Doch, doch, erfahren hast Du es schon, Dir fehlt nur die Zeit, meine Antworten zu lesen und zu verstehen.

Lass es einfach gut sein, wenn du nichts schlüssig begründen kannst. Ich hab dich gefragt wie genau der Firefox den IE verwendet. Und das musst du schon präzise beantworten können wenn du behauptest, dass Firefox-Surfer unter Windows nicht nur die Angriffsfläche von Firefox sondern auch die des IE haben.

Ich muss mich entschuldigen, Steam hat offensichtlich schon vor Jahren auf Webkit umgesattelt.

aaa aaas about acap acct cap cid crid data dav dict dns fax file ftp geo go gopher h323 http https iax im imap info ldap mailto mid news nfs nntp pop rsync pres rtsp sip S-HTTP sips snmp tag tel telnet tftp urn view-source wais ws wss xmpp afp aim apt bolo bzr callto coffee cvs daap dsnp ed2k feed fish gg git gizmoproject irc ircs itms javascript ldaps magnet mms msnim origin secondlife skype spotify ssh svn sftp smb sms steam webcal winamp wyciwyg xfire ymsgr

Noch eine Bluete. Ein neuer Tag, neuer Spass. Ich bin suechtig! :heulen:

Interessant, ich frag dich wie der Firefox genau den IE bzw dessen Engine verwendet und du kommst mit ner Antwort über Steam :D

Kann es sein, dass Bombinho nie behauptet hat, Firefox würde den IE benutzen?
Ich als Nicht-Fachperson finde seine Argumentation nicht sooo abwegig: Windows benutzt den IE intern, also kann es sein, dass dieser läuft, auch wenn man nicht mit ihm surft. Zusätzlich laufen noch andere Programme, die sich mit dem Internet verbinden. Und dann noch ein anderer Browser. Je mehr Programme, desto mehr Lücken - oder?
Jetzt ist die Frage: Wie wird angegriffen. Wenn eine Seite angreift, die man ansurft, wird von ihr nur der Browser benutzt, und es kommt nur auf dessen Sicherheit an - so argumentierst du, und dann macht ein Firefox mit NoScript wieder Sinn.
Kann ich mich darauf aber 100% verlassen? Oder kann der Angreifer mit den Infos, die er bekommt (IP usw.) meinen Computer versuchen, über die anderen Kanäle, darunter auch den IE, anzugreifen? Bombinho meint wohl, dass das möglich ist.
Dann ist aber noch die Frage: möglich vielleicht, aber wie wahrscheinlich? Wahrscheinlicher als dass der Firefox ein böses Skript blockt, dass der IE ALS AKTIV GENUTZTER BROWSER durchgelassen hätte?

Glaubwürdig wie die CDU! :blabla:

Er meinte, die Angriffsfläche mit Firefox unter Windows wäre größer als nur der IE allein, weil der IE ja irgendwie immer im Spiel angeblich ist. Ich bin der Meinung, dass der Firefox (oder ein anderer alternativer Browser) nur seine eigene Browserengine verwendet und man daher auch nur die Angriffsfläche des gerade verwendeten Browsers hat. Aber nicht zusätzlich die des IE.

Wenn ich dann einen Webserver ansurfe kann der aus den Browserinfos sehen welchen Browser ich verwende usw (vorausgesetzt die UserAgent Infos sind im browser nicht verändert worden) Natürlich sieht der auch meine IP (wenn ich hier nichts verschleiere)

Ja, falls eine Lücke im alternativen Browser existiert und indem diese im ausgenutzt wird. Es wurde aber nicht schlüssig dargestellt wie eine IE-Lücke ausgenutzt wird, wenn zum Browsen die IE-Engine garnicht zum Einsatz kommt.

Den Browser kannste nur exploiten, wenn der User auf eine entsprechende Seite gelotst wird. Ein Browser ist ein Client, kein Server, also von außen nicht ansprechbar.

Jetzt bin ich mir sicher, Du machst das nur zu meiner Unterhaltung!

Ich weiss, ich habe ja schon zugegeben, ich bin wohl suechtig nach dem Spass. :heulen:

Ganz genau. Es geht um die Moeglichkeit. Ausgangspunkt war ja die Behauptung, dass eine zusaetzliche Installation des FireFox sicherer ist als die Nutzung des IE.

