Die üblen Vier

Es gibt vier Sicherheits-Landplagen die endlich mal runter vom Rechner müssen:

Microsoft Office - hier durch Libre Office ersetzt
Java - kann man heute ersatzlos streichen
Adobe Reader - Firefox kann PDFs anzeigen und nutzt das ziemlich sichere Ghostscript dafür
Adobe Flash Player - ja da kommt man noch nicht drumherum. Das ist wirklich Mist. Abschalten geht von Fall zu Fall ohne Einbussen aber nicht imme rund dann wird das Web deutlich langweiliger.

Benutzer wird von Ihnen ignoriert. Anzeigen

Der Kram ist nur "sicher" weil er eben einfach viel weniger genutzt wird und demnach weniger auffällige Fehler zu stande kommen // bzw. Lücken direkt ausgenutzt werden.


Wirklich problematisch sind im Prinzip auch immer nur irgendwelche Plugins in den Programmen oder das man ihnen Rechte gibt die sie nicht bekommen dürfen (warum muss Office ins Netz ? Für die Online Hilfe ?).


Richtige Schritte sind schonmal das man alles im browser was Plugin trägt standardmässig ABSCHALTET und den user sie bei Bedarf erlauben lässt).

Vielleicht auch sinnvoll eine Statistik zu jedem Plugin wie oft es verwendet wird, einfach damit klar ist welche Plugins garnicht aktiviert sein müssen, da sie sowieso kaum genutzt werden).


Einfach Programme verteufeln und nach Ersatz schreien bringt nicht so viel, jedes Programm hat seine Bugs und jedes Programm entwickelt gerade wenn es von sehr vielen Menschen genutzt wird immer wieder neue ungeahnte Probleme // erst recht wenn man viele Plugins erlaubt und viele rechte automatisch freigibt und alles direkt aktiviert.


Was man durchaus bemängeln sollte sind die Zeiten in denen Updates und Fixes bereit gestellt werden und wie diese Verbreitet werden.

Da tut man sich generell schwer mit, da automatische Update Server wie wir sehen mussten auch wieder Sicherheitsprobleme werden können.

Benutzer wird von Ihnen ignoriert. Anzeigen

Crass Spektakel schrieb:
--------------------------------------------------------------------------------
> Es gibt vier Sicherheits-Landplagen die endlich mal runter vom Rechner
> müssen:
> Microsoft Office - hier durch Libre Office ersetzt
Privat perfekt, geschäftlich bedingt. Bringt dir nichts wenn du Kunden hast, die Microsoft Office verwenden und du nur verkorkste Konvertierungen anbieten kannst. Auch der Import von im Web verfügbaren Dokumenten ist oft unlesbar.
> Java - kann man heute ersatzlos streichen
Ich frag mich wie ich Eclipse ohne Java laufen lasse. Ausserdem brauch ich sie sowohl privat als auch geschäftlich für das Signieren mit meinem Zertifikat (Java Applets werden hierfür eingesetzt). Und meine Mindmappingsoftware, mein PDF-Werkzeug und all die guten Tools die man mal so gefunden hat wären plötzlich funktionsunfähig. Aber wers nicht braucht sollte es getrost deinstallieren.
> Adobe Reader - Firefox kann PDFs anzeigen und nutzt das ziemlich sichere
> Ghostscript dafür
Die Anzeigequalität hinkt der des Acrobat Reader durchaus hinterher, signierte PDFs gehen öfters mal nicht auf damit. Wenn man sich mal die Mühe gemacht hat, beide anzusehen erkennt man sehr klar den Unterschied. Für den Heimgebrauch um ein Handbuch zu lesen ist es aber völlig ausreichend. Aber bei mehr brauchst du eine andere Alternative, die diese Funktionen korrekt beherrscht. Oder eben das Original.
> Adobe Flash Player - ja da kommt man noch nicht drumherum. Das ist wirklich
> Mist. Abschalten geht von Fall zu Fall ohne Einbussen aber nicht imme rund
> dann wird das Web deutlich langweiliger.
In Firmen geht es dafür um so besser und man hat den Zeitfresser Youtube und Browsergames endlich weg.

Benutzer wird von Ihnen ignoriert. Anzeigen

Hab ich seit Jahren nicht mehr. Wenn tatsächlich mal 'n Video bei Youtube nicht ohne geht, lad ich es halt runter. Das Puffern funzt bei Flash-Videos eh beschissen.

