[quote=""hagge""]Angenommen, ein Fehler im Firefox erlaubt es jemand, unbemerkt die Bookmarks zu ändern. Dann nützt das auch nicht mehr viel. Aber eine Warnung vor der neuen Website hilft dann immer noch weiter. Und zwei Bugs gleichzeitig, so dass sowohl Bookmarks verändert als auch die Phishing-Warnungen deaktiviert werden können, sind schon deutlich unwahrscheinlicher.
[/quote]
Is mir auch wurscht. Ich mach Onlinebanking mit Extrasoftware und einem Klasse 2 Kartenleser.
Wenn ich wirklich mal schnell eben so eine Überweisung machen muss: Meine Bank setzt ein signiertes java Applet ein. Und die URL ist relativ einfach, die tippe ich so ein. Ergo müsste er die host Datei modifzieren, aber auf die hat eimn Benutzer keinen Zugriff. Dann muss er das Applet nachbilden und auch mit einem Zertifikat sgnieren. Das ist schon alles nicht mehr ganz so einfach.
Und zu deinem Beispiel für "sanftes" Phishing: da hater ziemliche Probleme, herauszufinden, wer ich denn bin. Er hat weder Adresse noch sonstwas, um mich zu identifizieren. Er weiss dann, auf was irgendeine IP geklickt hat... das weiss Heise aber auch. Irgendwo sehe ich das Problem nicht.
FireFox 2 verfügbar
-
ibbi
- Moderierter Ignorator Bitteschöööön!
- Beiträge: 7110
- Registriert: Fr 9. Dez 2005, 12:49
- Receivertyp: TF5000PVR • SRP-2401CI+ Eco
- Receiverfirmware: Sep 2005 PHTF • Jan 2015
AW: FireFox 2 verfügbar
Schwachstelle im Firefox 2.
-
hagge
- Jung-Guru
- Beiträge: 1921
- Registriert: Fr 9. Dez 2005, 15:43
- Receivertyp: SRP-2401CI+, TF5000PVR
- Wohnort: Stuttgart
AW: FireFox 2 verfügbar
[quote=""huebi""]Is mir auch wurscht. Ich mach Onlinebanking mit Extrasoftware und einem Klasse 2 Kartenleser.[/quote]
Super! Damit kannst Du aber dann auch den Internet-Explorer verwenden, denn der macht Dein Banking-Programm (!) auch nicht unsicherer. Mal ehrlich, *das* ist ja nun überhaupt kein Argument für oder gegen den Phishing-Schutz in FF2.
Wie auch immer. Wir sind uns einig, dass jemand, der den FF einsetzt, sich zumindest schon ein paar mehr Gedanken macht. Aber dann gleich selbstsicher zu sagen, dass einem dann nichts mehr passieren kann, halte ich für überheblich. Vor drei, vier Jahren, als das mit den Viren und Spam-Mails noch nicht so verbreitet war, aber immerhin schon öfters drüber gesprochen wurde, sagte mein Kollege auch, dass jemand, der sich nicht auf dubiosen Webseiten rumtreibt, doch eigentlich gar keinen Spam und Viren befürchten muss. Er verstehe die ganze Problematik nicht so ganz. Rate mal, auf welchem Rechner bei uns in der Firma dann der erste Virus drauf war... Ist oft so: Hochmut kommt vor dem Fall.
Und so ist es mir lieber, wenn andere Leute ein Problem schon erkannt und gebannt haben, bevor ich selbst überhaupt den Sinn dafür sehe.
Tschau,
Hagge
Super! Damit kannst Du aber dann auch den Internet-Explorer verwenden, denn der macht Dein Banking-Programm (!) auch nicht unsicherer. Mal ehrlich, *das* ist ja nun überhaupt kein Argument für oder gegen den Phishing-Schutz in FF2.
Ja, und das würde mich schon nerven. Java ist bei mir immer deaktiviert, weil es in der Vergangenheit zu viele Sicherheitslücken gab. Entsprechend setzen auch nur noch vergleichsweise wenige Websites Java ein.Wenn ich wirklich mal schnell eben so eine Überweisung machen muss: Meine Bank setzt ein signiertes java Applet ein.
