1. Foren
  2. Kommentare
  3. Software-Entwicklung
  4. Alle Kommentare zum Artikel
  5. › Mozilla Addons: Kritik an…

Warum kein Schalter?

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema Ansicht wechseln


  1. Warum kein Schalter?

    Autor: peh.guevara 18.02.15 - 08:37

    Was spricht eigentlich gegen den Schalter in about:config? Standardmäßig ist die Sicherheit durch Signatur gewährleistet und wer das nicht will hat Pech gehabt oder weiß genau was er tut.

    Meines Erachtens spricht da nichts gegen weil:
    a) Android kann ich auch Apps installieren die nicht aus dem Store kommen.
    b) Ich kann im Browser auch nicht vertrauenswürdige SSL-Zertifikate übergehen.
    c) gibt bestimmt noch weitere ähnlich gelagerte Fälle ...

    Ist ja ok, das irgendwie für den Standard User kompliziert zu machen, aber dass es gar nicht geht? Steckt da was hinter was ich grade einfach nicht sehe?



    1 mal bearbeitet, zuletzt am 18.02.15 08:39 durch peh.guevara.

  2. Re: Warum kein Schalter?

    Autor: kayozz 18.02.15 - 08:45

    peh.guevara schrieb:
    --------------------------------------------------------------------------------
    > Was spricht eigentlich gegen den Schalter in about:config? Standardmäßig
    > ist die Sicherheit durch Signatur gewährleistet und wer das nicht will hat
    > Pech gehabt oder weiß genau was er tut.

    Eine Schadsoftware, die in der Lage ist, z.B. eine installierte Erweiterung gegen eine modifizierte Version auszutauschen, wäre auch in der Lage, den Schalter selber zu setzen.

    Denkbar wäre eher ein eigenständiger Build, der die Beschränkung nicht hat. Damit wären 99.9% der Kunden abgesichert und diejenigen, die das nicht wollen, installieren sich eine andere Version.

  3. Re: Warum kein Schalter?

    Autor: PG 18.02.15 - 08:54

    kayozz schrieb:
    --------------------------------------------------------------------------------
    > Eine Schadsoftware, die in der Lage ist, z.B. eine installierte Erweiterung
    > gegen eine modifizierte Version auszutauschen, wäre auch in der Lage, den
    > Schalter selber zu setzen.
    ... und wäre auch in der Lage, firefox.exe und den Updater zu patchen.

    Das kanns also nicht sein.

  4. Re: Warum kein Schalter?

    Autor: peh.guevara 18.02.15 - 09:04

    Haha, wenn das System erst kompromittiert ist hilft dir auch deine Signatur der Erweiterung nichts mehr.

  5. Re: Warum kein Schalter?

    Autor: Wander 18.02.15 - 09:15

    peh.guevara schrieb:
    --------------------------------------------------------------------------------
    > Haha, wenn das System erst kompromittiert ist hilft dir auch deine Signatur
    > der Erweiterung nichts mehr.

    Die Signaturen können aber u.U. verhindern, dass das System überhaupt erst kompromittiert wird. Schadhafte Erweiterungen die bisher nämlich einfach aus Dritt-Quellen durch den Browser installiert wurden sind mit Signaturen nämlich kaum noch möglich. Spam-Erweiterungen die durch diverse Installer automatisch installiert werden haben so ein bedeutend schweres Spiel, da sie auch die Firefox-Binary patchen müssten wodurch sie eindeutig zu Malware würden und von diversen Sicherheitsmechanismen erkannt werden könnten.

    Natürlich sind Signaturen kein Allheilmittel, das gibt es sowieso nicht, aber sie sind wie viele andere Sicherheitsmechanismen ein wichtiger Baustein für ein annährend sicheres System.

    Und abgesehen davon verstehe ich die Diskussion nicht wirklich, laut Blog-Beitrag wird es doch sogar Release und Beta-Version ohne bzw. deaktivierbarer Signaturprüfung geben. D.h. die Menschen die wissen was sie tun haben auch in Zukunft keinerlei Einschränkungen zu fürchten.

