Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge

Verfolgung starten Optionen

IE lücken - und was man machen kann...

GarfTermy / 13 Antworten / Baumansicht Nickles

hi folks!


folgenden link besuchen - ich habe es probiert!


http://www.heise.de/security/dienste/browsercheck/demos/ie/e5_15.shtml


ergebnis auf meinem system...


* anbindung via t-dsl sat im netzwerk über proxy
* fireall: blackice defender 3.6cbr mit application protection
* app protection auf "unbeaufsichtigten modus" - unbekannte anwendungen werden ohne nachfrage beendet


und?


nix passiert. nix installiert... ja - der ie hat da eine riesiges problem ..und ja - der bid hat aus dem problem eine bagatelle gemacht.


;-)

The two basic principles of Windows system administration: For minor problems, reboot For major problems, reinstall
bei Antwort benachrichtigen
Soulmann63 GarfTermy „IE lücken - und was man machen kann...“
Optionen

Ohne Aktive X geht (bei mir) nix. Ich hab Aktive X auf Eingabeaufforderung gestellt und verwende es nur beim Update.

Gruß Soulmann.

*_Ihr seit nicht Vergessen G P - Knoeppken _*
bei Antwort benachrichtigen
GarfTermy Soulmann63 „Ohne Aktive X geht bei mir nix. Ich hab Aktive X auf Eingabeaufforderung...“
Optionen

...ja - auch eine variante.

ich wollte meine erfahrung deswegen mal posten, weil der bid mit seiner application protection funktion das ausführen ihm unbekannter programme zuverlässig unterbindet. ...eine funktion, die bei einem intrusion detection/firewallsystem nicht alltäglich ist.

aber - wie immer - die kombination verschiedener maßnahmen steigert die sicherheit.

;-)

The two basic principles of Windows system administration: For minor problems, reboot For major problems, reinstall
bei Antwort benachrichtigen
Soulmann63 GarfTermy „IE lücken - und was man machen kann...“
Optionen
aber - wie immer - die kombination verschiedener maßnahmen steigert die sicherheit.

Wie Recht Du damit hast!

Gruß Soulmann.
*_Ihr seit nicht Vergessen G P - Knoeppken _*
bei Antwort benachrichtigen
Olaf19 GarfTermy „IE lücken - und was man machen kann...“
Optionen
Internetoptionen > Sicherheit > Einstellung "Mittel" (Standardstufe)
Es kommt eine rote Alertbox mit der Meldung "Sie sind verwundbar!".

Sicherheitseinstellung "Hoch": Das Experiment schlägt fehl.

Internetoptionen > Sicherheit > Einstellung "Hoch" > Stufe anpassen >
Radiobutton (o)"AktiveX-Steuerelemente ausführen" aktivieren

Diese Einstellung genügt schon, um eine "Verwundbarkeit" im Sinne dieses Experiments herzustellen. Was mir dabei unklar ist: Die Option ´Dateidownload´ braucht _nicht_ aktiviert zu sein, obwohl doch zuerst die Programmdatei browsercheck .exe heruntergeladen werden muss. Sie wird aber trotzdem runtergeladen, worauf das Experiment funktioniert.

Das scheint aber nicht der Bug zu sein, denn bei Heise-Security heißt es:
Ursache des Problems ist die ungenügende Absicherung des &ltObject>-Tags
Was also ist in den Sicherheitseinstellungen mit Dateidownload gemeint?

CU
Olaf
Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen
xafford Olaf19 „IE lücken - und was man machen kann...“
Optionen

das herunterladen eines eingebetteten objektes ist im sinne des browsers kein download, denn sonst wäre jedes in den cache geladene flashapplet in diesem sinne ein download. deswegen greifen hier auch nicht die beschränkungen für einen dateidownload.

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
Tyrfing GarfTermy „IE lücken - und was man machen kann...“
Optionen

>>nix passiert. nix installiert... ja - der ie hat da eine riesiges problem ..und ja - der bid hat aus dem problem eine bagatelle gemacht. Ich habe trotzdem lieber ein System, dass solche Fehler gar nicht erst hat...du hüpst ja auch nicht nackt durch einen Käfig mit Klapperschlangen, nur weil ein Gegengift (das oft, aber nicht immer hilft) griffbereit liegt ;-)

bei Antwort benachrichtigen
GarfTermy Tyrfing „ nix passiert. nix installiert... ja - der ie hat da eine riesiges problem ..und...“
Optionen

jaja... taschenrechner kennen derlei probleme nicht...

wenn du ein bugfreies system haben willst bleibt dir aber zu einem taschenrechner KEINE alternative.

also - entweder mit dem bug leben - oder eine lösung finden. unberechtigte anwendungen blocken ist auch in anderen situationen eine praktische sache... versuch zb mal mit dameware auf einem derart geschützten system durch die hintertür in´s system zu kommen... is´ nich´...

ich habe meine lösung gefunden... und das ist KEIN taschenrechner.

;-)

The two basic principles of Windows system administration: For minor problems, reboot For major problems, reinstall
bei Antwort benachrichtigen
Olaf19 GarfTermy „jaja... taschenrechner kennen derlei probleme nicht... wenn du ein bugfreies...“
Optionen

Okay, ein bugfreies System wird nicht zu bewerkstelligen sein, keine Frage. Was mich aber immer wieder irritiert ist: Warum sind derartige Eingriffe von außen prinzipiell überhaupt möglich? Warum sind die Betriebssysteme in ihrer Innenarchitektur so konstruiert, dass so etwas geht?