Wer sagt denn das. Der Browser greift auf die Host-Datei zu, aber es spricht doch nichts dagegen, diesen Namen *innerhalb* des Browser danach nochmal gegen einen anderen auszutauschen. Da braucht er nur Zugriff auf den FF, nicht auf die Host-Datei.Und die URL ist relativ einfach, die tippe ich so ein. Ergo müsste er die host Datei modifzieren, aber auf die hat eimn Benutzer keinen Zugriff.
Klar, sagt ja auch niemand, dass es einfach ist. Aber auch die anderen Banken nutzen eine abgesicherte Verbindung, die ein Zertifikat benötigt und trotzdem fallen die Leute auf die nachgebildete Website rein. Oder würde es Dir immer und sofort auffallen, wenn unten das Schloss-Symbol bei Deinem Java-Applet der Bank mal nicht aktiviert wäre?Dann muss er das Applet nachbilden und auch mit einem Zertifikat sgnieren. Das ist schon alles nicht mehr ganz so einfach.
Wie auch immer. Wir sind uns einig, dass jemand, der den FF einsetzt, sich zumindest schon ein paar mehr Gedanken macht. Aber dann gleich selbstsicher zu sagen, dass einem dann nichts mehr passieren kann, halte ich für überheblich. Vor drei, vier Jahren, als das mit den Viren und Spam-Mails noch nicht so verbreitet war, aber immerhin schon öfters drüber gesprochen wurde, sagte mein Kollege auch, dass jemand, der sich nicht auf dubiosen Webseiten rumtreibt, doch eigentlich gar keinen Spam und Viren befürchten muss. Er verstehe die ganze Problematik nicht so ganz. Rate mal, auf welchem Rechner bei uns in der Firma dann der erste Virus drauf war... Ist oft so: Hochmut kommt vor dem Fall.
Und so ist es mir lieber, wenn andere Leute ein Problem schon erkannt und gebannt haben, bevor ich selbst überhaupt den Sinn dafür sehe.
Tschau,
Hagge
-
huebi
- geouteter Bajuwarenfresser
- Beiträge: 3000
- Registriert: Di 8. Aug 2006, 12:44
- Receivertyp: TF 5000 MP
- Receiverfirmware: FW 5010 STU (Dec)
AW: FireFox 2 verfügbar
[quote=""hagge""]Super! Damit kannst Du aber dann auch den Internet-Explorer verwenden, denn der macht Dein Banking-Programm (!) auch nicht unsicherer. Mal ehrlich, *das* ist ja nun überhaupt kein Argument für oder gegen den Phishing-Schutz in FF2.[/quote]
Warum sollte ich Software einsetzen, die noch nicht mal CSS1 und HTML4 transitional korrekt interpretieren kann, und in der Grundeinstellung offen wie ein Scheunentor ist?
[quote=""hagge""]
Ja, und das würde mich schon nerven. Java ist bei mir immer deaktiviert, weil es in der Vergangenheit zu viele Sicherheitslücken gab. Entsprechend setzen auch nur noch vergleichsweise wenige Websites Java ein.
[/quote]
Das Applet nachzubilden und dann auch entsprechend abzuändern ist nicht ganz so einach wie eine Webseite. Verschlüsselt sind beide, und ja, ich schaue ob das Schloss den entsprechenden Status hat. Und ich habe noch von keinem JS gehört, das wie beim IE in der Lage gewesen wäre, den Schlossstatus zu ändern. War auch mal ein Exploit beim IE.
[quote=""hagge""]
Wer sagt denn das. Der Browser greift auf die Host-Datei zu, aber es spricht doch nichts dagegen, diesen Namen *innerhalb* des Browser danach nochmal gegen einen anderen auszutauschen. Da braucht er nur Zugriff auf den FF, nicht auf die Host-Datei.
[/quote]
Das ist schlicht Unsinn.
