Internet-Software, Browser, FTP, SSH 4.421 Themen, 35.694 Beiträge

News: Sandkasten-Streitereien

Microsoft warnt vor Firefox und Co

Michael Nickles / 17 Antworten / Baumansicht Nickles

Eine Untersuchung der chinesischen Hackerangriffe auf Googles Netz hat ergeben, dass die Hacker vermutlich ein bislang ungestopftes Sicherheitsloch im Internet Explorer ausgenutzt haben.

Die Meldung sorgte natürlich weltweit zu Alarm seitens Datenschützern, die vor dem Einsatz des Internet Explorers warnten und zum Umstieg auf einen anderen Browser rieten.

Vergangenen Freitag äußerte sich unter anderem das Bundesamt für Sicherheit in der Informationstechnik zum Internet Explorer und empfahl zumindest vorübergehend die Nutzung alternativer Browser, bis Microsoft das Loch mit einem Patch gestopft hat.

Auch das Bundesamt begründete seine Empfehlung ausdrücklich aufgrund der Vorkommnisse bei Google.

Natürlich hat Microsoft inzwischen auf die "feindlichen Empfehlungen" reagiert. Laut Bericht von Techradar stellte Cliff Evans - Sicherheits-Chef von Microsoft Großbritannien - klar, dass der Wechsel zu einem anderen Browser die schlechteste Alternative sei.

Dabei lande man garantiert bei einem noch unsichereren Browser als dem Microsoft Internet Explorer. Microsoft arbeitet aktuell mit Hochdruck an einem Patch, der das neu entdeckte Loch stopft.

Michael Nickles meint: Alles lächerlich von vorne bis hinten. Mit sehr großer Wahrscheinlichkeit, war die Lücke im Internet Explorer nicht der gewichtigste Faktor beim Hackerangriff auf Google und die weiteren betroffenen US-Unternehmen. Da waren halt Profis am Werk, die sich ins System reingewurstelt haben.

Hätte es nicht das Loch im Internet Explorer gegeben, dann hätten sie garantiert ein anderes gefunden. Und: "Industriespionage" gab es auch schon, also noch gar keine Computer erfunden waren.

Es ist in diesem Fall also Blödsinn, Microsoft den schwarzen Peter hinzuschieben. Aber genauso blödsinnig ist Microsofts Behauptung, dass alternative Browser unsicherer sind.

Es ist schlichtweg die komplette heutige IT, die löchrig ist. Zu schnell werden neue Methoden entwickelt und durch noch neuere ersetzt, bevor sie ihre Zuverlässigkeit beweisen können - oder jemals zuverlässig gemacht werden.

Wer mag, kann jetzt den radikalen Umstieg zu Linux empfehlen - das ist garantiert sicherer. Aber nur so lange, wie es nur von einer Minderheit genutzt wird und deshalb für Hacker eher uninteressant ist.

bei Antwort benachrichtigen
Synthetic_codes Michael Nickles

„Microsoft warnt vor Firefox und Co“

Optionen

die frage ist doch viel mehr, um welche sicherheitslücke es konkret geht. Da google von zugriffsversuchen auf GMail Accounts spricht, und die abschaltung von Javascript und ActiveX empfohlen wird, spekuliere ich persönlich auf eine Schwäche im MS XMLHTTP Objekt(Also die Microsoftversion von AJAX), die es erlaubt, die domain boundaries zu umgehen - was folglich einen verteilten Brute-Force Angriff auf GMail möglich machen könnte. Theoretisch wäre mit viel einfacheren Mitteln aber auch ein DDoS per Browser möglich - dazu bräuchte man allerdings nicht unbedingt Javascript. Ich bin gespannt, wann public wird um welche lücke es geht...

Ach und bevor die köpfeeinschlager kommen. Ich persönlich hasse den IE, so wie wahrscheinlich jeder Webdesigner auf der Welt. Nichtsdestotrotz ist Firefox nur deshalb sicherer, weil

er weniger verbreitet ist
Lecks schneller, meist vor bekanntwerden geschlossen werden
mehrere Millionen Menschen selbst mitsuchen, um Firefox sicherer zu machen

'); DROP TABLE users;--
bei Antwort benachrichtigen
the_mic Synthetic_codes

„die frage ist doch viel mehr, um welche sicherheitslücke es konkret geht. Da...“

