Sehr geehrtes Team von trojaner-board,

ich hoffe ich erstelle dieses Thema im richtigen Forenabschnitt, denn ich dachte, dass die Fragen die ich von professionellen Fachkräften in diesem Gebiet beantwortet haben möchte nicht unbedingt ins Forum gehören in dem akute Bedrohungen bearbeitet werden. Falls dieses Thema hier dennoch fehl am Platz ist, werde ich es schnellstmöglich im richtigen Forenabschnitt posten.

Ich wollte nur mal fragen, ob eines meiner Firefox-Plugins eine Sicherheitslücke darstellt oder, ob die womöglich vollkommen unnötig sind. Des Weiteren wollte ich wissen, ob Firefox, die selbständig aktualisiert, es kommt mir so vor, bin aber nicht ganz sicher.

Adobe Acrobat 10.1.10.18 (last Update: 8.5.2014)
CANON iMAGE GATEWAY Album Plugin Utility 3.0.5.0 (last Update: 14.4.2010)
Java™ Platform SE 7 U55 (last Update: 14.4.2014)
Microsoft Office Live Plug-in for Firefox 2.0.4024.1 (last Update: 26.4.2010)
NPCIG.dll 1.0.0.5 (last Update: 15.10.2008) (da steht CANON iMAGE GATEWAY Mycamera Plugin)
Shockwave Flash 14.0.0.145 (last Update: 9.7.2014)
Silverlight Plug-In 5.1.30214.0 (last Update: 13.2.2014)
Java Deployment Toolkit 7.0.550.14 10.55.2.14 (last Update: 14.4.2014)
Pando Web Plugin 1.0.0.1 (last Update: 17.5.2014)

Nur Shockwave Flash steht auf immer aktivieren, aber wird natürlich erstmal von meinem NoScript geblockt, wenn ich es nicht vorher erlaube.

Sonst stehen eigentlich alle auf nur auf ausdrückliche Erlaubnis aktivieren, wobei ich mich kaum an Fälle erinnern kann, dass ich danach gefragt worden bin, bis auf Adobe Acrobat.

Java Deployment Toolkit wird von Firefox automatisch nie aktiviert, das es bekannt dafür sei Sicherheitslücken zu haben und Pando Web Plugin, habe ich gestern auf auf "Nie aktivieren" gesetzt.

Außerdem wollte ich nur kurz fragen, ob irgendeine Gefahr von Virenbefall besteht, wenn man eine E-Mail nur im Browser (z.B. bei gmx) öffnet. Das Risiko bei Dateianhängen ist klar, die speicher ich auch immer erst und scanne die mit Kaspersky und schau mir an, ob es eine .exe-Datei ist.

Ich bedanke mich schonmal im Voraus für die Antworten und Hilfe, die ich hier höchstwahrscheinlich erhalten werden, da dieses Forum in den Jahren, in denen ich es ohne Account besucht habe, stets einen kompetenten Eindruck vermittelt hat,

mit freundlichen Grüßen,

John15.

Hi,

diese Plugins die du meinst, sind von Drittanbietern, nicht von Mozilla. Die kann Mozilla nicht updaten sondern nur der Hersteller der sie kreiert hat, Firefox hat auch so keinen Updatemechanismus für eben diese fremde Software.

An deiner Stelle würde ich mal alle Plugins deaktivieren, bis auf den Flashplayer, den benötigt man hin und wieder.

Zitat:

Sonst stehen eigentlich alle auf nur auf ausdrückliche Erlaubnis aktivieren, wobei ich mich kaum an Fälle erinnern kann, dass ich danach gefragt worden bin, bis auf Adobe Acrobat.

Das ist auch so ok. An für sich kann das Acrobat-Plugin aber komplett raus. Der Firefox selbst kann PDF anzeigen und benötigt kein Plugin von irgendeinem anderen Anbieter.

Vielen Dank für die Auskunft Cosinus.

Habe jetzt mal alle bis auf Shockwave Flash auf "Nie aktivieren" gestellt.

Könntest Du vielleicht auch noch den Teil über E-Mails beantworten? Denn das würde ich gerne wissen, da ich mir bei manchen E-Mails (z.B. von Microsoft) nicht immer ganz sicher bin, ob die echt sind.