Benutzer wird von Ihnen ignoriert. Anzeigen

Ich verschicke in der Regel nichts, wo jemand anderes drin rumändern soll. Dafür ist PDF perfekt. Allerdings kann man inzwischen auch recht problemlos mit Libre Office aktuelle Microsoft-Formate bearbeiten.

Eclipse ist ganz nett. Wirklich alternativlos ist es aber nicht. Nur für Android-Entwicklung kenne ich nix besseres.

Mindmapping-Software? Mindmapping mach ich bestenfalls mit Zettel und Stift. Auf'm Rechner würde mir ein beliebiger Texteditor dafür ausreichen. PDF-Tools gibt es wie Sand am Meer. Die meisten nicht mit JAVA gebaut. Mein Favorit ist auch unter Windows Okular, weil es einfach am meisten kann. Auch jegliches DRM ignorieren. :D
Die Anzeigequalität Ghostscript-basierter Viewer kann Adobe eigentlich nicht hinterherhinken. Die haben PDF vollständig implementiert. Mag ja sein, dass Firefox da Bugs drin hat. Den benutze ich ja eher nicht dafür.

Benutzer wird von Ihnen ignoriert. Anzeigen

Das war wohl mal ein Schuss in den Ofen:

LibreOffice:
Für einige Funktionen der Software - aber nicht für die meisten - benötigen Sie Java. Java ist insbesondere für Base erforderlich.

Geh wo anders rumprollen.

Benutzer wird von Ihnen ignoriert. Anzeigen

Crass Spektakel schrieb:

> Java - kann man heute ersatzlos streichen

Das immernoch Leute glauben Java wäre das Problem ist schon sehr armselig.

Zeig doch mal einen Exploit der Locales Java ausnutzt? (also ohne Browser Plugin)

Benutzer wird von Ihnen ignoriert. Anzeigen

Je mehr eine Software genutzt wird, je mehr Interesse eine Sicherheitslücke zu finden gibt es. Es mag minimale Unterschiede in der Qualitätssicherung von Software Anbietern geben, aber in der Regel dürfte jede Software (egal open oder closed Source) in etwa dieselbe Anfälligkeit für Lücken haben. Dass auch Unix und Linux Systeme anfällig auf Lücken sind sobald sie gewisse Verbreitungsgrad haben sieht man ja bei Server und bei Kleingeräten OS wie Android oder iOS.

Benutzer wird von Ihnen ignoriert. Anzeigen

couchpotato schrieb:
--------------------------------------------------------------------------------
> Crass Spektakel schrieb:
>
> > Java - kann man heute ersatzlos streichen
>
> Das immernoch Leute glauben Java wäre das Problem ist schon sehr armselig.
>
> Zeig doch mal einen Exploit der Locales Java ausnutzt? (also ohne Browser
> Plugin)

Stimmt schon ein Lokales Java ist normalerweise kein Problem, bzw. es ist nicht gefährlicher wie jede andere Binary die man lokal ausführt. Sicherlich kann man auch sicherheitslücken in Java Programmen finden, aber das kann bei anderen Programmen die in anderen Sprachen geschrieben wurde genauso passieren.

Hab selber genügend kleine Java Programme für mich selber geschrieben die dass machen was ich brauche. Klar währe wohl auch jede Andere Programiersprache möglich gewesen, aber die anderen Kenne ich nicht so gut, wobei ich mich damit auch immer noch mal beschäftigen wollte, da nativer Code manchnal praktischer währe (und gcj scheitert leider schon bei meinen kleinen Programmen, oder ich bin einfach zu blöd gcj zu nutzen)

Benutzer wird von Ihnen ignoriert. Anzeigen

Crass Spektakel schrieb:
--------------------------------------------------------------------------------

> Microsoft Office - hier durch Libre Office ersetzt

Erzähl das mal der DATEV oder den diversen Steuerberatern, die Lösungen mit Excel-Scripten verwenden.

> Java - kann man heute ersatzlos streichen

Leider eben nicht. Kurioserweise halten insbesondere Banken und Portale für Devisenhandel etc. daran fest. Auch gerne mal in einer vollkommen veralteten Version, die dann "aus Kompatibilitätsgründen" nicht aktualisiert werden darf. Und einer der größten IT-Distributoren hat seinen gesamten Online-Shop auf JAVA-Basis gebaut (darum muss ich mich mit dem Zeug noch herumprügeln).