Optionen
er weniger verbreitet ist
Ich denke mal, dass dieses Argument ab ~25% Marktanteil kaum noch eine Rolle spielen dürfte. Das ist nämlich quantitativ schon eine ganze Menge. Für Opera, Safari und Chrome lass ich das Argument hingegen gelten :-)
cat /dev/brain > /dev/null
bei Antwort benachrichtigen
Prosseco Michael Nickles

„Microsoft warnt vor Firefox und Co“

Optionen

Aha,

er weniger verbreitet ist
Lecks schneller, meist vor bekanntwerden geschlossen werden
mehrere Millionen Menschen selbst mitsuchen, um Firefox sicherer zu machen


In Deutschland nicht, da ja der FF vorne liegt. Ausserdem hat der FF mehr Sicherheitsloecher wie der IE. Nur immer wird dagegen verglichen, wer sicherer ist und schneller patcht.

Was mich aber noch mehr wundert ist dieses:

Eine Untersuchung der chinesischen Hackerangriffe auf Googles Netz hat ergeben, dass die Hacker vermutlich ein bislang ungestopftes Sicherheitsloch im Internet Explorer ausgenutzt haben.

Komisch. Googles Netz nimmt den IE und nicht den Chrome !


Gruss
Sascha

Das ist keine Signatur. Sondern ich putz hier nur
bei Antwort benachrichtigen
Synthetic_codes Prosseco

„Aha, In Deutschland nicht, da ja der FF vorne liegt. Ausserdem hat der FF mehr...“

Optionen
In Deutschland nicht, da ja der FF vorne liegt. Ausserdem hat der FF mehr Sicherheitsloecher wie der IE. Nur immer wird dagegen verglichen, wer sicherer ist und schneller patcht.

1. würde ich das so nicht unterschreiben. In meinen visitor logs meiner websites führt leider der internet explorer mit 45% Marktanteil zum Firefox mit 41%. Und mein Traffic ist zu 95% deutsch
Zum Thema sicherheit ... das stimmt so nicht ganz - Microsoft patcht auch gerne mal Lücken ohne das zu erwähnen - abgesehen davon hatten die jetzt dann 15 Jahre zeit ihren browser sicher zu machen. Das problem daran ist, dass es nur selten nachvollziehbar ist, wenn M$ etwas patched, was nicht gelistet ist, aber es kommt sehr häufig vor. Im gegensatz dazu listet das mozilla-Team eben einfach alles auf, und das ist auch gut so, denn die änderungen würden über den Source so oder so ans licht kommen.

Komisch. Googles Netz nimmt den IE und nicht den Chrome !
Wie darf ich diesen Satz verstehen?
'); DROP TABLE users;--
bei Antwort benachrichtigen
Olaf19 Synthetic_codes

„ 1. würde ich das so nicht unterschreiben. In meinen visitor logs meiner...“

Optionen
In meinen visitor logs meiner websites führt leider der internet explorer mit 45% Marktanteil zum Firefox mit 41%.

...und selbst das halte ich noch für ein erstaunlich hohes Ergebnis für den Firefox. Ich hätte eher auf 2/3 IE-Versionen und 1/3 Alternativbrowser getippt.

Nebenbei - kein Mensch hat gesagt, dass die Leute jetzt unbedingt den Firefox nehmen sollen. Safari und Opera sind auch noch da. Merkwürdig, dass "Alternativbrowser" in den Diskussionen immer automatisch mit "Firefox" gleichgesetzt werden (geht jetzt nicht gegen dich).

CU
Olaf
Ein Ziel ist ein Traum mit Termin. (unbekannt)
bei Antwort benachrichtigen
Synthetic_codes Olaf19

„ ...und selbst das halte ich noch für ein erstaunlich hohes Ergebnis für den...“

Optionen

naja firefox ist halt das was einem bei browser als erstes einfällt. meistens sogar noch vor internet explorer

'); DROP TABLE users;--
bei Antwort benachrichtigen
Unholy Synthetic_codes

„naja firefox ist halt das was einem bei browser als erstes einfällt. meistens...“

Optionen

schade das nichts verstehen WILLST..


Gruss

bei Antwort benachrichtigen
Olaf19 Michael Nickles

„Microsoft warnt vor Firefox und Co“

Optionen
Wer mag, kann jetzt den radikalen Umstieg zu Linux empfehlen - das ist garantiert sicherer. Aber nur so lange, wie es nur von einer Minderheit genutzt wird und deshalb für Hacker eher uninteressant ist.

