1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Chrome/Gstreamer: Windows 10 sicherer…

Windows-10-Standardinstallation

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. Windows-10-Standardinstallation

    Autor: LoopBack 17.11.16 - 14:28

    Natürlich tritt das Problem bei einer "Windows-10-Standardinstallation" nicht auf, denn dort ist Chrome nicht dabei. ... Oh Moment, Chrome ist ja auch bei Linux-Desktop-Distris üblicherweise nicht per default dabei...

    PS: auch gstreamer bad plugins sind bei vielen distros nicht vorinstalliert...



    1 mal bearbeitet, zuletzt am 17.11.16 14:45 durch LoopBack.

  2. Re: Windows-10-Standardinstallation

    Autor: RicoBrassers 17.11.16 - 14:45

    LoopBack schrieb:
    --------------------------------------------------------------------------------
    > Natürlich tritt das Problem bei einer "Windows-10-Standardinstallation"
    > nicht auf, denn dort ist Chrome nicht dabei. ... Oh Moment, Chrome ist ja
    > auch bei Linux-Desktop-Distris üblicherweise nicht per default dabei...

    Oh Moment, es wurde im Artikel auch geschrieben, dass das Problem bei Chrome nur ist, dass dort Downloads direkt heruntergeladen werden, ohne den User vorher nach dem Speicherort zu fragen (per Defaulteinstellungen).

    > Chrome speichert heruntergeladene Dateien direkt im Downloads-Ordner ab, ohne den Nutzer zu fragen. Alle dort abgespeicherten Dateien werden automatisch von Tracker erfasst.

    Ergo: Lade ich z.B. per wget, curl oder Firefox eine Datei herunter und speichere diese im Downloads-Ordner, habe ich exakt das gleiche Problem.

  3. Re: Windows-10-Standardinstallation

    Autor: LoopBack 17.11.16 - 14:54

    Das relevante Problem ist aber, dass bereits gedownloaded wird bevor es gewünscht ist: Auch unter Windows werden heruntergeladene Dateien indiziert und Vorschaubilder generiert, das ist keine spezielle Eigenschaft von Linux. Und irgendwelche Third-Party Codecs für Windows (die man ja doch recht oft braucht, wenn man nicht ausschließlich VLC benutzt) haben genauso potenzielle Sicherheitslücken (die integrierten auch, aber hier geht es ja eher um third party weil wie oben erwähnt gstreamer-plugins-bad nicht vorinstalliert sind). Bei gstreamer war die Lücke jetzt vor allem so leicht zu finden weil es open source ist und der code schon als "bad" markiert wurde...

  4. Re: Windows-10-Standardinstallation

    Autor: Anonymer Nutzer 17.11.16 - 14:57

    wann wird etwas heruntergeladen und im downloads verzeichnis abgelegt, bevor der benutzer es will?

  5. Re: Windows-10-Standardinstallation

    Autor: LoopBack 17.11.16 - 15:01

    Unter chrome/chromium gibt es per default keine Abfrage vor einem download. Jede Webseite kann so im Hintergrund einen download starten (dank JavaScript auch ohne aktives klicken eines Links). Der Nutzer sieht das zwar, kann aber eventuell nicht rechtzeitig reagieren.

  6. Re: Windows-10-Standardinstallation

    Autor: Anonymer Nutzer 17.11.16 - 15:04

    aso, das meint ihr. einen download per javascript auszulösen geht bei allen browsern. nur chrome speichert es halt gleich, ohne den benutzer zu fragen. abbrechen kann man den download allerdings schon. ob rechtzeitig ist eine andere frage. um den fehler in gstreamer auszunützen, braucht es wohl nur wenige daten, die heruntergeladen sind, bevor man es abbrechen kann.

  7. Re: Windows-10-Standardinstallation

    Autor: RicoBrassers 17.11.16 - 15:14

    LoopBack schrieb:
    --------------------------------------------------------------------------------
    > Das relevante Problem ist aber, dass bereits gedownloaded wird bevor es
    > gewünscht ist: Auch unter Windows werden heruntergeladene Dateien indiziert
    > und Vorschaubilder generiert, das ist keine spezielle Eigenschaft von
    > Linux. Und irgendwelche Third-Party Codecs für Windows (die man ja doch
    > recht oft braucht, wenn man nicht ausschließlich VLC benutzt) haben genauso
    > potenzielle Sicherheitslücken (die integrierten auch, aber hier geht es ja
    > eher um third party weil wie oben erwähnt gstreamer-plugins-bad nicht
    > vorinstalliert sind). Bei gstreamer war die Lücke jetzt vor allem so leicht
    > zu finden weil es open source ist und der code schon als "bad" markiert
    > wurde...

