nicht angemeldet
Der Martin
Struppi
Der Martin
Struppi
Der Martin
Struppi
Der Martin
Struppi
Der Martin
Struppi
Der Martin
Struppi
molily
Hallo zusammen!
Folgendes Problem habe ich:
Wenn ich im IE 6 eine html-Seite mit Java-Scripts DIREKT VON DER FESTPLATTE aufrufe (z.B. mit der menubar Funktion aus SelfHtml), wird die Seite blockiert mit der Meldung "Das Anzeigen aktiver Inhalte, die auf den Computer zugreifen, wurde für diese Datei aus Sicherheitsgründen eingeschränkt...". Was ich erreichen will, ist eine Seite ohne Standardschaltflächen und ohne Adressleiste.
Ich kann die Inhalte zulassen, aber das ist ziemlich lästig, weil es jedesmal passiert.
Wenn ich die selbe html-Datei von einem Web-Server öffne, bekomme ich keine Meldung und alles klappt.
Das ganze scheint nicht mit der Sicherheitseinstellung zusammenzuhängen (zumindest habe ich nichts gefunden).
Kennt jemand das Problem und gibt es Abhilfe?
Ich würde mich sehr über Rückmeldungen freuen.
Vielen Dank und Grüße,
Michael
Wow! Hatte ich nicht gefunden.
Vielen Dank für die rasche Reaktion,
Michael
Hallo Martin Hölter,
...nehme ich anhand der Indizien mal an. ;-)
http://aktuell.de.selfhtml.org/tippstricks/sonstiges/markoftheweb/
Hochinteressant.
Das ist ja das hirnverbranteste, was ich bis jetzt über den IE6 gelesen habe: Er stuft *lokale* Ressourcen kritischer ein als das gemeine böse Internet? Das ist 180° entgegengesetzt zu meiner eigenen Auffassung und Meinung. Für lokale Ressourcen lasse ich nahezu alles zu, denn die kann ich selbst kontrollieren, kann sie also "vor Gebrauch" soweit entschärfen, dass ich sie dann gefahrlos nutzen kann. Dafür sind die Sicherheitseinstellungen für Online-Ressourcen bei mir *sehr* restriktiv, denn da weiß ich nie, was mich erwartet.
Auweia nee... :-|
So long,
Martin
Hochinteressant.
Das ist ja das hirnverbranteste, was ich bis jetzt über den IE6 gelesen habe: Er stuft *lokale* Ressourcen kritischer ein als das gemeine böse Internet? Das ist 180° entgegengesetzt zu meiner eigenen Auffassung und Meinung. Für lokale Ressourcen lasse ich nahezu alles zu, denn die kann ich selbst kontrollieren, kann sie also "vor Gebrauch" soweit entschärfen, dass ich sie dann gefahrlos nutzen kann. Dafür sind die Sicherheitseinstellungen für Online-Ressourcen bei mir *sehr* restriktiv, denn da weiß ich nie, was mich erwartet.
Oh, dann sind dir die Tricks von Leuten die was von deinem Rechner nicht bekannt. Es gab und evtl. gibt es noch, Sicherheitslücken mit denen du eine lokale Datei erstellen konntest oder kannst. Also nichts einfacher als eine lokale JS Datei erstellen und auf geht's - aus genau den von dir genannten Gründen.
Struppi.
Hallo,
[...] Dafür sind die Sicherheitseinstellungen für Online-Ressourcen bei mir *sehr* restriktiv, denn da weiß ich nie, was mich erwartet.
Oh, dann sind dir die Tricks von Leuten die was von deinem Rechner nicht bekannt. Es gab und evtl. gibt es noch, Sicherheitslücken mit denen du eine lokale Datei erstellen konntest oder kannst. Also nichts einfacher als eine lokale JS Datei erstellen und auf geht's - aus genau den von dir genannten Gründen.
Nein, so weit kommen die bei mir gar nicht erst. Dazu müssten sie über JScript, ActiveX, Java, oder ähnliche sog. Aktive Inhalte erst mal an meinen Rechner rankommen. Und da scheitern sie dann schon.
Die Sicherheitslücken, die du andeutest, sind mir vage bekannt - aber sie sind nicht existent, sobald ich kategorisch keine aktiven Inhalte mehr zulasse. Und aus genau diesem Grund waren diese "Sicherheitslücken" in all den rund sieben Jahren, die ich nun schon mit dem IE im Internet unterwegs bin, für mich noch nie ein Thema.
Schönen Tag noch,
Martin
Nein, so weit kommen die bei mir gar nicht erst. Dazu müssten sie über JScript, ActiveX, Java, oder ähnliche sog. Aktive Inhalte erst mal an meinen Rechner rankommen. Und da scheitern sie dann schon.
Bei dir - du vergißt aber wie M$ Windows ausliefert.
Wobei selbst deine Einstellung im IE nichts nutzt es gab auch eine Lücke, wo komplett ohne ActiveX o.ä ein Zugriff stattfindet, über das Windows Hilfesystem.
