Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Phishing-Studie: Neugier siegt über…

Falscher Ansatz

  1. Thema

Neues Thema Ansicht wechseln


  1. Falscher Ansatz

    Autor: JörgLudwig 04.08.16 - 17:37

    Ich kann der Aussage des Artikels nicht zustimmen. Im echten Leben erwarte ich auch, dass ich hingehen kann, wo ich will, ohne Angst um meine Gesundheit zu haben. Das gleiche sollte fürs Internet gelten. Wenn das reine Betrachten einer Webseite schon zum Sicherheitsrisiko wird, kann man das Web auch gleich ganz abschalten. Hier sind die Browser-Hersteller gefragt, weniger auf neue Funktionen und mehr auf Sicherheit zu setzen. Im Zweifel müssen halt gefährliche Funktionen erst auf Nachfrage aktiviert werden, wie es bei Flash und Java bereits der Fall ist.

  2. Re: Falscher Ansatz

    Autor: Wallbreaker 04.08.16 - 19:36

    JörgLudwig schrieb:
    --------------------------------------------------------------------------------
    > Ich kann der Aussage des Artikels nicht zustimmen. Im echten Leben erwarte
    > ich auch, dass ich hingehen kann, wo ich will, ohne Angst um meine
    > Gesundheit zu haben. Das gleiche sollte fürs Internet gelten.

    Echt jetzt? Das reale Leben mit einer digitalen Welt vergleichen? An sich muss man in beiden keine Angst haben, jedoch real kann einem immer etwas passieren, virtuell dagegen kann man es nahezu verhindern. Nur führt Fahrlässigkeit grundsätzlich zu Problemen. Man kann nicht real und digital leben, und meinen, man kann völlig den Verstand abschalten, und die Frage der Sicherheit auf Andere abwälzen.

    > Wenn das reine Betrachten einer Webseite schon zum Sicherheitsrisiko wird,
    > kann man das Web auch gleich ganz abschalten. Hier sind die Browser-Hersteller
    > gefragt, weniger auf neue Funktionen und mehr auf Sicherheit zu setzen. Im
    > Zweifel müssen halt gefährliche Funktionen erst auf Nachfrage aktiviert
    > werden, wie es bei Flash und Java bereits der Fall ist.

    Ich glaube du siehst nicht die Komplexität solcher Probleme. Erstens sind vielfach nicht die Browser selbst das Problem, sondern meist unsichere Drittanbieter-Plugins. Und zweitens sind die Browser bereits sehr gut abgesichert. Nur das hilft herzlich wenig, wenn Nutzer faul sind bei Updates, essentielle Meldungen/Warnungen übergehen, oder den Feind unmittelbar absichtlich herunterladen und ausführen. Es ist nicht die Aufgabe eines Browsers das zu prüfen noch zu verhindern. Der hat sich um Wichtigeres zu kümmern, als um Funktionen die den Browser nur aufblasen, und letztlich anfälliger machen. Hier ist das darunter liegende Betriebssystem gefragt, eine Anwendung zu isolieren, dass nicht irgendein dubioser Netzinhalt via Browser, irgendwelche Schäden hervorrufen kann.

    Und da sind wir wieder beim allseits beliebten Thema Windows, und dem dazu gehörenden Ökosystem, dass Phishing und Vieles mehr geradezu extrem begünstigt.
    Mit so einer Basis kann man keine Sicherheit aufbauen, beim besten Willen nicht. Dem System fehlen essentielle Optionen, die immer mit Drittanbieter-Software irgendwie hergeholt werden müssen. Wobei nicht einmal sicher gestellt ist, ob das dann auch wirksam ist. Hinzu kommt die mieserable Update-Politik, und eine mangelhafte Codequalität. Was nutzen einem Sicherheitsfunktionen, wenn diese vielfach ausgehebelt werden können? Gerade unter Windows 10 gibt es im Schnitt unter allen Lücken, zu 47,4% Rechte-Eskalationen, durch die beliebiger Code zum Administrator wurde. Unter Linux sind es nur an die 5,5%, was Systemrestriktionen erheblich wirksamer macht. Und auch das lässt sich mit weiteren Maßnahmen noch herabsetzen.