    Die Lücke ist aber nunmal nicht der Chrome, der sorgt nur dafür, dass die Lücke einfacher genutzt werden kann.

    Ich bestreite auch nicht, dass es solche Probleme bei Windows nicht gäbe, aber ich finde es immer schön, dass die "direkte Schuld" anscheinend immer erstmal bei den Anderen liegt. Oder halt bei Microsoft, weil Windows ja generell Müll sei. Aber das heilige Linux ist nicht Schuld. ;)

    (Ich sage nicht, dass das deine Meinung ist, aber es klingt heir im Forum irgendwie immer danach. Kein OS ist perfekt, Windows hat Macken, Linux(-Distros) hat/haben Macken, macOS hat Mac(k)en (sorry, der Pun musste sein ;) ). Und die "Drittanbietersoftware" für die eweiligen Plattformen sowieso).

  8. Re: Windows-10-Standardinstallation

    Autor: LoopBack 17.11.16 - 15:25

    Ich stimme dir im Prinzip zu.

    Worauf ich lediglich hinauswollte ist, dass Linux-Desktop in dem Artikel (der inhaltlich wahrscheinlich unreflektiert übernommen wurde) als grundsätzlich unsicher dargestellt, obwohl das Problem durch die ungünstige Kombination von Komponenten entsteht, die in den meisten Distris so nicht vorinstalliert/-konfiguriert werden. Man könnte quasi sagen: Wenn man diese zwei Programme installiert, dann gibt es ein Sicherheitsproblem. Das ist keine Macke des Betriebssystem oder der Distribution, sondern der Zusatzsoftware. Und da es Zusatzsoftware für alle Betriebssysteme gibt, sind sie auch alle genauso betroffen, obwohl im Artikel das Gegenteil behauptet wird.

    Darauf bezog sich meine Kritik: hier wird Windows 10 default config mit (negativ) angepassten Linux-Systemen verglichen, und daraus geschlussfolgert, dass Linux grundsätzlich unsicherer ist. Und das macht nun wirklich keinen Sinn.



    1 mal bearbeitet, zuletzt am 17.11.16 15:25 durch LoopBack.

  9. Re: Windows-10-Standardinstallation

    Autor: Anonymer Nutzer 17.11.16 - 15:28

    bei windows als auch bei macos ist nicht nur vieles standardmäßig installiert, sondern auch zwingend für den betrieb notwendig. bei linux ist relativ wenig zwingend notwendig für einen funktionierenden desktop. fast jede komponente kann durch eine alternative ersetzt werden. bei windows ist vieles nicht ersetzbar, da es mit dem betriebssystem oft zu stark verbunden ist.
    ich stimme allerdings zu, dass standard installationen, wie sie ohne änderung der setupeinstellungen erzeugt wird, halbwegs sicher sein sollten. das betrift sowohl die auswahl der installierten software als auch deren standardkonfiguration. mittlerweile wird auch von vielen linux distributionen sehr viel installiert. ursache dafür dürfte wohl sein, dass versucht wird, dem benutzer, der von anderen betriebssystemen kommt, den einstieg möglichst leicht zu machen. ob das nun gut oder schlecht ist, sei dahingestellt. eine schuld der anderen betriebessysteme ist es definitiv nicht.

  10. Re: Windows-10-Standardinstallation

    Autor: lx200 17.11.16 - 15:38

    bjs schrieb:
    --------------------------------------------------------------------------------
    > aso, das meint ihr. einen download per javascript auszulösen geht bei allen
    > browsern.

    Das halte ich für ein Gerücht,
    wer eine derarte Javascript-Anweisung vorweisen kann möge diese posten.

  11. Re: Windows-10-Standardinstallation

    Autor: hab (Golem.de) 17.11.16 - 15:55

    lx200 schrieb:
    --------------------------------------------------------------------------------
    > Das halte ich für ein Gerücht,
    > wer eine derarte Javascript-Anweisung vorweisen kann möge diese posten.