[quote=""hagge""]
Klar, sagt ja auch niemand, dass es einfach ist. Aber auch die anderen Banken nutzen eine abgesicherte Verbindung, die ein Zertifikat benötigt und trotzdem fallen die Leute auf die nachgebildete Website rein. Oder würde es Dir immer und sofort auffallen, wenn unten das Schloss-Symbol bei Deinem Java-Applet der Bank mal nicht aktiviert wäre?
[/quote]
Ja das fällt mir auf. Und Phishing ist nichts unebakanntes mehr. Die Entwickler des FF brauchen eine latente Gefahr nicht mehr abzuwenden. Wer heute auf Phishing hereinfällt, der ist selbst Schuld. Kein Mitleid. Wer nicht mit dem Internet umgehen kann der soll einfach die Finger weglassen. Oder sich einweisen lassen, VHs bietet sowas an. Das ist genau dasselbe wie mit Nigeria Mails und der Nigeria Abzocke auf Ebay. Selbst schuld, wer drauf reinfällt. Im realen Leben würde niemand auf solche Gedanken kommen, im Internet scheint nur noch Gier oder Geiz zu regieren.
[quote=""hagge""]
Wie auch immer. Wir sind uns einig, dass jemand, der den FF einsetzt, sich zumindest schon ein paar mehr Gedanken macht. Aber dann gleich selbstsicher zu sagen, dass einem dann nichts mehr passieren kann, halte ich für überheblich.
[/quote]
Sag ich ja auch gar nicht. FF hat eine Menge sicherheitslöcher. ABer wenn jemand meine Daten haben will oder Geldtechnische Sachen wissen will, dann werde ich nicht nur einmal skeptisch. Ein bisschen gesundes Grundwissen und Skepsis darf man durchaus erwarten. Niemand hat etwas zu verschenken, nichts ist umsonst. Alles hat seinen Haken, die trivialste ist, das ich mir Werbung anschauen muss.
[quote=""hagge""]
Vor drei, vier Jahren, als das mit den Viren und Spam-Mails noch nicht so verbreitet war, aber immerhin schon öfters drüber gesprochen wurde, sagte mein Kollege auch, dass jemand, der sich nicht auf dubiosen Webseiten rumtreibt, doch eigentlich gar keinen Spam und Viren befürchten muss. Er verstehe die ganze Problematik nicht so ganz. Rate mal, auf welchem Rechner bei uns in der Firma dann der erste Virus drauf war... Ist oft so: Hochmut kommt vor dem Fall.
[/quote]
Nur ist Phishing nicht mehr im Anfangsstadium. Jeder im realen Leben würde jemanden, der an der Haustür klimngelt und um den Haustürschlüssel zur Überprüfung bittet, weil soviele Einbrüche stattgefunden haben, den Vogel zeigen und die Polizei antrufen, was für ein Einfallspinsel da rum läuft. Im Internet scheint bei vielen der Verstand auszusetzen.
[quote=""hagge""]
Und so ist es mir lieber, wenn andere Leute ein Problem schon erkannt und gebannt haben, bevor ich selbst überhaupt den Sinn dafür sehe.
[/quote]
Du siehst in Eigeninitiative bzgl Phishng selbst keinen Sinn? Selbst schuld....Es steht mitterlweile sogar in jedem Provinzblatt.
Warum sollte ich Software einsetzen, die noch nicht mal CSS1 und HTML4 transitional korrekt interpretieren kann, und in der Grundeinstellung offen wie ein Scheunentor ist?
[quote=""hagge""]
Ja, und das würde mich schon nerven. Java ist bei mir immer deaktiviert, weil es in der Vergangenheit zu viele Sicherheitslücken gab. Entsprechend setzen auch nur noch vergleichsweise wenige Websites Java ein.
[/quote]
Das Applet nachzubilden und dann auch entsprechend abzuändern ist nicht ganz so einach wie eine Webseite. Verschlüsselt sind beide, und ja, ich schaue ob das Schloss den entsprechenden Status hat. Und ich habe noch von keinem JS gehört, das wie beim IE in der Lage gewesen wäre, den Schlossstatus zu ändern. War auch mal ein Exploit beim IE.