    Beispielsweise verfügt der Linux-Kernel noch zusätzlich, über effektive Sandboxing und Virtualisierungstechnologien, die man sich unmittelbar zunutze machen kann. Allein der Browser ist auf simple Weise ,in kaum zwei Minuten in einer Sandbox (Firejail), die weder nervt, noch auffällt, und selbst für Anfänger kinderleicht zu nutzen ist. Ab hier spielt Phishing schon kaum eine Rolle mehr, oder worauf Irgendjemand geklickt hat. Ebenso auch infizierte Werbe-Netzwerke mit Exploit-Kits, die nur auf Opfer warten. Mit Windows macht man einfache Verteidigung um ein Vielfaches schwieriger, und sich selbst das Leben schwer.

  3. Re: Falscher Ansatz

    Autor: Schläfer 04.08.16 - 20:34

    JörgLudwig schrieb:
    --------------------------------------------------------------------------------
    > Im echten Leben erwarte
    > ich auch, dass ich hingehen kann, wo ich will, ohne Angst um meine
    > Gesundheit zu haben. Das gleiche sollte fürs Internet gelten.

    Haben dir deine Eltern nicht beigebracht, nicht zu Fremden ins Auto zu steigen, auch wenn sie dir Süßigkeiten anbieten?

  4. Re: Falscher Ansatz

    Autor: Sybok 04.08.16 - 21:15

    Wallbreaker schrieb:
    --------------------------------------------------------------------------------
    > Ich glaube du siehst nicht die Komplexität solcher Probleme. Erstens sind
    > vielfach nicht die Browser selbst das Problem, sondern meist unsichere
    > Drittanbieter-Plugins. Und zweitens sind die Browser bereits sehr gut
    > abgesichert. Nur das hilft herzlich wenig, wenn Nutzer faul sind bei
    > Updates, essentielle Meldungen/Warnungen übergehen, oder den Feind
    > unmittelbar absichtlich herunterladen und ausführen. Es ist nicht die
    > Aufgabe eines Browsers das zu prüfen noch zu verhindern. Der hat sich um
    > Wichtigeres zu kümmern, als um Funktionen die den Browser nur aufblasen,
    > und letztlich anfälliger machen. Hier ist das darunter liegende
    > Betriebssystem gefragt, eine Anwendung zu isolieren, dass nicht irgendein
    > dubioser Netzinhalt via Browser, irgendwelche Schäden hervorrufen kann.

    Bis hierhin war es doch noch so sinnvoll. Aber dann kam das:

    > Und da sind wir wieder beim allseits beliebten Thema Windows, und dem dazu
    > gehörenden Ökosystem, dass Phishing und Vieles mehr geradezu extrem
    > begünstigt.

    Soso. Das "Ökosystem" von Windows begünstigt also Phishing? Machen wir uns nichts vor: Vor Windows 8 gab es praktisch gar kein Windows-Ökosystem, da man sich dort alles selbst besorgen musste. Klar: Es gab "Windows-Software", aber ein Ökosystem ist das noch nicht. Und der restriktive Store ab 8 (den man erstmalig als so was wie einen Versuch, ein echtes "Ökosystem" aufzubauen, bezeichnen kann) begünstigt sicherlich kein Phishing.

    > Mit so einer Basis kann man keine Sicherheit aufbauen, beim besten Willen
    > nicht. Dem System fehlen essentielle Optionen, die immer mit
    > Drittanbieter-Software irgendwie hergeholt werden müssen.

    Aha. Welche essentiellen Optionen wären denn das?

    > Wobei nicht einmal sicher gestellt ist, ob das dann auch wirksam ist.