    Das hier funktioniert bei mir, foo.zip wird sofort heruntergeladen:
    <html><head><title>foo</title>
    <body><a href="foo.zip" id="foo">foo</a>
    <script>
    document.getElementById("foo").click();
    </script>
    </body></html>

  12. Re: Windows-10-Standardinstallation

    Autor: Limit 17.11.16 - 17:15

    Der Windows 10 Vergleich ist wirklich vollkommen sinnfrei. Windows 10 hat in der Standardinstallation solche Probleme nicht. Allerdings haben auch die genannten Linux-Distributionen (Fedora, Ubuntu) diese Probleme bei der Standardinstallation nicht, da standardmäßig weder Chrome/Chromium noch bad/ugly Plugins installiert werden.
    Da Windows auch einen Indexer benutzt, der genauso standardmäßig Metadaten liest und genauso die Installation von schlechten Codecs erlaubt, die genauso standardmäßig benutzt werden besteht hier die gleiche Angriffsmöglichkeit.

  13. Re: Windows-10-Standardinstallation

    Autor: Mephir 17.11.16 - 17:31

    bjs schrieb:
    --------------------------------------------------------------------------------
    > bei windows ist vieles nicht ersetzbar, da es mit dem betriebssystem oft zu
    > stark verbunden ist.
    Da würde ich jetzt gerne von dir wissen, woran genau du das festmachst?



    1 mal bearbeitet, zuletzt am 17.11.16 17:32 durch Mephir.

  14. Re: Windows-10-Standardinstallation

    Autor: Anonymer Nutzer 17.11.16 - 17:44

    ich weiß es nicht bei windows 10, aber bei versionen davor konnte man zb den internetexplorer nicht restlost entfernen. ich weiß auch nicht, wieviele dateien man einfach so bei windows löschen kann, sodass es trotzdem noch startet. eine möglichkeit, kontrolliert software pakete zu entfernen, die teil von windows sind, gibt es eines wissens nach nicht. ein beispiel wäre der onedrive client bei windows 10. man kann ihn manuell entfernen.

  15. Re: Windows-10-Standardinstallation

    Autor: WilliWerWolf 17.11.16 - 18:38

    RicoBrassers schrieb:
    > Ergo: Lade ich z.B. per wget, curl oder Firefox eine Datei herunter und
    > speichere diese im Downloads-Ordner, habe ich exakt das gleiche Problem.

    Nur, wenn Du das Pech hast, Gnome zu benutzen. Das ist dann sozusagen die gerechte Strafe dafür;-) Ob bei KDE was Ähnliches wie Tracker läuft, weiß ich nicht. XFCE und LXDE jedenfalls haben das Problem nicht.

  16. Re: Windows-10-Standardinstallation

    Autor: Moe479 17.11.16 - 20:46

    also hat windows das gleiche problem wenn man es ähnlich dämlich konfiguriert.

  17. Re: Windows-10-Standardinstallation

    Autor: FreiGeistler 17.11.16 - 20:52

    bjs schrieb:
    --------------------------------------------------------------------------------
    > ich weiß es nicht bei windows 10, aber bei versionen davor konnte man zb
    > den internetexplorer nicht restlost entfernen. ich weiß auch nicht,
    > wieviele dateien man einfach so bei windows löschen kann, sodass es
    > trotzdem noch startet. eine möglichkeit, kontrolliert software pakete zu
    > entfernen, die teil von windows sind, gibt es eines wissens nach nicht. ein
    > beispiel wäre der onedrive client bei windows 10. man kann ihn manuell
    > entfernen.

    Man kann den IE händisch entfernen, Windows 7 - 10 bootet dann auch, allerdings sind Windows Updates darauf angewiesen (auch in 10) und der Explorer.exe öffnet dann jeden Ordner in einem eigenen Fenster. '

  18. versehentlicher Doppelpost

    Autor: FreiGeistler 17.11.16 - 20:53

    sorry



    1 mal bearbeitet, zuletzt am 17.11.16 21:04 durch FreiGeistler.

  19. Re: Windows-10-Standardinstallation

    Autor: Rulf 17.11.16 - 20:59

    bei windows gibt's im prinzip nur einen einen desktop(explorer), der eng mit dem kernel verzahnt ist...wenn ein proggie also fensterln will, muß es auf dessen funktionen zugreifen...

  20. Re: Windows-10-Standardinstallation

    Autor: Rulf 17.11.16 - 21:03

    außerdem lief mal die hilfe über den ie und viele proggies nutzen dessen funktionen(meißt spielelauncher, zb früher steam, daß jetzt aber ne eigene browserengine mitbringt)...

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. BARMER, Wuppertal
  2. über duerenhoff GmbH, Hamburg
  3. über duerenhoff GmbH, Düsseldorf
  4. Stadt Lingen (Ems), Lingen (Ems)

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)


Haben wir etwas übersehen?

E-Mail an news@golem.de