Alleine die Wahrscheinlichkeit, einer nicht gefixten Sicherheitsluecke des Browsers aufzusitzen ist schon verschwindend gering fuer den Normalnutzer mit aktueller Software und Sicherheitssoftware. Da ist es schon deutlich wahrscheinlicher, dass eines der PlugIns/AddOns angegriffen wird (erfolgreich).

Bleibt natuerlich noch ein Angriff z.B. ueber Pen Tool und Scanner. Kann man auch automatisieren. Dann wird das komplette System abgeklopft. Ab gehobenem Scriptkiddie-Niveau problemlos machbar. Aber der Angreifer hat ja bisher schon entweder ein System uebernommen oder ein nicht zu ihm zurueckverfolgbares System eingestellt.

Und ja, auch die Installation von Sicherheitssoftware ist eine Vergroesserung der Angriffsflaeche aber bei gleichzeitiger massiver Verringerung der Erfolgswahrscheinlichkeit von ueblichen Angriffen.

Was passiert eigentlich, wenn man z.B. "mailto:cosinus@trojaner-board.de" im FireFox aufruft?

Ob Firefox oder IE sicherer ist war eben NICHT meine Frage. Zum hundertsten Mal: Du hast behauptet, die Nutzung des FF unter Windows hätte eine größere Angriffsfläche, weil nämlich die des IEs noch hinzu kommt. Und für diese Behauptungen hätte ich gern mal ein paar Untermauerungen, Gedanken etc statt irgendwelcher Nebelkerzen...

Hat so mal wieder nix mit dem Thema zu tun.

ihr redet aneinander vorbei.....

Du denkst, das ist keine Absicht von Cosinus?
Aber mittlerweilen weiss ich nicht mehr ob ich mich staendig vor Lachen waelzen oder lieber doch weinen soll.

ich hätte da mal nen vorschlag.

cosinus hört auf auf dem thema "ie durch ff steuern" rum zu reiten, und machst mal ne konkrete ansage anstatt hier 20 posts lang drum rum zu reden und ins lächerliche zu ziehen.

dann könnte man das fast als diskussion durchgehen lassen ;)

Endlich mal ne klare Ansage....ich warte ja schon seit zig Posts wie genau eine IE-Lücke im Firefox ausgenutzt werden können soll :D

Ich hatte eigentlich nicht vor, eine Schritt fuer Schritt-Anleitung zu geben, wie man ein System auf Schwachstellen testet. Ist auch irgendwie nicht meine Aufgabe.

Und ich bin mir nicht sicher, ob ich damit ueberhaupt ansatzweise den gewuenschten Erfolg erzielen wuerde.

Dabei habe ich schon aus Verzweiflung ganze Zaunsegmente geschwungen.

Selbst die Analogie Dateityp - Protokoll lief in das Leere?! Als moeglicher Angriffsvektor vom Browser aus.
Nicht einmal die Erwaehnung von Pen Tools hat auch nur den leisesten Aha Effekt erzielt.

Wie konkret muss ich denn werden? Soll ich eine Liste aller verwendeten Exploits aus allen verfuegbaren Pentools erstellen? Soll ich saemtliche Geheimdienste um Mitarbeit durch Zuschicken von vorliegenden Schwachstellen bitten. Soll ich zum Einschlafen Netzwerk Traffic-Logs vorlesen und erklaeren? Soll ich in meiner Kristallkugel alle zukuenftig entdeckten Moeglichkeiten von Angriffsarten schon mal aus dem Nebel fischen?

Eigentlich reichen Grundlagen der Mathematik doch aus, um zu erkennen, dass bei der Addition von Natuerlichen Zahlen niemals ein Ergebnis herauskommen kann, das kleiner ist als die groessere Zahl, alleine der Zweifel daran haette mich vorwarnen sollen.

Aber ich habe meine Zeit nicht verschwendet, ich habe jede Menge Lustiges gelesen.

Autsch, aber mein Tag ist ein weiteres Mal gerettet.

Waere das konkret genug: hxxp://betanews.com/2005/03/14/java-flaw-enables-cross-browser-attack/ ?

ich weiß ja dass du recht hast, ich wollte nur versuchen die diskussion auf ne normale ebene zu bringen ;)