Kann man im Browser-Interface deines Mail-Anbieters einstellen, dass die Mails als "nur Text" angezeigt werden? Wenn ja, kann da durch eine verseuchte Mail mit Scripten oder so nichts passieren. Außer du öffnest den Anhang. Also im Prinzip dasselbe wie auch im Mailprogramm.
Insgesamt sind die Mailprogramme aber, denke ich, doch noch etwas sicherer konzipiert als die Web-Interfaces, und man hat vor allen Dingen mehr Einstellungsmöglichkeiten.

Moin,

der Firefox neigt dazu im Allgemeinen recht viele Daten ins Netz zu verteilen. Es kommt eben ganz darauf an, welche Sicherheitsstufe man haben möchte im Browser. Unter about:config kann man u.a. auch die URLs ausfindig machen mit denen regelmäßig kommuniziert wird. Und ob man nun den Maintenance-Service braucht ist auch so eine Sache oder die ganzen tollen Search-Plugins, die kann man z.B. auch entfernen / ändern.

Wer sich mit der about:config nicht auskennt sollte davon allerdings die Finger lassen, sonst ist der FF schnell mal K.O.


Wirklich Secure ist FF nur wenn man ihn modifiziert. Google muss z.B. nicht immer alles wissen und damit ist der FF sehr stark verzahnt.

Risiken gehen immer dann aus, wenn schützenswerte Informationen somit teilweise insbesondere bez. Metadaten ungeschützt sind. Deinen Sicherheitsanspruch kenne ich allerdings nicht im Detail. Ich würde allerdings auch entsprechende Addons nutzen zum Schutz vor Metadatenfluss. NoScript in Kombination mit Ghostery ist z.B. sehr effektiv.


Gruß

Aluhut

Ich nutze gmx, habe da mal gerade nachgesehen. Bei dem alten Interface erinnere ich mich, dass man html deaktivieren konnte, beim neuen hatte ich das eben nicht mehr gefunden. Habe dafür jetzt "externe Inhalte" in allen E-Mails deaktiviert. Soweit ich das verstanden habe ist das das.

Wegen meinem Sicherheitsanspruch,

ich will eben einfach keine unnötigen Sicherheitslücken riskieren. Habe als Addons NoScript, WOT, AdBlockPlus und die Addons von meinem Kaspersky Internet Security 2014.

Was mein Bedürfnis angeht meine Daten zu schützen,

ich will die eben nicht unnötig verbreiten, gebe meine E-Mailadresse eben nur wenig weiter und habe die Einstellungen in meinem Firefox eben so eingestellt, dass der die Verbindung zum Server auf den ich zugreife per SSL verschlüsseln soll.
Denke da auch, dass wenn Leute meine Daten wirklich haben wollen, die sie auch bekommen werden, egal was ich tue.

Werde mir aber vielleicht mal Ghostery anschauen, kannst Du das Addon empfehlen?

Vielen Dank für eure Beiträge.

Ghostery auf jeden Fall. Es sagt zum Beispiel gerade auf dem TB "Google Adsense" und "Google Analytics" gefunden und geblockt. (Hat das TB aber keine Schuld dran ist sozusagen eine Massenseuche ;-) )In der Verifikation mittels Wireshark stimmt das. Kein Traffic an 173... Du kannst damit aber auch Whitelists erstellen, wenn Du z.B. Google oder anderen Daten gewähren möchtest. Ist individuell konfigurierbar.

Es geht in der heutigen Zeit nicht um den Inhalt deiner Mails sondern primär um Metadaten, die zum Profiling herangezogen werden. Da ist der Ansatz der Sinnvollste, wenn Du deine Mails ohne Info an andere Unternehmen lesen möchtest, wann Du denn den Service in Anspruch genommen hast.

Die neuen Nachrichten in der IT - Szene ermahnen stärker denn je zu mehr Datenschutz und weniger Datenweitergabe an teils dubiose Tracker.

Gruß

Aluhut

Zitat:

Zitat von Aluhut

)In der Verifikation mittels Wireshark stimmt das.

Herr/Frau Aluhut (Aluhütin?) für sowas benötigt man kein Wireshark. Jedenfalls nicht um zu erkennen welche "fremden" Scripte auf besuchten Webseiten laufen.

Jedem seine Tools Cosinus. Es dient der Verifikation im Datenverkehr, nicht dem "Sehen" fremder Skripte. Daher ist Wireshark das optimale Werkzeug.

