1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › Foreshadow/L1TF: Intel-CPUs…

Was sind die Nachteile für die Desktops?

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema


  1. Was sind die Nachteile für die Desktops?

    Autor: dreckigerlurch 15.08.18 - 14:08

    Das ist kein Trollversuch oder ähnliches. Aber ich habe es tatsächlich noch nicht verstanden, was der Nachteil solcher Designfehler für Desktops ist und warum diese auf Kosten der Performance gepatcht werden müssen. Wenn es einem leichter fällt das mit Beschimpfungen zu erklären, nur zu, wir sind im Internet, ich halte das aus.

    Warum stelle ich mir die Frage? Das ist doch "nur" ein weiterer Angriffsvektor für Malware. Sobald ich Malware auf meinem Desktop habe ist es doch meist eh schon zu spät. Oft ausgelöst durch brain.exe has stopped working oder ähnliches.

  2. Re: Was sind die Nachteile für die Desktops?

    Autor: Quantium40 15.08.18 - 14:31

    dreckigerlurch schrieb:
    > Warum stelle ich mir die Frage? Das ist doch "nur" ein weiterer
    > Angriffsvektor für Malware. Sobald ich Malware auf meinem Desktop habe ist
    > es doch meist eh schon zu spät.

    Jein. Die Frage ist an der Stelle immer, was die Malware tun will und welche Rechte sie dafür benötigt. Will die Malware sich besipielsweise auf deinem Rechner einnisten, dann reicht es nicht, wenn sie nur im Werbeframe einer Website ausgeführt wird. Sie muss es auch schaffen, aus der Browsersandbox auszubrechen und die eigentliche Payload im System verankern, so dass sie mit den nötigen Berechtigungen ausgeführt wird.
    Anders sieht es z.B. aus, wenn eine Malware, die nur im Browser als Javascript läuft, z.B. Daten auslesen will, wie beispielsweise kryptographische Schlüssel oder Nutzereingaben. Da sind dann Lücken, wie Foreshadow/L1TF oder Spectre usw. durchaus kritisch, wenn sie über die Sicherheitslücke alle Zugriffsschutzmechanismen umgehen können.
    Zudem kann das Auslesen der Daten anderer Prozesse u.U. erst eine Installation der eigentlichen Malware ermöglichen, weil sich dadurch indirekt Schutzmechanismen des Betriebssystems wie z.B. ASLR umgehen lassen.

  3. Re: Was sind die Nachteile für die Desktops?

    Autor: dreckigerlurch 15.08.18 - 14:49

    Quantium40 schrieb:
    --------------------------------------------------------------------------------
    > Javascript

    Also wie "fast immer" "einfach" keine unbekannte Software auf meinem Rechner laufen lassen und mich interessiert die Lücke keine Bohne? Javascript läuft im WhiteList-Mode. Hier finde ich, müssen Browser noch mehr benutzerfreundlichere Einstellungen einbauen. Für mich als Laie ist schon nicht mehr überschaubar. Ich habe nur Basiswissen. Aber dann müssen solche Dinge wie Same-Origin-Policy noch viel strikter umgesetzt werden.

    Wie kann ich z. B. meinen Browser zwingen nur Dinge zu laden die von der gleichen URL stammen wie oben in meiner Adressleiste?

  4. Re: Was sind die Nachteile für die Desktops?

    Autor: Quantium40 15.08.18 - 15:19

    dreckigerlurch schrieb:
    > Wie kann ich z. B. meinen Browser zwingen nur Dinge zu laden die von der
    > gleichen URL stammen wie oben in meiner Adressleiste?

    So richtig gar nicht.
    Aber das würde auch nur begrenzt helfen, da immer wieder auch Server größerer Websites gehackt werden.

    Statt auf Whitelisting von Javascripting bestimmter Sites zu setzen wäre es zudem eher zielführend, bestimmte Funktionen von Javascript zu deaktivieren. Insbesondere mit eval() wird ja viel Schindluder getrieben.