Sorry Mike, aber das ist Unsinn. Ein System wird nicht allein dadurch anfällig, dass es von Millionen genutzt und der Ehrgeiz bösartiger Schadsoftware-Entwickler damit angespornt wird. Sicherheit hat auch eine ganze Menge mit konzeptionellen Ansätzen zu tun, und da liegt Linux ganz weit vorn.

Ansonsten ACK zu allem anderen - dieses mit dem Finger auf die anderen Browser zeigen kommt mir eher wie eine billige Retourkutsche der majestätsbeleidigten Microsoftler vor.

CU
Olaf
Ein Ziel ist ein Traum mit Termin. (unbekannt)
bei Antwort benachrichtigen
IDE-ATAPI Olaf19

„ Sorry Mike, aber das ist Unsinn. Ein System wird nicht allein dadurch...“

Optionen
Sorry Mike, aber das ist Unsinn. Ein System wird nicht allein dadurch anfällig, dass es von Millionen genutzt und der Ehrgeiz bösartiger Schadsoftware-Entwickler damit angespornt wird. Sicherheit hat auch eine ganze Menge mit konzeptionellen Ansätzen zu tun, und da liegt Linux ganz weit vor

Ich denke schon dass Mike in diesem Punkt recht hat. Ich bin überzeugt davon dass der Aufwand ein Sicherheitsloch in Windows zu finden genauso hoch ist wie bei einem Linux System.

Es geht weniger ums Konzept als um den Faktor Mensch. Programmierer sind auch nur Menschen. Das Konzept kann 1000 mal durchdacht sein, dennoch kann es bei der Umsetzung vorkommen dass eine Sicherheitsprüfung im Code nicht vorgenommen wird - oder es zu Seiteneffekten in der komplexen Softwarearchitektur kommt, welche man vorher nicht sehen konnte. Da kann der konzeptionelle Ansatz so gut sein wie er will.
bei Antwort benachrichtigen
the_mic IDE-ATAPI

„ Ich denke schon dass Mike in diesem Punkt recht hat. Ich bin überzeugt davon...“

Optionen

Linux läuft auf 50% aller Server weltweit. Diese zu hacken ist wesentlich interessanter als die popeligen Homeuser-Systeme, da Server in der Regel ordentlich Leistung sowie eine dicke Internetanbindung haben. Dazu kommen noch unzählige embedded Linux Devices wie WLAN-Router, NAS, IP-Radios, Handies etc pp

Allerdings wird natürlich die Anzahl gehackter Linux-Homeuser-Systeme mit deren zunehmender Verbreitung logischerweise steigen. Derzeit interessieren sich vor allem technisch bewanderte User dafür. Sobald aber jeder Technikvolldepp ein Linux zuhause auf dem Desktop hat, wird's nicht mehr schwierig über Social Engineering auch von Haus aus sichere Systeme zu knacken.

cat /dev/brain > /dev/null
bei Antwort benachrichtigen
Synthetic_codes Olaf19

„ Sorry Mike, aber das ist Unsinn. Ein System wird nicht allein dadurch...“

Optionen

Sorry Mike, aber das ist Unsinn. Ein System wird nicht allein dadurch anfällig, dass es von Millionen genutzt und der Ehrgeiz bösartiger Schadsoftware-Entwickler damit angespornt wird. Sicherheit hat auch eine ganze Menge mit konzeptionellen Ansätzen zu tun, und da liegt Linux ganz weit vorn.


Glaube ich schon. Bei heutiger Malware geht es überwiegend um finanzielle interessen. Daher ist das Schreiben von Malware für populäre systeme am effektivsten - und was die konzeptionellen ansätze angeht, die dämmen das risiko zwar ein, beheben es aber nicht. (=> Das virus kann dann halt nur noch den account infizieren und nicht den ganzen rechner) Letztlich ist linux zwar technisch wesentlich sicherer als Windows, das liegt aber wohl daran dass zwischen erkennung und entfernung von lücken oft nur minuten oder stunden vergehen. Statt wie bei windows bis zu einem monat - Denn wer unter linux in der lage ist, lücken zu finden, der hat auch alles was er braucht um einen patch zu erstellen
'); DROP TABLE users;--
bei Antwort benachrichtigen
Olaf19 Synthetic_codes

„ Glaube ich schon. Bei heutiger Malware geht es überwiegend um finanzielle...“

Optionen
Letztlich ist linux zwar technisch wesentlich sicherer als Windows, das liegt aber wohl daran dass zwischen erkennung und entfernung von lücken oft nur minuten oder stunden vergehen.

