1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Security: Zwei weitere Flash-Lücken…
  6. Thema

Langweiliiiiiig...

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. Re: Langweiliiiiiig...

    Autor: Anonymer Nutzer 13.07.15 - 12:58

    M. schrieb:
    --------------------------------------------------------------------------------
    > Ich würde es nicht als 'den letzten Dreck' bezeichnen, aber doch als in
    > vielen Fällen verzichtbar, und (gerade weil es aktuell offene Lücken gibt,
    > und die in der Vergangenheit auch immer mal wieder gab) als
    > Sicherheitsrisiko.

    Alles ist ein Sicherheitsrisiko. Du begehst hier jedoch Symptombekämpfung. Das wahre Sicherheitsrisiko ist nämlich vor dem PC bzw. der Internetanschluss ansich! Jede Software hat Sicherheitslücken! Es ist nur eine Frage der Zeit bis wieder welche gefunden werden und dies werden sie dauernd und überall! :)

    > Was die Software leisten kann und was ihr vorgesehener Zweck ist, ist für
    > die Betrachtung der Sicherheitslücken recht egal. Gerade bei Software die
    > so exponiert ist wie Browser oder Browser-Plugins (also Flash, Java etc)
    > sollte man sich aber gut überlegen, ob man sie wirklich braucht und ob es
    > vielleicht reicht, sie nur bei Bedarf zu aktivieren (z.B. Click-to-Play).

    Nur bei Bedarf ist immer eine gute Idee.

    > Das Java-Plugin würde ich z.B. im Browser dringend deaktivieren,
    > Java-Applets braucht heute eh praktisch keiner mehr.

    Joa. Ich zitiere dazu mal jemanden von hier: http://www.computerwoche.de/a/warum-java-solch-ein-risiko-darstellt,2538751

    Und zwar:

    "wolfgang häfelinger • vor 10 Monaten
    Warum ich die Computerwoche wieder abbestellt habe? Genau wegen solchen Artikeln wie diesem [1].
    Java ist grundsätzlich ein sehr sicheres System bzw. Sprache. Die Einbindung in einen Browser ist tatsächlich eine Schnapsidee. Dass "Elster" diesen Weg einmal eingeschlagen hat, demonstriert nur die Inkompetenz der ausführenden Behörde und ist nicht "Java" anzulasten.
    Die Autoren mögen sich nochmals vor Augen führen, dass Java nie und nimmer als Browser-Plugin entwickelt wurde. Der klassische Einsatzort von Java ist JavaEE, also die Entwicklung/Ausführung von Enterprise Applications.
    Selbstverständlich belasse ich Java auf meinem Systemen, verbanne diese jedoch aus allen meinen Browsern. Das ist der eigentliche Ratschlag den sie Ihren Lesern mit auf den Weg geben sollten."

    > Flash kann man
    > mindestens mal auf Click-to-Play setzen...

    Richtig. Sollte man immer tun. Trotzdem sollte man auch weiterhin die Vorzüge von Flash genießen dürfen :)

  2. Re: Langweiliiiiiig...

    Autor: Anonymer Nutzer 13.07.15 - 12:59

    vbot schrieb:
    --------------------------------------------------------------------------------
    > Flash war in vielen Bereichen konkurrenzlos, das ist Fakt. Es kann zwar
    > MITTLERWEILE durch HTML/Javascript Lösungen ersetzt werden, es wird jedoch
    > trotzdem noch regelmäßig ausgeliefert (siehe Online-Werbung) und ist vor
    > allem in der Online-Werbung IMMER NOCH de facto Standard. Ob sicher oder
    > nicht, Flash wird so schnell nicht verschwinden. Mittlerweile wird es sogar
    > in die Browser integriert, da Adobe die Quellcodes mit den Herstellern
    > teilt. Auch wenn es im Netz keiner mehr einsetzen würde (vor allem
    > Online-Werbung), bleiben immer noch Adobe AIR und Apache Flex. Flash als
    > Dreck oder tot zu erklären geht also völlig an der Realität vorbei und ist
    > reines Wunschdenken. Es wird erst tot sein, wenn es keiner mehr, in was für
    > einer Form auch immer, nutzen / haben oder damit entwickeln will oder Adobe
    > es einfach einstampft, was wiederum total dämlich wäre und es im Moment
    > überhaupt nicht danach aussieht.

