:crazy:

Info (http://security.symantec.com/sscv6/help.asp?langid=ge&venid=sym&plfid=22&pkj=GQYLGWSBZHYZIFKWOZS) sez
3. Warum verwendet Ihre Site ActiveX-Steuerelemente?

<...>

Bei der zweiten Methode laden Sie Software direkt auf Ihren Computer herunter und führen diese aus, um Sicherheitslücken festzustellen, die nicht durch einen serverseitigen Scan feststellbar sind.Aha, also um Sicherheitslücken feststellen zu können, muss ich erstmal eine Sicherheitslücke öffnen. Bzw einen -- verglichen mit meinem Alltagsbrowser -- unsicheren Browser verwenden.

Das Dementi folgt sogleich:
Info (http://security.symantec.com/sscv6/help.asp?langid=ge&venid=sym&plfid=22&pkj=GQYLGWSBZHYZIFKWOZS) sez

4. Sind ActiveX-Steuerelemente nicht gefährlich und von Haus aus unsicher?

Ja und Nein. Vertrauen Sie nur ActiveX-Steuerelementen von seriösen Anbietern.Warum? Warum sollte ich irgendwem vertrauen, der Code auf meinem Rechner ausführen will?
Wenn ein Steuerelement über eine digitale Signatur verfügt, bedeutet dies, dass das Steuerelement nicht manipuliert wurde und sich garantiert im gleichen Zustand befindet, in dem es sich bei der Softwareentwicklung befand.Signierte Viren und Trojaner ahoi :crazy:

Wenn man IE benutzt und sicher macht (indem man aktive Inhalte deaktiviert, etc) kann man an diesem Test nicht mehr teilnehmen. Wer sichere Browser benutzt (dh Browser ohne "aktive Inhalte"), kann auch nicht mehr teilnehmen. Also ist nach simpelster Logik die reine Möglichkeit zur Teilnahme an diesem "Sicherheitscheck" ein Indiz für einen unsicheren Rechner, und damit die Ergebnisse von vornherein irrelevant.


Leo, warum verlinkst du eigentlich auf solchen shice? Willst du erreichen dass deine Leser ActiveX wieder einschalten, damit sie an dem "Sicherheitscheck" teilnehmen, und sich danach sicher fühlen können? Oder habe ich die verdeckte Ironie nicht erkannt?

Ähnliches gilt für
http://webscan.security-check.ch/
Wenn man alles deaktiviert hat (Java Script usw.) läuft der Check nicht mehr automatisch durch und lässt sich auch nicht manuell (*Click*) fortsetzen.

Original geschrieben von zeckensack
:crazy:

Aha, also um Sicherheitslücken feststellen zu können, muss ich erstmal eine Sicherheitslücke öffnen. Bzw einen -- verglichen mit meinem Alltagsbrowser -- unsicheren Browser verwenden.

Das Dementi folgt sogleich:
Warum? Warum sollte ich irgendwem vertrauen, der Code auf meinem Rechner ausführen will?
Signierte Viren und Trojaner ahoi :crazy:

Wenn man IE benutzt und sicher macht (indem man aktive Inhalte deaktiviert, etc) kann man an diesem Test nicht mehr teilnehmen. Wer sichere Browser benutzt (dh Browser ohne "aktive Inhalte"), kann auch nicht mehr teilnehmen. Also ist nach simpelster Logik die reine Möglichkeit zur Teilnahme an diesem "Sicherheitscheck" ein Indiz für einen unsicheren Rechner, und damit die Ergebnisse von vornherein irrelevant.


Leo, warum verlinkst du eigentlich auf solchen shice? Willst du erreichen dass deine Leser ActiveX wieder einschalten, damit sie an dem "Sicherheitscheck" teilnehmen, und sich danach sicher fühlen können? Oder habe ich die verdeckte Ironie nicht erkannt?


Full ACK.

Original geschrieben von zeckensack
Warum? Warum sollte ich irgendwem vertrauen, der Code auf meinem Rechner ausführen will?

Mit der Argumentation darfst Du aber nur ausschließlich selbstentwickelte Software auf Deinem Rechner laufen lassen. Inklusive BIOS und OS natürlich.

Ab und zu ist die Paranoia der letzten Monate schon arg übertrieben. Macht mit Euren Rechnern was ihr wollt, aber irgendwie finde ich, kann man sich den Rechner ganz sparen, wenn die Benutzung selbigens mehr einer Selbstkasteiung ähnelt als einem Hobby.

Das ist der eigentliche Schaden, den Hacker und Virenschreiber angerichtet haben!

Original geschrieben von zeckensack
:crazy:

Aha, also um Sicherheitslücken feststellen zu können, muss ich erstmal eine Sicherheitslücke öffnen.


Ja, das ist mir auch aufgefallen, als ich mal diesen Sicherheitscheck machen wollte, als wir ihn vor ein paar Tagen in den News hatten.