    > Hinzu kommt die mieserable Update-Politik,

    Die Update-Politik ist eigentlich inzwischen relativ gut, jedenfalls sehe ich genug andere die es wesentlich schlechter machen (man schaue sich nur mal die Situation bei Android an). Und auch wenn man es als Nerd ganz toll finden mag, wenn bei einem Consumer-Linux innerhalb von ein paar Stunden ein mit heißer Nadel gestrickter Patch da ist, der das Problem dann immerhin zu 33% löst, so ist sowas in Unternehmen undenkbar, und deshalb nicht umsonst in Enterprise-Distris auch gänzlich anders.

    > und eine mangelhafte Codequalität.

    Da eine fehlerhafte Funktionalität nicht zwingend auf eine schlechte Codequalität schließen lässt (sondern auch auf Inkompatibilitäten mit Drittsoftware, nie vorgesehene Sonderfälle etc. pp. zurückzuführen sein kann) und Du mit Sicherheit keinen Einblick in die Codequalität von Microsoft hast, brauchen wir darüber kaum zu reden. Was bisher von Insidern nach außen gedrungen ist war eigentlich eher dass der neuere Code bei Microsoft eine ziemlich hohe Qualität und gute Struktur hat, aber der alte Legacy-Code (den man aus Kompatibilitätsgründen weder rauswerfen noch wirklich anfassen kann) natürlich teils echter Murks ist. Das ist nicht sonderlich überraschend aber solche Kröten muss man bei einem Produkt dieser Verbreitung manchmal schlucken. Wenn man allen Legacy-Code rausschmeißt, dann gehen zu viele Kunden auf die Barrikaden weil ihre Uralt-Software plötzlich nicht mehr läuft.

    > Was nutzen einem Sicherheitsfunktionen, wenn diese vielfach ausgehebelt werden können?

    Schön gesagt, stimmt nur so nicht. Die Sicherheitsfunktionen von Windows werden eben nicht öfter ausgehebelt als die von Linux. Und jetzt bitte nicht wieder die Lücken von Windows 7 bis Windows 10 addieren - wir wissen alle, dass 80+% davon deckungsgleich sind.

    > Gerade unter Windows 10 gibt es im Schnitt unter allen Lücken, zu 47,4%
    > Rechte-Eskalationen, durch die beliebiger Code zum Administrator wurde.
    > Unter Linux sind es nur an die 5,5%, was Systemrestriktionen erheblich
    > wirksamer macht. Und auch das lässt sich mit weiteren Maßnahmen noch
    > herabsetzen.

    Ja, würfeln wir einfach mal ein paar Werte mit krummen Nachkommastellen aus und schon klingt selbst die abstruseste Behauptung ohne jegliche Quellen plausibel. Ein Blick in die bekannten Exploit-Datenbanken sagt nur leider regelmäßig was anderes. Aber wen interessieren schon solche Details. Allein 2016 gab es laut cvedetails schon anderthalbmal soviele Lücken im Linux-Kernel wie im gesamten Windows 10 (und in den jeweiligen Distris kommt oftmals noch so einiges dazu), und davon nicht wenige sehr kritische Lücken. Klar ist natürlich, dass bei der riesiegen Zahl der Anfälligkeiten in den CVE-Datenbanken die wirklich schweren Lücken bei Linux einen niedrigeren relativen Prozentsatz haben, aber dafür ist die absolute Zahl der bekannten Sicherheitslücken auch oftmals sehr viel größer.

    > Beispielsweise verfügt der Linux-Kernel noch zusätzlich, über effektive
    > Sandboxing und Virtualisierungstechnologien, die man sich unmittelbar
    > zunutze machen kann.

    Aha, so argumentieren wir. Nun: Sicherheitsfeatures die man sich zunutze machen kann bietet der Windows-Kernel auch viele. Dass bei vielen Programmen aber viele davon nicht eingesetzt werden ist sicher nicht nur(!) Microsofts Schuld.

    Und wie toll Linux mit seinen Sicherheitstechniken vorraus ist sieht man auch daran, dass es immerhin nur sieben Jahre nach Windows vollständigen ASLR-Support hatte, oder wie lange es bei vielen Distris dauerte bis SELinux implementiert (und auch aktiv) war.