Wenn es erwünscht ist, seinen Rechner fernsteuern zu lassen: Kein Problem, dafür gibt es Tools wie VNC oder PCAnywhere. In den anderen 99% der Fälle, wo dies aber nicht erwünscht ist, funktioniert es aber trotzdem, weil das System anscheinend sein internes "VNC lite" mitbringt.

Das hat jetzt wirklich nichts mehr mit menschlich verständlichen und verzeihlichen Programmierfehlern zu tun - das ist eine Frage der Systemarchitektur im allgemeinen. Warum kann man so etwas nicht "ganz einfach" unterbinden? Oder ist das am Ende "politisch so gewollt"?

Ich habe diese Frage kürzlich schon mal in einem anderen Thread aufgeworfen, aber leider keine überzeugende Antwort erhalten.

CU
Olaf

Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen
-IRON- Olaf19 „Okay, ein bugfreies System wird nicht zu bewerkstelligen sein, keine Frage. Was...“
Optionen

Mit politisch gewollt hat das wenig zu tun.
Wenn man, wie MS es anvisiert, ein Betriebssystem entwickelt, dass möglichst idiotensicher bedienbar ist und vorsichtshalber so konfiguriert, dass man quasi alles mit allem verbindet, jegliche irgendwie angenehme Funktionalität systemweit zur Verfügung stellt und das auch noch so, das zukünfige Programme von anderen Herstellern sich in diese Features einklinken können, dann kann es nicht ausbleiben, dass es sowohl unerwünschte und unbedachte Nebenwirkungen gibt als auch Programmfehler auf der einen oder anderen Seite, die Lücken aufreißen.
Die Entwickler sind JETZT praktisch machtlos, da sie kaum noch selbst in der Lage sind, sich in den eigenen Entwicklungen zurechtzufinden. Drittanbieter habens noch schwerer, denn wenn sie die zur Verfügung stehenden APIs nutzen, verlassen sie sich auf deren Funktionalität, ohne sämtliche denkbaren Nebenwirkungen erproben zu können.
Aber dafür gibts ja den Endanwender, wo die Ware dann reifen kann.

Wer Trolle toleriert, toleriert Lügen.
bei Antwort benachrichtigen
Olaf19 -IRON- „Mit politisch gewollt hat das wenig zu tun. Wenn man, wie MS es anvisiert, ein...“
Optionen

Ja, die starke "Verzahnung" der einzelnen Systemkomponenten und Programme hat Xafford gestern schon in einem Posting im Zusammenhang mit dem IE beschrieben. Dass eine solche Architektur prinzipiell anfälliger ist als eher "monolith" aufgebaute Systeme (z.B. MacOS) erscheint mir schon plausibel.

Vielleicht denke ich etwas zu simpel, aber was mir nicht in den Kopf will, ist: Warum kann man die Systeme nicht so programmieren, bzw. der User sie nicht so konfigurieren, dass sie nicht auf Befehle von außen gehorchen können, sondern nur "von innen" (= Maus, Tastatur...).

Falls eine Steuerung von außen einmal gewünscht sein sollte - nun, dafür gäbe es extra-Tools, siehe mein Post zuvor.

CU
Olaf

Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen
-IRON- Olaf19 „Ja, die starke Verzahnung der einzelnen Systemkomponenten und Programme hat...“
Optionen
Warum kann man die Systeme nicht so programmieren, bzw. der User sie nicht so konfigurieren, dass sie nicht auf Befehle von außen gehorchen können

Dafür ist es jetzt zu spät. MS kann Windows und seine grundlegenden Funktionen nicht komplett neu erfinden. Die prinzipbedingte Verzahnung war gewollt und von Anfang an fehlerhaft und schlampig implementiert. So wie teilweise heute noch zwecks Kompatibilität moderne Chip-Generation uralte Macken aus den 8080-er Zeiten mitschleppen, ist es auch mit Software. Der "Point of no return" ist überschritten und nun belastet das Software-Erbe auch die folgenden Versionen des Betriebssystems, während sich neue Macken einschleichen.
Und auch, wenn ich jetzt hier MS nannte...mit anderen Herstellern siehts auch nicht viel besser aus.
Wer Trolle toleriert, toleriert Lügen.
bei Antwort benachrichtigen
Tyrfing GarfTermy „jaja... taschenrechner kennen derlei probleme nicht... wenn du ein bugfreies...“
Optionen

So findet eben jeder seine Lösung...ich kann es zwar kaum nachvollziehen wie man sich so ein Bein ausreißen kann, nur um einen verbuggten und ziemlich unkomfortablen Browser halbwegs sicher zu bekommen, aber wer denn Spaß dran hat...

bei Antwort benachrichtigen
Kamusi GarfTermy „IE lücken - und was man machen kann...“
Optionen

Tag Leute,
bei mir hat einfach Norton AV gemeckert ob ein Script zugreifen darf oder nicht.
Und sonst mache ich es wie Soulmann63.

Gruß Kamusi

Genieße die Stille
bei Antwort benachrichtigen