[quote=""hagge""]
Wer sagt denn das. Der Browser greift auf die Host-Datei zu, aber es spricht doch nichts dagegen, diesen Namen *innerhalb* des Browser danach nochmal gegen einen anderen auszutauschen. Da braucht er nur Zugriff auf den FF, nicht auf die Host-Datei.
[/quote]
Das ist schlicht Unsinn.
[quote=""hagge""]
Klar, sagt ja auch niemand, dass es einfach ist. Aber auch die anderen Banken nutzen eine abgesicherte Verbindung, die ein Zertifikat benötigt und trotzdem fallen die Leute auf die nachgebildete Website rein. Oder würde es Dir immer und sofort auffallen, wenn unten das Schloss-Symbol bei Deinem Java-Applet der Bank mal nicht aktiviert wäre?
[/quote]
Ja das fällt mir auf. Und Phishing ist nichts unebakanntes mehr. Die Entwickler des FF brauchen eine latente Gefahr nicht mehr abzuwenden. Wer heute auf Phishing hereinfällt, der ist selbst Schuld. Kein Mitleid. Wer nicht mit dem Internet umgehen kann der soll einfach die Finger weglassen. Oder sich einweisen lassen, VHs bietet sowas an. Das ist genau dasselbe wie mit Nigeria Mails und der Nigeria Abzocke auf Ebay. Selbst schuld, wer drauf reinfällt. Im realen Leben würde niemand auf solche Gedanken kommen, im Internet scheint nur noch Gier oder Geiz zu regieren.
[quote=""hagge""]
Wie auch immer. Wir sind uns einig, dass jemand, der den FF einsetzt, sich zumindest schon ein paar mehr Gedanken macht. Aber dann gleich selbstsicher zu sagen, dass einem dann nichts mehr passieren kann, halte ich für überheblich.
[/quote]
Sag ich ja auch gar nicht. FF hat eine Menge sicherheitslöcher. ABer wenn jemand meine Daten haben will oder Geldtechnische Sachen wissen will, dann werde ich nicht nur einmal skeptisch. Ein bisschen gesundes Grundwissen und Skepsis darf man durchaus erwarten. Niemand hat etwas zu verschenken, nichts ist umsonst. Alles hat seinen Haken, die trivialste ist, das ich mir Werbung anschauen muss.
[quote=""hagge""]
Vor drei, vier Jahren, als das mit den Viren und Spam-Mails noch nicht so verbreitet war, aber immerhin schon öfters drüber gesprochen wurde, sagte mein Kollege auch, dass jemand, der sich nicht auf dubiosen Webseiten rumtreibt, doch eigentlich gar keinen Spam und Viren befürchten muss. Er verstehe die ganze Problematik nicht so ganz. Rate mal, auf welchem Rechner bei uns in der Firma dann der erste Virus drauf war... Ist oft so: Hochmut kommt vor dem Fall.
[/quote]
Nur ist Phishing nicht mehr im Anfangsstadium. Jeder im realen Leben würde jemanden, der an der Haustür klimngelt und um den Haustürschlüssel zur Überprüfung bittet, weil soviele Einbrüche stattgefunden haben, den Vogel zeigen und die Polizei antrufen, was für ein Einfallspinsel da rum läuft. Im Internet scheint bei vielen der Verstand auszusetzen.
[quote=""hagge""]
Und so ist es mir lieber, wenn andere Leute ein Problem schon erkannt und gebannt haben, bevor ich selbst überhaupt den Sinn dafür sehe.
[/quote]
Du siehst in Eigeninitiative bzgl Phishng selbst keinen Sinn? Selbst schuld....Es steht mitterlweile sogar in jedem Provinzblatt.
