Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Z1: Zahnarztsoftware installiert…

das macht Schmerzen..

  1. Thema

Neues Thema Ansicht wechseln


  1. das macht Schmerzen..

    Autor: duseldude 29.01.19 - 19:08

    Schmerzen weil,
    Nicht das das einige rückständige "software" Produzenten tun
    sonder in einem IT-forum solche Emfehlungen..
    so viele dumme ideen, ich kann es fast nicht glauben..

    pdf im Browser, am besten noch als standard Einstellung?

    also aktive Skripte sie dann auch sofort ins netz telefonieren können?
    sagt mal .. mit sicherheit habt ihr nicht viel am Hut?

    noch mal zur Verdeutlichung:

    also der angeklickte Email anhang, dessen eingebettetes skript wer weiss was tut, hat somit sofortigen Netzzugriff?

    ist das euer Ernst?

    dude

  2. Re: das macht Schmerzen..

    Autor: ldlx 29.01.19 - 19:22

    Sehe ich ähnlich. Nicht nur wegen des (vermutlich) geringen Schutzes/vorhandener Angriffsflächen, wenn PDFs im Browser dargestellt werden (PDF-Betrachter haben einen "sicheren Modus" für Dokumente mit Herkunft Internet), sondern auch wegen anderen Macken, die die Arbeit beeinträchtigen, z. B. zerwürfelt Firefox gerne das Drucklayout - da werden Dokumente mal eben im "Letter"-Format zum Drucker geschickt anstelle A4.

    Gibt aber auch brauchbare Alternativen zu veraltetem oder aktuellem Adobe Reader.

  3. Re: das macht Schmerzen..

    Autor: Jürgen Troll 29.01.19 - 19:40

    Ähhh... aus welchem Loch kommt ihr denn gekrochen? Sich hier so zum Horst zu machen ist aber auch schon irgendwie lustig.

    Zum eigentlichen Thema: ihr könnt mal gern den genauen Angriff skizzieren, der beim Ansehen einer PDF in einem aktuellen Browser möglich sein soll. Ich bin gespannt. Danke.

  4. Re: das macht Schmerzen..

    Autor: ldlx 29.01.19 - 19:49

    Du weißt, dass PDFs aktive Inhalte, eingebette Dateien usw. enthalten können? Angriffe mit manipulierten PDFs sind jetzt auch nicht neu. Und nunja, nicht zuletzt die Druckprobleme, die gerade Browser mitbringen.

  5. Re: das macht Schmerzen..

    Autor: MasterBlupper 29.01.19 - 20:15

    ldlx schrieb:
    --------------------------------------------------------------------------------
    > Du weißt, dass PDFs aktive Inhalte, eingebette Dateien usw. enthalten
    > können? Angriffe mit manipulierten PDFs sind jetzt auch nicht neu. Und
    > nunja, nicht zuletzt die Druckprobleme, die gerade Browser mitbringen.

    … und genau die werden was genau von den PDF-Readern in Browser? … genau sie werden ignoriert. Scripte in PDF Dateien werden nicht ausgeführt. Zusätzlich laufen Browser heutzutage in einer Sandbox - ganz im Gegenteil vom Adobe Acrobat Reader. Damit ist auch das ausbrechen aus dem Browser auch deutlich schwieriger.

  6. Re: das macht Schmerzen..

    Autor: ldlx 29.01.19 - 20:27

    MasterBlupper schrieb:
    --------------------------------------------------------------------------------
    > … und genau die werden was genau von den PDF-Readern in Browser?
    > … genau sie werden ignoriert. Scripte in PDF Dateien werden nicht
    > ausgeführt. Zusätzlich laufen Browser heutzutage in einer Sandbox - ganz im
    > Gegenteil vom Adobe Acrobat Reader. Damit ist auch das ausbrechen aus dem
    > Browser auch deutlich schwieriger.

    Oh, wenn du das sagst... PDF ist im Browser ja auch die Hauptfunktion und wird bestens gepflegt.

    Und um mich mal selbst zu zitieren:
    > Gibt aber auch brauchbare Alternativen zu veraltetem oder aktuellem Adobe Reader.