Schon witzig, was sich die Telekomiker da wieder ausgedacht haben.

Original geschrieben von zeckensack
Signierte Viren und Trojaner ahoi :crazy:
Nene, passt schon.
Darauf basiert ja auch die "Sicherheit" von NGSCB.
Signiert -> sicher.

Original geschrieben von grestorn
Mit der Argumentation darfst Du aber nur ausschließlich selbstentwickelte Software auf Deinem Rechner laufen lassen. Inklusive BIOS und OS natürlich.Okay, ungenau formuliert. Wenn jemand von mir erwartet, dass ich seinen Code auf meinem Rechner ausführe, dann gebe er mir einen Programmdownload. Dann habe ich die Kontrolle wann ich installiere (falls gegeben), wann ich ausführe, wann ich deinstalliere, und wann ich den Krempel lösche. Auch hier ist Vertrauen nötig, allerdings kann ich sehr viel präziser steuern, wann ich wem wie weit vertraue.

Ein in eine Internetseite integrierter Automatismus zum Ausführen von Code bietet mir solche Transparenz eben nicht. Jemand der seinen Code auf diese Weise vertreibt, muss sich von mir unterstellen lassen dass er das tut weil es automatisch funktionieren soll. Und wer sowas will, ist auf jeden Fall finsterer Machenschaften verdächtig.

Ab und zu ist die Paranoia der letzten Monate schon arg übertrieben. Macht mit Euren Rechnern was ihr wollt, aber irgendwie finde ich, kann man sich den Rechner ganz sparen, wenn die Benutzung selbigens mehr einer Selbstkasteiung ähnelt als einem Hobby.Verzicht auf ActiveX ist keine "Selbstkasteiung".

Original geschrieben von Blutgrätsche
Ähnliches gilt für
http://webscan.security-check.ch/
Wenn man alles deaktiviert hat (Java Script usw.) läuft der Check nicht mehr automatisch durch und lässt sich auch nicht manuell (*Click*) fortsetzen.
Wer JavaScript deaktiviert, hat heutzutage doch eh keine wirkliche Freude mehr am Surfen durchs Web. Unter der Voraussetzung, dass der Browser nicht automatisch Software installiert ist aktiviertes JavaScript auch kein Sicherheitsrisiko. Das Problem vom IE ist doch, dass ActiveX/VBScript nicht getrennt von JavaScript deaktiviert werden kann.

Es gibt definitiv größere Gefahren sich Malware einzufangen als aktiviertes JavaScript.

Aqua

Original geschrieben von zeckensack
Okay, ungenau formuliert. Wenn jemand von mir erwartet, dass ich seinen Code auf meinem Rechner ausführe, dann gebe er mir einen Programmdownload. Dann habe ich die Kontrolle wann ich installiere (falls gegeben), wann ich ausführe, wann ich deinstalliere, und wann ich den Krempel lösche. Auch hier ist Vertrauen nötig, allerdings kann ich sehr viel präziser steuern, wann ich wem wie weit vertraue.

Ein in eine Internetseite integrierter Automatismus zum Ausführen von Code bietet mir solche Transparenz eben nicht. Jemand der seinen Code auf diese Weise vertreibt, muss sich von mir unterstellen lassen dass er das tut weil es automatisch funktionieren soll. Und wer sowas will, ist auf jeden Fall finsterer Machenschaften verdächtig.

Verzicht auf ActiveX ist keine "Selbstkasteiung".
So macht das ganze schon deutlich mehr Sinn und ich kann diese Einstellung auch sehr gut nachvollziehen.

Das Problem bei ActiveX ist auch weniger das halbautomatische Installieren der Applets aus dem Netz - das ist ja eigentlich wesentlich sicherer als ein manueller Download, weil das Applet immerhin signiert ist - sondern viel mehr das unkontrollierte Ausführen. Da muss ich Dir recht geben, wenn ich persönlich auch der Meinung bin, dieses Risiko tragen zu können (so leicht kommt eh von aussen keiner in mein LAN. Andere Lücken wie Buffer-Overflows sind nicht nur in ActiveX Controls, und wenn man sich beim Surfen auf einigermassen vertrauenswürdige Seiten beschränkt ist das Risiko vergleichsweise gering wenn auch nicht 0. Ganz ohne Risiko geht's eh nie ab :D ).

Original geschrieben von zeckensack
Wenn man IE benutzt und sicher macht (indem man aktive Inhalte deaktiviert, etc) kann man an diesem Test nicht mehr teilnehmen.




Doch, ich kann mit meinem Browser, welcher keinerleit aktive Inhalte kennt, sehr wohl teilnehmen. Nicht an jedem Test, aber an den meisten. Probier es einfach.

Original geschrieben von zeckensack
Leo, warum verlinkst du eigentlich auf solchen shice?