    > Allein der Browser ist auf simple Weise ,in kaum zwei
    > Minuten in einer Sandbox (Firejail), die weder nervt, noch auffällt, und
    > selbst für Anfänger kinderleicht zu nutzen ist. Ab hier spielt Phishing
    > schon kaum eine Rolle mehr, oder worauf Irgendjemand geklickt hat.

    Was ist das denn für ein Käse? Erstens sind die aktuelleren MS-Browser auch in einer Sandbox (beim IE optional, beim Edge zwingend), und zweitens kann keine Sandbox der Welt vor Phishing schützen - wie zum Geier sollte sie auch???

    > Ebenso auch infizierte Werbe-Netzwerke mit Exploit-Kits, die nur auf Opfer warten.
    > Mit Windows macht man einfache Verteidigung um ein Vielfaches schwieriger,
    > und sich selbst das Leben schwer.

    Würdest Du auch mal echte, fundierte Argumente liefern, dann könnte man Dich ernst nehmen. So fallen leider nur die Unwissenden auf Dich herein.

  5. Re: Falscher Ansatz

    Autor: JörgLudwig 05.08.16 - 01:04

    > Haben dir deine Eltern nicht beigebracht, nicht zu Fremden ins Auto zu
    > steigen, auch wenn sie dir Süßigkeiten anbieten?

    Haben sie. Und es hat mich 10 lange Jahre gekostet, das wieder abzulegen. Inzwischen unterhalte ich mich mit allem und jedem, der mir so über den Weg läuft, und stelle fest, dass 99% aller Leute super liebenswürdig und interessant sind. Ich bin der festen Überzeugung, dass man im Leben mit Vertrauen viel weiter kommt als mit Misstrauen. Aber ich komme vom Thema ab. :D

    Bei Technik sehe ich das ganz pragmatisch. Ein Computer ist ein Werkzeug wie jedes andere. Es muss so einfach wie möglich funktionieren. Es soll den Anwender entlasten und das Leben nicht unnötig verkomplizieren. Wenn irgendwas schief geht, ist meiner Meinung nach grundsätzlich der Entwickler schuld und nicht der Anwender. Wir Programmierer sind leider oft ziemlich abgehoben. Normale Menschen sollten besseres zu tun haben, als sich über Browsereinstellungen Gedanken zu machen.

  6. Re: Falscher Ansatz

    Autor: Peter Brülls 05.08.16 - 07:02

    JörgLudwig schrieb:
    --------------------------------------------------------------------------------
    > Ich kann der Aussage des Artikels nicht zustimmen. Im echten Leben erwarte
    > ich auch, dass ich hingehen kann, wo ich will, ohne Angst um meine
    > Gesundheit zu haben.

    Echt?

  7. Re: Falscher Ansatz

    Autor: Niaxa 05.08.16 - 08:28

    Also würdest du on verseuchte Gebiete gehen, auf Baustellen ein Schild "Spielplatz" stellen, in Minenfeldern Tanzen und und und? Weil vertrauen und der Drang alles überall machen zu können so hoch ist? Super Idee. Und das mit dem Misstrauen ablegen ist gut. Ich komme demnächst als Handwerker und Stromversorgung etc. vorbei, denn mit dir lässt sich sicher gut Geld verdienen. Ach und 100% super duper Geldanlagen, Versicherungen und Strom,- Gas,- und sonstige Verträge bring ich gleich mit. Glaub mir ich werde so vertrauenswürdig sein wie irgend möglich ;-). Poste mir doch bitte kurz deinen vollen Namen und deine Bankdaten... einschließlich Pin. Es ist für mich natürlich ein Serviceangebot für die Kunden, nicht selbst zur Bank zu müssen.

    Ich mag deine rosa Welt.



    1 mal bearbeitet, zuletzt am 05.08.16 08:30 durch Niaxa.