Die Sicherheitslücken, die du andeutest, sind mir vage bekannt - aber sie sind nicht existent, sobald ich kategorisch keine aktiven Inhalte mehr zulasse. Und aus genau diesem Grund waren diese "Sicherheitslücken" in all den rund sieben Jahren, die ich nun schon mit dem IE im Internet unterwegs bin, für mich noch nie ein Thema.
Dann hast du einfach Glück gehabt und die richtigen Seiten besucht.
Wie gesagt es gab durchaus schon Lücken die du nicht schliessen kannst, z.b. konnte auch Buffer Überlauf auch (wo mir aber kein Anwendungsfall bekannt ist) einfach über das betrachten eines Bildes erzeugt werden.
Struppi.
Hi,
Bei dir - du vergißt aber wie M$ Windows ausliefert.
das vergesse ich nicht. Aber wer Windows mit all seinen Zusatzkomponenten einfach so auf die Welt loslässt, ohne einige Grundeinstellungen sinnvoll anzupassen, der ist -das unterstelle ich jetzt mal- ein Laie und ein Hobby- oder Privatnutzer. Denn als geschäftlicher Anwender hätte er jemanden, der sich mit der Materie auskennt, und sei es ein Bekannter, der ab und zu mal für'n Bier oder ein Fußballticket oder wasweißich nach dem Rechten sieht.
Dieser laienhafte Hobby-Anwender findet offensichtlich auch nichts dabei, wenn er alle paar Monate diese Installationsprozedur wiederholen muss, weil die Kiste nicht mehr stabil läuft. "Das ist halt so."
Und nein, es ist nicht so, wenn man ein bisschen Sorgfalt walten lässt. Sowohl unter Win98 wie auch unter Win2k habe ich Rechner, die schon drei Jahre und mehr ohne Neuinstallation und ohne gravierende Panne laufen. Und das nicht merklich schlechter als frisch nach der Installation.
Fazit: Wer sich ein bisschen mit dem System auskennt und trotzdem alles bei den M$-Defaulteinstellungen lässt, handelt IMHO fahrlässig und hat es nicht besser verdient.
Wobei selbst deine Einstellung im IE nichts nutzt es gab auch eine Lücke, wo komplett ohne ActiveX o.ä ein Zugriff stattfindet, über das Windows Hilfesystem.
Weiß ich. Aber wie soll eine Webseite ohne JS und ähnliche Dinge auf das Windows-Hilfesystem zugreifen können? Das Problem war nicht, dass der Rechner aus dem Internet angreifbar gewesen wäre, sondern dass ein lokaler *Anwender* durch Aufruf der Windows-Hilfe auch Dinge erreichen konnte, die eigentlich gesperrt waren. Dazu müssten die bösen Buben allerdings erstmal bei mir einbrechen - und dann hätte ich ganz andere Sorgen als die Frage, ob mein PC infiziert ist oder nicht.
Dann hast du einfach Glück gehabt und die richtigen Seiten besucht.
Nein, nicht Glück. Umsicht und eine gesunde Skepsis.
Wie gesagt es gab durchaus schon Lücken die du nicht schliessen kannst, z.b. konnte auch Buffer Überlauf auch (wo mir aber kein Anwendungsfall bekannt ist) einfach über das betrachten eines Bildes erzeugt werden.
Ja, mit bestimmten fehlerhaften JPEG-Grafiken. Aber soweit ich mich erinnere, war das auch nur unter ziemlich abenteuerlichen Voraussetzungen möglich oder gar schädlich.
So long,
Martin
Erstmal damit wir uns nicht falsch verstehen, ich hhandhabe das ähnlich wie du, trotzdem vermeide ich es mit dem IE ins Internet zu gehen weil es eben nicht so einfach ist wie du es darstellst.
das vergesse ich nicht. Aber wer Windows mit all seinen Zusatzkomponenten einfach so auf die Welt loslässt, ohne einige Grundeinstellungen sinnvoll anzupassen, der ist -das unterstelle ich jetzt mal- ein Laie und ein Hobby- oder Privatnutzer. Denn als geschäftlicher Anwender hätte er jemanden, der sich mit der Materie auskennt, und sei es ein Bekannter, der ab und zu mal für'n Bier oder ein Fußballticket oder wasweißich nach dem Rechten sieht.
Na hoffentlich. Wenn nicht ist dieser Rechner eine potientielle Spamschleuder, die Passwörter nicht sicher usw. usf.
Dieser laienhafte Hobby-Anwender findet offensichtlich auch nichts dabei, wenn er alle paar Monate diese Installationsprozedur wiederholen muss, weil die Kiste nicht mehr stabil läuft. "Das ist halt so."
Unter WindowsXP hab ich das bisher so noch nicht festgestellt, bei mir läuft das seit knapp 2 Jahren stabil ohne Neuinstallation.
Und nein, es ist nicht so, wenn man ein bisschen Sorgfalt walten lässt. Sowohl unter Win98 wie auch unter Win2k habe ich Rechner, die schon drei Jahre und mehr ohne Neuinstallation und ohne gravierende Panne laufen. Und das nicht merklich schlechter als frisch nach der Installation.