  5. Re: Was sind die Nachteile für die Desktops?

    Autor: Aluz 16.08.18 - 10:09

    dreckigerlurch schrieb:
    --------------------------------------------------------------------------------
    > Also wie "fast immer" "einfach" keine unbekannte Software auf meinem
    > Rechner laufen lassen und mich interessiert die Lücke keine Bohne?
    > Javascript läuft im WhiteList-Mode.

    Ja aber leider kannst du ja als Benutzer nicht wissen welches Script nun gutartig und welches tatsaechlich boesartig ist. Es kann auch gut sein, dass eine vertrauenswuerdige Website selbst einen Hacker im System hatte, der die Malware in "gutartiges" Script eingespielt hat. Somit kann sich der Benutzer nur bedingt wehren. Desswegen sind die Patches wichtig um eben diese Falle auch zu verhindern.

    dreckigerlurch schrieb:
    --------------------------------------------------------------------------------
    > Wie kann ich z. B. meinen Browser zwingen nur Dinge zu laden die von der
    > gleichen URL stammen wie oben in meiner Adressleiste?

    Leider ueberhaupt nicht, da sonst das internet unbenutzbar wird. Viele websites nutzen die URL nur als entry point, die Bilder, Resourcen, scripts usw kommen von anderen URLs hinter denen gegebenenfalls auch andere Server stehen um die last aufzuteilen. Zudem benutzen viele Seiten Font libraries oder script frameworks von dritten Anbietern, die nicht bei der Website selbst gehostet werden.

  1. Thema

Neues Thema


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Senior Frontend Developer (m/w/d)
    Seriotec GmbH, München
  2. Full Stack Developer (m/w/d)
    get IT green GmbH, Freiburg
  3. Embedded Firmware Entwickler (m/w)
    IoT Invent GmbH, Ismaning
  4. Fachinformatiker Customer Support (m/w/d)
    INIT Group, Karlsruhe

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. Razer Tetra Headset PS4/PS5 für 12€ inkl. Versand statt über 20€ im Vergeich)
  2. 21,99€ zzgl. Versand ohne Prime (Bestpreis!)
  3. 9,99€ + 2,99€ Versand oder kostenlose Marktabholung. Auch bei Saturn erhältlich. Bestpreis!
  4. (u. a. Palit GeForce RTX 3050 Dual für 319€ statt 376,74€ im Vergleich, MSI MPG X570 Gaming...


Haben wir etwas übersehen?

E-Mail an news@golem.de


Unikate: Deutsche Post verkauft eine Milliarde Matrixcode-Briefmarken
Unikate
Deutsche Post verkauft eine Milliarde Matrixcode-Briefmarken

Die Deutsche Post begann im Februar 2021, Briefmarken mit Matrixcode zu verkaufen. Nun wurden bereits eine Milliarde Stück verkauft.

  1. Digitale Kopie Den Brief zuvor in der Post & DHL App ansehen

Xiaomi Watch S1 Active im Test: Wenn sich beim Joggen der Schlafmodus meldet
Xiaomi Watch S1 Active im Test
Wenn sich beim Joggen der Schlafmodus meldet

Eine günstige Sportuhr mit gutem GPS-Modul - das wäre was! Leider hat die Watch S1 Active von Xiaomi zu viele Schwächen, um Spaß zu machen.
Von Peter Steinlechner

  1. Wearable Fossil präsentiert Hybrid-Smartwatch im Retrolook

Geleaktes One Outlook ausprobiert: Wie Outlook Web, nur besser
Geleaktes One Outlook ausprobiert
Wie Outlook Web, nur besser

Endlich wird das schreckliche Mail-Programm in Windows 10 und 11 ersetzt. One Outlook ist zudem mehr, als nur Outlook im Browser.
Ein Hands-on von Oliver Nickel

  1. Office 365 Microsofts neuer Outlook-Client ist geleakt
  2. Interface-Wechsel Outlook für den Mac bekommt neue Oberfläche
  3. Microsoft Die Zeit für Outlook 2007 und 2010 läuft ab