  7. Re: das macht Schmerzen..

    Autor: duseldude 29.01.19 - 20:28

    und glaubst "böswillige" coder arbeiten mit einer alten Codebasis?
    eher ist doch wohl anzunehmen das der weiss wie er aus der sandbox kommt..

    aber alles das ist eigentlich viel zu kompliziert, ein einfacher Hyperlink,
    gut platziert lässt sich auch vom Browser aufrufen.

    dude

  8. Re: das macht Schmerzen..

    Autor: Quantium40 29.01.19 - 20:33

    MasterBlupper schrieb:
    > Zusätzlich laufen Browser heutzutage in einer Sandbox - ganz im
    > Gegenteil vom Adobe Acrobat Reader. Damit ist auch das ausbrechen aus dem
    > Browser auch deutlich schwieriger.

    Kleiner Tipp - geht mal im Acrobat Reader DC unter:
    Bearbeiten
    -> Einstellungen
    -> Sicherheit (erweitert)

    Aber bitte nicht weiter verraten, dass man da auch den Sandbox-Modus (auch bekannt als Geschützte Ansicht) aktivieren kann.
    Die Einstellungen zu Multimedia und JavaScript sind auch konfigurierenswert.

    Das lässt sich übrigens auch per Registry-Eintrag in einer Domäne vorkonfigurieren.

  9. Re: das macht Schmerzen..

    Autor: MasterBlupper 30.01.19 - 12:13

    duseldude schrieb:
    --------------------------------------------------------------------------------
    > und glaubst "böswillige" coder arbeiten mit einer alten Codebasis?
    oft genug ist genau das der Fall. Warum? Weil genau das in der Masse installiert ist - eine veraltete Version.

    > eher ist doch wohl anzunehmen das der weiss wie er aus der sandbox kommt..
    *Wenn* das passieren sollte, ist es ein Super-GAU für ein Browser. Das würde nämlich bedeuten, dass praktisch jede Webseite ausbrechen könnte. Das wäre quasi ein Bug der höchstmöglichen Stufe.

    und was die in einem vorherigen Beitrag angesprochene Pflege angeht, da es ja nicht die Hauptfunktion sei. Mozilla’s pdf.js wird von vielen Anwendungen mittlerweile als Basis verwendet zur PDF Darstellung verwendet und entsprechend auch gepflegt. Einfach einmal die Commits etc.pp. bei Github anschauen:
    https://github.com/mozilla/pdf.js/commits/master

  10. Re: das macht Schmerzen..

    Autor: Jürgen Troll 30.01.19 - 12:36

    Genau so ist es nämlich. PDFs in einem Browser anzuzeigen ist wesentlich sicherer als in irgendwelchen anderen Tools. Das scheint bei den ganzen "IT-Profis" leider noch nicht angekommen zu sein :D

  11. Re: das macht Schmerzen..

    Autor: hans-peterr 30.01.19 - 13:10

    Ja, in der Tat ist PDF lesen eine Hauptfunktionen eines Browsers.

  12. Re: das macht Schmerzen..

    Autor: FreiGeistler 01.02.19 - 12:37

    Quantium40 schrieb:
    --------------------------------------------------------------------------------
    > MasterBlupper schrieb:
    > > Zusätzlich laufen Browser heutzutage in einer Sandbox - ganz im
    > > Gegenteil vom Adobe Acrobat Reader. Damit ist auch das ausbrechen aus
    > dem
    > > Browser auch deutlich schwieriger.
    >
    > Kleiner Tipp - geht mal im Acrobat Reader DC unter:
    > Bearbeiten
    > -> Einstellungen
    > -> Sicherheit (erweitert)
    >
    > Aber bitte nicht weiter verraten, dass man da auch den Sandbox-Modus (auch
    > bekannt als Geschützte Ansicht) aktivieren kann.
    > Die Einstellungen zu Multimedia und JavaScript sind auch
    > konfigurierenswert.
    >
    > Das lässt sich übrigens auch per Registry-Eintrag in einer Domäne
    > vorkonfigurieren.