Jaja, ich auch - wir hier reden aber nicht von uns
Fazit: Wer sich ein bisschen mit dem System auskennt und trotzdem alles bei den M$-Defaulteinstellungen lässt, handelt IMHO fahrlässig und hat es nicht besser verdient.
Erzähl das M$, das Problem ist - der Anwendner möchte es so bequem wie möglich haben und M$ erfüllt dies soweit wie möglich, dass sie sich damit einen Bärendienst erwiesen haben als Kriminelle das Internet entdeckten, ist schon klar. Aber so ist die Situtation. Letztlich sind M$ dafür verantwortlich, nur Rechtlich halt nicht.
Wobei selbst deine Einstellung im IE nichts nutzt es gab auch eine Lücke, wo komplett ohne ActiveX o.ä ein Zugriff stattfindet, über das Windows Hilfesystem.
Weiß ich. Aber wie soll eine Webseite ohne JS und ähnliche Dinge auf das Windows-Hilfesystem zugreifen können? Das Problem war nicht, dass der Rechner aus dem Internet angreifbar gewesen wäre, sondern dass ein lokaler *Anwender* durch Aufruf der Windows-Hilfe auch Dinge erreichen konnte, die eigentlich gesperrt waren. Dazu müssten die bösen Buben allerdings erstmal bei mir einbrechen - und dann hätte ich ganz andere Sorgen als die Frage, ob mein PC infiziert ist oder nicht.
Nein, das Problem ist, das mit Hilfe einer Lücke es möglich ist eine lokale Datei zu installieren und auszuführen, diese hat dann die von dir beschriebenen Rechte.
Hier ist z.b. eine
http://www.heise.de/security/dienste/browsercheck/demos/ie/e5_15.shtml
die angeblich im IE 5 nicht mit abschalten von ActiveX zu verhindern ist.
Wie gesagt es gab durchaus schon Lücken die du nicht schliessen kannst, z.b. konnte auch Buffer Überlauf auch (wo mir aber kein Anwendungsfall bekannt ist) einfach über das betrachten eines Bildes erzeugt werden.
Ja, mit bestimmten fehlerhaften JPEG-Grafiken. Aber soweit ich mich erinnere, war das auch nur unter ziemlich abenteuerlichen Voraussetzungen möglich oder gar schädlich.
Jeder Buffer Überlauf kann schädlich sein.
http://www.heise.de/security/news/meldung/65914 abenteuerlich finde ich das betrachten von Grafiken meistens nicht.
wie dem auch sei. Du und ich haben ActiveX im Internet ausgeschaltet, aber M$ wird sich hüten das wirklich zu empfehlen (obwohl sie es bereits haben soweit ich weiß), denn sie wollen natürlich das ihr Browser weiterhin die tollen bunten bewegten Seiten darstellt. Und wenn ich mir dann diese Liste anschaue:
http://www.heise.de/security/dienste/browsercheck/demos/ie/
wo mehere Lücken dabei sind, die lokale Dateien ausführen, ist der von dir bemängelte Sicherheitshinweis bei lokalen Dateien durchaus berechtigt. Auch wenn das vielleicht bei dir nicht gilt. Müssen sicher viele Anwender dankbar darüber sein, dass das M$ engebaut hat.
Struppi.
Hallo,
Erstmal damit wir uns nicht falsch verstehen, ich hhandhabe das ähnlich wie du, trotzdem vermeide ich es mit dem IE ins Internet zu gehen weil es eben nicht so einfach ist wie du es darstellst.
für mich *ist* es so einfach. Und ich surfe seit Jahren mit dem IE (<6!!), benutze Firefox & Opera nur wenn es unbedingt sein muss, etwa zum Testen.
Unter WindowsXP hab ich das bisher so noch nicht festgestellt, bei mir läuft das seit knapp 2 Jahren stabil ohne Neuinstallation.
Das mag sein - Windows XP kenne ich nur oberflächlich "vom Zugucken". Was ich bisher gesehen habe, ermutigt mich auch nicht gerade zum Umstieg. Aber das Thema sollten wir nicht schon wieder vertiefen.
Nein, das Problem ist, das mit Hilfe einer Lücke es möglich ist eine lokale Datei zu installieren und auszuführen, diese hat dann die von dir beschriebenen Rechte.
Hier ist z.b. eine
http://www.heise.de/security/dienste/browsercheck/demos/ie/e5_15.shtml
die angeblich im IE 5 nicht mit abschalten von ActiveX zu verhindern ist.
hab ich gerade mal ausprobiert (IE 5.5 SP2 unter Win2k mit SP4, aber JS und ActiveX deaktiviert).
Ergebnis: Negativ. Wie erwartet. Nix passiert.
http://www.heise.de/security/news/meldung/65914 abenteuerlich finde ich das betrachten von Grafiken meistens nicht.
Oh, das ist noch etwas anderes als ich meinte. Hier geht es ja um WMF, also das Windows-interne Bildformat, das in Form von .wmf-Dateien allerdings sehr, sehr selten ist. Ich meinte tatsächlich ein Problem mit JPEG-Grafiken, das aber angeblich nur bei einer recht unwahrscheinlichen Kombination von Systemeinstellungen auftreten sollte.