Bei drei Bildschirmen ist es immer sinnvoll den Shark auf einem laufen zu lassen. So hat man alles im Überblick und kann Quatschköpfe sofort abschalten ;-)

Was will man mehr...


Musst Du ja nicht so machen, ist aber sehr effektiv.

Was du hast nur drei Bildschirme?
Ich hab fünf. Und wireshark läuft auf 2 Monitoren bei mir...

Drei reichen mir für das Heimnetz.

Zum Thema:

Effektivster Schutz gegen ungebetene Gäste, Datenschleudern und Co. ist das Überwachen der Netzwerkprotokolle und Ports, aber das sollte Dir ja dann bekannt sein, oder? Für den Heimgebrauch ist Wireshark perfekt. Das man in beruflichen Umgebungen u.a. Nagios und weitere Monitoringtools nutzt und noch mehr Bildschirme braucht für Loganalysis mit Putty und Co ist klar, wird aber den geneigten Leser hier weniger interessieren, außer er steckt beruflich drin...

Sonst noch etwas Objektives zum Thema über das wir diskutieren KÖNNTEN? Oder hast Du irgendwelche andere Probleme mit dem Aluhütchen? Deine Postings lesen sich durchaus "merkwürdig". Du bist nicht der einzige ITler auf der Welt.

Zitat:

Zitat von Aluhut

Für den Heimgebrauch ist Wireshark perfekt.

Wenn du meinst

Zitat:

Sonst noch etwas Objektives zum Thema über das wir diskutieren KÖNNTEN? Oder hast Du irgendwelche andere Probleme mit dem Aluhütchen? Deine Postings lesen sich durchaus "merkwürdig". Du bist nicht der einzige ITler auf der Welt.

Ich frage mich gerade wie wir vom Topic Sicherheit von Firefox-Plugins und Sicherheit von E-Mails auf wireshark, nagios und co gekommen sind...

BTW: Raub mir bitte nicht die Illusionen :heul: mir gefiel es bis heute gedacht zu haben ich wäre der einzige Computerversteher im Alphaquadranten

Nein ich setz mir privat nen Nagios auf, richte mir Octo, Radius und Co ein weil meine Datenplatten eh voll verschlüsselt sind und nicht am System hängen / dismounted sind und ich sie auch bestimmt keinem Onlinevirenscanner schenke. Auch das nicht vorhandene WLAN muss ich absichern.

Und wer sagt eigentlich, dass ich keine Firewall und bestimmte DNS - Server und Routingtables benutze?


Deine Überheblichkeit ist belastend. Aber ich befürchte Du bemerkst das nicht. Die Wireshark - Diskussion stammt von Dir, weil Du es Dir nicht verkneifen konntest zu fragen wozu man Wireshark bei Trackern und Co. zur Verifizierung nutzt. So wie Du viele Dinge wissen willst, die Dich eigentlich nichts angehen.


Aber ich sag Dir folgendes >> EoD ;-)

Du weißt eh alles besser, also behalts für Dich. Gibt dann auch keinerlei Raum mehr für irgendwelches Lob dieser Einrichtung. Bist ein gutes Vorbild in der IT-Szene. *Ironie-Modus*

Zitat:

Deine Überheblichkeit ist belastend. Aber ich befürchte Du bemerkst das nicht. Die Wireshark - Diskussion stammt von Dir

Ich schlage Ihnen vor, Sie lesen diesen Thread nochmal gründlichst von oben bis unten durch. Und nehmen Sie Ihren Aluthut vorher ab, ich habe nämlich die Befürchtung, dass dieser die Denkprozesse in Ihrem hoffentlich noch innerhalb normaler Parameter arbeitenden Gripskasten beeinflussen könnte. Viel Erfolg!

Ich möchte mich ja nicht einmischen, aber sind solche Netzwerkanalysen für "Heimnetzwerke" - darunter verstehe ich jetzt mal maximal je ein Computer + Smartphone und Tablet für ein Familienmitglied + Multimediastation - nicht dezent übertrieben?

Zitat:

ich will eben einfach keine unnötigen Sicherheitslücken riskieren. Habe als Addons NoScript, WOT, AdBlockPlus und die Addons von meinem Kaspersky Internet Security 2014.

Ist das nicht ein Anflug von paranoid?