Internet-Software, Browser, FTP, SSH 4.695 Themen, 38.817 Beiträge

Verfolgung starten Optionen
News: Microsoft meckert

Google-Plugin machte Internet Explorer löchrig

Michael Nickles / 13 Antworten / Flachansicht Nickles

Vor einem Monat stellte Google seinen Chrome Frame für den Internet Explorer vor (siehe Google jubelt Microsoft Chrome unter. Dabei wird der Motor des Internet Explorer quasi durch den schnelleren Chrome-Motor ersetzt.

Googles Open Source Projekt befindet sich noch in einem frühen Entwicklungsstadium, der Einsatz wird bislang nur für Testzwecke empfohlen. Gerade mal ein Tag verging, bis Microsoft auf die Veröffentlichung von Chrome Frame reagierte (siehe Microsoft warnt vor Google-Motor). Selbsterklärend warnte Microsoft vor dem Google-Plugin, da es ein extremes Sicherheitsrisiko darstelle.

Bizarrer Hintergrund: bei einem "Hacker-Wettbewerb" im März 2009 scheiterte der Internet Explorer kläglich. Er wurde wie fast alle anderen verbreiteten Browser bereits am ersten Tag "durchlöchert", nur Google Chrome überstand den ersten Hacker-Tag unbeschadet. Natürlich scheint Microsoft den "untergejubelten" Chrome-Motor aufmerksam zu verfolgen und hat jetzt Alarmstufe Rot aktiviert. Ein Sicherheitsforscher von Microsoft hat jetzt in Chrome Frame ein schwerwiegendes Sicherheitsloch entdeckt.

Google reagierte umgehend und teilte im Google Chrome Releases Blog mit, dass man bislang keine Ausnutzung des "Sicherheitslochs" erfahren habe. Dennoch hat Google umgehend eine neue Version des Google Frames veröffentlicht, bei der das Loch gestopft ist. Das Update auf die neue Version 4.0.245.1 passiert automatisch.

Michael Nickles meint: Ja, es ist schon eine Sauerrei. Da gibt sich ein Browser-Hersteller alle Mühe sein Ding sicher zu machen und dann frickelt da ein "Fremder" einfach sein Zeugs rein.

Das erinnert an einen Vorfall im Februar 2009. Da jubelte Microsoft Firefox-Installationen sein ".NET-Framework" unter. Laut diversen Berichten wurde das Microsoft-Plugin ohne Nachfrage beim Firefox eingenistet und viele beschwerten sich auch, dass sie es dort nicht mehr rauskriegen.

Die Firefox-Macher haben deshalb kürzlich konsequent reagiert und Firefox mit einem Blockiermechanismus ausgestattet, dass die Installation des ".NET"-Plugins blockiert.

bei Antwort benachrichtigen
wo bitteschön gibt sich Microsoft Mühe, den IE sicher zu machen? Ausser an ... Synthetic_codes
Wozu braucht der Firefox denn ein .NET-Framework und warum die anderen ... Olaf19
Der FireFox könnte das gebrauchen, um dot.net basierte Webapplikationen ... Synthetic_codes
Dann frage ich mich allerdings, wieso Microsoft den Firefox-Usern nicht als ... Olaf19
Synthetic_codes Olaf19 „Dann frage ich mich allerdings, wieso Microsoft den Firefox-Usern nicht als...“
Optionen

1. Weil selbst der dümmste nutzer mittlerweile gemerkt hat, dass ActiveX eine einzige Sicherheitskatastrophe ist
2. Weil aus Punkt 1 resultiert, dass ActiveX ein sehr negatives Image hat
3. Weil es gewisse verzahnungen zwischen ActiveX und der Windows-API gibt, die sich über den Firefox nicht ohne weiteres implementieren lassen

davon ab kann der Firefox doch nur Addons/Plugins aus vom User authorisierten Quellen verwenden?
Wie immer muss man hier zwei fälle unterscheiden: Nehmen wir als beispiel dein Heimnetzwerk: Das ist gegen das internet prima gesichert, aber gegen angriffe aus deinem eigenen LAN bist du wahrscheinlich nicht mal halb so gut gesichert. Genauso ist es beim Firefox: Wenn du da etwas aus dem Internet reininstallieren willst, wie zb ein plugin oder ein Add-on, dann musst du das bestätigen. Wenn du aber eine Software installierst, die du schon lokal auf deinem PC hast, dann kann die nach belieben mit deinem Feuerfuchs und seinem Profil schalten und walten. Dazu sind Plugin-API und Add-On-API hervorragend im Internet dokumentiert, insbesondere was deren installation angeht. So gehen übrigens auch bei manchen Setup-Programmen diese Toolbar installer vor, ein Beispiel wäre hier DivX oder FoxitReader, welche irgendwelches ominöses Zeugs mitinstallieren wollen.

Wie schafft Windows, diesen Mechanismus auszuhebeln?!
Das Dot.Net Framework sucht bei der Installation nach den installierten Browsern, und wenn es was findet, dann Pfuscht äh integriert es seine eigenen komponenten ungefragt rein.

noch Fragen?

'); DROP TABLE users;--
bei Antwort benachrichtigen
Hallo, zuviele Zutaten in einem Browser und keiner ist jeweils für das ... Unholy
Yep, sehe ich auch so. Wie ein Adobe Reader der im Browser offen ist. Gruss ... Prosseco
Bizarrer Hintergrund: bei einem Hacker-Wettbewerb im März 2009 scheiterte ... Crazy Eye
Wer nutzt schon den IE? Ein Loch mehr oder weniger ... pfffh ... Mike9
Den IE nutzen nach wie vor ca. 80 aller Internetbesucher. Allein die ... Olaf19
Tendenz fallend, würde ich sagen. Meine Ansage lautete übrigens nicht ... Mike9
Hmmm, da lag ich aber gewaltig daneben mit meinen 80 - das sind ja jetzt ... Olaf19
Ist nur die Frage, ob das immer so weiter geht. Das denke ich schon. Sicher ... Mike9