-
hagge
- Jung-Guru
- Beiträge: 1921
- Registriert: Fr 9. Dez 2005, 15:43
- Receivertyp: SRP-2401CI+, TF5000PVR
- Wohnort: Stuttgart
AW: FireFox 2 verfügbar
[quote=""huebi""]Warum sollte ich Software einsetzen, die noch nicht mal CSS1 und HTML4 transitional korrekt interpretieren kann, und in der Grundeinstellung offen wie ein Scheunentor ist?[/quote]
Wir diskutieren hier gerade über Schutz vor Phishing. Dass der IE in anderen Bereichen andere Mängel hat, ist darum irrelevant.
Es spricht aber doch nichts dagegen, dass ein Exploit sich nach der Namensabfrage, aber vor dem eigentlichen HTTP-Zugriff einklinkt und die vom Nameservice gelieferte IP-Adresse durch eine eigene ersetzt. Und damit ist es mitnichten Schwachsinn.
Und jetzt denke ich mal an Leute, die eben nicht so ganz fit mit Computern sind. Zum Beispiel mein Vater. Der ist 76 und kann sich dennoch ganz ordentlich im Internet bewegen. Aber die Hintergründe über viele Dinge kennt er eben nicht so gut wie ich. Klar spiele ich ihm einen Mozilla oder Firefox auf den Rechner. Aber warum ich das mache, weiß er nur so ungefähr. Und wenn der eben dann durch eine Warnung von FF aufgeschreckt wird, ist mir das lieber, als wenn ich ihm erst haarklein alles erklären müsste oder er einen "Führerschein" für's Internet machen müsste.
Da werde ich lieber einmal zu viel gewarnt, als einmal zu wenig. Und insofern kann ich meine Aussage nur wiederholen, dass ein solcher Phishingschutz in FF durchaus seine Daseinsberechtigung hat und darum zu begrüßen ist.
Gruß,
Hagge
Wir diskutieren hier gerade über Schutz vor Phishing. Dass der IE in anderen Bereichen andere Mängel hat, ist darum irrelevant.
Warum? Sobald die Signatur geknackt ist, kann der Phisher sogar das Original-Applet einsetzen. Und ansonsten ist das Nachprogrammieren eines Applets auch nichts anderes als das Nachimplementieren einer HTML-Webseite. Vielleicht etwas aufwändiger, aber nicht unmöglich.Das Applet nachzubilden und dann auch entsprechend abzuändern ist nicht ganz so einach wie eine Webseite.
Vielleicht reden wir ja über unterschiedliche Files. Ich rede von einem Hosts-File, auf das ein Programm indirekt bei der Namensauflösung zugreift. Es fragt also beim Nameservice an, welche IP-Adresse die Adresse http://www.bank-xyz.de hat und bekommt dann die IP-Adresse aaa.bbb.ccc.ddd. Diese wird dann in der Folge bei der HTTP-Kommunikation verwendet.Das ist schlicht Unsinn.hagge hat geschrieben:Wer sagt denn das. Der Browser greift auf die Host-Datei zu, aber es spricht doch nichts dagegen, diesen Namen *innerhalb* des Browser danach nochmal gegen einen anderen auszutauschen. Da braucht er nur Zugriff auf den FF, nicht auf die Host-Datei.
Es spricht aber doch nichts dagegen, dass ein Exploit sich nach der Namensabfrage, aber vor dem eigentlichen HTTP-Zugriff einklinkt und die vom Nameservice gelieferte IP-Adresse durch eine eigene ersetzt. Und damit ist es mitnichten Schwachsinn.
Jein. Man bekommt diese Links heute auf so gemeine Weise untergejubelt, dass man in vielen Fällen auch mit gehobenem Wissen nichts dagegen machen kann. Nicht jeder hat die Zeit, tagtäglich eine Webseite wie die Security-Seite von Heise aufzusuchen, um zu sehen, wie der neueste Exploit funktioniert. Und es gab durchaus schon Exploits, wo einem unsichtbare Fenster unter die Maus geschoben wurden, die dann den Klick woandershin umgeleitet haben. Und jetzt sag Du mir, dass Du sowas *immer* weißt und Du auch das unsichtbare Fenster sehen würdest. Wenn Du das glaubst, dann bist Du das nächste Phishing-Opfer.Wer heute auf Phishing hereinfällt, der ist selbst Schuld. Kein Mitleid.