    Danke für diese Klarstellung :)

  3. Re: Langweiliiiiiig...

    Autor: M. 13.07.15 - 14:07

    > Alles ist ein Sicherheitsrisiko. Du begehst hier jedoch Symptombekämpfung.
    > Das wahre Sicherheitsrisiko ist nämlich vor dem PC bzw. der
    > Internetanschluss ansich! Jede Software hat Sicherheitslücken!
    So allgemein würde ich das nicht sagen. Es ist sicher so, dass bei komplexerer Software sehr leicht auch Sicherheitslücken entstehen (einfach weil kaum eine Software fehlerfrei ist), aber man kann durchaus auch sicher programmieren und dadurch die Anzahl der Lücken und vor allem auch die Anzahl der ausnutzbaren Lücken massiv reduzieren. Flash mit seiner Featuritis, direktem Hardware-Zugriff zwecks DRM/HDCP (unter Windows) und dem Aufbau als Monolith ist da nicht wirklich ein gutes Beispiel. Browser mit ausgefeilten Sandboxing-Konzepten und Code-Isolation schon eher.

    Mal abgesehen davon, dass die Reduktion der Angriffsfläche keine Symtombekämpfung ist, sondern sehr sinnvoll. Symptombekämpfung wäre, 'Sicherheitssoftware' wie Personal Firewalls, Virenscanner, Security-Suites etc. zu installieren...

    > > Das Java-Plugin würde ich z.B. im Browser dringend deaktivieren,
    > > Java-Applets braucht heute eh praktisch keiner mehr.
    > Joa. Ich zitiere dazu mal jemanden von hier: www.computerwoche.de
    Dem kann ich mich nur anschliessen. Java kann sehr sinnvoll und produktiv eingesetzt werden, gerade in grösseren Kollaborationen mit grosser gemeinsamer Codebasis. Ich programmiere hier selbst an einer Java-Anwendung (Beschleunigersteuerung) wenn ich nicht gerade Golem-Kommentare schreibe.
    Im Browser hat Java freilich nichts verloren, das war vor vielen, vielen Jahren mal ein Workaround dafür, dass Browser nichts konnten und JavaScript nicht standardisiert war.

    There's no sense crying over every mistake,
    you just keep on trying 'till you run out of cake.

  4. Re: Langweiliiiiiig...

    Autor: Anonymer Nutzer 13.07.15 - 14:18

    M. schrieb:
    --------------------------------------------------------------------------------
    > So allgemein würde ich das nicht sagen. Es ist sicher so, dass bei
    > komplexerer Software sehr leicht auch Sicherheitslücken entstehen (einfach
    > weil kaum eine Software fehlerfrei ist), aber man kann durchaus auch sicher
    > programmieren und dadurch die Anzahl der Lücken und vor allem auch die
    > Anzahl der ausnutzbaren Lücken massiv reduzieren.

    Es wird immer Lücken geben überall x.x Das Problem sind nicht die Lücken, sondern die Angreifer also der Mensch selbst... Er wird immer einen Weg suchen und angreifen, weil er auf den eigenen Vorteil erpicht ist... Deswegen werde ich jedoch noch lange nicht auf alles verzichten, nur um die "Chance" zu verringern, angegriffen zu werden... Denn Garantien habe ich deswegen noch lange nicht... Aber sehr wohl sofort einen deutlichen Komfortverlust.

    > Dem kann ich mich nur anschliessen. Java kann sehr sinnvoll und produktiv
    > eingesetzt werden, gerade in grösseren Kollaborationen mit grosser
    > gemeinsamer Codebasis. Ich programmiere hier selbst an einer Java-Anwendung
    > (Beschleunigersteuerung) wenn ich nicht gerade Golem-Kommentare schreibe.
    > Im Browser hat Java freilich nichts verloren, das war vor vielen, vielen
    > Jahren mal ein Workaround dafür, dass Browser nichts konnten und JavaScript
    > nicht standardisiert war.