Schönen Abend noch,
Martin
für mich *ist* es so einfach. Und ich surfe seit Jahren mit dem IE (<6!!), benutze Firefox & Opera nur wenn es unbedingt sein muss, etwa zum Testen.
Klar, wenn du keine Lücken siehst gibt es kein, dann ist es natürlich einfach. Ich surfe auch seit Jahren mit dem IE 4 auf nem uralt Bürorechner, doch der ganze Mist fing ja eigentlich erst mit WinXP und dem IE 6 an, d.h. je älter dein Browser umso sicherer bist du. Was aber keine aussage über die allgemeine Sicherheit darstellt, zudem du dich ja auf ein Sicherheitsfeature des IE 6 bemäkelt hast, also, was denn nun?
Unter WindowsXP hab ich das bisher so noch nicht festgestellt, bei mir läuft das seit knapp 2 Jahren stabil ohne Neuinstallation.
Das mag sein - Windows XP kenne ich nur oberflächlich "vom Zugucken". Was ich bisher gesehen habe, ermutigt mich auch nicht gerade zum Umstieg. Aber das Thema sollten wir nicht schon wieder vertiefen.
wie gesagt, wir reden die ganze Zeit in diesem Thread über einen Patch von Windows XP, irgendwie weiß ich nicht worauf du hinaus willst.
Nein, das Problem ist, das mit Hilfe einer Lücke es möglich ist eine lokale Datei zu installieren und auszuführen, diese hat dann die von dir beschriebenen Rechte.
Hier ist z.b. eine
http://www.heise.de/security/dienste/browsercheck/demos/ie/e5_15.shtml
die angeblich im IE 5 nicht mit abschalten von ActiveX zu verhindern ist.hab ich gerade mal ausprobiert (IE 5.5 SP2 unter Win2k mit SP4, aber JS und ActiveX deaktiviert).
Ergebnis: Negativ. Wie erwartet. Nix passiert.
Stimmt wie erwartet, da einen Patch gibt, wird dieser wohl in deiner Version SP4 dabei sein, aber deine Freunde die du vorhin erwähnt hast rufen dich immer sofort an, wenn es einen neuen Patch gibt oder rennst du zu denen?
http://www.heise.de/security/news/meldung/65914 abenteuerlich finde ich das betrachten von Grafiken meistens nicht.
Oh, das ist noch etwas anderes als ich meinte. Hier geht es ja um WMF, also das Windows-interne Bildformat, das in Form von .wmf-Dateien allerdings sehr, sehr selten ist. Ich meinte tatsächlich ein Problem mit JPEG-Grafiken, das aber angeblich nur bei einer recht unwahrscheinlichen Kombination von Systemeinstellungen auftreten sollte.
Was heißt den sehr selten? Wenn jemand dein System angreifen will ist es ihm doch egal ob er ein exotisches Format verwendet. Es scheint dort eine Lücke zu geben und diese kannst du nur verhindern in dem du einen Browser verwendest der das Format nicht kann, ansonsten hast du eben Glück gehabt.
Und was den jpg Bug betrifft habe ich das gefunden: http://www.netzwelt.de/news/67539-jpgluecke-die-angriffswelle-rollt.html
also, ich hab immer ein ungutes Gefühl wenn ich den IE 6 verwende, da steckt soviel dahinter das man das gar nicht kontrollieren kann, zumal Firefox sowieso viel praktischer ist.
Struppi.
Hi,
zudem du dich ja auf ein Sicherheitsfeature des IE 6 bemäkelt hast, also, was denn nun?
ja, weil es IMHO übertriebene Paranoia ist.
wie gesagt, wir reden die ganze Zeit in diesem Thread über einen Patch von Windows XP, irgendwie weiß ich nicht worauf du hinaus willst.
Nein, Windows XP war ursprünglich mit keinem Wort erwähnt, das ergab sich jetzt zufällig.
Es ging ursprünglich darum. dass der IE6 lokal gespeicherte Seiten als kritischer einstuft als Seiten im Internet.
... da einen Patch gibt, wird dieser wohl in deiner Version SP4 dabei sein ...
Wohl kaum. Denn ein Windows 2000 mit SP4 hat -wenn man nichts weiter dazu installiert- den IE 5.0 an Bord, nicht den 5.5er. Den habe ich nachträglich installiert.
aber deine Freunde die du vorhin erwähnt hast rufen dich immer sofort an, wenn es einen neuen Patch gibt oder rennst du zu denen?
Um Himmels Willen, bleib mir weg mit diesen ewigen Patches! Das hab ich noch nie gemacht, und werde es auch nicht tun. Die meisten Patches schränken mich mehr ein, indem sie bestimmte Funktionen beschneiden, als dass sie wirklich einen Vorteil bringen. Beispiel: Systemdateischutz. Bis Win2k SP1 konnte man ihn noch durch einen einfachen Registry-Eintrag deaktivieren, seit SP2 muss man erst eine Systemdatei patchen, damit das wieder geht.