> Adobe Reader - Firefox kann PDFs anzeigen und nutzt das ziemlich sichere
> Ghostscript dafür

Funktionieren da auch ausfüllbare Formulare? Hab ich noch nicht ausprobiert.

> Adobe Flash Player - ja da kommt man noch nicht drumherum. Das ist wirklich
> Mist. Abschalten geht von Fall zu Fall ohne Einbussen aber nicht imme rund
> dann wird das Web deutlich langweiliger.

Das wiederum ist die Komponente, ohne die ich am besten leben kann. OK, Youtube würde mir fehlen. Aber den Rest vom Flash-WWW bekomme ich dank Flashblock ohnehin nicht zu Gesicht.

Benutzer wird von Ihnen ignoriert. Anzeigen

couchpotato schrieb:
--------------------------------------------------------------------------------
> Crass Spektakel schrieb:
>
> > Java - kann man heute ersatzlos streichen
>
> Das immernoch Leute glauben Java wäre das Problem ist schon sehr armselig.
>
> Zeig doch mal einen Exploit der Locales Java ausnutzt? (also ohne Browser
> Plugin)

Java einfach nicht installieren, sondern nur aufspielen! D.h. per portalableapps aufs Windows bringen und gut ists! Kein Applet mehr aufrufbar da kein Plugin "installiert" wurde!

Benutzer wird von Ihnen ignoriert. Anzeigen

JTR schrieb:
--------------------------------------------------------------------------------
> Je mehr eine Software genutzt wird, je mehr Interesse eine Sicherheitslücke
> zu finden gibt es. Es mag minimale Unterschiede in der Qualitätssicherung
> von Software Anbietern geben, aber in der Regel dürfte jede Software (egal
> open oder closed Source) in etwa dieselbe Anfälligkeit für Lücken haben.

Auch da gibt es riesen Unterschiede, die natürlich auch mit der Verbreitung bzw. dem Interesse zusammenhängen.

Apache hat z.B. seit jahren keine schwerwiegenden Sicherheitslücken gehabt die zur Kompromittierung geführt haben. Das ist auch schon ne Leistung.

Andere Hersteller ignorieren das Thema Sicherheit aber extrem.
Adobe ist sicher kein Kandidat der hierdrauf großen wert legt, auch wenn sich da schon was getan hat in letzter Zeit.

Benutzer wird von Ihnen ignoriert. Anzeigen

urkel schrieb:
--------------------------------------------------------------------------------
> > Java - kann man heute ersatzlos streichen
>
> Leider eben nicht. Kurioserweise halten insbesondere Banken und Portale für
> Devisenhandel etc. daran fest. Auch gerne mal in einer vollkommen
> veralteten Version, die dann "aus Kompatibilitätsgründen" nicht
> aktualisiert werden darf. Und einer der größten IT-Distributoren hat seinen
> gesamten Online-Shop auf JAVA-Basis gebaut (darum muss ich mich mit dem
> Zeug noch herumprügeln).

Ich programmiere nun seit über 5 Jahren unter anderem in Java und nutze so einige in Java realisierte Tools. Ich habe nur ein einziges Mal Kompatibilitätsprobleme gehabt als ich vom Sun-JDK 6 aufs OpenJDK 7 gewechselt habe. (Ein paar Programme haben wohl private-Apis verwendet, wurden aber von den Herstellern gefixt)

Mich würde mal interessieren, was das für Anwendungen sind, die nicht kompatibel sind. Nutzen die auch unerlaubterweise private-Apis? Java ansich ist doch sehr kompatibel...

Benutzer wird von Ihnen ignoriert. Anzeigen

Crass Spektakel schrieb:
--------------------------------------------------------------------------------
> Adobe Reader - Firefox kann PDFs anzeigen und nutzt das ziemlich sichere
> Ghostscript dafür
Und ich dachte, Mozilla hätte einen komplett eigenen PDF-Renderer in Javascript geschrieben. Davon, dass Mozilla Ghostscript auf Javascript portiert hätte, habe ich noch nicht gehört.

___________________________________________________
Dieser Benutzer besitzt ein paar Coinadressen.

Benutzer wird von Ihnen ignoriert. Anzeigen