  6. Re: Warum kein Schalter?

    Autor: peh.guevara 18.02.15 - 09:20

    Wander schrieb:

    > Und abgesehen davon verstehe ich die Diskussion nicht wirklich, laut
    > Blog-Beitrag wird es doch sogar Release und Beta-Version ohne bzw.
    > deaktivierbarer Signaturprüfung geben. D.h. die Menschen die wissen was sie
    > tun haben auch in Zukunft keinerlei Einschränkungen zu fürchten.

    Achja? Menschen die wissen was sie tun sollen also Beta-Versionen nutzten und sich mit den Bugs rumschlagen müssen? Dass es ein Stable Release geben soll wo das abgeschaltet werden kann hab ich nirgends lesen können.

    Aber die Signatur löst das Problem vor dem PC nicht. Entweder der Browser sagt mir: "Bitte schalte die Signaturprüfung nicht ab, das ist überhaupt keine gute Idee, das solltest du lassen." Und ich halte mich daran oder eben nicht. Meine Entscheidung. Du wirst den User der unbedingt etwas will auch nicht davon abhalten sich die Adware direkt herunterzuladen und zu installieren.



    3 mal bearbeitet, zuletzt am 18.02.15 09:22 durch peh.guevara.

  7. Re: Warum kein Schalter?

    Autor: Wander 18.02.15 - 09:33

    peh.guevara schrieb:
    --------------------------------------------------------------------------------
    > Achja? Menschen die wissen was sie tun sollen also Beta-Versionen nutzten
    > und sich mit den Bugs rumschlagen müssen? Dass es ein Stable Release geben
    > soll wo das abgeschaltet werden kann hab ich nirgends lesen können.

    "Installation of unsigned extensions will still be possible on [...] special, unbranded builds of Release and Beta"

    Release ist der Stable-Zweig.

    > Aber die Signatur löst das Problem vor dem PC nicht. Entweder der Browser
    > sagt mir: "Bitte schalte die Signaturprüfung nicht ab, das ist überhaupt
    > keine gute Idee, das solltest du lassen." Und ich halte mich daran oder
    > eben nicht. Meine Entscheidung. Du wirst den User der unbedingt etwas will
    > auch nicht davon abhalten sich die Adware direkt herunterzuladen und zu
    > installieren.

    Es reicht auch wenn man einige Nutzer davon abhält es zu tun. Und das Installieren eine speziellen Firefox-Version ist ein größeres Hinderniss als das setzen einer Checkbox. Außerdem gehst du davon aus, dass der Nutzer die Adware haben möchte, was in den meisten Fällen wohl nicht der Fall sein sollte. I.d.R. ist man nur an der eigentlichen Software, nicht den Toolbars udgl. interessiert.

  8. Re: Warum kein Schalter?

    Autor: andy01123 18.02.15 - 09:39

    Es geht hier nicht nur um Toolbars, welche "mitdabei" sind wenn man Software runterlädt.
    Es gibt Seiten, auf denen werden dir AddOns (penetrant) angeboten mit dem Ziel, dass der Benutzer diese installiert. Danach blenden diese Werbung ein, verändern viele Einstellungen und platzieren verschiedene Inhalte in normalen Seiten. Im schlimmsten Fall kannst du den Rechner/Browser nicht mehr anständig benutzen.
    Ein unbedachter Benutzer klickt da schnell mal "Installieren"/"Erlauben".
    Mozilla möchte nun solche Benutzer vor solchen AddOns schützen.

  9. Re: Warum kein Schalter?

    Autor: peh.guevara 18.02.15 - 09:48

    andy01123 schrieb:
    --------------------------------------------------------------------------------

    > Ein unbedachter Benutzer klickt da schnell mal "Installieren"/"Erlauben".
    > Mozilla möchte nun solche Benutzer vor solchen AddOns schützen.

    Richtig aber wenn ein unbedachter Nutzer die Signaturprüfung in der about:config einfach ausschaltet, trotz Warnung! Dann ist ihm halt auch nicht mehr zu helfen. So ist das halt nunmal.