Was heißt den sehr selten? Wenn jemand dein System angreifen will ist es ihm doch egal ob er ein exotisches Format verwendet. Es scheint dort eine Lücke zu geben und diese kannst du nur verhindern in dem du einen Browser verwendest der das Format nicht kann, ansonsten hast du eben Glück gehabt.
Na gut.
also, ich hab immer ein ungutes Gefühl wenn ich den IE 6 verwende, ...
Ich auch.
zumal Firefox sowieso viel praktischer ist.
Der Meinung bin ich ganz und gar nicht. Gerade vom Handling her ist mir der IE wesentlich sympathischer. Vor allem dieses Tab-Gedöns nervt mich. Aber das ist selbstverständlich Geschmackssache.
Ciao,
Martin
zudem du dich ja auf ein Sicherheitsfeature des IE 6 bemäkelt hast, also, was denn nun?
ja, weil es IMHO übertriebene Paranoia ist.
Wenn eine dir untergeschobene Datei (wie auch immer - dieses Feature wurde ja erst eingebaut als es die Lücken bereits gab), ungefragt alles machen darf auf deinem Rechner - das ist Paranoia?
aber deine Freunde die du vorhin erwähnt hast rufen dich immer sofort an, wenn es einen neuen Patch gibt oder rennst du zu denen?
Um Himmels Willen, bleib mir weg mit diesen ewigen Patches! Das hab ich noch nie gemacht, und werde es auch nicht tun. Die meisten Patches schränken mich mehr ein, indem sie bestimmte Funktionen beschneiden, als dass sie wirklich einen Vorteil bringen. Beispiel: Systemdateischutz. Bis Win2k SP1 konnte man ihn noch durch einen einfachen Registry-Eintrag deaktivieren, seit SP2 muss man erst eine Systemdatei patchen, damit das wieder geht.
Naja, dieser jpg Bug muss z.b. durch austauschen einer Systemdatei geschlossen werden. Aber mit diesen vorrausetzungen kann ich nur wiederholen, du hattest bisher Glück - natürlich gehört auch ein bisschen Verstand dazu, aber da immer wieder Lücken aufgetaucht sind, die die volle Kontrolle über deinen Rechner ermöglichen, ist es wirklich eher ein Wunder dass du noch nichts hattest.
also, ich hab immer ein ungutes Gefühl wenn ich den IE 6 verwende, ...
Ich auch.
Da sind wir uns ja mal einig ;-)
zumal Firefox sowieso viel praktischer ist.
Der Meinung bin ich ganz und gar nicht. Gerade vom Handling her ist mir der IE wesentlich sympathischer. Vor allem dieses Tab-Gedöns nervt mich. Aber das ist selbstverständlich Geschmackssache.
Aber Hallo!
Du findest es tatsächlich praktischer wenn du fünf oder sechs Browserinstanzen offen hast in der Taskleiste - evtl. noch Programme dazwischen geschoben (oder ganz ätzend gruppierte Einträge), als übersichtlich die Browserfenster im Browser (wo sie meiner Meinung nach auch hingehören) angeordnet?
Ich hab grad 8 FF Tabs und bin froh das die nicht bei den anderen 6 Prozessen in der Taskleiste sind. (und ich bin nicht mal am arbeiten)
Struppi.
Wenn eine dir untergeschobene Datei (wie auch immer - dieses Feature wurde ja erst eingebaut als es die Lücken bereits gab), ungefragt alles machen darf auf deinem Rechner - das ist Paranoia?
Wie der Test vorhin gezeigt hat, lasse ich mir so leicht keine Datei von sonstwoher unterschieben. Also ist das Problem für mich erledigt und bedarf keiner weiteren Einschränkung meiner Bewegungsfreiheit.
[...] immer wieder Lücken aufgetaucht sind, die die volle Kontrolle über deinen Rechner ermöglichen, ...
... was ich doch stark bezweifeln möchte. Und gelegentlich durchgeführte Online Security Checks bei Symantec & Co beruhigen mich regelmäßig, wenn sie mir nach dem Test verkünden, dass sie bei meinem Rechner/Netzwerk keine Angriffsmöglichkeit gefunden haben und dass das größte festgestellte "Sicherheitsrisiko" darin besteht, dass mein Rechner Pings aus dem Internet beantwortet. Oh je!
Der Meinung bin ich ganz und gar nicht. Gerade vom Handling her ist mir der IE wesentlich sympathischer. Vor allem dieses Tab-Gedöns nervt mich. Aber das ist selbstverständlich Geschmackssache.
Aber Hallo!
Du findest es tatsächlich praktischer wenn du fünf oder sechs Browserinstanzen offen hast in der Taskleiste [...] ?
Ja, unbedingt. Okay, die Gruppierung, wie sie XP in der Defaulteinstellung macht, würde mich auch irritieren. Aber 2k macht das nicht, und selbst unter XP lässt die sich ja zum Glück auch abstellen.
als übersichtlich die Browserfenster im Browser (wo sie meiner Meinung nach auch hingehören) angeordnet?