Und jetzt denke ich mal an Leute, die eben nicht so ganz fit mit Computern sind. Zum Beispiel mein Vater. Der ist 76 und kann sich dennoch ganz ordentlich im Internet bewegen. Aber die Hintergründe über viele Dinge kennt er eben nicht so gut wie ich. Klar spiele ich ihm einen Mozilla oder Firefox auf den Rechner. Aber warum ich das mache, weiß er nur so ungefähr. Und wenn der eben dann durch eine Warnung von FF aufgeschreckt wird, ist mir das lieber, als wenn ich ihm erst haarklein alles erklären müsste oder er einen "Führerschein" für's Internet machen müsste.
Ehrlich gesagt finde ich so eine Einstellung ziemlich mies. Nicht jeder kann bei allem Spezialist sein. Weil Du Dich zufällig in diesem Thema gut auskennst, steht Dir nicht das Recht zu, über andere so zu urteilen. Es gibt andere Bereiche, wo andere besser sind. Vielleicht bist Du kein so Crack, was Finanzen oder Hausbau oder Versicherungswesen oder Autoreparaturen o.ä. angeht, und dennoch nimmst Du bestimmt für Dich auch das Recht in Anspruch, in diesen Bereichen kleinere Dinge selbst zu machen, ohne dass Du erst ein Studium mit Abschlussprüfung dafür ablegen musst. Dann gestehe bitte anderen auch das Recht zu, kleinere Dinge im Internet zu machen, ohne vorher zur VHS zu gehen. Alles andere *ist* überheblich.Wer nicht mit dem Internet umgehen kann der soll einfach die Finger weglassen.
Und das ist Quatsch. Die Software und die Protokolle gehören entsprechend narrensicher gemacht, so dass sie jeder gefahrlos bedienen kann. Jeden deswegen in die VHS zu schicken ist doch Blödsinn. Nehmen wir ein anderes Beispiel: nur weil immer mehr Idoten irgendwie Telefonabzocke betreiben, kann ich doch nicht erwarten, dass künftig alle Leute einen Volkshochschulkurs zum Thema "Wie telefoniere ich richtig und vermeide Fallen" machen müssen, bevor man sie an ein Telefon lässt. Das kann's doch nicht sein!Oder sich einweisen lassen, VHs bietet sowas an.
Ich stimme Dir zu, dass man manchmal schon eine gehörige Portion Naivität besitzen muss, um auf manche "Angebote" hereinzufallen. Aber im Gegensatz zu Dir glaube ich eben, dass auch im realen Leben genügend Leute auf sowas reinfallen.Das ist genau dasselbe wie mit Nigeria Mails und der Nigeria Abzocke auf Ebay. Selbst schuld, wer drauf reinfällt. Im realen Leben würde niemand auf solche Gedanken kommen, im Internet scheint nur noch Gier oder Geiz zu regieren.
Selbstverständlich setze ich auch alle diese Vorsichtsmaßnahmen ein wie Du. Und, was nützt mir das? Ich kann so skeptisch sein wie ich will, ich kriege in der Woche 1000 Spams zugeschickt. Also nützt doch alle Vorsicht nichts, die kriegt man einfach. Und einmal aus Versehen falsch geklickt, und schon hat man sich einen Virus eingefangen. Da gehört das Protokoll geändert, nicht jeder E-Mail-Nutzer in die VHS geschickt.Ein bisschen gesundes Grundwissen und Skepsis darf man durchaus erwarten.
Da werde ich lieber einmal zu viel gewarnt, als einmal zu wenig. Und insofern kann ich meine Aussage nur wiederholen, dass ein solcher Phishingschutz in FF durchaus seine Daseinsberechtigung hat und darum zu begrüßen ist.
Gruß,
Hagge
Zuletzt geändert von hagge am Mo 30. Okt 2006, 14:44, insgesamt 1-mal geändert.