Nachdem ich ihn selbst probiert und für halbwegs sinnvoll gefunden habe. Frag Dich mal selber: Würde ich hier ernsthaft einen Test erwähnen, der ohne ActiveX nicht durchläuft ?!




Original geschrieben von zeckensack
Willst du erreichen dass deine Leser ActiveX wieder einschalten, damit sie an dem "Sicherheitscheck" teilnehmen, und sich danach sicher fühlen können?


Nein. Wozu muß man das auch anschalten - der Test geht auch so. Nicht immer nur Anleitung lesen, sondern auch einfach nur mal probieren!

Leute, es gibt auch Injections und Cross Site Scripting auch grossen bekannten Sites, Sicherheit hat nichts mit dem Bekanntheitsgrad einer Website zutun.

Dass heisst, ihr surft munter mit dem IE auf einer anscheinlich serioesen Site, aber es wird trotzdem Code ausgefuehrt, auch mit allen IE Patches. ;D

Original geschrieben von grestorn
Ab und zu ist die Paranoia der letzten Monate schon arg übertrieben. Macht mit Euren Rechnern was ihr wollt, aber irgendwie finde ich, kann man sich den Rechner ganz sparen, wenn die Benutzung selbigens mehr einer Selbstkasteiung ähnelt als einem Hobby.



Na, ich surf schon seit Jahren ohne ActiveX und Co.

Nochmal was, man tut besseres wen man lieber den naechsten 0815 Portscanner den es auch fuer Windows gibt benutzt und vorher runterlaedt, wenn man meint man haette nur einen Funken Paranoia...

http://www.insecure.org/nmap/nmap_download.html

Zecki, könnte das sein, daß Du Dich auf den Virenscan beziehst und ich mich auf den Sicherheitsscan?

Original geschrieben von Leonidas
Zecki, könnte das sein, daß Du Dich auf den Virenscan beziehst und ich mich auf den Sicherheitsscan? Ich kann keinen dieser Tests ausführen. Ich benutze Opera, und ja, JavaScript ist aktiviert.

Den IE starte ich nur für Windows Update. Ich mache keine Ausnahmen von dieser Regel.

Original geschrieben von zeckensack
Den IE starte ich nur für Windows Update. Ich mache keine Ausnahmen von dieser Regel.



Mein IE ist so sicher eingestellt, daß Windows Update nichtmal läuft. *Protz*

Und PS: Ja, der Sicherheitstest (nicht der Virentest) läuft wirklich auch ohne aktives Inhalte. Zumindestens mit dem IE. Wenn es mit Opera nicht geht, hängt es nicht an den fehlenden aktiven Inhalten, sondern am Browser selber (Mozilla geht ja auch nicht).

Original geschrieben von Aqualon
Wer JavaScript deaktiviert, hat heutzutage doch eh keine wirkliche Freude mehr am Surfen durchs Web.
Ich sitz hier nicht und weine...
Original geschrieben von Aqualon
Unter der Voraussetzung, dass der Browser nicht automatisch Software installiert ist aktiviertes JavaScript auch kein Sicherheitsrisiko. Das Problem vom IE ist doch, dass ActiveX/VBScript nicht getrennt von JavaScript deaktiviert werden kann.
Eine Diskussion darüber gabs vor paar Wochen im Windowsboard schonmal.
http://www.forum-3dcenter.org/vbulletin/showthread.php?s=&postid=1893909#post1893909
In a nutshell: Wenn fremde Leute auf meinem Rechner Fenster öffnen, verkleinern, vergrößern, rumschieben und aus- und einblenden IST das ein Problem. Sicherheit fängt nicht erst dann an wenn der Rechner zum Absturz gebracht wird.
Falls du Opera/Firefox/Mozilla/o.ä. nutzt und in den Optionen gewisse Javascript-Funktionalitäten deaktiviert hast, war der Grund sicherlich dass diese ein _Problem_ darstellen.

Original geschrieben von imagine
In a nutshell: Wenn fremde Leute auf meinem Rechner Fenster öffnen, verkleinern, vergrößern, rumschieben und aus- und einblenden IST das ein Problem. Sicherheit fängt nicht erst dann an wenn der Rechner zum Absturz gebracht wird.
Natürlich ist das ein Problem, wenn Fenster per JavaScript manipuliert werden und ich habe die gröbsten Sachen bei Mozilla auch deaktiviert. Aber grundsätzlich JavaScript zu deaktivieren führt IMO zu weit. Mit Mozilla und den kleinen Einschränkungen hatte ich bislang noch keine Probleme mit JavaScript, obwohl ich auf ziemlich vielen Seiten rumsurfe, die nicht unbedingt von 08/15-Mainstreamsurfer besucht werden.

Als Sicherheitsrisiko würde ich deine Beispiele auch nicht einordnen, sondern eher als lästige Möglichkeit Unfug per JavaScript zu treiben.

Aqua