Wenn es voll funktionsfähige MDI-Child-Fenster sind, so wie es Opera vormacht, dann finde ich das in Ordnung. Wenn ich aber die Fenster innerhalb der einzigen Browserinstanz nicht einmal unabhängig voneinander minimieren, in der Größe verändern oder nebeneinander stellen kann, sehe ich das als Einschränkung der gewohnten Usability. Das ist nichts Halbes und nichts Ganzes.
Ich hab grad 8 FF Tabs und bin froh das die nicht bei den anderen 6 Prozessen in der Taskleiste sind. (und ich bin nicht mal am arbeiten)
Yo, zwischen 6 und 12 Fenster habe auch oft geöffnet. Und jedes hat seinen Button in der Taskleiste, und das ist gut so. Und diejenigen, die ich für längere Zeit nicht brauche (wie z.B. die DOS-Shell, der Mailserver, evtl. auch der Mail-Client), die stehen als Symbol im Systray auf Abruf bereit.
So long,
Martin
Wenn eine dir untergeschobene Datei (wie auch immer - dieses Feature wurde ja erst eingebaut als es die Lücken bereits gab), ungefragt alles machen darf auf deinem Rechner - das ist Paranoia?
Wie der Test vorhin gezeigt hat, lasse ich mir so leicht keine Datei von sonstwoher unterschieben. Also ist das Problem für mich erledigt und bedarf keiner weiteren Einschränkung meiner Bewegungsfreiheit.
Naja, diese Feature ist halt für den Normaluser der sich nicht damit auseinandersetzt. Ich brauch es auch nicht. Es hat aber dadurch seinen Berechtigung. Kann man das nicht abschalten? (Mich hat es bisher nicht weiter gestört)
Das viele Lücken nur unter gewissen Umständen welche sind und oft auch eine gewisse Naivität des Users vorrausetzen (phishing ist so eine Sicherheitslücke beim Anwender) ist klar, aber ich bin auch froh das die meisten Programme mich noch mal fragen bevor ich was löschen möchte.
Wenn es voll funktionsfähige MDI-Child-Fenster sind, so wie es Opera vormacht, dann finde ich das in Ordnung. Wenn ich aber die Fenster innerhalb der einzigen Browserinstanz nicht einmal unabhängig voneinander minimieren, in der Größe verändern oder nebeneinander stellen kann, sehe ich das als Einschränkung der gewohnten Usability. Das ist nichts Halbes und nichts Ganzes.
Hmm, dann sind wir bei der Geschmacksache, weil ich find die Lösung im Opera nicht so toll, die ganzen Fenster die da rumschwirren verwirren mich mehr als das es mir hilft. Das mit dem nebeneinnder stimmt schon, aber bisher hab ich die Funktion nicht vermißt, mit ist es lieber so wie es im Firefox ist. Wie übrigens bei den meisten MDI Anwendungen mit mehreren Fenstern. Ich benutze auch Proton lieber als alle anderen Editoren die ich bisher ausprobiert habe.
Ich hab grad 8 FF Tabs und bin froh das die nicht bei den anderen 6 Prozessen in der Taskleiste sind. (und ich bin nicht mal am arbeiten)
Yo, zwischen 6 und 12 Fenster habe auch oft geöffnet. Und jedes hat seinen Button in der Taskleiste, und das ist gut so. Und diejenigen, die ich für längere Zeit nicht brauche (wie z.B. die DOS-Shell, der Mailserver, evtl. auch der Mail-Client), die stehen als Symbol im Systray auf Abruf bereit.
Und da dann das selfhtml Fenster zu finden kann u.U. schwer fallen.
Struppi.
Hallo Martin Hölter,
...nehme ich anhand der Indizien mal an. ;-)
erwicht *g*
Gruß aus Iserlohn
Martin
Hallo,
Das ist ja das hirnverbranteste, was ich bis jetzt über den IE6 gelesen habe: Er stuft *lokale* Ressourcen kritischer ein als das gemeine böse Internet? Das ist 180° entgegengesetzt zu meiner eigenen Auffassung und Meinung.
Dann schaue mal über den Tellerrand hinaus. Es ist nicht hirnverbrannt, sondern nur logisch.
Es hat auch überhaupt nichts mit Sicherheitslücken zu tun, wie hier im Thread diskutiert wurde. Es ist ein generelles Problen, das alle großen Browser betrifft, ohne dass jemand dies als Sicherheitslücke bezeichnet.
Scripte in der lokalen Zone können alle lesbaren lokalen Dateien lesen (mittels iframe, Frames, XMLHttpRequest usw. - also keine fraglichen proprietären Techniken). Die Verzeichnis-Listings sind i.d.R. zugänglich, sodass man mit JavaScript rekursiv alle Dateien nach der gesuchten vertraulichen Information durchsuchen könnte. *Und* lokale Scripte können mit dem Internet über Formulare und GET-Parameter mit dem Internet kommunizieren. Damit können sie lokale Dateien ins Internet senden. Damit ist jedes Script von außerhalb potenziell eine Sicherheitsrisiko.
Scripte in der Internet-Zone hingegen können nur Dateien derselben Domain lesen und mit dem Internet kommunizieren. Durch die Same Origin Policy kommen sie dabei nicht an sensible Daten des Benutzer heran - wohl gemerkt, ich blende mögliche Sicherheitslücken aus, sondern gehe von hypothetisch fehlerfreien Browsern aus, um zu zeigen, dass dieser Umstand die Problematik nicht entschärft.