    Joa :)

  5. Re: Langweiliiiiiig...

    Autor: M. 13.07.15 - 15:34

    > Es wird immer Lücken geben überall x.x Das Problem sind nicht die Lücken,
    > sondern die Angreifer also der Mensch selbst...
    Nein, das sehe ich jetzt komplett anders. Das Problem sind die Lücken an sich, der Angreifer ist beliebig austauschbar. Natürlich ist nicht richtig, gefundene Sicherheitslücken zu missbrauchen und dazu sogar gezielt geheim zu halten, damit sie nicht gefixt werden. Gerade Staaten und Strafverfolgungsbehörden sollten vielleicht mal kurz nachdenken, bevor sie sowas unterstützen, denn damit gefährden sie am Ende eine grosse Menge Unbeteiliger.
    Aber durch blosses Nicht-Angreifen verschwinden die Lücken nicht. Am hilfreichsten ist, wenn White-Hats die Lücken finden und veröffentlichen oder dem Hersteller melden, dann sind sie (hoffentlich) innerhalb weniger Tage dicht.

    > Deswegen werde ich jedoch noch lange nicht auf alles verzichten, nur um die
    > "Chance" zu verringern, angegriffen zu werden... Denn Garantien habe ich
    > deswegen noch lange nicht... Aber sehr wohl sofort einen deutlichen
    > Komfortverlust.
    Solange wir keine Software haben, deren Fehlerfreiheit sich (im mathematischen Sinne) beweisen lässt, wirst du nie eine Garantie haben. Es ist aber auch verwegen zu glauben, es gäbe unendlich viele Sicherheitslücken und die Anzahl lasse sich nicht reduzieren, indem man nicht oder selten benötigte Software deaktiviert/deinstalliert, Software wählt, die von Leuten implementiert wurde, die in Sachen Security halbwegs wissen was sie tun, etc.
    Klar, ein Komfortverlust geht damit einher, keine Frage. Aber es ist sicher nicht sinnlos.

    There's no sense crying over every mistake,
    you just keep on trying 'till you run out of cake.



    1 mal bearbeitet, zuletzt am 13.07.15 15:37 durch M..

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. NetApp Deutschland GmbH, Hamburg, Berlin
  2. Madsack PersonalManagement GmbH, Hannover
  3. über Mentis International Human Resources GmbH, Nordbayern
  4. Hays AG, München

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 7,99€
  2. 22,99€
  3. 24,49€


Haben wir etwas übersehen?

E-Mail an news@golem.de


CoD, Crysis, Dirt 5, Watch Dogs, WoW: Radeon-Raytracing kann auch schnell sein
CoD, Crysis, Dirt 5, Watch Dogs, WoW
Radeon-Raytracing kann auch schnell sein

Wer mit Raytracing zockt, hat je nach Titel mit einer Radeon RX 6800 statt einer Geforce RTX 3070 teilweise die besseren (Grafik-)Karten.
Ein Test von Marc Sauter


    IT-Teams: Jeder möchte wichtig sein
    IT-Teams
    Jeder möchte wichtig sein

    Teams bestehen in der IT häufig aus internen und externen, angestellten und freien Mitarbeitern. Damit alle zusammenarbeiten, müssen Führungskräfte umdenken.
    Von Miriam Binner

    1. Digital-Gipfel Wirtschaft soll 10.000 zusätzliche IT-Lehrstellen schaffen
    2. Weiterbildung Was IT-Führungskräfte können sollten
    3. IT-Profis und Visualisierung Sag's in Bildern

    Geforce RTX 3060 Ti im Test: Die wäre toll, wenn verfügbar-Grafikkarte
    Geforce RTX 3060 Ti im Test
    Die "wäre toll, wenn verfügbar"-Grafikkarte

    Mit der Geforce RTX 3060 Ti bringt Nvidia die Ampere-Technik in das 400-Euro-Segment. Dort ist die Radeon RX 5700 XT chancenlos.
    Ein Test von Marc Sauter

    1. Supercomputer-Beschleuniger Nvidia verdoppelt Videospeicher des A100
    2. Nvidia Geforce RTX 3080 Ti kommt im Januar 2021 für 1.000 US-Dollar
    3. Ampere-Grafikkarten Specs der RTX 3080 Ti und RTX 3060 Ti