    Wenn irgendwo ein Schild steht "hier nicht baden ... Alligatoren" und einer über den Zaun klettert und dann gefressen wird? Bitte dann kann ich auch nicht mehr helfen.

    Die Prüfung ist ja super an sich, nur möchte ich sie eben wie bei Android (nicht-store-apps) abschalten können.

  10. Re: Warum kein Schalter?

    Autor: Wander 18.02.15 - 10:07

    peh.guevara schrieb:
    --------------------------------------------------------------------------------
    > Richtig aber wenn ein unbedachter Nutzer die Signaturprüfung in der
    > about:config einfach ausschaltet, trotz Warnung! Dann ist ihm halt auch
    > nicht mehr zu helfen. So ist das halt nunmal.
    >
    > Wenn irgendwo ein Schild steht "hier nicht baden ... Alligatoren" und einer
    > über den Zaun klettert und dann gefressen wird? Bitte dann kann ich auch
    > nicht mehr helfen.
    >
    > Die Prüfung ist ja super an sich, nur möchte ich sie eben wie bei Android
    > (nicht-store-apps) abschalten können.

    Android verfügt aber über ein umfangreicheres Rechtemanagement als Windows und gewöhnliche Linux-Distributionen. D.h. unter Windows und Linux braucht man keine besonderen Rechte um die Konfiguration des Browsers ändern zu dürfen, eine Malware hätte also überhaupt kein Problem damit diesen about:config Eintrag selbst zu setzen, unter Android ist das etwas komplizierter da weiterführende Rechte benötigt werden.

  11. Re: Warum kein Schalter?

    Autor: peh.guevara 18.02.15 - 10:13

    Wander schrieb:

    > Android verfügt aber über ein umfangreicheres Rechtemanagement als Windows
    > und gewöhnliche Linux-Distributionen. D.h. unter Windows und Linux braucht
    > man keine besonderen Rechte um die Konfiguration des Browsers ändern zu
    > dürfen, eine Malware hätte also überhaupt kein Problem damit diesen
    > about:config Eintrag selbst zu setzen, unter Android ist das etwas
    > komplizierter da weiterführende Rechte benötigt werden.

    Klar, aber wenn ich schon Malware auf dem Rechner habe die den Schalter in about:config umlegen will, dann bin ich doch schon verloren. Was hindert die selbe Malware daran die Firefox.exe auszutauschen (gegen eine die den Schalter nicht hat) oder noch schlimmeres zu tun?

  12. Re: Warum kein Schalter?

    Autor: Wander 18.02.15 - 10:17

    peh.guevara schrieb:
    --------------------------------------------------------------------------------
    > Klar, aber wenn ich schon Malware auf dem Rechner habe die den Schalter in
    > about:config umlegen will, dann bin ich doch schon verloren. Was hindert
    > die selbe Malware daran die Firefox.exe auszutauschen (gegen eine die den
    > Schalter nicht hat) oder noch schlimmeres zu tun?

    Unzureichende Rechte und Anti-Malware-Software. Um die Konfiguration eines Browsers zu ändern bedarf es lediglich Nutzerrechte, um die Binary zu modifizieren Root-Rechte und diese zu erlangen ist ungleich schwieriger, noch dazu wenn Anti-Malware-Software zum Einsatz kommt.

  13. Re: Warum kein Schalter?

    Autor: peh.guevara 18.02.15 - 10:20

    OK jetzt wird ein Schuh draus.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Softwareentwickler / Inbetriebnehmer / Programmierer / Automatisierer (m/w/d)
    Freqcon GmbH, Rethem
  2. IT Senior Consultant * SAP Transportation Management
    DAW SE, Ober-Ramstadt bei Darmstadt
  3. Product Owner (m/w/d) Schwerpunkt Container Services und Container Management
    Deutsche Bundesbank, Frankfurt am Main, Düsseldorf, München, Stuttgart
  4. Key User SAP-MM (w/m/d) Einkauf / Logistik
    München Klinik gGmbH, München

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. (u. a. Ryzen 5 5600X 358,03€)


Haben wir etwas übersehen?

E-Mail an news@golem.de