Für lokale Ressourcen lasse ich nahezu alles zu, denn die kann ich selbst kontrollieren, kann sie also "vor Gebrauch" soweit entschärfen, dass ich sie dann gefahrlos nutzen kann.
Das ist ein Null-Argument. Der Normalanwender hat keine derartige Kontrolle über Scripte, die von irgendwoher auf seine Festplatte kommen. Dazu müsste er Programmierer sein und jedes HTML-Dokument samt eingebundenen Ressourcen durchforsten. Er will aber ein HTML-Dokument z.B. auf der Festplatte speichern können, ohne dass beim Öffnen einen Code aktiv wird, der die »Eigenen Dateien« oder das Home-Verzeichnis durchsucht. Ist es da nicht verständlich, dass ein Browser erst einmal lokale Scripte strenger behandelt, weil ihre Reichweite file:// anstatt nur http://www.example.org umfasst?
Dafür sind die Sicherheitseinstellungen für Online-Ressourcen bei mir *sehr* restriktiv, denn da weiß ich nie, was mich erwartet.
Sie sollten bei allen, die nicht jedes JavaScript-Fitzelchen aus dem Internet haarklein untersuchen, für lokale Scripte noch restriktiver sein. Die Problematik der Sicherheitslücken kommt erst zu diesem Problem hinzu.
Mathias
Hi,
Das ist ja das hirnverbranteste, was ich bis jetzt über den IE6 gelesen habe: Er stuft *lokale* Ressourcen kritischer ein als das gemeine böse Internet? Das ist 180° entgegengesetzt zu meiner eigenen Auffassung und Meinung.
Dann schaue mal über den Tellerrand hinaus. Es ist nicht hirnverbrannt, sondern nur logisch.
mit Deiner Argumentation, daß lokale Scripts ein größeres Sicherheitsrisoko darstellen, hast Du zwar recht, aber wie der IE das macht, ist es dennoch völlig unlogisch.
Denn über den "mark of the web" wird dieses Feature ausgehebelt. Dieser Kommentar kann zum einen per se in ein Schaden zufügendes HTML-Dokument geschrieben werden und zum anderen setzt der IE ihn selbst ein, wenn das Dikument lokal gespeichert wird. Wo bleibt hier die zusätzliche Sicherheit?
So hätten wir die Offline-Version von SELFHTML direkt mit dem MOTW versehen (und theoretisch damit auch schadhafte Scripts verbreiten) können... um nun die Javascript-Suche ohne die nervigen Abfragen im IE nutzen zu können, müssen sämtliche HTML-Dateien mit dem MOTW versehen werden.
Nein - das Konzept von Microsoft ist völlig verquer.
freundliche Grüße
Ingo
Hallo,
mit Deiner Argumentation, daß lokale Scripts ein größeres Sicherheitsrisoko darstellen, hast Du zwar recht, aber wie der IE das macht, ist es dennoch völlig unlogisch.
Ja, das stimmt.
Denn über den "mark of the web" wird dieses Feature ausgehebelt. Dieser Kommentar kann zum einen per se in ein Schaden zufügendes HTML-Dokument geschrieben werden und zum anderen setzt der IE ihn selbst ein, wenn das Dikument lokal gespeichert wird. Wo bleibt hier die zusätzliche Sicherheit?
Zusätzliche Sicherheit gäbe es tatsächlich erst, wenn lokale Scripte unter Generalverdacht stünden. Eine Art MOTW könnte beim Speichern aus dem Intert höchstens in Form einer kryptographischen Signatur eingefügt werden, zusätzlich ein Dateiattribut, das die Herkunft anzeigt. Zudem dürften solche Scripte keinen Zugriff auf lokale Dateien bzw. Scripte im Internet haben.
So hätten wir die Offline-Version von SELFHTML direkt mit dem MOTW versehen (und theoretisch damit auch schadhafte Scripts verbreiten) können.
Ja, mich wundert, dass diese Technik noch nicht ausgenutzt wurde. Soweit ich mich erinnere, funktioniert das Auslesen der Festplatte in meinen Tests auch im MSIE.
Es gab einmal einen Fall im Opera:
http://www.heise.de/security/news/meldung/64099
»Dieses Script hat nun lokale Zugriffsberechtigungen und kann Dateien lesen, schreiben und auch übertragen.«
Das Schreiben ist zwar Bullshit, wie ich dem Redakteur auch mehrfach mitgeteilt habe (der faselte mich mit der ActiveX-Technik Scripting.FileSystemObject voll - das kennt Opera gar nicht), aber der Satz weist auf das besagte generelle Problem hin. Sobald erst es einmal ein Script in die lokale Zone geschafft hat, kann es sich dank XMLHttpRequest durch die Text- und Binärdaten wühlen, sie kodiert in ein Formularfeld schreiben und schließlich versenden.
