Heise warnt vor dem "Ende der Idylle": mozilla unsicher- XPI mit Trojaner.
Sicherlich, zuerst sollt man sein Hirn einschalten und dann erst klicken - auch bei Mozilla.
Trotzdem frage ich mal nach, da ich als Mozilla-Benutzer jetzt verunsichert bin:

Habt ihr schon mal ne Seite gehabt, wo sich automatisch ein XPI installieren will? Das will doch vorher `ne Bestätigung, oder?
Und habt ihr bei den Einstellungen/Erweitert/Plugins
JavaScript und PlugIns deaktiviert?

Danke im voraus für eure Antworten!

Zitat von der verlinkten Seite:
</font><blockquote>Zitat:</font><hr />...Und nachdem diese Warnung bei allen XPIs erscheint, sind viele Mozilla-Anwender bereits darauf trainiert, sie routinemäßig wegzuklicken. Und damit nimmt unter Umständen das Unheil schon seinen Lauf...</font>[/QUOTE]Ich will die Gefahr gar nicht klein reden, aber dieser Satz sagt eigentlich schon alles. Wenn sich ein Bediender so konditionieren lässt, dass er zwar sensibel genug ist, auf Mozialla oder Firebird umzusteigen, aber auf der anderen Seite nicht merkt, dass im da 'irgendwo' ein XPI angedreht hat, wo er gar keins angefordert hat, dann ist diesem User sicherlich nicht mehr zu helfen. Meine Meinung!

Und nein, ich habe JavaScript und PlugIns nicht deaktiviert?

FUD pur. Der mit Abstand dämlichste Artikel von Heise, den ich jemals lesen mußte. Abgrundtiefe sachliche und logische Fehler zuhauf. Glückwunsch, bald wird Planetopia und Computerbild locker übertroffen.

Cobra

PS: Ich nutze Opera...

@Lutz:
Hatte ja schon öferst mal ein Problem oder 'ne Frage und immer bekam ich von dir postwendend die Antwort. Will mich mal bedanken für deine tolle Arbeit: [img]graemlins/aplaus.gif[/img] :

@cobra:
</font><blockquote>Zitat:</font><hr />Abgrundtiefe sachliche und logische Fehler zuhauf. </font>[/QUOTE]Könntest du mir die wesentlichen Fehler aus deiner Sicht mal nennen (Der Heise-Artikel kam mir ja auch irgendwie spanisch vor)? Andererseits warnte das Rus-cert vor Sicherheitslücken beim alten moz. THX im voraus.

Grüße vom Kador

Ist das nicht offensichtlich? Nun gut:

Kritisiert wird generell die Möglichkeit des Downloadens ausführbarer Dateien mittels eines Browsers. Bemängelt werden die angeblich fehlenden Sicherheitsvorkehrungen bei Mozilla.

a) Ohne ausführbare Dateien ist die Computerei recht aufwendig. Wer diese kritisiert, sollte generell Rechnern fernbleiben. Ahoi, Heise!

b) Sollte man nicht den Browser zum Download des jeweiligen Plugins benutzen, was dann? FTP? SSH? Und was garantiert die Integrität? Eben. Denkt mal drüber nach, Heise....

c) Der Sicherheitshinweis beim Downloaden eines XPIs ist der größte in der Geschichte der Computer. Aber Heise sieht ihn nicht.

d) Eine Signatur _ist_ möglich, im Gegensatz zu der falschen Aussage von Heise.

e) Man kann die ganze sogenannte Sicherheitslücke abstellen: Preferences -&gt; Advanced -&gt; Software Updates. So einfach. Heise weiß das nicht.

Die Meldung kommt einer gleich, die verkündet, daß jegliches OS ausführbare Inhalte auf die Platte bringt, die der User zu vertrauen hat, was ganz schrecklich sei.

Natürlich. "Trust" ist das Schlüsselwort. Das ist es immer. Wem soll man trauen? Viele wissen das nicht.

Cobra

Selten so ein Scheiss gelesen das Symantec Sponsor Logo ist dazu noch das i-Tüpfelchen auf der Seite

[img]graemlins/pfui.gif[/img]

habe mal eine Frage!
Was ist bitte schön XPI?
Arbeite seit einiger zeit auch nur noch mit Mozilla und hoffe, einigermaßen sicher zu sein, was aber mein Mißtrauen nicht ausgeschaltet hat.
Wünsche Euch eine gute Nacht und gehe jetzt auch erst einmal schlafen, es wird Zeit
roberta
[img]graemlins/huepp.gif[/img]

XPI = "Cross Platform Install", das X steht für Cross = Kreux
funktioniert also auf "allen" Systemen
(Windows, Linux/Unix, Macintosh, OS/2, ...)

Die oben angesprochene Warnmeldung sieht übrigens folgendermaßen aus:



Wird wohl ein Dialer sein?!? Habe es aber nicht weiter überprüft. Und nochmal, wer an dieser Stelle auch noch auf 'Jetzt installieren' klickt, dem ist wohl nicht mehr zu helfen...

War gar nicht so einfach, eine Meldung zu bekommen, wenn man mal eine braucht und sich eher selten auf den 'unseriösen' Seiten bewegt...

@Lutz: Mit welcher Mozilla-/Firefox-Version warst du auf der Seite?

Hatte ich das nicht schon angesprochen [punkt c)]?

Selbst mitten im "Artikel" findet sich ein dementsprechender Screenshot. Auweia.

Cobra

</font><blockquote>Zitat:</font><hr />Original erstellt von Cobra:
Hatte ich das nicht schon angesprochen [punkt c)]?

Selbst mitten im "Artikel" findet sich ein dementsprechender Screenshot. Auweia.

Cobra </font>[/QUOTE]Sorry Cobra,
du hast natürlich recht....
Da war ich mit meinen Gedanken wohl ganz wo anders... [img]graemlins/crazy.gif[/img]

@mmk:
Firefox 0.8 (deutsch)

</font><blockquote>Zitat:</font><hr />Original erstellt von Lutz:
@mmk:
Firefox 0.8 (deutsch)</font>[/QUOTE]Wird dort direkt bei Aufruf der Seite der Installationsdialog gestartet (onload)?

</font><blockquote>Zitat:</font><hr />Original erstellt von mmk:
Wird dort direkt bei Aufruf der Seite der Installationsdialog gestartet (onload)? </font>[/QUOTE]Ja exakt!
Ich schick Dir gleich mal per PM die Webseitenadresse, nicht weil sie so 'verboten' ist, aber sonst kommt noch jemand mit IE auf die Idee, dass auszuprobieren...

[ 19. Juni 2004, 21:51: Beitrag editiert von: Lutz ]

@cobras punkt c)
Danke, genau das war`s, was ich wissen wollte.
Wenn man den Heise-Artikel liest, gewinnt man nämlich den Eindruck, dass sich die Malware auch ohne den Sicherheitshinweis öffnen könnte (was auch immer die unter "automatisch installieren", "offen wie ein Scheunentor" verstehen).

Danach habe ich mich getraut, das Heise-Porno-Beispiel anzuklicken (***.xxxtoo******) und dick und breit blendet sich der Mozilla-SicherheitsHinweis ein.

Tja, dann stellt sich für mich nur noch die Frage, warum der Bericht so tendenziös ist. Oder anders gefragt: Warum auf einmal activeX so toll ist? Hinter der Panikmache scheint noch ein anderes Interesse zu stecken.....