    Ohjemine...
    Evince oder muPDF installieren und im Browser und Mailer via "öffnen mit..." entsprechend auswählen.
    Weil, die haben nur die "geschützte Ansicht".
    Ausser natürlich man ist zwingend auf Skripte und Animationen in PDF angewiesen. Dann würde ich aber mal meinen Workflow überdenken.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Schwarz IT KG, Neckarsulm
  2. DLR Deutsches Zentrum für Luft- und Raumfahrt e.V., München
  3. ThoughtWorks Deutschland GmbH, Köln
  4. i-SOLUTIONS Health GmbH, Bochum, Düsseldorf

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. ab 23,99€
  2. ab 899,00€ (jetzt vorbestellbar!)
  3. (aktuell u. a.Intenso 128 GB microSDXC 10,99€, Verbatim 128 GB USB-Stick 12,99€)
  4. (-80%) 1,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Varjo VR-Headset im Hands on: Schärfer geht Virtual Reality kaum
Varjo VR-Headset im Hands on
Schärfer geht Virtual Reality kaum

Das VR-Headset mit dem scharfen Sichtfeld ist fertig: Das Varjo VR-1 hat ein hochauflösendes zweites Display, das ins Blickzentrum des Nutzers gespiegelt wird. Zwar sind nicht alle geplanten Funktionen rechtzeitig fertig geworden, die erreichte Bildschärfe und das Eyetracking sind aber beeindruckend - wie auch der Preis.
Ein Hands on von Tobias Költzsch

  1. Und täglich grüßt das Murmeltier Sony bringt VR-Spiel zu Kultfilm mit Bill Murray
  2. Steam Hardware Virtual Reality wächst langsam - aber stetig
  3. AntVR Stirnband soll Motion Sickness in VR verhindern

Digitaler Hausfriedensbruch: Bund warnt vor Verschärfung der Hackerparagrafen
Digitaler Hausfriedensbruch
Bund warnt vor Verschärfung der Hackerparagrafen

Ein Jahr Haft für das unbefugte Einschalten eines smarten Fernsehers? Unions-Politiker aus den Bundesländern überbieten sich gerade mit Forderungen, die Strafen für Hacker zu erhöhen und den Ermittlern mehr Befugnisse zu erteilen. Doch da will die Bundesregierung nicht mitmachen.
Von Friedhelm Greis

  1. Runc Sicherheitslücke ermöglicht Übernahme von Container-Host
  2. Security Metasploit 5.0 verbessert Datenbank und Automatisierungs-API
  3. Datenbank Fehler in SQLite ermöglichte Codeausführung

Honor Magic 2 im Test: Die Smartphone-Revolution ist aufgeschoben
Honor Magic 2 im Test
Die Smartphone-Revolution ist aufgeschoben

Ein Smartphone, dessen vordere Seite vollständig vom Display ausgefüllt wird: Diesem Ideal kommt Honor mit dem Magic 2 schon ziemlich nahe. Nicht mit Magie, sondern mit Hilfe eines Slider-Mechanismus. Honor verschenkt beim Magic 2 aber viel Potenzial, wie der Test zeigt.
Ein Test von Tobias Czullay

  1. Honor Neues Magic 2 mit Slider und ohne Notch vorgestellt
  2. Huawei Neues Honor 8X kostet 250 Euro
  3. Honor 10 vs. Oneplus 6 Oberklasse ab 400 Euro

  1. Huawei: Wartungsschnittstellen sind "keine Hintertüren"
    Huawei
    Wartungsschnittstellen sind "keine Hintertüren"

    Ein China-Thinktank, der selbst erklärt, das Technik nicht seine Kernkompetenz sei, verschickt Studien über 5G-Sicherheitsrisiken durch Wartungsschnittstellen. Wir sprachen dazu mit Huawei.

  2. Musikerkennung: Apple bereinigt Shazam um Facebook- und Google-SDKs
    Musikerkennung
    Apple bereinigt Shazam um Facebook- und Google-SDKs

    Viele Apps schicken ohne Zustimmung der Nutzer Daten an Facebook. Bei der beliebten Musikerkennungsapp Shazam hat Apple das nun gestoppt. Allerdings nicht bei allen Nutzern.

  3. Stepstone: Telekombranche zahlt im Durchschnitt 68.800 Euro
    Stepstone
    Telekombranche zahlt im Durchschnitt 68.800 Euro

    Die großen Telekommunikations-Unternehmen zahlen laut einer Studie ihren Angestellten im Durchschnitt 68.800 Euro. Doch die Jobplattform Stepstone hat Führungs- und Fachkräfte zusammengerechnet.


  1. 19:10

  2. 18:35

  3. 18:12

  4. 16:45

  5. 16:20

  6. 16:00

  7. 15:40

  8. 15:20