Mathias
Hi,
Zusätzliche Sicherheit gäbe es tatsächlich erst, wenn lokale Scripte unter Generalverdacht stünden. Eine Art MOTW könnte beim Speichern aus dem Intert höchstens in Form einer kryptographischen Signatur eingefügt werden, zusätzlich ein Dateiattribut, das die Herkunft anzeigt. Zudem dürften solche Scripte keinen Zugriff auf lokale Dateien bzw. Scripte im Internet haben.
Das würde aber bewirken, daß HTML-Seiten mit Javascipt ggfls. nicht mehr lokal nutzbar sind - also z.B. die Offline-Suche von SELFHTML nicht mehr funktionieren würde.
Der richtige Weg wäre ein anderer: Das Auslesen lokaler Daten ist doch überhaupt nicht sicherheitsrelevant, sondern lediglich die Kommunikation eines lokalen Scripts mit dem Internet - _diese_ müßte reglementiert werden (ganz untersagt oder mit einer Warnmeldung versehen, die der IE jetzt bereits beim Seitenaufruf ausgibt).
freundliche Grüße
Ingo
Hallo,
Zusätzliche Sicherheit gäbe es tatsächlich erst, wenn lokale Scripte unter Generalverdacht stünden. Eine Art MOTW könnte beim Speichern aus dem Intert höchstens in Form einer kryptographischen Signatur eingefügt werden, zusätzlich ein Dateiattribut, das die Herkunft anzeigt. Zudem dürften solche Scripte keinen Zugriff auf lokale Dateien bzw. Scripte im Internet haben.
Das würde aber bewirken, daß HTML-Seiten mit Javascipt ggfls. nicht mehr lokal nutzbar sind - also z.B. die Offline-Suche von SELFHTML nicht mehr funktionieren würde.
Das wäre zunächst einmal nicht schlimm, denn es ginge darum, dass der Anwender die Attribute manuell zurücksetzen müsste. Er müsste dazu gebracht werden, die Vertrauenswürdigkeit zu prüfen. Am besten ohne den Code selbst überprüfen zu müssen.
Bei einem Download von SELFHTML sollte z.B. die Hash-Summe des Archivs und eventuell eine kryptographische Signatur überprüft werden. Letzteres könnte ein Browser auch automatisch bei jedem HTML-Dokument tun, sofern dieses eine Signatur enthält.
(Ich setze bei diesen Annahmen ein funktionierendes »Web of Trust« voraus. Wenn es ein solches gibt, könnte Windows anzeigen: SELFHTML hat soundsoviel Vertrauenspunkte, daher kann Scripten aus dieser Quelle vertraut werden. Microsoft nutzt Signaturen meines Wissens bereits, nur halt zentralisiert und nur für ausführbare Dateien.)
Der richtige Weg wäre ein anderer: Das Auslesen lokaler Daten ist doch überhaupt nicht sicherheitsrelevant, sondern lediglich die Kommunikation eines lokalen Scripts mit dem Internet - _diese_ müßte reglementiert werden (ganz untersagt oder mit einer Warnmeldung versehen, die der IE jetzt bereits beim Seitenaufruf ausgibt).
Darüber habe ich auch nachgedacht. Die Frage ist, wo man ansetzen will. Sicherheitskritisch wären folgende Vorgänge:
Soweit, so gut. Jeder mit JavaScript erzeugte bzw. manipulierte Hyperlink mit Remote-Ziel wird zu einem potenziellen Risiko, weil er zur Kommunikation mit dem Internet dienen kann (wenn auch die in der URL kodierbaren Informationen eingeschränkt sind). Angenommen, der IE würde bei allen obigen potenziellen Schnittstellen zum Internet Warnmeldungen ausgeben, so wäre die Nutzung einer Offline-Dokumentation wie SELFHTML auch ziemlich eingeschränkt. Aber du hast recht, gegenüber dem standardmäßigen kompletten Verbieten des lokalen Lesens/Einbindens wäre das eine Verbesserung.
Mathias
Hi,
Soweit, so gut. Jeder mit JavaScript erzeugte bzw. manipulierte Hyperlink mit Remote-Ziel wird zu einem potenziellen Risiko, weil er zur Kommunikation mit dem Internet dienen kann (wenn auch die in der URL kodierbaren Informationen eingeschränkt sind). Angenommen, der IE würde bei allen obigen potenziellen Schnittstellen zum Internet Warnmeldungen ausgeben, so wäre die Nutzung einer Offline-Dokumentation wie SELFHTML auch ziemlich eingeschränkt. Aber du hast recht, gegenüber dem standardmäßigen kompletten Verbieten des lokalen Lesens/Einbindens wäre das eine Verbesserung.
genau. Und es wäre a) für dem IE leicht zu realisieren (der muß nur nach einer remote-URL scannen) und b) auch längst nicht so unpraktisch, wenn die Sicherheitsabfrage pro Seite nur einmal käme (wie jetzt ja auch, aber unabhängig von evtl. schädlichen Aktionen).
Darüber hinaus sollte man nicht vergessen, daß der IE Teil des Betriebssystems ist und auch dieses modifiziert werden könnte in der Art, daß vor einem Zugriff des IE die Quelle überprüft wird.
freundliche Grüße
Ingo
