hat, dann nimmt mein System welchen Schaden?
Auf die Erklärung bin ich ja mal gespannt, denn du behauptest ja man habe eine größere Angriffsfläche unter Windows wenn man einen anderen Browser als IE nimmt.

Okay, ich soll jetzt mit wenigen Saetzen komplette Angriffsszenarien schildern, das macht Sinn.

Also Erstens, wenn du auf einen Server kommst, der als Angreifer benutzt wird, bist du sicher, dass dieser nur brav Standard-IP-Pakete zurueck schickt?
Wenn ein solcher Server deine IP hat und weiss, dass Du online bist, koennte er vielleicht sogar alles Denkbare spoofen und damit eben den IE angreifen?
Das geht von Annahmen treffen bis Port abklappern, er koennte ueber svchost den IE erreichen oder ueber Steam oder ueber ein geschickt gemachte WPAD Antwort oder oder oder ...

Und zusaetzlich koennte er, da er ja ohnehin weiss, dass Du gerade mit dem FF oder Chrome,... unterwegs bist, ebenfalls Exploits auf diese abfeuern, da dieser ja oihnehin bereit ist, Alles anzunehmen.

Ergo, wenn der IE nicht mitspielen will, bleibt noch der Alternativbrowser oder umgedreht.
Ich sehe immer noch nicht, wie sich da die Angriffsflaeche nicht vergroessert.

Aber gluecklicherweise sind solche Szenarien nicht sehr haeufig und auch ganz schoen aufwaendig. Das solltest Du am Besten wissen.

Schon alleine, wenn Du Dich mal erinnerst, wie oft Leute hier um Hilfe suchen, die trotz aktueller Browser und halbwegst brauchbarer Sicherheitssoftware einem Drive-By aufgesessen sind. Und der dann auch noch Schaden angerichtet hat.

Sicher hat ab und an mal ein breit ausgestreuter Zero-Day ein wenig um sich gegriffen. Aber es macht meist wenig Sinn, den Diamanten zum Heizen zu verwenden, auch wenn es moeglich ist.

Aber die uebergrosse Menge sind wohl doch auf Benutzeraktion zurueckzuefuehren und das hatten wir ja ohnehin ausgeschlossen, da es wenig Unterschied macht, mit welchem Programm Du dir die Schadsoftware runterlaedst, die Du dann auch noch startest.

Aber eigentlich hast Du ohnehin Deine Meinung. Macht Dich irgendwie sympathisch, jemand, der fuer seine Meinug eintritt, egal was passiert.