  8. Re: Falscher Ansatz

    Autor: Subsessor 05.08.16 - 09:47

    Sybok schrieb:
    --------------------------------------------------------------------------------
    Oh man, danke. Ähnliches habe ich beim Lesen des Posts auch gedacht, wenngleich nicht so ausführlich und professionell.
    Grade das Sandboxing erinnert mich an diese schöne Lücke bei Docker, wo ja wirklich alles separat läuft - aber hat man dann einen Exploit gehört sofort die gesamte Architektur dem Angreifer...

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Erwin Hymer Group SE, Bad Waldsee
  2. Fraunhofer-Institut für Arbeitswirtschaft und Organisation IAO, Esslingen am Neckar
  3. Medion AG, Essen
  4. Amprion GmbH, Pulheim-Brauweiler

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 35€ (Bestpreis!)
  2. 199€ + Versand
  3. 56€ (Bestpreis!)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Atari Portfolio im Retrotest: Endlich können wir unterwegs arbeiten!
Atari Portfolio im Retrotest
Endlich können wir unterwegs arbeiten!

Ende der 1980er Jahre waren tragbare PCs nicht gerade handlich, der Portfolio von Atari war eine willkommene Ausnahme: Der erste Palmtop-Computer der Welt war klein, leicht und weitestgehend DOS-kompatibel - ideal für Geschäftsreisende aus dem Jahr 1989 und Nerds aus dem Jahr 2019.
Ein Test von Tobias Költzsch

  1. Retrokonsole Hauptverantwortlicher des Atari VCS schmeißt hin

Rabbids Coding angespielt: Hasenprogrammierung für Einsteiger
Rabbids Coding angespielt
Hasenprogrammierung für Einsteiger

Erst ein paar einfache Anweisungen, dann folgen Optimierungen: Mit dem kostenlos erhältlichen PC-Lernspiel Rabbids Coding von Ubisoft können Jugendliche und Erwachsene ein bisschen über Programmierung lernen und viel Spaß haben.
Von Peter Steinlechner

  1. Transport Fever 2 angespielt Wachstum ist doch nicht alles
  2. Mordhau angespielt Die mit dem Schwertknauf zuschlagen
  3. Bus Simulator angespielt Zwischen Bodenschwelle und Haltestelle

Internetprovider: P(y)ures Chaos
Internetprovider
P(y)ures Chaos

95 Prozent der Kunden des Internetproviders Pyur bewerten die Leistung auf renommierten Bewertungsportalen mit der Schulnote 6. Ein Negativrekord in der Branche. Was steckt hinter der desaströsen Kunden(un)zufriedenheit bei der Marke von Tele Columbus? Ein Selbstversuch.
Ein Erfahrungsbericht von Tarik Ahmia

  1. Bundesnetzagentur Nur 13 Prozent bekommen im Festnetz die volle Datenrate

  1. Mark Hurd: Co-Chef von Software-Konzern Oracle gestorben
    Mark Hurd
    Co-Chef von Software-Konzern Oracle gestorben

    Mark Hurd war als Chef von NCR, Hewlett-Packard und zuletzt Oracle einer der einflussreichsten Manager der Computerbranche. Nun ist er im Alter von 62 Jahren an einer Krankheit verstorben.

  2. H2.City Gold: Caetanobus stellt Brennstoffzellenbus mit Toyota-Technik vor
    H2.City Gold
    Caetanobus stellt Brennstoffzellenbus mit Toyota-Technik vor

    Damit die Luft in Städten besser wird, sollen Busse sauberer werden. Ein neuer Bus aus Portugal mit Brennstoffzellenantrieb emititiert als Abgas nur Wasserdampf.

  3. Ceconomy: Offene Führungskrise bei Media Markt und Saturn
    Ceconomy
    Offene Führungskrise bei Media Markt und Saturn

    Die Diskussion um die mögliche Absetzung von Ceconomy-Chef Jörn Werner sollte eigentlich noch nicht öffentlich werden. Jetzt wissen es alle, und es gibt keinen Nachfolger.


  1. 11:35

  2. 18:18

  3. 18:00

  4. 17:26

  5. 17:07

  6. 16:42

  7. 16:17

  8. 15:56