Das kommt vielleicht noch hinzu, aber man sollte die konzeptionellen Unterschiede zwischen den BS nicht einfach so unter den Teppich kehren. Ob das Sicherheitsschloss an meiner Haustür gut oder schlecht ist, hängt schließlich auch nicht davon ob, ob viele oder wenige Leute versuchen, es zu knacken.

Die Rechteverwaltung ist jedenfalls von Haus aus derart scharf konfiguriert, dass ich als lokaler Benutzer nicht einmal an meine eigenen Daten randarf :-(

Dass ich auf die Home-Partition vollen Zugriff habe, nützt mir da herzlich wenig - die ist ja direkt nach der Neuinstallation erst einmal leer. Daten von woanders draufkopieren ist leider strengstens verboten...

CU
Olaf
Ein Ziel ist ein Traum mit Termin. (unbekannt)
bei Antwort benachrichtigen
the_mic Olaf19

„ Das kommt vielleicht noch hinzu, aber man sollte die konzeptionellen...“

Optionen
dass ich als lokaler Benutzer nicht einmal an meine eigenen Daten randarf :-(
Die externe Disk mag zwar juristisch dir gehören, aber technisch ist dem halt (ohne manuelle Anpassung) nicht zwingend so ;-)
cat /dev/brain > /dev/null
bei Antwort benachrichtigen
Conqueror Olaf19

„ Sorry Mike, aber das ist Unsinn. Ein System wird nicht allein dadurch...“

Optionen

Ein Betriebssystem welches nur wenige benutzen, (Heimbereich und nicht Serversysteme), interessieren die Hacker einfach weniger. Mit Serversystem wird z.B. kein Homebanking gemacht.

bei Antwort benachrichtigen
Prosseco Michael Nickles

„Microsoft warnt vor Firefox und Co“

Optionen

Laut diese Meldung gerade erschienen, sagt:

http://www.diario.com.mx/nota.php?notaid=c8d1b641cebb043e273e671eed26c349

San Francisco— Microsoft sagt heute, das die gerade arbeiten ohne Pause, um den Fehler im IE6 zu reparieren, was verursacht hat, das Chinesische Cyberhacker Google und andere Firmen attackiert haben.

Microsoft probiert gerade eine neue Sicherheitssoftware das so schnell wie moeglich zur verfuegbarkeit steht. Somit bricht MS das bisherige Protokoll, immer jedes Zweite Dienstag von jeden Monat, udates zu liefern.

"Wir arbeiten 24 Stunden gegen die Uhr", sagte
er zu AFP, der Direktor General von Trustworthy Computing Security, George Stathakopoulos. Wir beobachteten diese Gefahr von anfang an.

Gruss
Sascha


Das ist keine Signatur. Sondern ich putz hier nur
bei Antwort benachrichtigen
Alfredo7 Michael Nickles

„Microsoft warnt vor Firefox und Co“

Optionen

*** Wer mag, kann jetzt den radikalen Umstieg zu Linux empfehlen - das ist garantiert sicherer. Aber nur so lange, wie es nur von einer Minderheit genutzt wird und deshalb für Hacker eher uninteressant ist.
Avatar von Michael Nicklesantworten ****

also soviel unqualifizierten blödsinn, den ich nur durch deinen letzten absatz gelesen habe, hab ich schon lang nicht mehr gesehen.

bischen mehr überlegen, täte dir auch gut.

gruss und schöne woche noch

fred

Neid und Missgunst ist die Wurzel jeden Übels
bei Antwort benachrichtigen
babbage Michael Nickles

„Microsoft warnt vor Firefox und Co“

Optionen

Zitat :
> Alles lächerlich von vorne bis hinten. Mit sehr großer Wahrscheinlichkeit, war die Lücke im Internet > Explorer nicht der gewichtigste Faktor beim Hackerangriff auf Google und die weiteren betroffenen > US-Unternehmen. Da waren halt Profis am Werk, die sich ins System reingewurstelt haben.

tjo. Offensichtlich hat das sogar sehr wenig dazu beigetragen.
Es wird das hauseigene VPN vermutet. Aber das wird von google dementiert.

http://www.darkreading.com/database_security/security/attacks/showArticle.jhtml?articleID=222400172

Wenn es über die ZeroDay des IE6 passiert ist wunderts mich aber stark warum die google mitarbeiter nicht mal ihren hauseigenen browser verwenden.

Naja, was passiert ist kann man zur Zeit eben nur vermuten.

bei Antwort benachrichtigen